{"id":9605,"date":"2025-01-21T17:17:01","date_gmt":"2025-01-21T16:17:01","guid":{"rendered":"https:\/\/ecc-netitalia.it\/?p=9605"},"modified":"2025-03-12T15:37:59","modified_gmt":"2025-03-12T14:37:59","slug":"corte-di-giustizia-ue-lidentita-di-genere-dei-passeggeri-non-e-un-dato-necessario-per-lacquisto-di-un-titolo-di-trasporto","status":"publish","type":"post","link":"https:\/\/ecc-netitalia.it\/it\/news\/corte-di-giustizia-ue-lidentita-di-genere-dei-passeggeri-non-e-un-dato-necessario-per-lacquisto-di-un-titolo-di-trasporto\/","title":{"rendered":"Corte di giustizia UE: l’identit\u00e0 di genere dei passeggeri non \u00e8 un dato necessario per l’acquisto di un titolo di trasporto"},"content":{"rendered":"\n

Il principio \u00e8 stato stabilito da una recente sentenza della Corte di giustizia UE<\/strong>, emessa nell\u2019ambito della causa C-394\/23<\/strong>. La Corte, infatti, ha chiarito che la raccolta di dati relativi all\u2019appellativo dei viaggiatori non \u00e8 indispensabile, soprattutto quando finalizzata alla personalizzazione della comunicazione commerciale.<\/p>\n\n\n\n

Il caso specifico<\/strong><\/p>\n\n\n\n

Un\u2019associazione francese per la tutela contro le discriminazioni, Mousse<\/strong>, contestava dinanzi alla Commission nationale de l’informatique et des libert\u00e9s (CNIL)<\/strong>– l\u2019Autorit\u00e0 francese per la protezione dei dati personali – la prassi adottata da SNCF Connect, impresa ferroviaria francese, che obbligava i clienti a specificare il proprio genere (\u201cSignore o Signora\u201d)<\/strong> durante l\u2019acquisto di biglietti online. Secondo l\u2019associazione, tale obbligo violava il Regolamento generale sulla protezione dei dati (GDPR)<\/strong><\/a>, in particolare il principio di minimizzazione dei dati, poich\u00e9 la specificazione dell\u2019appellativo, legato all\u2019identit\u00e0 di genere, non appariva necessaria per finalizzare l\u2019acquisto di un titolo di trasporto ferroviario. Nel 2021, la CNIL respingeva il reclamo, ritenendo che tale prassi non costituisse una violazione del GDPR, ma che, anzi si rendeva\u00a0necessaria all\u2019esecuzione del contratto di fornitura di servizi di trasporto interessato. Inoltre, la CNIL rilevava che, tenuto conto delle sue finalit\u00e0, tale trattamento era conforme al principio della minimizzazione dei dati, dal momento che il fatto di rivolgersi ai clienti in modo personalizzato, utilizzando l\u2019appellativo di questi ultimi, corrisponderebbe agli usi ammessi nel settore delle comunicazioni commerciali, civili e amministrative.<\/p>\n\n\n\n

L\u2019associazione Mousse presentava ricorso al Conseil d\u2019\u00c9tat (Consiglio di Stato) francese<\/strong> chiedendo l\u2019annullamento della decisione con la quale la CNIL aveva respinto il ricorso nei confronti della impresa ferroviaria francese. Il giudizio veniva, tuttavia, sospeso per la necessit\u00e0, da parte del giudicante, di rinviare alla Corte di Giustizia dell\u2019Unione Europea la decisione sulla liceit\u00e0 della raccolta di dati relativi ai titoli dei clienti, limitati ai titoli \u201cMonsieur\u201d e  \u201cMadame\u201d (\u201cMr\u201d e \u201cMs\u201d), e sulla conformit\u00e0 della stessa al principio di minimizzazione dei dati, laddove tale raccolta sia finalizzata a consentire una comunicazione commerciale personalizzata con tali clienti<\/p>\n\n\n\n

