|
CONCLUSIONI DELL’AVVOCATO GENERALE
MACIEJ SZPUNAR
presentate l’11 luglio 2024 (1)
Causa C-394/23
Association Mousse
contro
Commission nationale de l’informatique et des libertés (CNIL),
SNCF Connect
[domanda di pronuncia pregiudiziale proposta dal Conseil d’État (Consiglio di Stato, Francia)]
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 6, paragrafo 1 – Principio di liceità del trattamento – Articolo 5, paragrafo 1, lettera c) – Principio di minimizzazione dei dati – Appellativo – Acquisto online di una prestazione di servizio di trasporto – Articolo 21 – Diritto di opposizione»
I. Introduzione
1. Il regolamento (UE) 2016/679 (2) (in prosieguo: il «RGPD») mira a garantire un elevato livello di protezione delle persone fisiche relativamente al trattamento dei loro dati personali. A tal fine, esso impone ai titolari del trattamento di rispettare una serie di principi quando questi trattano dati personali, tra cui il cosiddetto principio di «minimizzazione dei dati» e il principio di liceità del trattamento.
2. Tali due principi sono al centro della presente causa, relativa a una controversia tra, da un lato, un’associazione e, dall’altro, un’autorità di controllo nazionale, in merito al trattamento, da parte di un’impresa di trasporti, dei dati relativi agli appellativi dei propri clienti allo scopo dichiarato di utilizzarli nelle sue comunicazioni commerciali con questi ultimi, e che offre quindi alla Corte l’opportunità di precisarne la portata.
II. Contesto normativo
A. Diritto dell’Unione
3. I considerando 4, 10, 39, 40, 44, 47, 69 e 75 del RGPD enunciano quanto segue:
«(4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla [Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la “Carta”)], sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
(...)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...)
(...)
(39) (…) I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. (…) I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. (...)
(40) Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell’interessato o su altra base legittima prevista per legge dal presente regolamento o dal diritto dell’Unione o degli Stati membri, come indicato nel presente regolamento, tenuto conto (…) della necessità di esecuzione di un contratto di cui l’interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso.
(...)
(44) Il trattamento dovrebbe essere considerato lecito se è necessario nell’ambito di un contratto o ai fini della conclusione di un contratto.
(...)
(47) I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente (…) del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. (…) Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.
(...)
(69) Qualora i dati personali possano essere lecitamente trattati, essendo il trattamento necessario per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ovvero per i legittimi interessi di un titolare del trattamento o di terzi, l’interessato dovrebbe comunque avere il diritto di opporsi al trattamento dei dati personali che riguardano la sua situazione particolare. È opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato.
(...)
(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni (...)».
4. Ai sensi del suo articolo 2, paragrafo 1, il RGPD si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
5. L’articolo 4 del RGPD, intitolato «Definizioni», dispone quanto segue:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (...);
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione (...);
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (...);
(...)
11) “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
(...)»
6. L’articolo 5 del RGPD, intitolato «Principi applicabili al trattamento di dati personali», così prevede:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
(...)
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
(...)»
7. L’articolo 6 del RGPD, intitolato «Liceità del trattamento», dispone quanto segue, al suo paragrafo 1:
«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
(...)»
8. L’articolo 13 del RGPD, intitolato «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato», prevede quanto segue:
«1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
(...)
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
(...)»
9. L’articolo 21 del RGPD, intitolato «Diritto di opposizione», così dispone, al suo paragrafo 1:
«L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria».
10. L’articolo 25 del RGPD, intitolato «Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita», così prevede, al suo paragrafo 2:
«Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. (...)»
B. Diritto francese
11. L’articolo 8 della legge n. 78-17, del 6 gennaio 1978, relativa all’informatica, ai file e alle libertà (3), dispone quanto segue:
«La Commission nationale de l’informatique et des libertés [Commissione nazionale per l’informativa e le libertà (in prosieguo: il “CNIL”)] è un’autorità amministrativa indipendente.
Essa è l’autorità di controllo nazionale ai sensi e per l’applicazione del [RGPD]. Essa svolge i seguenti compiti:
(...)
2° provvede affinché i trattamenti dei dati personali siano effettuati conformemente alle disposizioni della presente legge e alle altre disposizioni relative alla protezione dei dati personali previste dai testi legislativi e regolamentari, dal diritto dell’Unione europea e dagli impegni internazionali della Francia.
A tal fine:
(...)
d) essa tratta i reclami, le petizioni e le denunce introdotti da un interessato, o da un organismo, un’organizzazione o un’associazione, esamina o indaga sull’oggetto del reclamo, nella misura necessaria, e informa il reclamante dello stato di avanzamento e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo; (...)».
III. Fatti del procedimento principale, procedimento dinanzi alla Corte e questioni pregiudiziali
12. SNCF Connect è una società che commercializza titoli di trasporto ferroviario, quali biglietti del treno, abbonamenti e carte sconto, attraverso il suo sito Internet e applicazioni. Al momento dell’acquisto di tali titoli di trasporto, i clienti di tale società sono tenuti obbligatoriamente a indicare il proprio appellativo, barrando la dicitura «Signore» o «Signora».
13. Ritenendo che le condizioni di raccolta e di registrazione dell’appellativo dei clienti al momento dell’acquisto di titoli di trasporto non fossero conformi ai requisiti del RGPD, la ricorrente nel procedimento principale, l’associazione Mousse (in prosieguo: la «Mousse»), ha presentato un reclamo dinanzi alla CNIL contro SNCF Connect. A sostegno di tale reclamo, la Mousse ha fatto valere che la raccolta dei dati di cui trattasi non era conforme al principio di liceità, sancito all’articolo 5, paragrafo 1, lettera a), di tale regolamento, in quanto non si basava su nessuno dei fondamenti previsti dall’articolo 6, paragrafo 1, di detto regolamento. Inoltre, una tale raccolta violerebbe il principio di minimizzazione dei dati e il principio di esattezza, sanciti, rispettivamente, dall’articolo 5, paragrafo 1, lettere c) e d), dello stesso regolamento, nonché gli obblighi di trasparenza e di informazione derivanti, in particolare, dall’articolo 13 dello stesso. In tale contesto, la Mousse ha sostenuto che SNCF Connect non dovrebbe raccogliere tali dati o che dovrebbe, quanto meno, proporre ai suoi clienti opzioni aggiuntive, quali l’indicazione «Neutro» o «Altro».
