Edición provisional
CONCLUSIONES DEL ABOGADO GENERAL
SR. MACIEJ SZPUNAR
presentadas el 11 de julio de 2024 (1)
Asunto C‑394/23
Association Mousse
contra
Commission nationale de l’informatique et des libertés (CNIL),
SNCF Connect
[Petición de decisión prejudicial planteada por el Conseil d’État, France (Consejo de Estado, actuando como Tribunal Supremo de lo Contencioso-Administrativo, Francia)]
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 6, apartado 1 — Principio de licitud del tratamiento — Artículo 5, apartado 1, letra c) — Principio de minimización de los datos — Fórmula de cortesía — Compra de prestación de servicios de transporte en línea — Artículo 21 — Derecho de oposición»
I. Introducción
1. El Reglamento (UE) 2016/679 (2) (en lo sucesivo, «RGPD») tiene por objeto garantizar un nivel elevado de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales. Para ello, impone a los responsables del tratamiento una serie de principios cuando tratan datos personales, entre ellos el denominado principio de «minimización de los datos» y el principio de licitud del tratamiento.
2. El presente asunto gira en torno a estos dos principios y tiene por objeto un litigio entre una asociación y una autoridad nacional de control en relación con el tratamiento por una empresa de transportes de los datos relativos al término de cortesía con que dirigirse a sus clientes con el fin declarado de utilizarlos en sus comunicaciones comerciales. Ofrece, por tanto, al Tribunal de Justicia la oportunidad de aclarar el alcance de ambos principios.
II. Marco jurídico
A. Derecho de la Unión
3. Los considerandos 4, 10, 39, 40, 44, 47, 69 y 75 del RGPD establecen:
«(4) El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la [Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»)] conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.
[…]
(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]
[…]
(39) […] Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. […] Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. […]
(40) Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida […] la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.
[…]
(44) El tratamiento debe ser lícito cuando sea necesario en el contexto de un contrato o de la intención de concluir un contrato.
[…]
(47) El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente […] del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. […] El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.
[…]
(69) En los casos en que los datos personales puedan ser tratados lícitamente porque el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento o por motivos de intereses legítimos del responsable o de un tercero, el interesado debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular. Debe ser el responsable el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado.
[…]
(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación […]».
4. En virtud de su artículo 2, apartado 1, el RGPD se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
5. El artículo 4 del GDPR, titulado «Definiciones», dispone:
«A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable […].
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, […]
[…]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; […]
[…]
11) “consentimiento del interesado”: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
[…]»
6. El artículo 5 del GDPR, titulado «Principios relativos al tratamiento de datos personales», establece:
«1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);
[…]
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (“exactitud”);
[…]»
7. El artículo 6 del RGPD, titulado «Licitud del tratamiento», dispone en su apartado 1:
«El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
[…]»
8. El artículo 13 del GDPR, titulado «Información que deberá facilitarse cuando los datos personales se obtengan del interesado», establece:
«1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
[…]
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
[…]»
9. Según el artículo 21, apartado 1, del GDPR, titulado «Derecho de oposición»:
«El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.»
10. El artículo 25 del GDPR, titulado «Protección de datos desde el diseño y por defecto», establece en su apartado 2:
«El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. […]»
B. Derecho francés
11. El artículo 8 de la loi n.º 78‑17 relative à l’informatique, aux fichiers et aux libertés (Ley n.º 78‑17, relativa a la Informática, a los Ficheros y a las Libertades), de 6 de enero de 1978, (3) dispone:
«La Commission nationale de l’informatique et des libertés [Comisión Nacional de Informática y Libertades (CNIL)] es una autoridad administrativa independiente. Es la autoridad nacional de control en el sentido y a efectos del [RGPD]. Tiene encomendadas las siguientes funciones:
[…]
2° Velará por que el tratamiento de los datos personales se efectúe de conformidad con las disposiciones de la presente Ley y las demás disposiciones en materia de protección de datos personales derivadas de los textos legislativos y reglamentarios, del Derecho de la Unión Europea y de los compromisos internacionales de Francia.
Con este objetivo:
[…]
d) Tramitará las reclamaciones, peticiones y denuncias presentadas por un interesado o por un organismo o asociación, examinará o investigará el objeto de la reclamación, en la medida en que sea necesario, e informará al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, especialmente si fuera necesario proseguir la investigación o coordinarse con otra autoridad de control […].»
