Il principio di minimizzazione nel trattamento dei dati personali analizzato dalla Corte di Giustizia UE. Causa C-394/23

La Corte di Giustizia UE con una propria decisione del 9.1.25 ha fatto il punto sull’applicazione del principio di minimizzazione[1] nel trattamento dei dati personali.

Il principio di minimizzazione

Su questo specifico principio sancito dal legislatore comunitario attraverso l’art. 5 e l’art. 25 del Regolamento UE 2016/679 (GDPR) ha avuto modo di esprimersi anche l’European Data Protection Board (EDPB)[2], che al paragrafo rubricato “Obbligo del titolare del trattamento di attuare misure tecniche e organizzative adeguate e le necessarie garanzie nel trattamento”, ha disposto quanto segue: “Per garanzia e misura tecnica od organizzativa s’intende tutto ciò che è compreso fra l’uso di soluzioni tecniche avanzate e la formazione di base del personale. Ne sono esempi idonei (omissis) l’obbligo contrattuale per i responsabili del trattamento di attuare prassi specifiche di minimizzazione dei dati.”

L’articolo 25, paragrafo 2, indica il perimetro dell’obbligo di minimizzazione dei dati, affermando che tale obbligo vale per la quantità di dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità dei dati.

In merito alla quantità dei dati personali raccolti, i titolari dovrebbero tenere conto sia del volume dei dati personali sia delle tipologie, delle categorie e del livello di dettaglio dei dati personali richiesti per le finalità del trattamento. Le loro scelte nella progettazione dovrebbero tenere conto dei maggiori rischi per i principi di integrità e riservatezza, di minimizzazione dei dati e della limitazione della conservazione connessi alla raccolta di grandi quantità di dati personali dettagliati, rispetto ai minori rischi associati alla raccolta di quantità minori di dati e/o di informazioni meno dettagliate sugli interessati. In ogni caso, le impostazioni predefinite non devono includere la raccolta di dati personali che non sono necessari per la specifica finalità del trattamento. In altre parole, se determinate categorie di dati personali sono superflue o se non sono necessari dati particolareggiati, perché sono sufficienti dati meno granulari, allora quelli in eccesso non sono raccolti.

Solo i dati personali che sono adeguati, pertinenti e limitati a quanto necessario per la finalità sono sottoposti a trattamento. Di conseguenza, il titolare deve predeterminare quali caratteristiche e parametri dei sistemi di trattamento nonché quali funzioni di supporto siano consentiti. La minimizzazione dei dati realizza e rende operativo il principio di necessità. Nel proseguire il trattamento, il titolare dovrebbe valutare periodicamente se i dati personali trattati siano ancora adeguati, pertinenti e necessari o se occorra cancellarli o renderli anonimi.

La minimizzazione può anche riferirsi al grado di identificazione. Se la finalità del trattamento non richiede che i set di dati definitivi si riferiscano a una persona fisica identificata o identificabile (come nelle statistiche), ma lo richiede il trattamento iniziale (ad es. prima dell’aggregazione dei dati), il titolare cancella o rende anonimi i dati personali non appena non sia più necessaria l’identificazione. Oppure, se l’identificazione continua a essere necessaria per le altre attività di trattamento, i dati personali dovrebbero essere pseudonimizzati al fine di ridurre i rischi per i diritti degli interessati.

Il caso

Una compagnia ferroviaria francese era solita richiedere ai clienti, all’atto dell’acquisto di un biglietto di trasporto, di fornire informazioni sulla identità di genere.

La pratica dell’impresa ferroviaria francese SNCF Connect consisteva nel richiedere sistematicamente ai suoi clienti di indicare il loro titolo (“Monsieur” o “Madame”) (“Mr” o “Ms”) quando si acquistano i biglietti di trasporto online.

La Associazione Mousse ha portato la questione all’attenzione della Autorità transalpina per la protezione dei dati personali (CNIL).

La decisione della CNIL

L’associazione Mousse ha contestato, davanti alla CNIL, la pratica dell’impresa ferroviaria francese SNCF Connect.

Tale associazione riteneva che tale obbligo violasse il regolamento generale sulla protezione dei dati, in particolare alla luce del principio di minimizzazione dei dati, poiché un’indicazione del titolo, che corrisponde a un’identità di genere, non sembra essere necessario per l’acquisto del biglietto del trasporto ferroviario.

Nel 2021, la CNIL ha deciso di respingere tale reclamo, ritenendo che tale pratica non costituisse una violazione del GDPR.

