La CGUE nella causa C-394/23 Mousse ha stabilito che l’obbligo imposto ai clienti fruitori del trasporto ferroviario di indicare il proprio titolo di cortesia (“Sig.” o “Signora”) al momento dell’acquisto online di biglietti del treno viola il GDPR.
Richiedere anche informazioni sull’identità di genere contrasta, infatti, con uno dei suoi principi cardine del regolamento UE, quello di minimizzazione dei dati, dovendo trattare soltanto i dati strettamente necessari.
Ripercorriamo i punti salienti della pronuncia in questione.
Indice degli argomenti
La sentenza della CGUE: i dettagli
La decisione in parola, la cui portata è stata annunciata in sintesi nel comunicato stampa del 9 gennaio 2025, si basa sul noto principio di minimizzazione dei dati, secondo cui i dati personali raccolti devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento”.
Per quanto non sia innovativo come disposto, tuttavia merita soffermarvisi perché ancora una volta la CGUE ribadisce un caposaldo del GDPR chiarendo che un “trattamento dei dati personali deve trovare giustificazione in una delle basi giuridiche previste dal GDPR” come, nel caso di specie, l’esecuzione di un contratto o il perseguimento di un interesse legittimo del titolare del trattamento.
Circa quest’ultimo, la Corte di giustizia ribadisce che lo stesso deve essere “strettamente correlato ai principi di necessità e proporzionalità”. Vediamo meglio i temini della vicenda.
La vicenda analizzata dalla Corte di Giustizia europea
La vicenda nasce da un reclamo avanti alla CNIL presentato dall’associazione Mousse, nei confronti della SNCF Connect, ovvero la società francese che si occupa di vendere i biglietti dei treni, abbonamenti e carte sconto attraverso il proprio sito internet/App.
Nel compilare il form per l’acquisto, gli utenti clienti devono obbligatoriamente indicare il proprio appellativo, barrando la dicitura «Signore» o «Signora», al momento dell’acquisto online.
Questo è (stato) il problema.
Per questo motivo è stato presentato il reclamo, contestando il modus operandi della compagnia ferroviaria francese citata, la quale agisce in palese violazione del GDPR all’art.5 il quale, come noto, richiede che “i dati personali siano trattati in modo lecito, equo e trasparente, limitatamente a quanto necessario per il raggiungimento delle finalità specifiche”.
Detto più semplicemente: il noto principio di minimizzazione.
Ma non è tutto, gli utenti/clienti non erano nemmeno adeguatamente informati sulle finalità della raccolta del dato, non strettamente necessaria per quella stessa finalità dichiarata.
Oltretutto, la pratica consistente nella compilazione del form indicante l’identità di genere comportava rischi di discriminazione, specialmente per le persone non conformi alle categorie tradizionali.
Le due questioni pregiudiziali
Due sono le questioni pregiudiziali.
La prima concerne la raccolta dei dati non conforme al principio di liceità ex art. 5, par. 1, lett. a) – GDPR, non basandosi su nessuno dei fondamenti (ex art. 6, par. 1), e per l’effetto viola il principio di minimizzazione dei dati (art. 5, par. 1, lett. c), oltre agli obblighi di trasparenza e di informativa ex art. 13 GDPR.
La CNIL di tutta risposta nel 2021 ha ritenuto la questione irrilevante procedendo all’archiviazione sostenendo testualmente che “i fatti contestati alla SNCF Connect non costituissero violazioni delle disposizioni del GDPR e che occorresse procedere alla chiusura del procedimento di esame di detto reclamo”.
Sicché nel maggio del 2021 la Mousse proponeva ricorso di annullamento della decisione della CNIL dinanzi al Conseil d’État – Consiglio di Stato francese – giudice del rinvio il quale si è interrogato in particolare, sulla questione se “si possa tener conto, ai fini della valutazione della necessità del trattamento dei dati di cui trattasi nel procedimento principale, degli usi ammessi nelle comunicazioni commerciali, civili e amministrative, di modo che la raccolta dei dati relativi all’appellativo dei clienti, limitata ai termini «Signore» o «Signora», possa essere lecita e conforme al principio di minimizzazione dei dati”.
La seconda questione concerne invece il diritto di opposizione, pensando a chi non rientra in nessuno dei due.
Il riscontro della CGUE
Sulla prima questione, la Corte ricorda testualmente che “affinché un trattamento di dati possa essere considerato necessario all’esecuzione di un contratto, tale trattamento deve essere oggettivamente indispensabile al fine di consentire la corretta esecuzione di tale contratto”.
Secondo la CGUE poi “una personalizzazione della comunicazione commerciale fondata su una identità di genere presunta in funzione dell’appellativo del cliente non sembra essere oggettivamente indispensabile per consentire la corretta esecuzione di un contratto di trasporto ferroviario.
Infatti, l’impresa ferroviaria potrebbe optare per una comunicazione basata su formule di cortesia generiche, inclusive e prive di correlazione con la presunta identità di genere dei clienti, il che costituirebbe una soluzione praticabile e meno invasiva”.