III. Hechos del litigio principal, procedimiento ante el Tribunal de Justicia y cuestiones prejudiciales
12. SNCF Connect es una sociedad que vende títulos de transporte por ferrocarril como billetes de tren, abonos de temporada y tarjetas de descuento a través de su sitio de Internet y de aplicaciones. Al comprar los títulos de transporte, los clientes de la sociedad están obligados a indicar el término de cortesía para dirigirse a ellos marcando la casilla «Señor» o «Señora».
13. Al considerar que las condiciones en las que se recogía de los clientes y se registraba el término de cortesía cuando estos compraban títulos de transporte no cumplían los requisitos del RGPD, la demandante en el litigio principal, la asociación Mousse (en lo sucesivo, «Mousse»), presentó una reclamación ante la CNIL contra SNCF Connect. En apoyo de dicha reclamación, Mousse alegó que la recogida de los datos en cuestión no se ajustaba al principio de licitud, establecido en el artículo 5, apartado 1, letra a), de dicho Reglamento, ya que no se basaba en ninguna de las razones previstas en el artículo 6, apartado 1, del mismo Reglamento. Además, según la demandante en el litigio principal, la recogida de esos datos vulneraba el principio de minimización de los datos y el principio de exactitud, tal como figuran en el artículo 5, apartado 1, letras c) y d), respectivamente, de dicho Reglamento, así como las obligaciones de transparencia e información derivadas, en particular, del artículo 13 del Reglamento. En este contexto, Mousse argumentó que SNCF Connect no debía recopilar esos datos o que, al menos, debía ofrecer a sus clientes opciones adicionales, como la indicación «neutro» u «otros».
14. Mediante decisión de 23 de marzo de 2021, la CNIL archivó la reclamación presentada, al considerar que los hechos que se reprochaban a SNCF Connect no constituían una infracción de las disposiciones pertinentes del RGPD. La CNIL consideró que el tratamiento de datos era lícito, de conformidad con el artículo 6, apartado 1, letra b), del Reglamento, por ser necesario para la ejecución del contrato de prestación de servicios de transporte. Además, la CNIL señaló que, habida cuenta de sus fines, dicho tratamiento era conforme con el principio de minimización de los datos, ya que dirigirse a los clientes utilizando el término de cortesía usual respondía a la práctica comúnmente aceptada en las comunicaciones civiles, comerciales y administrativas.
15. El 21 de mayo de 2021, Mousse interpuso un recurso de anulación contra la decisión de la CNIL de 23 de marzo de 2021 ante el Conseil d’État (Consejo de Estado, actuando como Tribunal Supremo de lo Contencioso-Administrativo). En su recurso, Mousse alega que la obligación de optar por la mención «Señor» o «Señora» en las compras en línea no es conforme con el principio de licitud ni con el principio de minimización de los datos, enunciados respectivamente en el artículo 5, apartado 1, letras a) y c), del RGPD, ya que esa mención no es necesaria para la ejecución del contrato ni para la satisfacción de intereses legítimos de SNCF Connect. El hecho de que dicha información se utilice en la correspondencia comercial no basta para que sea necesaria la recogida de esos datos. Por último, a juicio de Mousse, una obligación de este tipo puede vulnerar el derecho a viajar sin revelar un término de cortesía relacionado con el género de la persona interesada, el derecho al respeto de la vida privada y la libertad de definir libremente la expresión del género. En particular, en el caso de los nacionales de países cuyo estado civil admite el «género neutro», tal indicación no responde a la realidad y, por tanto, puede ser contraria al principio de exactitud de los datos, establecido en el artículo 5, apartado 1, letra d), del Reglamento, al tiempo que vulnera su libertad de circulación, garantizada por el Derecho de la Unión.
16. La CNIL solicita que se desestime el recurso y alega que el tratamiento de los datos relativos al término de cortesía también puede calificarse de necesario para la satisfacción de intereses legítimos de SNCF Connect, en el sentido del artículo 6, apartado 1, letra f), del RGPD, y que los interesados pueden ejercer —en función de su situación particular— el derecho de oposición reconocido en el artículo 21 del Reglamento.
17. El tribunal remitente se pregunta, en primer lugar, si, para apreciar el carácter adecuado, pertinente y limitado a lo necesario de la recogida de datos y la necesidad del tratamiento, pueden tenerse en cuenta las prácticas habituales en las comunicaciones civiles, comerciales y administrativas, de manera que la recogida de datos relativos al término de cortesía para dirigirse a los clientes, limitada a los términos «Señor» o «Señora», podría considerarse «lícita y conforme» con el principio de minimización de datos. El tribunal remitente se pregunta, por otra parte, si, para apreciar la necesidad de la recogida obligatoria y el posterior tratamiento de los datos relativos al término de cortesía con que dirigirse a los clientes, cuando algunos de ellos consideran que no les es aplicable ninguno de los dos términos de cortesía, debe tenerse en cuenta que dichos clientes podrían, tras haber facilitado esos datos al responsable del tratamiento para beneficiarse del servicio ofrecido, ejercer su derecho de oposición al uso de sus datos, alegando su situación particular, en el sentido del artículo 21 del RGPD.
