Il principio è stato stabilito da una recente sentenza della Corte di giustizia UE, emessa nell’ambito della causa C-394/23. La Corte, infatti, ha chiarito che la raccolta di dati relativi all’appellativo dei viaggiatori non è indispensabile, soprattutto quando finalizzata alla personalizzazione della comunicazione commerciale.
Il caso specifico
Un’associazione francese per la tutela contro le discriminazioni, Mousse, contestava dinanzi alla Commission nationale de l’informatique et des libertés (CNIL)– l’Autorità francese per la protezione dei dati personali – la prassi adottata da SNCF Connect, impresa ferroviaria francese, che obbligava i clienti a specificare il proprio genere (“Signore o Signora”) durante l’acquisto di biglietti online. Secondo l’associazione, tale obbligo violava il Regolamento generale sulla protezione dei dati (GDPR), in particolare il principio di minimizzazione dei dati, poiché la specificazione dell’appellativo, legato all’identità di genere, non appariva necessaria per finalizzare l’acquisto di un titolo di trasporto ferroviario. Nel 2021, la CNIL respingeva il reclamo, ritenendo che tale prassi non costituisse una violazione del GDPR, ma che, anzi si rendeva necessaria all’esecuzione del contratto di fornitura di servizi di trasporto interessato. Inoltre, la CNIL rilevava che, tenuto conto delle sue finalità, tale trattamento era conforme al principio della minimizzazione dei dati, dal momento che il fatto di rivolgersi ai clienti in modo personalizzato, utilizzando l’appellativo di questi ultimi, corrisponderebbe agli usi ammessi nel settore delle comunicazioni commerciali, civili e amministrative.
L’associazione Mousse presentava ricorso al Conseil d’État (Consiglio di Stato) francese chiedendo l’annullamento della decisione con la quale la CNIL aveva respinto il ricorso nei confronti della impresa ferroviaria francese. Il giudizio veniva, tuttavia, sospeso per la necessità, da parte del giudicante, di rinviare alla Corte di Giustizia dell’Unione Europea la decisione sulla liceità della raccolta di dati relativi ai titoli dei clienti, limitati ai titoli “Monsieur” e “Madame” (“Mr” e “Ms”), e sulla conformità della stessa al principio di minimizzazione dei dati, laddove tale raccolta sia finalizzata a consentire una comunicazione commerciale personalizzata con tali clienti
La Corte ha ribadito che, in conformità al principio di minimizzazione dei dati, i dati personali raccolti debbano essere adeguati, pertinenti e limitati a quanto strettamente necessario rispetto alle finalità del trattamento. Specifica, altresì, come il GDPR contenga un elenco tassativo dei casi in cui un trattamento possa essere considerato lecito, ovvero quando esso è necessario per l’esecuzione di un contratto di cui l’interessato è parte e quando risponde ad un legittimo interesse del titolare del trattamento o di terzi. In particolare, la Corte ha evidenziato come un trattamento possa essere considerato necessario all’esecuzione di un contratto solo se oggettivamente indispensabile per la sua corretta attuazione. Nel caso specifico, la Corte ha chiarito come “la personalizzazione della comunicazione commerciale fondata su un’identità di genere presunta in funzione dell’appellativo del cliente non sembra essere oggettivamente indispensabile per consentire la corretta esecuzione di un contratto di trasporto ferroviario”. L’impresa francese potrebbe adottare, pertanto, espressioni generiche e inclusive quando si rivolge a un cliente, che non hanno alcuna correlazione con la presunta identità di genere dei clienti. Ulteriormente, la Corte ha precisato come il trattamento dei dati relativi all’appellativo dei clienti, finalizzato alla personalizzazione della comunicazione commerciale, non possa essere considerato necessario nel caso in cui i clienti non siano stati informati del legittimo interesse perseguito al momento della raccolta di tali dati, il trattamento non è effettuato solo nella misura strettamente necessaria al conseguimento di tale legittimo interesse o se le libertà e i diritti fondamentali di tali clienti possono prevalere su tale legittimo interesse, in particolare se esiste un rischio di discriminazione sulla base dell’identità di genere.
Cosa fare in caso di trattamento illecito e violazione dei dati
La protezione dei dati personali è un tema centrale nell’era digitale, soprattutto in un contesto in cui gli attacchi hacker, che sfruttano le vulnerabilità nei sistemi di gestione dei dati, rappresentano una minaccia crescente, con gravi implicazioni per la sicurezza e la privacy di noi tutti. Grandi colossi tecnologici detengono database enormi, contenenti informazioni come dati demografici, cronologie di navigazione e transazioni finanziarie. Questi dati sono spesso bersaglio di cybercriminali, che attraverso tecniche sofisticate espongono milioni di utenti a conseguenze dannose come l’accesso non autorizzato ai loro account, la fuga di informazioni sensibili (numeri di carta di credito, documenti d’identità, ecc.) fino al furto d’identità e frodi finanziarie.
Se sospettiamo che i nostri dati personali siano stati trattati in modo illecito o si sia verificata una violazione dei nostri dati (data breach), è importante agire tempestivamente per far valere i nostri diritti che includono il risarcimento dei danni (materiali o immateriali) eventualmente subiti. Il GDPR, invero, prevede diverse statuizioni e misure in caso di trattamento illecito dei dati personali e violazione dei dati personali.
Nel primo caso è previsto sia la comminazione di sanzioni pecuniarie che possono raggiungere i 20 milioni di euro o il 4% del fatturato globale annuo, a seconda della gravità della violazione sia il risarcimento dei danni subiti dall’titolare o dal responsabile del trattamento.
Nel caso di violazione dei dati è previsto, altresì che il titolare del trattamento ha l’obbligo di notificare la violazione al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo che la violazione non comporti un rischio per i diritti e le libertà delle persone fisiche, e agli interessati a meno che non siano state adottate misure tecniche e organizzative adeguate per proteggere i dati (ad esempio, cifratura).
In caso di trattamento illecito o una violazione dei dati, è fondamentale agire tempestivamente, contattando preventivamente e per iscritto il responsabile del trattamento e, se la risposta ricevuta non è soddisfacente o l’azienda non risponde entro 30 giorni, presentando un reclamo formale al Garante per la Protezione dei Dati Personali (www.gpdp.it) corredato di tutte le prove disponibili (corrispondenza, screenshot, documenti).