14. Con decisione del 23 marzo 2021, la CNIL ha proceduto all’archiviazione del reclamo di cui era stata investita, ritenendo che i fatti contestati a SNCF Connect non costituissero una violazione delle disposizioni pertinenti del RGPD. La CNIL ha constatato che il trattamento dei dati era lecito, ai sensi dell’articolo 6, paragrafo 1, lettera b), di tale regolamento, in quanto necessario per l’esecuzione del contratto di fornitura di servizi di trasporto. Inoltre, la CNIL ha rilevato che, tenuto conto delle sue finalità, un tale trattamento era conforme al principio di minimizzazione dei dati, poiché rivolgersi ai clienti utilizzando il loro appellativo corrispondeva agli usi in materia di comunicazioni civili, commerciali e amministrative.
15. Il 21 maggio 2021, la Mousse ha proposto un ricorso di annullamento della decisione della CNIL del 23 marzo 2021 dinanzi al Conseil d’Etat (Consiglio di Stato, Francia). Nel suo atto introduttivo, la Mousse sostiene in particolare che l’obbligo di optare per l’indicazione «Signore» o «Signora» al momento dell’acquisto online non è conforme al principio di liceità né al principio di minimizzazione dei dati, enunciati rispettivamente all’articolo 5, paragrafo 1, lettere a) e c), del RGPD, in quanto tale indicazione non sarebbe necessaria all’esecuzione del contratto o per il perseguimento di legittimi interessi di SNCF Connect. La circostanza che detta indicazione sia utilizzata nella corrispondenza commerciale non è sufficiente a rendere necessaria la raccolta di tali dati. Infine, un tale obbligo potrebbe violare il diritto di viaggiare senza comunicare il proprio appellativo, il diritto al rispetto della vita privata nonché la libertà di definire liberamente la propria espressione di genere. In particolare, nel caso di cittadini di paesi il cui stato civile ammette il «genere neutro», tale indicazione non corrisponderebbe alla realtà e potrebbe quindi risultare contraria al principio di esattezza, sancito dall’articolo 5, paragrafo 1, lettera d), di tale regolamento, violando la loro libertà di circolazione, garantita dal diritto dell’Unione.
16. La CNIL conclude che il ricorso dev’essere respinto e sostiene che il trattamento dei dati relativi all’appellativo potrebbe anche essere qualificato come «necessario» per il perseguimento del legittimo interesse di SNCF Connect, ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD, e che gli interessati potrebbero – in funzione della loro situazione particolare – far valere il diritto di opposizione garantito dall’articolo 21 di tale regolamento.
17. Il giudice del rinvio s’interroga, da un lato, sulla questione se, per valutare il carattere adeguato, pertinente e limitato a quanto necessario per la raccolta di dati, nonché la necessità del loro trattamento, si possa tenere conto degli usi comunemente ammessi nelle comunicazioni civili, commerciali e amministrative, di modo che la raccolta dei dati relativi agli appellativi dei clienti, limitati ai termini «Signore» o «Signora», potrebbe essere qualificata come «lecita e conforme» al principio di minimizzazione dei dati. Tale giudice s’interroga, dall’altro lato, sulla questione se, per valutare la necessità della raccolta obbligatoria e del successivo trattamento di dati relativi all’appellativo dei clienti, e allorché taluni di essi ritengono di non rientrare in nessuno dei due appellativi, si debba tenere conto del fatto che tali clienti potrebbero, dopo aver fornito tali dati al titolare del trattamento al fine di beneficiare del servizio proposto, esercitare il loro diritto di opposizione all’utilizzo di tali dati, facendo valere la loro situazione particolare, ai sensi dell’articolo 21 del RGPD.
18. In tale contesto, il Conseil d’État (Consiglio di Stato) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se, per valutare il carattere adeguato, pertinente e limitato a quanto necessario per la raccolta di dati, ai sensi dell’articolo 5, paragrafo 1, lettera c), del RGPD, nonché la necessità del loro trattamento, ai sensi dell’articolo 6, paragrafo 1, lettere b) e f), [di tale regolamento], si possa tenere conto degli usi comunemente ammessi in materia di comunicazioni civili, commerciali e amministrative, di modo che la raccolta dei dati relativi agli appellativi dei clienti, limitati ai termini “Signore” o “Signora”, possa essere considerata necessaria, senza che a ciò osti al principio di minimizzazione dei dati.
2) Se, per valutare la necessità della raccolta obbligatoria e del trattamento dei dati relativi all’appellativo dei clienti, e allorché taluni clienti ritengono di non rientrare in nessuno dei due appellativi e che la raccolta di tale dato non sia pertinente per quanto li riguarda, si debba tenere conto del fatto che essi potrebbero, dopo aver fornito tale dato al titolare del trattamento al fine di beneficiare del servizio proposto, esercitare il loro diritto di opposizione al suo utilizzo e alla sua conservazione facendo valere la loro situazione particolare, in applicazione dell’articolo 21 del RGPD».
19. La Mousse, SNCF Connect, il governo francese nonché la Commissione europea hanno presentato osservazioni scritte. Le stesse parti hanno partecipato all’udienza tenutasi il 29 aprile 2024.
IV. Analisi
A. Sulla prima questione pregiudiziale
20. Con la sua prima questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se l’articolo 5, paragrafo 1, lettera c), e l’articolo 6, paragrafo 1, lettere b) e f), del RGPD debbano essere interpretati nel senso che il trattamento dei dati personali relativi all’appellativo dei clienti di un’impresa di trasporti debba essere considerato necessario all’esecuzione di un contratto o di misure precontrattuali, o necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, qualora tale trattamento sia volto a consentire una comunicazione commerciale personalizzata nel rispetto di usi comunemente ammessi in materia di comunicazioni commerciali.
21. Devo, innanzitutto, procedere con due osservazioni preliminari al riguardo.
22. Da un lato, rilevo che le parti concordano e che non vi è alcun dubbio sul fatto che i dati relativi all’appellativo dei clienti di un’impresa di trasporti costituiscano dati personali, ai sensi dell’articolo 4, punto 1, del RGPD, e che, inoltre, la loro raccolta e la loro registrazione da parte di SNCF Connect debbano essere considerate come un trattamento, ai sensi dell’articolo 4, punto 2, di tale regolamento, cosicché occorre esaminarli alla luce delle disposizioni di detto regolamento.