18. En este contexto, el Conseil d’Etat (Consejo de Estado, actuando como Tribunal Supremo de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) Para apreciar si los datos recogidos son adecuados, pertinentes y limitados a lo necesario en el sentido del artículo 5, apartado 1, letra c), del RGPD, y si su tratamiento es necesario en el sentido del artículo 6, apartado 1, letras b) y f), del RGPD, ¿puede tenerse en cuenta la práctica habitual de las comunicaciones civiles, mercantiles y administrativas, de modo que la recogida de datos relativos al término de cortesía con que dirigirse a los clientes, limitada a las opciones “Señor” o “Señora”, podría considerarse necesaria, sin que se oponga a ello el principio de minimización de datos?
2) Para apreciar la necesidad de la recogida obligatoria y del tratamiento de los datos relativos al término de cortesía con que dirigirse a los clientes, aun cuando algunos clientes no se sientan identificados con ninguna de las dos opciones y la recopilación de este dato no sea pertinente en lo que a ellos respecta, ¿procede tener en cuenta que esos clientes, tras haber comunicado el dato al responsable del tratamiento a fin de disfrutar del servicio ofrecido, podrían ejercer su derecho de oposición al uso y la conservación de dicho dato, alegando su situación particular, de conformidad con el artículo 21 del RGPD?»
19. Mousse, SNCF Connect, el Gobierno francés y la Comisión Europea presentaron observaciones escritas. Las mismas partes participaron en la vista celebrada el 29 de abril de 2024.
IV. Análisis
A. Sobre la primera cuestión prejudicial
20. Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 5, apartado 1, letra c), y el artículo 6, apartado 1, letras b) y f), del RGPD deben interpretarse en el sentido de que el tratamiento de datos personales relativos al término de cortesía con que dirigirse a los clientes de una empresa de transportes debe considerarse necesario para la ejecución de un contrato o la adopción de medidas precontractuales o para la satisfacción de intereses legítimos del responsable del tratamiento o de un tercero, cuando la finalidad de dicho tratamiento es permitir una comunicación comercial personalizada garantizando el cumplimiento de las prácticas habituales en materia de comunicación comercial.
21. He de hacer, de entrada, dos comentarios previos a este respecto.
22. Por un lado, es indudable, y las partes están de acuerdo al respecto, que los datos relativos el término de cortesía con que dirigirse a los clientes de una empresa de transportes constituyen datos personales en el sentido del artículo 4, punto 1, del RGPD y que, además, su recogida y registro por SNCF Connect deben considerarse tratamiento en el sentido del artículo 4, punto 2, de dicho Reglamento, por lo que deben examinarse a la luz de las disposiciones de este.
23. Por otra parte, SNCF Connect y el Gobierno francés defienden la idea de que una respuesta negativa a la primera cuestión prejudicial daría lugar a que el RGPD se aplicara en un contexto que le es ajeno, ya que, al adoptar el Reglamento, el legislador no pretendía regular las prácticas en materia de comunicación ni la cuestión del género. Aunque admito de buen grado, al igual que el Abogado General Bobek, que las normas en materia de respeto de la vida privada pueden a veces aplicarse «en circunstancias más bien sorprendentes», (4) no me parece que la presente situación sea una de ellas. El hecho de que se trate de datos de identidad civil y de que, con ello, se reflejen los debates existentes en los ordenamientos jurídicos nacionales sobre la cuestión del binarismo de género no puede ocultar que el objeto del caso de autos es ciertamente el tratamiento automatizado de los datos personales de sus clientes por una sociedad de transportes, que no solo está comprendido objetivamente en el ámbito de aplicación del RGPD, sino que constituye sin duda una operación de tratamiento de datos que el legislador de la Unión pretendía regular. (5)
24. Por lo tanto, comenzaré mi análisis de la primera cuestión prejudicial con algunas observaciones generales sobre el requisito de la licitud del tratamiento de datos al que están sujetos, en virtud del RGPD, los responsables del tratamiento, antes de pasar a determinar si, a la luz de los principios expuestos, dicho requisito debe considerarse cumplido en el caso del tratamiento de datos relativos al término de cortesía utilizado por una empresa de transportes para dirigirse a sus clientes con el fin de comunicarse con ellos siguiendo las prácticas habituales en materia de comunicación comercial.
