La identidad de género y el RGPD en el transporte ferroviario
El TJUE establece límites claros al tratamiento de datos personales en el transporte ferroviario
Contexto de la sentencia y el RGPD
El Tribunal de Justicia de la Unión Europea, en el asunto C-394/23, Mousse, ha dictaminado que la obligatoriedad de indicar un término de cortesía ("señor" o "señora") en la compra de billetes de transporte ferroviario no se ajusta al principio de minimización de datos del Reglamento General de Protección de Datos. Este principio, contenido en el artículo 5.1.c del RGPD, exige que los datos tratados sean pertinentes, adecuados y limitados a lo estrictamente necesario para los fines del tratamiento.
La práctica fue impugnada por la asociación Mousse ante la autoridad francesa de protección de datos, la CNIL, al considerar que obligar a los clientes a revelar información vinculada a su identidad de género vulnera sus derechos fundamentales. Sin embargo, la CNIL desestimó la reclamación, lo que motivó el recurso de Mousse ante el Conseil d’État.
Argumentos del TJUE
Principio de minimización de datos
Según el Tribunal, la personalización de la comunicación comercial mediante el uso de términos de cortesía basados en la identidad de género no es objetivamente indispensable para ejecutar un contrato de transporte ferroviario. Una comunicación genérica e inclusiva cumple adecuadamente este objetivo sin requerir datos sensibles o innecesarios.Límites al interés legítimo
El TJUE destacó que el tratamiento de datos personales debe respetar estrictos criterios para ser considerado lícito:- El interés legítimo debe ser comunicado al usuario en el momento de la recogida de los datos.
- El tratamiento no debe exceder lo estrictamente necesario para alcanzar dicho interés.
- Los derechos y libertades del interesado deben prevalecer cuando el tratamiento implique un riesgo, como la posible discriminación por motivos de género.
Alternativas viables y menos intrusivas
El Tribunal subrayó que la empresa ferroviaria tiene la posibilidad de utilizar fórmulas de cortesía genéricas o inclusivas, eliminando la necesidad de presunciones sobre la identidad de género de los clientes.
Implicaciones legales y comerciales
Las empresas deben revisar sus políticas de recogida de datos personales, asegurándose de que cumplen con las exigencias del RGPD y evitando tratamientos innecesarios o que puedan generar riesgos de discriminación.
El TJUE reafirma que la personalización comercial debe ajustarse a un marco legal que garantice la protección de los datos personales. Este pronunciamiento es un recordatorio para todas las empresas de que las prácticas que impliquen el tratamiento de datos deben ser transparentes, justificadas y diseñadas para minimizar riesgos a los derechos fundamentales.