23. Dall’altro lato, SNCF Connect e il governo francese difendono l’idea che una risposta negativa alla prima questione pregiudiziale porterebbe all’applicazione del RGPD in un contesto ad esso estraneo, in quanto, adottando tale regolamento, il legislatore non avrebbe inteso disciplinare gli usi in materia di comunicazione o la questione di genere. Ancorché io riconosca di buon grado, in linea con l’avvocato generale Bobek, che le norme in materia di tutela della vita privata possono essere talvolta «applicate a circostanze alquanto sorprendenti» (4), mi sembra tuttavia che la presente situazione non sia una di queste. Il fatto che si tratti dei dati relativi all’identità civile e che traspariscano, quindi, sotto traccia, i dibattiti esistenti negli ordinamenti giuridici nazionali in merito alla questione della binarietà di genere, non può condurre ad oscurare il fatto che, nel caso di specie, ciò che è in discussione è il trattamento automatico dei dati personali dei suoi clienti da parte di una società di trasporti, il quale non solo rientra obiettivamente nell’ambito di applicazione del RGPD, ma costituisce anche un’operazione di trattamento di dati che il legislatore dell’Unione intendeva disciplinare (5).
24. Inizierò quindi la mia analisi della prima questione pregiudiziale con alcune osservazioni di carattere generale sul requisito della liceità del trattamento dei dati, cui sono soggetti i titolari del trattamento ai sensi del RGPD, prima di stabilire se, alla luce dei principi enunciati, tale requisito debba essere giudicato come soddisfatto in relazione al trattamento di dati relativi all’appellativo dei clienti di un’impresa di trasporti allo scopo di comunicare con tali clienti ricorrendo ad usi comunemente ammessi in materia di comunicazioni commerciali.
1. Sulla liceità del trattamento di dati personali
25. L’articolo 5 del RGPD stabilisce una serie di principi relativi al trattamento dei dati personali. In particolare, ai sensi di tale disposizione, dati del genere «sono trattati in modo lecito» (6) e «sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (7). In altri termini, tutti i trattamenti di dati devono rispettare, in particolare, il principio di liceità e il principio di minimizzazione dei dati.
26. L’articolo 6 del RGPD precisa la portata del principio di liceità del trattamento dei dati. Nella misura in cui esso consente una limitazione del diritto alla protezione dei dati personali (8), l’articolo 6, paragrafo 1, di tale regolamento soddisfa le condizioni enunciate all’articolo 52, paragrafo 1, della Carta: la limitazione in questione è prevista dalla legge e rispetta il contenuto essenziale di tale diritto. Inoltre, tale limitazione è necessaria e risponde a una finalità di interesse generale riconosciuta dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui (9).
27. Anche il legislatore ha previsto sei motivi di liceità del trattamento dei dati, esplicitando gli obiettivi di interesse generale e i diritti e le libertà che richiedono una tutela idonea a giustificare una limitazione del diritto alla protezione dei dati personali. L’articolo 6, paragrafo 1, del RGPD prevede quindi «un elenco esaustivo e tassativo dei casi nei quali un trattamento dei dati personali può essere considerato lecito» (10).
28. L’articolo 6, paragrafo 1, del RGPD non stabilisce una rigida gerarchia (11) tra i motivi per cui il trattamento di dati dev’essere considerato lecito. La Corte ha quindi specificato, nella sua giurisprudenza, il rapporto tra questi ultimi.
29. Da un lato, essa ha ricordato che, ai sensi dell’articolo 6, paragrafo 1, lettera a), del RGPD, «il trattamento di dati personali è lecito se, e nella misura in cui, l’interessato vi ha acconsentito per una o più finalità specifiche». La Corte ha aggiunto che, «[i]n mancanza di un siffatto consenso, (...) un trattamento di questo tipo è nondimeno giustificato qualora soddisfi uno dei requisiti di necessità menzionati all’articolo 6, paragrafo 1, (…) lettere da b) ad f), di detto regolamento» (12). Essa ha inoltre dichiarato che «nella misura in cui consentono di rendere lecito un trattamento di dati personali effettuato in assenza del consenso dell’interessato, le giustificazioni [in questione] devono essere interpretate restrittivamente» (13). I motivi del trattamento dei dati personali previsti all’articolo 6, paragrafo 1, di detto regolamento sono pertanto equivalenti e nessuno dev’essere considerato sussidiario rispetto a un altro.
30. Dall’altro lato, la Corte ha specificato il carattere non cumulativo delle giustificazioni previste dall’articolo 6, paragrafo 1, del RGPD. Essa ha quindi indicato che «qualora si possa constatare che un trattamento di dati personali è necessario alla luce di una delle giustificazioni previste all’articolo 6, paragrafo 1, (…) lettere da b) a f), del RGPD, non occorre stabilire se tale trattamento rientri anche in un’altra di tali giustificazioni» (14). In altri termini, come avevo già evocato (15), il trattamento di dati personali è lecito se giustificato sulla base di un unico motivo, senza che un motivo possa essere considerato sussidiario rispetto a un altro.
31. Tuttavia, il principio di liceità dettagliato all’articolo 6, paragrafo 1, del RGPD non può essere analizzato isolatamente. La Corte ha infatti costantemente dichiarato che tale condizione «deve essere esaminata unitamente al principio cosiddetto [di] “minimizzazione dei dati” sancito all’articolo 5, paragrafo 1, lettera c) [di tale regolamento]» (16). Secondo la giurisprudenza della Corte, e come ho già sottolineato (17), tale principio è espressione del principio di proporzionalità (18), che richiede, come sostiene il governo francese nelle sue osservazioni scritte, che gli strumenti utilizzati siano idonei a realizzare l’obiettivo perseguito e non vadano oltre quanto è necessario per raggiungerlo (19).
32. In altri termini, il principio di minimizzazione dei dati presuppone la verifica che i dati trattati siano idonei al raggiungimento della finalità per la quale sono trattati – in base ai motivi di cui all’articolo 6, paragrafo 1, del RGPD – e che i dati siano trattati solo se la finalità del trattamento non può essere ragionevolmente raggiunta con altri strumenti. L’ambito dei dati così trattati, sia da un punto di vista quantitativo che sostanziale, non è più ampio di quanto sia necessario per raggiungere tale finalità (20).