1. Licitud del tratamiento de los datos personales
25. El artículo 5 del RGPD establece una serie de principios relativos al tratamiento de datos personales. En concreto, establece que dichos datos serán «tratados de manera lícita» (6) y serán «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados». (7) En otras palabras, todo tratamiento de datos debe ser conforme con el principio de licitud y el principio de minimización de los datos.
26. El artículo 6 del RGPD especifica el alcance del principio de licitud del tratamiento de datos. Al permitir una limitación del derecho a la protección de los datos personales, (8) el artículo 6, apartado 1, del Reglamento cumple los requisitos del artículo 52, apartado 1, de la Carta: la limitación en cuestión está establecida por la ley y respeta el contenido esencial de dicho derecho. Además, la limitación es necesaria y responde efectivamente a un objetivo de interés general reconocido por la Unión o a la necesidad de protección de los derechos y libertades de los demás. (9)
27. Por ello, el legislador ha previsto seis motivos por los que el tratamiento de datos es lícito, enumerando los objetivos de interés general y los derechos y libertades que requieren protección y que pueden justificar una limitación del derecho a la protección de los datos personales. El artículo 6, apartado 1, del RGPD prevé, por tanto, «una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito». (10)
28. El artículo 6, apartado 1, del RGPD no establece una jerarquía estricta (11) entre los motivos por los que el tratamiento de datos debe considerarse lícito. Por esta razón el Tribunal de Justicia ha precisado en su jurisprudencia la relación entre ellos.
29. Por una parte, ha recordado que, en virtud del artículo 6, apartado 1, letra a), del RGPD, el tratamiento será lícito si «el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos». El Tribunal de Justicia añadió que, «a falta de tal consentimiento, […] tal tratamiento está, no obstante, justificado cuando cumple alguno de los requisitos de necesidad mencionados en el artículo 6, apartado 1, párrafo primero, letras b) a f), del citado Reglamento». (12) También ha declarado que «las justificaciones [en cuestión], en la medida en que permiten que un tratamiento de datos personales realizado sin el consentimiento del interesado sea lícito, deben ser objeto de una interpretación restrictiva». (13) Por tanto, los motivos para el tratamiento de datos personales previstos en el artículo 6, apartado 1, del Reglamento son equivalentes y ninguno debe considerarse subsidiario con respecto a otro.
30. Por otra parte, el Tribunal de Justicia ha precisado que las justificaciones previstas en el artículo 6, apartado 1, del RGPD no son acumulativas. Afirmó que «cuando un tratamiento de datos personales pueda considerarse necesario a la vista de alguna de las justificaciones previstas en el artículo 6, apartado 1, párrafo primero, letras b) a f), del RGPD, no es preciso determinar si también está comprendido en otra de esas justificaciones». (14) En otras palabras, como ya había señalado, (15) el tratamiento de datos personales es lícito cuando está justificado por un único motivo, y ninguno debe considerarse subsidiario del otro.
31. Sin embargo, el principio de licitud establecido en el artículo 6, apartado 1, del RGPD no puede analizarse de forma aislada. El Tribunal de Justicia ha señalado reiteradamente que este requisito «debe examinarse en relación con el llamado principio de “minimización de los datos”, consagrado en el artículo 5, apartado 1, letra c), del [Reglamento]», (16) Según la jurisprudencia del Tribunal de Justicia, y como ya he subrayado, (17) este principio refleja el principio de proporcionalidad, (18) que exige, como sostiene el Gobierno francés en sus observaciones escritas, que los medios empleados permitan alcanzar el objetivo perseguido y no vayan más allá de lo necesario para lograrlo. (19)
32. En otras palabras, el principio de minimización de los datos implica verificar que los datos tratados son adecuados para alcanzar la finalidad para la que son tratados —conforme a los motivos establecidos en el artículo 6, apartado 1, del RGPD— y que los datos personales solo deben tratarse si la finalidad del tratamiento no puede lograrse razonablemente por otros medios. El alcance de los datos tratados de este modo, tanto desde un punto de vista cuantitativo como sustantivo, no es más amplio de lo necesario para alcanzar esa finalidad. (20)
33. Haré una observación más a este respecto. El Tribunal de Justicia ha interpretado el principio de minimización de los datos junto con el principio de licitud del tratamiento únicamente en situaciones en las que el tratamiento en cuestión se basaba en uno de los motivos establecidos en el artículo 6, apartado 1, letras b) a f), del RGPD. En otras palabras, el Tribunal de Justicia no ha precisado con claridad si el principio de minimización de los datos también debe aplicarse cuando el interesado ha consentido el tratamiento de sus datos personales. Es cierto que podría defenderse que, si el interesado lo consiente, el responsable del tratamiento puede proceder al tratamiento de cualquier dato, sin que se oponga a ello el principio de minimización de los datos.