La Corte ha ribadito che, in conformit\u00e0 al principio di minimizzazione dei dati, i dati personali raccolti debbano essere adeguati, pertinenti e limitati a quanto strettamente necessario rispetto alle finalit\u00e0 del trattamento. Specifica, altres\u00ec, come il GDPR contenga un elenco tassativo dei casi in cui un trattamento possa essere considerato lecito, ovvero quando esso \u00e8 necessario per l\u2019esecuzione di un contratto di cui l\u2019interessato \u00e8 parte e quando risponde ad un legittimo interesse del titolare del trattamento o di terzi. In particolare, la Corte ha evidenziato come un trattamento possa essere considerato necessario all\u2019esecuzione di un contratto solo se oggettivamente indispensabile per la sua corretta attuazione. Nel caso specifico, la Corte ha chiarito <\/strong>come \u201cla personalizzazione della comunicazione commerciale fondata su un\u2019identit\u00e0 di genere presunta in funzione dell\u2019appellativo del cliente non sembra essere oggettivamente indispensabile per consentire la corretta esecuzione di un contratto di trasporto ferroviario\u201d.<\/em> L\u2019impresa francese potrebbe adottare, pertanto, espressioni generiche e inclusive quando si rivolge a un cliente, che non hanno alcuna correlazione con la presunta identit\u00e0 di genere dei clienti. Ulteriormente, la Corte ha precisato come il trattamento dei dati relativi all\u2019appellativo dei clienti, finalizzato alla personalizzazione della comunicazione commerciale, non possa essere considerato necessario nel caso in cui i clienti non siano stati informati del legittimo interesse perseguito al momento della raccolta di tali dati, il trattamento non \u00e8 effettuato solo nella misura strettamente necessaria al conseguimento di tale legittimo interesse o se le libert\u00e0 e i diritti fondamentali di tali clienti possono prevalere su tale legittimo interesse, in particolare se esiste un rischio di discriminazione sulla base dell’identit\u00e0 di genere.<\/p>\n\n\n\n

Cosa fare in caso di trattamento illecito e violazione dei dati<\/strong><\/p>\n\n\n\n

La protezione dei dati personali<\/a><\/strong> \u00e8 un tema centrale nell’era digitale, soprattutto in un contesto in cui gli attacchi hacker<\/strong>, che sfruttano le vulnerabilit\u00e0 nei sistemi di gestione dei dati, rappresentano una minaccia crescente, con gravi implicazioni per la sicurezza e la privacy di noi tutti. Grandi colossi tecnologici detengono database enormi, contenenti informazioni come dati demografici, cronologie di navigazione e transazioni finanziarie. Questi dati sono spesso bersaglio di cybercriminali, che attraverso tecniche sofisticate espongono milioni di utenti a conseguenze dannose come l\u2019accesso non autorizzato ai loro account, la fuga di informazioni sensibili (numeri di carta di credito, documenti d\u2019identit\u00e0, ecc.) fino al furto d\u2019identit\u00e0 e frodi finanziarie.<\/p>\n\n\n\n

Se sospettiamo che i nostri dati personali siano stati trattati in modo illecito o si sia verificata una violazione dei nostri dati (data breach), \u00e8 importante agire tempestivamente per far valere i nostri diritti che includono il risarcimento dei danni (materiali o immateriali) eventualmente subiti. Il GDPR, invero, prevede diverse statuizioni e misure in caso di trattamento illecito dei dati personali<\/strong> e violazione dei dati personali.<\/strong><\/p>\n\n\n\n

Nel primo caso \u00e8 previsto sia la comminazione di sanzioni pecuniarie che possono raggiungere i 20 milioni di euro o il 4% del fatturato globale annuo, a seconda della gravit\u00e0 della violazione sia il risarcimento dei danni subiti dall\u2019titolare o dal responsabile del trattamento.<\/p>\n\n\n\n

Nel caso di violazione dei dati \u00e8 previsto, altres\u00ec che il titolare del trattamento ha l\u2019obbligo di notificare la violazione al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne \u00e8 venuto a conoscenza, salvo che la violazione non comporti un rischio per i diritti e le libert\u00e0 delle persone fisiche, e agli interessati a meno che non siano state adottate misure tecniche e organizzative adeguate per proteggere i dati (ad esempio, cifratura).<\/p>\n\n\n\n

In caso di trattamento illecito o una violazione dei dati, \u00e8 fondamentale agire tempestivamente, contattando preventivamente e per iscritto il responsabile del trattamento e, se la risposta ricevuta non \u00e8 soddisfacente o l\u2019azienda non risponde entro 30 giorni, presentando un reclamo formale al Garante per la Protezione dei Dati Personali (www.gpdp.it<\/a>) <\/strong>corredato di tutte le prove disponibili (corrispondenza, screenshot, documenti).<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Il principio \u00e8 stato stabilito da una recente sentenza della Corte di giustizia UE, emessa nell\u2019ambito della causa C-394\/23. La Corte, infatti, ha chiarito che la raccolta di dati relativi all\u2019appellativo dei viaggiatori non \u00e8 indispensabile, soprattutto quando finalizzata alla personalizzazione della comunicazione commerciale.<\/p>\n","protected":false},"author":6,"featured_media":9606,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17],"tags":[352],"class_list":["post-9605","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","tag-protezione-dei-dati-personali"],"_links":{"self":[{"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/posts\/9605","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/comments?post=9605"}],"version-history":[{"count":2,"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/posts\/9605\/revisions"}],"predecessor-version":[{"id":10028,"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/posts\/9605\/revisions\/10028"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/media\/9606"}],"wp:attachment":[{"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/media?parent=9605"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/categories?post=9605"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ecc-netitalia.it\/it\/wp-json\/wp\/v2\/tags?post=9605"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}