33. A tal proposito, formulerò un’ulteriore osservazione. Rilevo che la Corte ha interpretato il principio di minimizzazione dei dati in combinato disposto con il principio di liceità del trattamento solo in situazioni in cui il trattamento in questione era basato su uno dei motivi previsti all’articolo 6, paragrafo 1, lettere da b) a f), del RGPD. In altri termini, la Corte non ha chiarito se il principio di minimizzazione dei dati sia applicabile anche nel caso in cui l’interessato abbia espresso il suo consenso al trattamento dei suoi dati personali. Invero, si potrebbe difendere l’idea che, nella misura in cui la persona vi acconsenta, il titolare del trattamento possa procedere al trattamento di qualsiasi dato, senza che il principio di minimizzazione vi osti.
34. Tuttavia, una simile interpretazione non mi sembra compatibile né con l’obiettivo del RGPD di garantire un elevato livello di protezione delle persone fisiche relativamente al trattamento dei loro dati personali, né con la formulazione delle disposizioni di cui trattasi.
35. Infatti, osservo che l’articolo 6, paragrafo 1, lettera a), del RGPD prevede la liceità del trattamento a condizione che l’interessato abbia «espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità» (21). A tal proposito, evidenzio che per consenso si intende «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile» (22). In altri termini, non può trattarsi di un consenso generico al trattamento di tutti i dati. Inoltre, la finalità per la quale viene dato il consenso al trattamento dei dati deve essere comunicata all’interessato. Quanto all’articolo 5, paragrafo 1, lettera c), di tale regolamento, esso prevede che i dati trattati siano «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (23). In tali condizioni, mi sembra che il principio di minimizzazione dei dati si applichi anche nell’ipotesi in cui il trattamento di tali dati avvenga con il consenso dell’interessato e porti a verificare che i dati di cui trattasi si limitano effettivamente a quanto necessario per raggiungere la specifica finalità del trattamento.
36. È alla luce di tali considerazioni che occorre procedere all’esame del trattamento dei dati relativi all’appellativo dei suoi clienti da parte di SNCF Connect alla luce dell’articolo 6, paragrafo 1, lettere b) e f), del RGPD, avendo precisato che il giudice del rinvio si riferisce esclusivamente a tali due finalità del trattamento.
2. Sull’articolo 6, paragrafo 1, lettera b), del RGPD: la necessità del trattamento all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso
37. L’articolo 6, paragrafo 1, lettera b), del RGPD prevede che un trattamento di dati personali è lecito se è «necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso».
38. Nella sentenza Meta Platforms e a., la Corte ha precisato la portata di tale disposizione. Essa ha infatti dichiarato che «affinché un trattamento di dati personali sia considerato necessario all’esecuzione di un contratto, ai sensi di tale disposizione, esso deve essere oggettivamente indispensabile per realizzare una finalità che è parte integrante della prestazione contrattuale destinata all’interessato. Il responsabile del trattamento deve, quindi, essere in grado di dimostrare in che modo l’oggetto principale del contratto non potrebbe essere conseguito in assenza del trattamento di cui è causa» (24).
39. Le parti concordano sulla definizione dell’oggetto principale del contratto come la fornitura di un titolo di trasporto e, in ultima analisi, il trasporto dei clienti per ferrovia. Occorre quindi verificare, da un lato, se i dati del cliente relativi all’appellativo siano trattati per conseguire una finalità che è parte integrante del servizio di trasporto e, dall’altro lato, se tale trattamento sia oggettivamente essenziale a tal fine.
a) Identificazione della finalità del trattamento
40. SNCF Connect e il governo francese sostengono che l’esecuzione del contratto di trasporto presuppone la comunicazione con il cliente, sia al momento della prenotazione che durante e dopo il viaggio di cui trattasi, e implica la conoscenza dell’appellativo di tale cliente per comunicare con esso in modo personalizzato e secondo usi comunemente ammessi in materia di comunicazioni commerciali.
41. SNCF Connect aggiunge che è importante, ai fini dell’esecuzione del contratto di trasporto, conoscere il sesso dell’interessato per poter adattare il servizio in casi particolari, quali l’assistenza alle persone a mobilità ridotta o l’accesso a carrozze riservate alle donne sui treni notturni. Al riguardo, osservo che un tale obiettivo non è strettamente oggetto della prima questione pregiudiziale, così come formulata dal giudice del rinvio, che fa espressamente riferimento al rincorso a usi comunemente ammessi in materia di comunicazioni commerciali. Tuttavia, poiché il giudice del rinvio interroga, in linea più generale, la Corte sulla raccolta dei dati relativi all’appellativo alla luce dei principi di minimizzazione dei dati e di liceità del trattamento, procederò comunque all’esame di un tale argomento.
42. Per quanto riguarda la finalità di comunicazione con il cliente, ritengo che essa debba essere considerata parte integrante del contratto di trasporto. Infatti, un tale contratto presuppone la fornitura di un titolo di trasporto e, quindi, un contatto con il cliente al fine di trasmetterglielo. La necessità di comunicare con il cliente mi sembra, inoltre, perdurare durante il trasporto, in particolare per avvertirlo di qualsiasi incidente che possa avere un impatto sul suo viaggio, e dopo il trasporto, in particolare in caso di scambi con il servizio clienti riguardo a tale viaggio.
43. A tal proposito, devo precisare che occorre respingere l’argomento formulato dal governo francese, secondo cui la finalità del trattamento non consiste solo nella comunicazione con il cliente, ma, ancor più precisamente, nella comunicazione con il cliente secondo gli usi in materia di comunicazioni commerciali. Da un lato, una finalità così definita non mi sembra parte integrante della fornitura di un servizio di trasporto: nulla indica che esso non possa essere fornito in assenza di una comunicazione conforme agli usi comunemente ammessi in materia di comunicazioni commerciali. Dall’altro lato, tale argomento si basa su un ragionamento circolare. La finalità del trattamento dei dati così definita – comunicare secondo gli usi comunemente ammessi in materia di comunicazioni commerciali – si confonde infatti con i mezzi utilizzati per raggiungere tale finalità – il ricorso ad usi comunemente ammessi in materia di comunicazioni commerciali.