34. Sin embargo, tal interpretación no me parece compatible ni con el objetivo del RGPD de garantizar a las personas físicas un elevado nivel de protección de los datos personales, ni con el tenor literal de las disposiciones en cuestión.
35. En efecto, el artículo 6, apartado 1, letra a), del RGPD establece la licitud del tratamiento siempre que el interesado haya «[dado] su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos». (21) A este respecto, subrayo que por consentimiento se entiende «toda manifestación de voluntad libre, específica, informada e inequívoca». (22) En otras palabras, no puede tratarse de un consentimiento general al tratamiento de todos los datos. Además, el interesado debe ser informado de la finalidad para la que se da el consentimiento. El artículo 5, apartado 1, letra c), del Reglamento establece que los datos tratados deben ser «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados». (23) En tales circunstancias, el principio de minimización de los datos se aplica, a mi juicio, aun en el caso de que los datos se traten con el consentimiento del interesado y se compruebe que los datos en cuestión se limitan efectivamente a lo necesario para alcanzar el fin específico del tratamiento.
36. Conforme a estas consideraciones, el tratamiento de los datos personales de sus clientes por parte de SNCF Connect debe examinarse a la luz del artículo 6, apartado 1, letras b) y f), del RGPD, toda vez que el tribunal remitente se refiere exclusivamente a estos dos fines del tratamiento.
2. Sobre el artículo 6, apartado 1, letra b), del RGPD: necesidad del tratamiento para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales
37. El artículo 6, apartado 1, letra b), del RGPD establece que el tratamiento de datos personales será lícito si es «necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales».
38. En la sentencia Meta Platforms y otros, el Tribunal de Justicia aclaró el alcance de esta disposición. Señaló que «para que un tratamiento de datos personales se considere necesario para la ejecución de un contrato, en el sentido de esa disposición, debe ser objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada al interesado. Así pues, el responsable del tratamiento debe poder demostrar por qué el objeto principal del contrato no podría alcanzarse sin el tratamiento en cuestión». (24)
39. Las partes están de acuerdo en que la finalidad principal del contrato es la venta de un título de transporte y, en definitiva, transportar a los clientes por ferrocarril. Por lo tanto, ha de comprobarse, en primer lugar, si los datos personales del cliente se tratan para un fin que es parte integrante de la prestación del servicio de transporte y, en segundo lugar, si dicho tratamiento es objetivamente indispensable para ello.
a) Identificación de la finalidad del tratamiento
40. SNCF Connect y el Gobierno francés alegan que la ejecución del contrato de transporte requiere comunicarse con el cliente, tanto cuando se formaliza la reserva del viaje como durante este y después de él, y para ello es preciso conocer el término de cortesía con el que dirigirse al cliente para comunicarse con él de forma personalizada y de acuerdo con las prácticas habituales en materia de comunicación comercial.
41. SNCF Connect añade que, para la ejecución del contrato de transporte, es importante conocer el sexo de la persona interesada para poder adaptar el servicio en casos particulares, como en el caso de la asistencia a personas con movilidad reducida o el acceso a los vagones reservados a las mujeres en los trenes nocturnos. A este respecto, debo señalar que esa finalidad no es estrictamente objeto de la primera cuestión prejudicial planteada por el órgano jurisdiccional remitente, que se refiere expresamente a la práctica habitual en las comunicaciones comerciales. Ahora bien, dado que dicha cuestión prejudicial se refiere más en general a la recogida de datos personales a la luz de los principios de minimización de los datos y de licitud del tratamiento, examinaré, no obstante, esa alegación.
42. En cuanto a la finalidad de la comunicación con el cliente, creo que debe considerarse parte integrante del contrato de transporte. En efecto, el contrato implica la venta de un título de transporte y, por tanto, el contacto con el cliente para transmitírselo. Además, la necesidad de comunicarse con el cliente continúa, a mi juicio, durante el transporte, por ejemplo para advertirle de cualquier incidente que pueda afectar a su viaje, y después del transporte, en particular en caso de contacto con los servicios de atención al cliente en relación con el viaje.
