Introduzione
La recente sentenza della Corte di Giustizia dell’Unione Europea nella causa C-394/23, emessa il 9 gennaio 2025, ha affrontato importanti temi legati alla raccolta e al trattamento dei dati personali e al principio di minimizzazione dei dati, con implicazioni significative per tutti i servizi di vendita online. La controversia ha coinvolto l’associazione Mousse, la Commission nationale de l’informatique et des libertés (CNIL) e la società SNCF Connect, società attiva nella vendita online di biglietti del treno, sollevando importanti interrogativi sulla raccolta dei dati personali nel contesto del commercio online.
Fatti della causa
La disputa ha avuto origine dalla prassi di SNCF Connect di richiedere ai propri clienti di indicare obbligatoriamente il proprio appellativo (“Signore” o “Signora”) durante l’acquisto online di biglietti. Nelle more del procedimento, SNCF Connect ha specificato che il dato fosse necessario per rivolgersi in modo personalizzato ai propri clienti.
L’associazione Mousse ha presentato un reclamo alla CNIL, sostenendo che tale pratica violasse il Regolamento Generale sulla Protezione dei Dati (GDPR). La CNIL ha respinto il reclamo, ritenendo che il trattamento dei dati fosse lecito e conforme al principio di minimizzazione dei dati. Tuttavia, l’associazione Mousse ha impugnato la decisione, portando la questione al Conseil d’État, che ha successivamente sottoposto il caso alla Corte di Giustizia dell’Unione Europea.
Principio di minimizzazione dei dati
Uno degli aspetti chiave della sentenza riguarda il principio di minimizzazione dei dati, sancito dall’articolo 5, paragrafo 1, lettera c), del GDPR. La Corte ha ricordato che i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati. Nel caso in questione, la raccolta dell’appellativo è stata considerata non necessaria per l’esecuzione del contratto di trasporto. Questo principio è essenziale per garantire che le aziende trattino solo i dati strettamente indispensabili, proteggendo così la privacy degli utenti.
Liceità del trattamento
La Corte ha poi esaminato se il trattamento dei dati fosse conforme all’articolo 6 del GDPR, che stabilisce i criteri di liceità del trattamento. L’adozione della base giuridica dell’esecuzione di un contratto prevista all’articolo 6, paragrafo 1, lettera b) richiede che i titolari trattino solo i dati che sono essenziali a tale scopo. Ciò considerato, la Corte ha concluso che la personalizzazione della comunicazione commerciale basata sull’identità di genere non costituisce un elemento indispensabile ai fini della corretta esecuzione del contratto di trasporto.
Anche in caso di adozione della base giuridica del legittimo interesse, previsto dall’articolo 6, paragrafo 1, lettera f), del RGPD, la Corte ha affermato che il trattamento dei dati deve essere strettamente necessario per perseguire un interesse legittimo del titolare del trattamento. Inoltre, ha sottolineato che il legittimo interesse non può prevalere sui diritti e le libertà fondamentali degli interessati, soprattutto in situazioni che comportano un rischio di discriminazione.
Secondo la Corte, una soluzione praticabile e meno invasiva sembra esistere, dal momento che l’impresa interessata potrebbe optare, nei confronti dei clienti che non desiderano indicare il loro appellativo, per una comunicazione basata su formule di cortesia generiche, inclusive e prive di correlazione con la presunta identità di genere dei clienti.
Diritto di opposizione
Infine, la Corte ha chiarito che l’esistenza di un diritto di opposizione, previsto dall’articolo 21 del RGPD, non è sufficiente a giustificare la necessità del trattamento dei dati. Le aziende non possono legittimare la raccolta di dati personali semplicemente offrendo agli utenti la possibilità di opporsi al trattamento. Devono dimostrare che la raccolta è necessaria e proporzionata rispetto alle finalità dichiarate.
Conclusione
La sentenza della Corte di Giustizia dell’Unione Europea nella causa C-394/23 rappresenta un importante tassello nell’interpretazione del GDPR, fornendo indicazioni chiare su quali dati personali le aziende possano raccogliere nel contesto della conclusione di un contratto online. Rafforzando i principi di minimizzazione dei dati e di tutela dei diritti fondamentali, la Corte ha evidenziato che le imprese devono dimostrare in modo rigoroso la necessità e la proporzionalità della raccolta di dati rispetto alle finalità dichiarate. Questa decisione offre un quadro di riferimento importante per garantire che le pratiche aziendali rispettino i diritti degli individui e promuovano un uso responsabile dei dati personali, bilanciando al contempo le esigenze delle imprese con il diritto alla privacy dei consumatori.
La sentenza in commento è disponibile a questo link