44. Per quanto riguarda l’adattamento del servizio di trasporto a casi specifici, quali menzionati da SNCF Connect, trovo parimenti difficilmente contestabile che un tale adattamento sia parte integrante di tale servizio, in quanto specificamente diretto a garantire la sua fornitura.
45. Tuttavia, anche se le finalità del trattamento di cui trattasi sono, a mio avviso, inerenti alla fornitura di un servizio di trasporto e possono essere ammesse ai sensi dell’articolo 6, paragrafo 1, lettera b), del RGPD, occorre anche che il trattamento dei dati personali sia essenziale per il raggiungimento della finalità invocata, in modo tale che l’oggetto principale del contratto non potrebbe essere raggiunto senza tale trattamento e non esistono altre soluzioni praticabili e meno intrusive per raggiungere la stessa finalità.
46. Orbene, ritengo che il trattamento dei dati relativi all’appellativo vada oltre quanto necessario per permettere la corretta esecuzione del contratto.
b) La necessità del trattamento per il raggiungimento delle finalità individuate
47. In primo luogo, per quanto riguarda la finalità di comunicazione, la corretta esecuzione del contratto di trasporto non può dipendere dall’uso dell’appellativo nelle comunicazioni della società di trasporti con i suoi clienti, e ciò nonostante il titolare del trattamento intenda comunicare in modo personalizzato con i suoi clienti. Infatti, una società di trasporti può facilmente comunicare in modo personalizzato con i suoi clienti senza utilizzare il loro appellativo.
48. Inoltre, sebbene SNCF Connect abbia sottolineato in udienza la necessità di preservare un’immagine sul mercato utilizzando formule comunemente ammesse nelle comunicazioni commerciali, altre formule di rispetto verso il cliente e non basate sull’appellativo possono ugualmente consentire di raggiungere tale risultato.
49. Ciò è tanto più vero in quanto, come sostiene la Mousse e con riserva di verifica da parte del giudice del rinvio, SNCF Connect non ha fatto sistematicamente ricorso, in pratica, agli usi comunemente ammessi in materia di comunicazioni commerciali che implicherebbero la conoscenza dell’appellativo dei clienti, ma utilizza altre formule più generiche, quali «Grazie, buon viaggio» o «Buongiorno». La mancanza di un uso sistematico dell’appellativo dei clienti nelle comunicazioni di SNCF Connect mi sembra una chiara indicazione non solo del fatto che il trattamento di tali dati non è necessario per l’esecuzione del contratto in questione, ma anche, alla luce del principio di minimizzazione dei dati, del fatto che il trattamento dei dati è più ampio del necessario.
50. In quest’ottica, rilevo che, interrogata su tale punto in udienza, SNCF Connect ha convenuto che la trasmissione intenzionale di un appellativo diverso da quello reale dell’interessato non ha in realtà alcun impatto sulla fornitura del servizio di trasporto. In tali circostanze, è giocoforza constatare che l’oggetto principale del contratto può sempre realizzarsi senza trattare i dati di cui trattasi.
51. In secondo luogo, per quanto riguarda la finalità di adattare il servizio di trasporto, ancora una volta ritengo che il trattamento dei dati relativi all’appellativo vada al di là di quanto necessario per consentirne la realizzazione. Da un lato, mi sembra che i dati personali rilevanti per permettere un tale adattamento non siano i dati relativi all’appellativo, che, secondo il governo francese, non costituiscono un elemento dello stato civile delle persone, ma i dati relativi al sesso dei clienti, quale risulta nello stato civile delle persone. Dall’altro lato, lo stesso obiettivo potrebbe essere raggiunto attraverso la raccolta e il trattamento di tali dati non per tutti gli acquisti di titoli di trasporto, ma solo per i casi specifici in cui ciò è necessario, quali l’acquisto di un titolo di trasporto per viaggiare in una carrozza riservata alle donne sui treni notturni o una richiesta di assistenza per una persona a mobilità ridotta.
52. In tali circostanze, ritengo che l’articolo 6, paragrafo 1, lettera b), del RGPD, e l’articolo 5, paragrafo 1, lettera c), dello stesso, debba essere interpretato nel senso che il trattamento sistematico dei dati relativi all’appellativo non può essere considerato necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso, qualora tale trattamento miri a consentire una comunicazione commerciale personalizzata nel rispetto di usi comunemente ammessi in materia di comunicazioni commerciali o a garantire che il servizio di trasporto sia adattato in base al sesso dell’interessato.
3. Sull’articolo 6, paragrafo 1, lettera f), del RGPD: la necessità del trattamento per il perseguimento del legittimo interesse del titolare del trattamento o di terzi
53. L’articolo 6, paragrafo 1, lettera f), del RGPD prevede che il trattamento di dati personali è lecito se è «necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore».
54. Secondo la giurisprudenza costante della Corte, da tale disposizione si evince che devono essere soddisfatte tre condizioni cumulative affinché il trattamento dei dati personali da essa considerati sia lecito. In primo luogo, il titolare del trattamento o un terzo deve perseguire un legittimo interesse. In secondo luogo, il trattamento dei dati personali è necessario per la realizzazione del legittimo interesse. In terzo luogo, gli interessi o i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati non prevalgano sul legittimo interesse del titolare del trattamento o di terzi (25).
55. Per quanto riguarda la prima condizione, relativa al perseguimento di un legittimo interesse, la Corte ha sottolineato, nella sentenza Meta Platforms e a., che, «ai sensi dell’articolo 13, paragrafo 1, lettera d), del RGPD, spetta al titolare del trattamento, all’atto della raccolta presso l’interessato di dati che lo riguardano, indicargli i legittimi interessi perseguiti, qualora tale trattamento si basi sull’articolo 6, paragrafo 1, (…) lettera f), di tale regolamento» (26). Nella stessa sentenza, la Corte ha così dichiarato che quest’ultima disposizione dev’essere interpretata nel senso che un trattamento di dati personali «può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi di tale disposizione, solo a condizione che il suddetto operatore abbia indicato agli utenti presso i quali i dati sono stati raccolti un legittimo interesse perseguito dal loro trattamento» (27).
