Signore e Signori, si scende!

Una compagnia ferroviaria non può pretendere che i viaggiatori, per fare un biglietto o creare un account, scelgano se essere identificati come Signore o Signora, non trattandosi di informazioni effettivamente necessarie per dare esecuzione al contratto di viaggio.

È la sintesi della decisione con cui la Corte di Giustizia dell’Unione europea ha appena risolto la questione pregiudiziale rimessale dal Consiglio di Stato francese, dopo che la CNIL, l’omologa del Garante per la privacy italiano in Francia, aveva respinto la segnalazione di Mousse, un’associazione che contestava la circostanza per cui le ferrovie francesi esigessero questo genere di dati dai viaggiatori, al non dichiarato fine di inviare loro comunicazioni personalizzate al femminile o al maschile.

Quando accade, il principio di minimizzazione dei dati risulta violato. Questa è la convinzione dei giudici della Corte di Giustizia dell’Unione europea.

La decisione, prima di toccare i principi, sembra destinata a innescare un piccolo terremoto nei moduli utilizzati online e offline in tutta Europa per milioni di finalità diverse, poiché la prassi seguita dalla compagnia ferroviaria francese è straordinariamente diffusa.

Ora, chiunque abbia finora reso obbligatoria la compilazione del campo Signore o Signora dovrà rivedere la propria modulistica, rischiando altrimenti di essere richiamato o sanzionato per aver violato le regole europee sulla privacy.

“La solita privacy rompiscatole” dirà qualcuno, o forse molti lo hanno già detto. Eppure, dietro questa specifica questione – su cui, come sempre, c’è spazio per opinioni diverse, tanto che la Corte di Giustizia dell’Unione europea si è espressa in termini più severi rispetto a quelli del Garante francese – si cela una questione più generale e straordinariamente importante.

Non c’è dubbio che, soprattutto online, da tempo si chieda alle persone una quantità di dati personali ben superiore a quella necessaria per accedere a determinati servizi, dove il fornitore potrebbe – e forse dovrebbe – accontentarsi del pagamento.

Gli alibi per queste richieste di dati non strettamente necessari sono vari: dalla cortesia commerciale alla volontà di offrire agli utenti la possibilità di recuperare l’account in caso di smarrimento della password. Tuttavia, la verità è che il valore dei dati personali sul mercato supera spesso il corrispettivo economico del servizio, e pochi sono disposti a rinunciarvi: perché accontentarsi di essere pagati una volta quando si può essere pagati due volte, in denaro e in dati personali?

Così capita di dover fornire l’indirizzo di residenza per attivare un servizio digitale che non avrà mai una dimensione fisica, o la data di nascita per servizi dove è del tutto irrilevante.

Questo permette l’accumulo e la stratificazione di enormi quantità di dati che potremmo tranquillamente tenere per noi, senza rinunciare all’accesso al servizio desiderato.

È così da molto, moltissimo tempo. Ora, però, i giudici della Corte mettono nero su bianco che “necessario” non significa “utile” o “opportuno”, ma “indispensabile per l’esecuzione di un contratto”. Rivolgersi a chi ha appena comprato un biglietto ferroviario con “Gentile Signora” o “Egregio Signore” può essere cortese, ma non è davvero necessario per permettere al viaggiatore di salire sul treno.

Forse il modo giusto di leggere la decisione dei giudici di Lussemburgo è questo: un invito a riflettere sul principio di minimizzazione dei dati personali. In un’epoca in cui è evidente – o dovrebbe esserlo – che meno privacy significa meno libertà, non c’è motivo di continuare a sprecare dati quando non è davvero necessario.

Buongiorno, buona settimana e, naturalmente, good morning privacy!