43. A este respecto, considero que debe desestimarse la alegación del Gobierno francés según la cual la finalidad del tratamiento no es solo la comunicación con el cliente, sino, más concretamente, la comunicación con el cliente conforme a las prácticas habituales en materia de comunicación comercial. Por una parte, no creo que una finalidad así definida sea parte integrante de la prestación de un servicio de transporte: nada indica que el servicio no pueda prestarse sin una comunicación con el cliente conforme a la práctica habitual en materia de comunicación comercial. En segundo lugar, esta alegación se basa en un razonamiento circular. La finalidad del tratamiento de datos así definido —comunicar conforme a las prácticas habituales en materia de comunicación comercial— es, en efecto, lo mismo que los medios utilizados para alcanzar dicha finalidad: el uso de las prácticas habituales en materia de comunicación comercial.
44. En cuanto a la adaptación del servicio de transporte a casos especiales como los mencionados por SNCF Connect, me parece también difícilmente discutible que se trata de una parte integrante del servicio, ya que su finalidad es precisamente garantizar que este pueda ejecutarse.
45. Sin embargo, pese a que los fines del tratamiento en cuestión son efectivamente, en mi opinión, inherentes a la prestación de un servicio de transporte y pueden admitirse conforme al artículo 6, apartado 1, letra b), del RGPD, sigue siendo preciso que el tratamiento de los datos personales sea indispensable para que se alcance la finalidad invocada, de modo que sin dicho tratamiento no pueda cumplirse el objetivo principal del contrato y no existan otras soluciones viables y menos onerosas para lograr el mismo resultado.
46. Pues bien, en mi opinión, el tratamiento de los datos relativos a los términos de cortesía para dirigirse a los clientes va más allá de lo necesario para la correcta ejecución del contrato.
b) Necesidad del tratamiento para alcanzar los fines identificados
47. En primer lugar, en lo que respecta a la finalidad de comunicación, la correcta ejecución del contrato de transporte no puede depender del uso del término de cortesía por la sociedad de transportes para dirigirse a sus clientes, y ello a pesar de que el responsable del tratamiento pretenda comunicarse de forma personalizada con sus clientes. En efecto, una sociedad de transportes puede comunicarse fácilmente de forma personalizada con sus clientes sin utilizar el término de cortesía correspondiente.
48. Además, aunque SNCF Connect puso de relieve en la vista la necesidad de preservar una imagen de marca utilizando los términos de cortesía comúnmente aceptados en la comunicación comercial, ese objetivo puede lograrse mediante otras fórmulas que muestren consideración por el cliente y que no hagan referencia al género de este.
49. Esto es así máxime habida cuenta de que, como alega Mousse, y sin perjuicio de lo que aprecie el órgano jurisdiccional remitente, de hecho SNCF Connect no utiliza de forma sistemática las prácticas habituales en materia de comunicación comercial que impliquen conocer los términos de cortesía con que dirigirse a sus clientes, sino que utiliza otras fórmulas más generales, como «Gracias, buen viaje» o «Buenos días». El hecho de que no se utilice sistemáticamente el término de cortesía en las comunicaciones de SNCF Connect indica claramente, a mi juicio, no solo que el tratamiento de esos datos no es necesario para la ejecución del contrato en cuestión, sino también, a la luz del principio de minimización de los datos, que los datos objeto del tratamiento son más amplios de lo necesario.
50. En el mismo orden de ideas, he de señalar que, al ser interrogada en la vista sobre este punto, SNCF Connect convino en que la transmisión deliberada de un término de cortesía distinto del que corresponde realmente a la persona afectada no tiene en realidad ningún efecto en la prestación del servicio de transporte. En tales circunstancias, ha de reconocerse que el objetivo principal del contrato también puede alcanzarse sin necesidad del tratamiento de los datos en cuestión.
51. En segundo lugar, por lo que se refiere a la finalidad de adaptar el servicio de transporte, soy de la opinión, también en este punto, de que el tratamiento de los datos relativos al término de cortesía va más allá de lo necesario para alcanzar ese objetivo. Por una parte, no me parece que los datos personales pertinentes para dicha adaptación sean los datos relativos al término de cortesía para dirigirse a los clientes, que, en opinión del Gobierno francés, no constituyen una indicación del estado civil de una persona, sino datos relativos al sexo de los clientes, tal como este figura en el estado civil de una persona. Por otra parte, podría alcanzarse el mismo objetivo recogiendo y tratando esos datos no para todas las adquisiciones de títulos de transporte, sino solo para casos particulares en los que sean necesarios, como la adquisición de un título de transporte para viajar en un vagón reservado a las mujeres en los trenes nocturnos o la solicitud de asistencia para una persona con movilidad reducida.
