La raccolta sistematica della forma di indirizzo "signor" o "signora" da parte di una compagnia ferroviaria al momento dell'acquisto di biglietti online è compatibile con il Regolamento generale sulla protezione dei dati (GDPR)? La Corte di giustizia europea ha affrontato la questione nella sentenza del 9 gennaio 2025, concentrandosi principalmente sul principio di minimizzazione dei dati sancito dal GDPR.
"Signor" o "Signora" come informazione obbligatoria per l'acquisto dei biglietti.
L'associazione Mousse ha presentato una denuncia all'autorità francese per la protezione dei dati, la Commission Nationale de l'Informatique et des Libertés (CNIL), contro la società ferroviaria francese SNCF Connect.
SNCF Connect vende online, tramite il suo sito web e le sue applicazioni, biglietti ferroviari, abbonamenti e carte sconto. Al momento dell'acquisto di questi biglietti online tramite il sito web e le app, i clienti della società devono indicare il loro titolo barrando "Mr" o "Mrs".
Secondo l'associazione, questo obbligo viola il GDPR, in particolare per quanto riguarda il principio di minimizzazione dei dati. Il saluto corrispondente a un'identità di genere non dovrebbe essere un'indicazione necessaria per l'acquisto di un biglietto. Nel 2021, la CNIL ha respinto il reclamo sostenendo che questa pratica non costituisce una violazione del GDPR.
Mousse non ha condiviso questa decisione e ha fatto ricorso al Consiglio di Stato francese per ottenerne l'annullamento. Il Consiglio di Stato ha quindi sottoposto la questione alla Corte di Giustizia, in particolare se la raccolta di dati sul saluto dei clienti, limitata alle indicazioni "signor" o "signora", possa essere considerata lecita e, in particolare, compatibile con il principio di minimizzazione dei dati, se lo scopo di tale raccolta è quello di consentire una comunicazione commerciale personalizzata con questi clienti, in linea con la prassi generale in questo settore.
Suggerimento di lettura: L'EGC ordina alla Commissione UE di pagare i danni dovuti al login di Facebook
"Il saluto non è essenziale per l'adempimento del contratto".
Nella sentenza (C-394/23), la Corte di giustizia europea interpreta l'articolo 6, paragrafo 1, comma 1, lettere b) e f), in combinato disposto con l'articolo 5, paragrafo 1, lettera c), del GDPR, nel senso che "il trattamento dei dati personali relativi al saluto dei clienti di un'impresa di trasporti, finalizzato a personalizzare le comunicazioni commerciali sulla base della loro identità di genere, non appare oggettivamente indispensabile o essenziale per la corretta esecuzione di un contratto e non può pertanto essere considerato necessario per l'esecuzione di tale contratto".
Questo perché, in base al principio di minimizzazione dei dati del GDPR, i dati personali possono essere trattati solo in misura adeguata, proporzionata e limitata a quanto necessario per lo scopo. La Corte di giustizia europea ha sottolineato che il GDPR contiene un elenco esaustivo di giustificazioni per il trattamento dei dati personali. Il trattamento per l'esecuzione di un contratto o ai fini dei legittimi interessi perseguiti dal responsabile del trattamento o da una terza parte sono particolarmente rilevanti.
Il rischio di discriminazione supera l'interesse legittimo
Per quanto riguarda l'esecuzione del contratto, la Corte ha ritenuto che l'indicazione della forma di indirizzo non fosse oggettivamente indispensabile per personalizzare la comunicazione commerciale. Al fine di adempiere correttamente a un contratto di trasporto ferroviario, l'azienda potrebbe utilizzare frasi di cortesia generiche non legate all'identità di genere del cliente. Tali metodi alternativi di comunicazione sarebbero praticabili e interferirebbero meno con i diritti delle persone interessate.
Per quanto riguarda l'interesse legittimo, la Corte ha sottolineato che la raccolta del saluto non è necessaria se i clienti non sono informati della finalità del trattamento o se il trattamento va oltre quanto necessario per raggiungere tale finalità. Inoltre, la Corte ha sottolineato che il rischio di discriminazione basato sull'identità di genere può svolgere un ruolo importante nel bilanciamento degli interessi legittimi. Inoltre, il trattamento sarebbe illegittimo se i diritti e le libertà fondamentali dell'interessato, in particolare a causa del rischio di discriminazione, superano il legittimo interesse dell'azienda.
Corte di giustizia europea: le aziende sono obbligate a ridurre al minimo i dati
Questa sentenza chiarisce che il trattamento dei dati personali deve soddisfare requisiti legali rigorosi. Dimostra che, in casi simili, i tribunali nazionali e le autorità per la protezione dei dati hanno il dovere di esaminare soluzioni alternative che interferiscano meno con i diritti degli interessati e devono esaminare più da vicino i principi di minimizzazione e proporzionalità dei dati.
Le aziende sono obbligate a considerare soluzioni alternative e meno invasive, soprattutto quando si tratta di trattare dati sensibili come l'identità di genere.
I tribunali nazionali devono ora decidere sui fatti specifici del caso sulla base di questa sentenza, tenendo conto delle linee guida della CGUE.