La raccolta sistematica della forma di indirizzo "signor" o "signora" da parte di un'azienda ferroviaria al momento dell'acquisto di biglietti online è compatibile con il Regolamento generale sulla protezione dei dati (GDPR) compatibile? Questa questione è stata affrontata dalla Corte di giustizia europea (CGUE) nella sentenza del 9 gennaio 2025 - e nel farlo, ha fatto riferimento principalmente al GDPR principio di ancoraggio di Minimizzazione dei dati concentrato.
"Signor" o "Signora" come informazione obbligatoria per l'acquisto dei biglietti.
L'associazione Mousse ha presentato un reclamo all'autorità francese per la protezione dei dati. Commissione nazionale per l'informatica e le libertà (CNIL) a Reclamo contro la società ferroviaria francese SNCF Connect.
SNCF Connect vende online, tramite il suo sito web e le sue applicazioni, biglietti ferroviari, abbonamenti e carte sconto. Al momento dell'acquisto di questi biglietti online tramite il sito web e le app, i clienti della società devono indicare il loro titolo barrando "Mr" o "Mrs".
Secondo l'associazione, quest'obbligo viola il diritto alla privacy. GDPRin particolare per quanto riguarda il principio di Minimizzazione dei dati. La forma di indirizzo corrispondente a un'identità di genere non dovrebbe essere un'indicazione necessaria per l'acquisto di un biglietto. Nel 2021, la CNIL ha respinto questa Reclamo in base al fatto che questa pratica non Violazione contro il GDPR rappresentare.
Mousse non ha condiviso questa decisione e ha presentato ricorso al Consiglio di Stato francese per ottenerne l'annullamento. Il Consiglio di Stato ha quindi sottoposto la questione alla Corte di Giustizia, in particolare per sapere se la raccolta dei dati relativi all'indirizzo dei clienti, che si limita al "signor" o alla "signora", possa essere considerata legittima e, in particolare, compatibile con il principio di Minimizzazione dei dati compatibile con la legge se lo scopo di questa raccolta è quello di consentire una comunicazione commerciale personalizzata con questi clienti in linea con la prassi generale in questo settore.
Suggerimento di lettura: L'EGC ordina alla Commissione UE di pagare i danni dovuti al login di Facebook
„Il titolo non è essenziale per l'adempimento del contratto"
Nella sentenza (C-394/23), la Corte di giustizia europea interpreta l'art. 6, par. 1, comma 1, lett. b e f, in combinato disposto con l'art. 5, par. 1, lett. c. GDPR che "il Elaborazione i dati personali relativi al saluto dei clienti di un vettore, che mira a personalizzare le comunicazioni commerciali sulla base della loro identità di genere, non appaiono oggettivamente indispensabili o essenziali per la corretta esecuzione di un contratto e pertanto non possono essere considerati necessari per l'esecuzione di tale contratto".
Perché secondo il principio di Minimizzazione dei dati nel GDPR può Dati personali essere trattati solo in misura appropriata, proporzionata e limitata a quanto necessario per lo scopo. La CGUE ha sottolineato che il GDPR un elenco esaustivo di giustificazioni per la Elaborazione dei dati personali. I seguenti sono particolarmente rilevanti Elaborazione per adempiere a un contratto o per proteggere i legittimi interessi del responsabile del trattamento o di una terza parte.
Il rischio di discriminazione supera l'interesse legittimo
Per quanto riguarda l'esecuzione del contratto, la Corte ha ritenuto che l'indicazione della forma di indirizzo non fosse oggettivamente indispensabile per personalizzare la comunicazione commerciale. Al fine di adempiere correttamente a un contratto di trasporto ferroviario, la società potrebbe utilizzare frasi di cortesia generiche non legate all'identità di genere del cliente. Tali metodi alternativi di comunicazione sarebbero praticabili e interferirebbero meno con i diritti delle persone interessate.
Per quanto riguarda l'interesse legittimo, la Corte ha sottolineato che la raccolta dei dati di saluto non è necessaria se i clienti non sono informati dello scopo della raccolta. Elaborazione sono informati o se il Elaborazione va oltre quanto necessario per raggiungere tale scopo. La Corte ha anche sottolineato che il rischio di discriminazione sulla base dell'identità di genere può svolgere un ruolo importante nella ponderazione degli interessi legittimi. Inoltre, la Elaborazione inammissibile se i diritti e le libertà fondamentali dell'interessato, in particolare a causa del rischio di discriminazione, prevalgono sul legittimo interesse dell'azienda.
Corte di giustizia europea: le aziende sono obbligate a ridurre al minimo i dati
Questa sentenza chiarisce che il Elaborazione dei dati personali deve soddisfare rigorosi requisiti legali. Il documento dimostra che, in casi simili, i tribunali nazionali e le autorità per la protezione dei dati hanno il dovere di prendere in considerazione soluzioni alternative che interferiscano meno con i diritti degli interessati e devono considerare più da vicino i principi di minimizzazione e proporzionalità dei dati.
Le aziende sono obbligate a prendere in considerazione soluzioni alternative e meno invasive, in particolare quando si tratta di Elaborazione dati sensibili come l'identità di genere.
I tribunali nazionali devono ora decidere sui fatti specifici del caso sulla base di questa sentenza, tenendo conto delle linee guida della CGUE.
Avete bisogno di supporto per ottimizzare i vostri processi di protezione dei dati? Siamo a vostra disposizione. Contattateci e svilupperemo per voi soluzioni personalizzate nei seguenti settori Protezione dei dati e Conformità.
Mettetevi in contatto con noi:
Tel: +39 045 475 7198
E-mail:verona@2b-advice.com
German 
English 
Italian 
French