52. En tales circunstancias, considero que el artículo 6, apartado 1, letra b), y el artículo 5, apartado 1, letra c), del RGPD deben interpretarse en el sentido de que el tratamiento sistemático de los datos personales relativos al término de cortesía con que una sociedad se dirige a sus clientes no puede considerarse necesario para la ejecución de un contrato en el que el interesado es parte ni para la aplicación a petición de este de medidas precontractuales, cuando la finalidad de dicho tratamiento es permitir una comunicación comercial personalizada que se atenga a las prácticas habituales en materia de comunicación comercial o que permita adaptar el servicio de transporte en función del sexo de la persona interesada.
3. Sobre el artículo 6, apartado 1, letra f), del RGPD: necesidad del tratamiento para la protección de intereses legítimos del responsable del tratamiento o de un tercero
53. El artículo 6, apartado 1, letra f), del RGPD establece que el tratamiento de datos personales es lícito si es «necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño».
54. Es jurisprudencia reiterada del Tribunal Justicia que esta disposición establece tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito, a saber, en primer lugar, que el responsable del tratamiento o el tercero persigan un interés legítimo; en segundo lugar, que el tratamiento de los datos personales sea necesario para la satisfacción de ese interés legítimo, y, en tercer lugar, que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado en la protección de los datos sobre el interés legítimo del responsable del tratamiento o de un tercero. (25)
55. Por lo que respecta al primer requisito, relativo al interés legítimo, el Tribunal de Justicia subrayó en la sentencia Meta Platforms y otros que, «de conformidad con el artículo 13, apartado 1, letra d), del RGPD, incumbe al responsable del tratamiento, en el momento en que se obtengan de un interesado los datos personales relativos a él, informarle de los intereses legítimos perseguidos cuando ese tratamiento se base en el artículo 6, apartado 1, párrafo primero, letra f), de dicho Reglamento». (26) En la misma sentencia, el Tribunal de Justicia declaró que esta última disposición debe interpretarse en el sentido de que el tratamiento de datos personales «solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, con arreglo a esa disposición, si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un interés legítimo perseguido por el tratamiento de estos». (27)
56. En otras palabras, la sanción por el incumplimiento de la obligación de información establecida en el artículo 13, apartado 1, letra d), del RGPD es la ilegalidad del tratamiento de los datos personales en cuestión.
57. Pues bien, como señala la Comisión, y sin perjuicio de verificación por el tribunal remitente, considero que SNCF Connect no ha cumplido esta obligación.
58. Como señala la Comisión, SNCF Connect menciona, en la «declaración de confidencialidad» que figura en su sitio de Internet, que la base legal para el tratamiento de datos personales es el «interés legítimo». A este respecto, me parece necesario hacer dos comentarios. En primer lugar, la mera mención del interés legítimo, sin especificar con precisión cuál es este, no satisface la obligación de información establecida en el artículo 13, apartado 1, letra d), del RGPD, que exige que el responsable del tratamiento indique el interés legítimo del responsable. Por otra parte, y en cualquier caso, la mención de un interés legítimo de forma general en una «declaración de privacidad» que, ciertamente, está disponible en el sitio de Internet del responsable del tratamiento, pero que el cliente debe buscar por sí mismo, tampoco es conforme con el artículo 13, apartado 1, letra d), del Reglamento. Esta disposición exige que se informe a la persona interesada del interés legítimo que el responsable del tratamiento persigue en el momento en que se obtienen los datos, lo que, en mi opinión, presupone que dicha información se ponga directamente en conocimiento del cliente cuando este facilita los datos en cuestión.
59. Además, cuando en la vista se le formuló una pregunta sobre la obligación de informar, SNCF Connect no pudo afirmar que el interés legítimo que se pretendía proteger a través del tratamiento se comunicara realmente a sus clientes en el momento en que se obtenían los datos personales.