56. In altri termini, l’inosservanza dell’obbligo di informazione previsto dall’articolo 13, paragrafo 1, lettera d), del RGPD è sanzionata con l’illegittimità del trattamento dei dati personali di cui trattasi.
57. Orbene, come fa valere la Commissione, e con riserva di verifica da parte del giudice del rinvio, mi sembra che SNCF Connect non abbia rispettato tale obbligo.
58. Come sottolinea la Commissione, SNCF Connect indica, nella sua «informativa sulla riservatezza» disponibile sul suo sito Internet, come base giuridica per il trattamento dei dati relativi all’appellativo il «legittimo interesse». Formulerò due osservazioni al riguardo. Da un lato, la mera menzione del legittimo interesse, senza specificare con precisione quale sia tale legittimo interesse, non può soddisfare l’obbligo di informazione di cui all’articolo 13, paragrafo 1, lettera d), del RGPD, che impone al titolare del trattamento di indicare il legittimo interesse perseguito. Dall’altro lato, e in ogni caso, nemmeno la generica menzione di un legittimo interesse in un’«informativa sulla riservatezza», che è certamente disponibile sul sito Internet del titolare del trattamento, ma che il cliente deve ricercare di sua iniziativa, è conforme all’articolo 13, paragrafo 1, lettera d), di tale regolamento. Infatti, tale disposizione richiede che l’interessato sia informato del legittimo interesse perseguito al momento della raccolta dei dati, il che, a mio avviso, presuppone che una tale informazione sia portata direttamente a conoscenza del cliente nel momento in cui questi fornisce i dati in questione che lo riguardano.
59. Inoltre, interrogata in udienza sull’obbligo di informazione, SNCF Connect non è stata in grado di indicare che il legittimo interesse perseguito dal trattamento sia effettivamente comunicato ai suoi clienti al momento della raccolta dei dati relativi all’appellativo.
60. Pertanto, la prima condizione dell’articolo 6, paragrafo 1, lettera f), del RGPD, relativa all’esistenza di un legittimo interesse, interpretata alla luce dell’obbligo di comunicare tale interesse, previsto dall’articolo 13, paragrafo 1, lettera d), di tale regolamento, non è soddisfatta. Di conseguenza, il trattamento dei dati relativi all’appellativo in una tale situazione non può essere considerato lecito ai sensi di tale disposizione, senza che occorra esaminare se siano soddisfatte le altre due condizioni previste all’articolo 6, paragrafo 1, lettera f), di detto regolamento.
a) Conclusione sull’interpretazione dell’articolo 6, paragrafo 1, lettera f), del RGPD
61. Da quanto precede risulta che, a mio avviso, l’articolo 6, paragrafo 1, lettera f), del RGPD, e l’articolo 5, paragrafo 1, lettera c), dello stesso, devono essere interpretati nel senso che il trattamento dei dati relativi all’appellativo dei clienti di una società di trasporti non può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi di tale disposizione, qualora tale società non abbia indicato agli utenti presso i quali i dati sono stati raccolti un legittimo interesse perseguito dal loro trattamento.
b) Osservazioni aggiuntive
62. Per completezza, e nel caso in cui la Corte giunga alla conclusione che il legittimo interesse di cui trattasi è stato comunicato in conformità con l’articolo 13, paragrafo 1, lettera d), del RGPD, proseguirò comunque con l’analisi delle condizioni che devono essere soddisfatte affinché un trattamento di dati personali sia considerato lecito sulla base dell’articolo 6, paragrafo 1, lettera f), di tale regolamento.
63. Per quanto riguarda, in primo luogo, la condizione relativa all’esistenza di un legittimo interesse, SNCF Connect e il governo francese sostengono che il legittimo interesse perseguito sia la comunicazione con il cliente.
64. Rilevo che, per quanto riguarda la nozione di «legittimo interesse», la Corte ha dichiarato che, «in assenza di definizione di tale nozione da parte del RGPD, occorre sottolineare (…) che un’ampia gamma di interessi può, in linea di principio, essere considerata legittima» (28).
65. A tal proposito, ricordo che SNCF Connect è un’impresa che offre la vendita online dei titoli di trasporto per ferrovia. Come ho già ricordato (29), tale servizio presuppone un contatto con il cliente, quanto meno per trasmettergli il titolo di trasporto. Mi sembra quindi che la finalità di comunicare con il cliente possa costituire un legittimo interesse per tale impresa, ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD, cosicché la prima condizione, relativa all’esistenza di un tale legittimo interesse, dovrebbe, a mio avviso, essere considerata soddisfatta.
66. In secondo luogo, per quanto riguarda la condizione secondo cui il trattamento dei dati personali deve essere necessario per realizzare il legittimo interesse, essa non mi sembra soddisfatta. Come ho già dimostrato nell’ambito della mia analisi dell’articolo 6, paragrafo 1, lettera b), del RGPD, il trattamento dei dati relativi all’appellativo va al di là di quanto necessario per permettere di raggiungere la finalità di comunicare con il cliente, in quanto tale comunicazione può avvenire senza l’utilizzo di tali dati (30).
67. Per quanto riguarda, in terza e ultima istanza, la condizione secondo cui gli interessi o i diritti e le libertà fondamentali dell’interessato non devono prevalere sul legittimo interesse del titolare del trattamento o di terzi, evidenzio che la Corte ha dichiarato che «ciò implica una ponderazione dei diritti e degli interessi contrapposti che dipende, in linea di principio, dalle circostanze del caso concreto e che, di conseguenza, spetta al giudice del rinvio effettuare tenendo conto di tali circostanze specifiche» (31). Formulerò, tuttavia, alcune osservazioni al fine di guidare quest’ultimo nell’effettuare tale valutazione.
68. La Corte ha infatti dichiarato che «[n]ell’ambito di siffatta ponderazione dei contrapposti diritti e interessi in gioco, vale a dire quelli del titolare del trattamento, da un lato, e quelli dell’interessato, dall’altro, si deve segnatamente tener conto (…) delle ragionevoli aspettative dell’interessato, nonché della portata del trattamento in questione e dell’impatto di quest’ultimo su tale persona» (32).
69. Inoltre, il considerando 47 del RGPD afferma che «l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine».
70. A tal proposito, non vedo in che misura il cliente di un’impresa di trasporti avrebbe potuto ragionevolmente attendersi che i suoi dati relativi all’appellativo fossero trattati dalla stessa allo scopo di comunicare nell’ambito dell’acquisto di un titolo di trasporto.