Circa la seconda questione la CGUE, pur richiamando la sua costante giurisprudenza in materia, precisa che “il trattamento di dati relativi all’appellativo dei clienti di un’impresa di trasporto, avente la finalità di personalizzare la comunicazione commerciale fondata sulla loro identità di genere, non può essere considerato necessario:
- qualora il legittimo interesse perseguito non sia stato indicato a tali clienti al momento della raccolta di tali dati;
- qualora il trattamento non sia effettuato nei limiti dello stretto necessario per la realizzazione di tale legittimo interesse;
- qualora, alla luce dell’insieme delle circostanze pertinenti, i diritti e le libertà fondamentali di tali clienti possano prevalere su tale legittimo interesse, in particolare a causa di un rischio di discriminazione fondata sull’identità di genere”.
L’appellativo di identità di genere è un dato personale
Secondo la CGUE l’appellativo corrispondente a un’identità di genere maschile o femminile è un dato personale, specialmente se riguarda una persona fisica identificata/identificabile.
Peraltro, l’utilizzo Signor/Sig.ra qual titolo di cortesia, secondo i giudici della CGUE non serve nemmeno ai fini della comunicazione commerciale (marketing) nel dire che “una siffatta comunicazione non deve necessariamente essere personalizzata in funzione dell’identità di genere del cliente interessato”.
A sostegno di ciò, infatti, secondo la giurisprudenza, “la personalizzazione dei contenuti non appare necessaria per offrire servizi a un cliente quando tali servizi possono, eventualmente, essergli forniti sotto forma di un’alternativa equivalente che non implichi tale personalizzazione”.
In parole semplici, per marketing diretto non occorre distinguere il genere.
Né il trattamento sistematico e generalizzato dei dati relativi all’appellativo dell’insieme dei clienti è giustificato né giustificabile, a maggior ragione se pensiamoai clienti che viaggiano di giorno o che non versano in una condizione di disabilità; e un simile trattamento è sproporzionato nonché contrario al principio di minimizzazione dei dati, dal momento che esso avrebbe potuto essere limitato ai dati relativi all’identità di genere dei soli clienti che desiderano viaggiare in treno notturno o beneficiare di un’assistenza personalizzata a causa di una disabilità.
Il legittimo interesse per la sola finalità di marketing diretto
Circa il perseguimento del legittimo interesse, la CGUE precisa letteralmente che “spetta al titolare del trattamento, all’atto della raccolta presso l’interessato di dati che lo riguardano, indicargli i legittimi interessi perseguiti”.
Come sappiamo nell’articolato del GDPR manca una definizione vera e propria della nozione di «legittimo interesse» che tuttavia possiamo ricavare dal Considerando 47 secondo il quale i legittimi interessi sussistono quando vi è “una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente del titolare del trattamento”, come nel caso in questione.
Tuttavia, ed è qui uno dei passaggi più interessanti di questa sentenza, “per finalità di marketing diretto (personalizzazione della comunicazione commerciale) può bastare il solo trattamento dei nomi e dei cognomi dei clienti, dal momento che il loro appellativo e/o la loro identità di genere”, scrivono i giudici della CGUE sono “un’informazione che non pareessere strettamente necessaria in tale contesto, in particolare alla luce del principio di minimizzazione dei dati”; e tanto basta.
In ogni caso, concludono i giudici della CGUE “il legittimo interesse relativo al marketing diretto non può prevalere nell’evenienza di un rischio di pregiudizio ai diritti e alle libertà fondamentali dell’interessato”.
Il principio di diritto
Così la CGUE arriva il principio di diritto argomentando che “il trattamento di dati personali relativi all’appellativo dei clienti di un’impresa di trasporto, avente la finalità di personalizzare la comunicazione commerciale fondata sulla loro identità di genere, non può essere considerato necessario per il perseguimento del legittimo interesse del titolare di tale trattamento o di terzi, qualora:
- il legittimo interesse perseguito non sia stato indicato a tali clienti al momento della raccolta di tali dati; oppure
- detto trattamento non sia effettuato nei limiti dello stretto necessario per la realizzazione di tale legittimo interesse; oppure
- alla luce dell’insieme delle circostanze pertinenti, i diritti e le libertà fondamentali di detti clienti possano prevalere su tale legittimo interesse, in particolare a causa di un rischio di discriminazione fondata sull’identità di genere”.
Il diritto di opposizione purché il trattamento sia lecito
Come noto, l’interessato ha sempre il diritto di opporsi; e quando lo esercita il titolare è tenuto ad astenersi dal trattare ulteriormente i dati personali a meno che non dimostri “l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”.
Quindi, per opporsi occorre un trattamento lecito. Perché quest’ultimo sia tale è necessario che il requisito di stretta necessità venga soddisfatto.
D’altronde, uno dei principali obiettivi che il GDPR intende perseguire è proprio quello di “garantire un elevato livello di protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali”.
Cosa impariamo
È indubbio che il principio espresso con questa sentenza si possa via via estendere anche ad altri settori del mondo commerciale oltre al trasporto ferroviario, anche a quello marittimo e a quello aereo, disponendo una minimizzazione dei dati di riferimento in quanto non strettamente necessari alla finalità dell’atto che si sta compiendo.
In conclusione, dunque, raccogliere dati/titoli di cortesia al momento dell’acquisto di biglietti ferroviari online è contraria al GDPR, in quanto non rispetta i principi di necessità e minimizzazione dei dati, oltre che essere irrilevante ai fini della transazione commerciale.
E non sarà certo un atto di scortesia il mancato appellativo riferibile a un genus – maschile o femminile – che poi a conti fatti, per la finalità che il servizio persegue, è in effetti del tutto irrilevante.