La sentenza della Corte di Giustizia UE

Per cui l’associazione Mousse si è rivolta alla Corte di Giustizia UE, la quale ha stabilito che l’identità di genere non è un dato necessario per l’acquisto di un biglietto di trasporto. La raccolta di dati relativi ai titoli dei clienti non è oggettivamente indispensabile, in particolare quando è finalizzata a personalizzare la comunicazione commerciale.

(i) necessario per l’esecuzione di un contratto per di cui l’interessato è parte, o

(ii) necessario per il perseguimento del legittimo interesse del titolare o di terzi.

Per quanto riguarda la prima di queste due giustificazioni, la Corte ricorda che, affinché il trattamento dei dati possa essere considerato necessario all’esecuzione di un contratto, tale trattamento deve essere oggettivamente indispensabile per consentire la corretta esecuzione di tale contratto.

In tale contesto, la Corte ritiene che la personalizzazione della comunicazione commerciale basata sulla presunta identità di genere in base al titolo del cliente non appare oggettivamente indispensabile per consentire la corretta esecuzione di un contratto di trasporto ferroviario.

Quando si rivolge a un cliente, l’impresa ferroviaria potrebbe scegliere di comunicare sulla base di espressioni generiche e inclusive, che non hanno alcuna correlazione con la presunta identità di genere di tali clienti. Sarebbe una soluzione praticabile e meno invadente.

Quanto alla seconda giustificazione, la Corte, pur richiamandosi alla propria costante giurisprudenza in materia, precisa che il trattamento dei dati relativi alla qualifica dei clienti di un’impresa di trasporto, il cui scopo è personalizzare la comunicazione commerciale in base alla loro identità di genere, non può essere considerato necessario:

i) qualora tali clienti non fossero informati dell’interesse legittimo perseguito quando sono stati raccolti i dati;

(ii) quando il trattamento non viene effettuato solo nella misura strettamente necessaria per il conseguimento di tale legittimo interesse; o

iii) quando, alla luce di tutte le circostanze rilevanti, le libertà fondamentali e i diritti di tali clienti possono prevalere su tale interesse legittimo, in particolare quando esiste un rischio di discriminazione sulla base dell’identità di genere.

Prescrizioni per il titolare del trattamento

evitare il trattamento dei dati – evitare del tutto il trattamento dei dati personali quando ciò sia possibile per la finalità pertinente;
limitazione – la quantità di dati personali raccolti va limitata a ciò che è necessario per la specifica finalità;
limitazione dell’accesso – definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno di accedere ai dati personali per esercitare le proprie funzioni, e limitare l’accesso di conseguenza;
pertinenza – i dati personali devono essere pertinenti al trattamento in questione e il titolare deve essere in grado di dimostrare tale pertinenza;
necessità – ogni categoria di dati personali deve essere necessaria per le finalità specificate e dovrebbe essere trattata soltanto se non è possibile conseguire la specifica finalità con altri mezzi;
aggregazione – quando possibile, utilizzare dati aggregati;
pseudonimizzazione – pseudonimizzare i dati personali quando non è più necessario disporre di dati personali identificabili e memorizzare le chiavi di identificazione separatamente;
anonimizzazione e cancellazione – se i dati personali non sono necessari per la specifica finalità (o non lo sono più), devono essere resi anonimi o cancellati;
flusso dei dati – il flusso dei dati deve essere efficiente così da non creare copie ulteriori rispetto a quanto necessario;
«stato dell’arte» – il titolare dovrebbe applicare tecnologie aggiornate e adeguate per evitare o minimizzare il trattamento dei dati

[1] Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

(omissis)

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

[2] Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita Versione 2.0 Adottate il 20 ottobre 2020, che richiamano un passaggio a cura del Gruppo di lavoro “Articolo 29”, «Statement on the role of a risk-based approach in data protection legal frameworks», WP 218, 30 maggio 2014, pag. 3, che di seguito si riporta «I principi fondamentali applicabili ai titolari del trattamento (ossia legittimità, minimizzazione dei dati, limitazione delle finalità, trasparenza, integrità dei dati, esattezza dei dati) dovrebbero rimanere gli stessi indipendentemente dal trattamento e dai rischi per gli interessati. Tuttavia, la dovuta considerazione della natura e dell’ambito di tale trattamento è sempre stata parte integrante dell’applicazione di questi principi affinché siano intrinsecamente scalabili».

[3] Considerando 39. (omissis) I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Il principio di minimizzazione nel trattamento dei dati personali analizzato dalla Corte di Giustizia UE. Causa C-394/23 | Mousse

About Author / Davide De Luca

Gli obblighi del titolare del trattamento in merito alle attività che il DPO deve svolgere.

ENISA – RELAZIONE 2024 SULLO STATO DELLA SICUREZZA INFORMATICA NELL’UNIONE

Lascia un commento Annulla risposta