71. In ogni caso, non ritengo che la mera esistenza di ragionevoli aspettative sia sufficiente a garantire che il legittimo interesse del titolare del trattamento prevalga sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato. Sebbene un tale elemento sia certamente rilevante nel contesto della ponderazione da effettuare, esso non può, per contro, portare sistematicamente alla conclusione che il legittimo interesse del titolare del trattamento prevalga, in particolare qualora il trattamento dei dati personali in questione possa violare un diritto o una libertà fondamentale dell’interessato, quali garantiti dalla Carta.
72. Orbene, come sostiene la Mousse, mi sembra che tale ipotesi ricorra nel caso di specie. Infatti, tale associazione fa valere l’esistenza di un rischio di discriminazione sulla base del genere a seguito del trattamento dei dati personali, in particolare nel caso di persone transgender o di persone con la cittadinanza di uno Stato che riconosce la neutralità di genere.
73. In tali circostanze, e fatte salve le verifiche da parte del giudice del rinvio, ritengo che il legittimo interesse a comunicare con il cliente non possa prevalere sugli interessi o sui diritti e le libertà fondamentali dell’interessato.
B. Sulla seconda questione pregiudiziale
74. Con la sua seconda questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, lettera f), del RGPD debba essere interpretato nel senso che, ai fini della valutazione della necessità di un trattamento di dati personali ai sensi di tale disposizione, occorre tenere conto dell’eventuale esistenza di un diritto di opposizione dell’interessato, ai sensi dell’articolo 21, paragrafo 1, di tale regolamento.
75. L’articolo 21, paragrafo 1, del RGPD prevede che l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), di tale regolamento, compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
76. Secondo costante giurisprudenza, al fine d’interpretare una disposizione del diritto dell’Unione si deve tener conto non solo dei suoi termini, ma anche del suo contesto e degli obiettivi perseguiti dalla normativa di cui fa parte (33).
77. Per quanto riguarda la formulazione dell’articolo 21, paragrafo 1, del RGPD, rilevo che il legislatore dell’Unione sottolinea che il diritto di opposizione riguarda il trattamento dei dati personali fondato, in particolare, sull’articolo 6, paragrafo 1, lettera f), di tale regolamento. In altri termini, come fanno valere la Mousse e la Commissione, il diritto di opposizione presuppone l’esistenza di un trattamento lecito, sulla base, in particolare, del legittimo interesse del titolare del trattamento. Tale diritto può quindi essere esercitato solo una volta che il trattamento lecito abbia avuto luogo, al fine di porvi termine.
78. Ciò è confermato, a mio avviso, dalla seconda parte dell’articolo 21, paragrafo 1, del RGPD, che prevede che, in caso di opposizione da parte dell’interessato ai sensi di tale disposizione, il titolare del trattamento si astiene dal trattare ulteriormente i dati in questione (34). Una tale formulazione sottintende chiaramente, a mio avviso, che il trattamento dei dati in questione è lecito in base alle condizioni di cui all’articolo 6, paragrafo 1, lettera f), di tale regolamento, ma che tali dati non possono più essere oggetto di un tale trattamento una volta presentata l’opposizione.
79. In altri termini, l’articolo 21, paragrafo 1, del RGPD assume rilievo solo una volta accertata la liceità del trattamento.
80. Pertanto, dalla formulazione dell’articolo 21, paragrafo 1, del RGPD risulta che l’esistenza di un diritto di opposizione non è in alcun modo rilevante ai fini della valutazione della necessità di un tale trattamento ai sensi dell’articolo 6, paragrafo 1, lettera f), di tale regolamento, in quanto l’attuazione dell’articolo 21, paragrafo 1, di detto regolamento presuppone che le condizioni di cui all’articolo 6, paragrafo 1, lettera f), dello stesso regolamento siano già soddisfatte.
81. Una tale interpretazione letterale dell’articolo 21, paragrafo 1, del RGPD è inoltre confermata dalla sua analisi alla luce del contesto e degli obiettivi di tale regolamento.
82. Per quanto riguarda l’interpretazione contestuale di tale disposizione, rilevo che i motivi su cui può fondarsi il trattamento di dati personali sono enunciati all’articolo 6 del RGPD, che fa riferimento al principio di liceità, all’interno del capo II di tale regolamento, relativo ai principi che regolano il trattamento dei dati. L’articolo 21 di detto regolamento, quanto ad esso, rientra nel capo III, relativo ai diritti dell’interessato. Inoltre, come ho già sottolineato, i motivi enunciati all’articolo 6 del medesimo regolamento sono, secondo una giurisprudenza costante, esaustivi (35). In tali circostanze, le due disposizioni in questione svolgono due funzioni diverse e non si può ritenere che l’articolo 21 del RGPD possa essere preso in considerazione in sede di esame della liceità del trattamento, che è disciplinato unicamente dall’articolo 6 di tale regolamento.
83. Per quanto riguarda l’interpretazione teleologica dell’articolo 6, paragrafo 1, lettera f), e dell’articolo 21 del RGPD, tenere conto dell’esistenza di un diritto di opposizione ai fini della valutazione della liceità di un trattamento di dati ai sensi dell’articolo 6 di tale regolamento equivarrebbe ad ammettere la liceità di un trattamento di dati unicamente in ragione della possibilità che l’interessato possa successivamente opporsi a tale trattamento. Ciò porterebbe quindi ad estendere i motivi di liceità dei trattamenti al di là dei soli casi previsti dall’articolo 6 di detto regolamento e a far dipendere il livello di protezione degli interessati dalla loro diligenza nell’opporsi al trattamento dei loro dati personali, senza la quale tale trattamento potrebbe essere considerato lecito. Una simile interpretazione mi sembra quindi che possa compromettere l’obiettivo di garantire un elevato livello di protezione delle persone fisiche relativamente al trattamento dei loro dati personali.
84. Di conseguenza, ritengo che occorra rispondere alla seconda questione pregiudiziale che l’articolo 6, paragrafo 1, lettera f), del RGPD dev’essere interpretato nel senso che esso osta a che, ai fini della valutazione della necessità di un trattamento di dati personali ai sensi di tale disposizione, si tenga conto dell’eventuale esistenza di un diritto di opposizione dell’interessato, ai sensi dell’articolo 21, paragrafo 1, di tale regolamento.
V. Conclusione
85. Alla luce di tutte le precedenti considerazioni, propongo di rispondere come segue alle questioni pregiudiziali sollevate dal Conseil d’État (Consiglio di Stato, Francia):
L’articolo 6, paragrafo 1, lettera b), e l’articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
devono essere interpretati nel senso che:
il trattamento sistematico dei dati relativi all’appellativo non può essere considerato necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso, qualora tale trattamento miri a consentire una comunicazione commerciale personalizzata nel rispetto di usi comunemente ammessi in materia di comunicazioni commerciali o a garantire che il servizio di trasporto sia adattato in base al sesso dell’interessato.
L’articolo 6, paragrafo 1, lettera f), e l’articolo 5, paragrafo 1, lettera c), del regolamento 2016/679
devono essere interpretati nel senso che:
il trattamento dei dati relativi all’appellativo dei clienti di una società di trasporti non può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi di tale disposizione, qualora tale società non abbia indicato agli utenti presso i quali i dati sono stati raccolti un legittimo interesse perseguito dal loro trattamento.
L’articolo 6, paragrafo 1, lettera f), del regolamento 2016/679
dev’essere interpretato nel senso che:
esso osta a che, ai fini della valutazione della necessità di un trattamento di dati personali ai sensi di tale disposizione, si tenga conto dell’eventuale esistenza di un diritto di opposizione dell’interessato, ai sensi dell’articolo 21, paragrafo 1, di tale regolamento.
1 Lingua originale: il francese.
2 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifica GU 2018, L 127, pag. 2).
3 JORF del 7 gennaio 1978, pag. 227, come modificata dall’ordinanza n. 2018-1125, del 12 dicembre 2018 (JORF n. 288, del 13 dicembre 2018).
4 Conclusioni dell’avvocato generale Bobek nella causa Rigas satiksme (C-13/16, EU:C:2017:43, paragrafo 93).
5 Per contro, nella causa che ha dato origine alla sentenza del 4 maggio 2017, Rigas satiksme (C-13/16, EU:C:2017:336), si tratta della questione della trasmissione a una persona fisica dei dati personali necessari per avviare un procedimento civile contro un’altra persona fisica ritenuta responsabile di un’infrazione amministrativa.
6 Articolo 5, paragrafo 1, lettera a), del RGPD.
7 Articolo 5, paragrafo 1, lettera c), del RGPD.
8 Quale sancito dall’articolo 8, paragrafo 1, della Carta e dall’articolo 16, paragrafo 1, TFUE.
9 Sul rapporto tra l’articolo 6, paragrafo 1, del RGPD e l’articolo 52, paragrafo 1, della Carta, v. Kotschy, W., «Article 6. Lawfulness of Processing», The EU General Data Protection Regulation (GDPR). A Commentary, Kuner, C., Bygrave, L. A., e Docksey, C. (a cura di), Oxford University Press, Oxford, 2020, pagg. 325 e 326.
10 Sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (C-439/19, EU:C:2021:504, punto 99), e del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C-252/21; in prosieguo: la «sentenza Meta Platforms e a.», EU:C:2023:537, punto 90).
11 V. Kotschy, W., «Article 6. Lawfulness of Processing», The EU General Data Protection Regulation (GDPR). A Commentary, op. cit., pag. 329.
12 Sentenza Meta Platforms e a. (punti 91 e 92).
13 Sentenza Meta Platforms e a. (punto 93).
14 Sentenza Meta Platforms e a. (punto 94).
15 V. mie conclusioni nella causa Latvijas Republikas Saeima (Punti di penalità) (C-439/19, EU:C:2020:1054, paragrafo 93).
16 Sentenze Meta Platforms e a. (punto 109), e del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) (C-26/22 e C-64/22, EU:C:2023:958, punto 78).
17 V. mie conclusioni nella causa Latvijas Republikas Saeima (Punti di penalità) (C-439/19, EU:C:2020:1054, paragrafo 109).
18 Sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (C-439/19, EU:C:2021:504, punto 98). Su tale punto, v., inoltre, Lubasz, D. in Lubasz, D. (a cura di), Ochrona danych osobowych, Wolters Kluwer, Varsavia, 2020, punto 202.
19 V., a titolo di esempio, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert (C-92/09 e C-93/09, EU:C:2010:662, punto 74 e giurisprudenza citata).
20 V. de Terwangne, C., «Article 5. Principles Relating to Processing of Personal Data», The EU General Data Protection Regulation (GDPR). A Commentary, op. cit., pag. 317.
21 Corsivo mio.
22 Articolo 4, punto 11, del RGPD.
23 Corsivo mio.
24 Sentenza Meta Platforms e a. (punto 98). Corsivo mio.
25 V. sentenza del 17 giugno 2021, M.I.C.M. (C-597/19, EU:C:2021:492, punto 106), e sentenza Meta Platforms e a. (punto 106).
26 Sentenza Meta Platforms e a. (punto 107).
27 Sentenza Meta Platforms e a. (punto 126 e dispositivo).
28 Sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) (C-26/22 e C-64/22, EU:C:2023:958, punto 76).
29 V. paragrafo 42 delle presenti conclusioni.
30 V. paragrafi 47 e seguenti delle presenti conclusioni.
31 Sentenza Meta Platforms e a. (punto 110).
32 Sentenza Meta Platforms e a. (punto 116).
33 Sentenze dell’11 maggio 2017, Krijgsman (C-302/16, EU:C:2017:359, punto 24); del 29 settembre 2022, LOT (Compensazione pecuniaria imposta dall’autorità amministrativa) (C-597/20, EU:C:2022:735, punto 21), e del 29 febbraio 2024, Eventmedia Soluciones (C-11/23, EU:C:2024:194, punto 24).
34 V. versioni in lingua tedesca [«Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr (...)»], in lingua inglese [«The controller shall no longer process the personal data (...)»] o anche in polacco [«Administratorowi nie wolno juz przetwarzac tych danych osobowych (...)»]. Corsivo mio.
35 V. paragrafo 27 delle presenti conclusioni. V., inoltre, sentenza Meta Platforms e a. (punto 90). |