60. No se cumple, por tanto, el primer requisito del artículo 6, apartado 1, letra f), del RGPD, relativo a la existencia de un interés legítimo, interpretado a la luz de la obligación de comunicar dicho interés establecida en el artículo 13, apartado 1, letra d), del Reglamento. Por consiguiente, en tal situación el tratamiento de los datos personales relativos al término de cortesía no puede considerarse lícito en el sentido de la mencionada disposición, sin que sea necesario examinar si se cumplen los otros dos requisitos establecidos en el artículo 6, apartado 1, letra f), de dicho Reglamento.
a) Conclusión sobre la interpretación del artículo 6, apartado 1, letra f), del RGPD
61. De lo anterior se desprende, en mi opinión, que el artículo 6, apartado 1, letra f), y el artículo 5, apartado 1, letra c), del RGPD deben interpretarse en el sentido de que el tratamiento de los datos personales relativos al término de cortesía con el que una sociedad de transportes se dirige a sus clientes no puede considerarse necesario para proteger los intereses legítimos del responsable del tratamiento o de un tercero, en el sentido de dicha disposición, si la sociedad no indicó a los usuarios de los que se recogieron los datos un interés legítimo perseguido por su tratamiento.
b) Consideraciones adicionales
62. En aras de la exhaustividad, y para el caso de que el Tribunal de Justicia llegara a la conclusión de que el interés legítimo en cuestión se comunicó a la persona interesada de conformidad con el artículo 13, apartado 1, letra d), del RGPD, analizaré a continuación, no obstante, los requisitos que deben cumplirse para que un tratamiento pueda considerarse lícito en virtud del artículo 6, apartado 1, letra f), de dicho Reglamento.
63. Por lo que se refiere, en primer lugar, al requisito de que exista un interés legítimo, SNCF Connect y el Gobierno francés sostienen que el interés legítimo perseguido es la comunicación con el cliente.
64. El Tribunal de Justicia ha declarado, en relación con el concepto de «interés legítimo», que, «a falta de definición de este concepto por el RGPD, procede subrayar […] que, en principio, existe una amplia gama de intereses considerados legítimos». (28)
65. A este respecto, recuérdese que SNCF Connect es una empresa que ofrece la venta en línea de títulos de transporte por ferrocarril. Como ya he señalado, (29) este servicio requiere un contacto con el cliente, al menos para enviarle el título de transporte. Por lo tanto, considero que la finalidad de comunicarse con el cliente puede constituir un interés legítimo para esa empresa, en el sentido del artículo 6, apartado 1, letra f), del RGPD, de modo que, a mi juicio, el primer requisito, relativo a la existencia de tal interés legítimo, debe considerarse cumplido.
66. En segundo lugar, no me parece que se cumpla el requisito de que el tratamiento de datos personales sea necesario para lograr un objetivo que responda a un interés legítimo. Como he demostrado en mi análisis del artículo 6, apartado 1, letra b), del RGPD, el tratamiento de los datos personales va más allá de lo necesario para lograr el objetivo de comunicarse con el cliente, ya que la comunicación puede tener lugar sin utilizar esos datos. (30)
67. Por lo que respecta, en tercer y último lugar, al requisito de que los intereses o las libertades y los derechos fundamentales del interesado no prevalezcan sobre el interés legítimo del responsable del tratamiento o de un tercero, he de destacar que el Tribunal de Justicia ya ha declarado que «dicho requisito implica ponderación de los derechos e intereses en conflicto, que dependerá, en principio, de las circunstancias concretas del caso particular y que, en consecuencia, corresponde al órgano jurisdiccional remitente efectuar esa ponderación teniendo en cuenta estas circunstancias». (31) No obstante, formularé una serie de observaciones para orientar al órgano jurisdiccional nacional cuando efectúe esa ponderación.
68. Así pues, el Tribunal de Justicia ha declarado que «en esta ponderación de los derechos e intereses en conflicto de que se trata, a saber, los del responsable del tratamiento, por una parte, y los del interesado, por otra, es preciso tener en cuenta, […] en particular, las expectativas razonables del interesado, así como el alcance del tratamiento en cuestión y el impacto de este sobre ese interesado». (32)
69. Además, el considerando 47 del RGPD establece que «la existencia de un interés legítimo requeriría una evaluación meticulosa, [en particular para determinar] si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin».
70. A este respecto, no veo hasta qué punto el cliente de una empresa de transportes podía esperar razonablemente que sus datos relativos al término de cortesía utilizado fueran tratados por la empresa con el fin de comunicarse con el cliente en el contexto de la compra de un título de transporte.
71. En cualquier caso, no creo que la mera existencia de expectativas razonables sea suficiente para justificar que el interés legítimo del responsable del tratamiento prevalezca sobre los intereses o los derechos y libertades fundamentales de la persona interesada. Si bien ese elemento es ciertamente pertinente a efectos de la ponderación que ha de efectuarse, no debe llevar sistemáticamente a considerar que prevalece el interés legítimo del responsable del tratamiento, en particular cuando el tratamiento de los datos personales en cuestión puede vulnerar un derecho o una libertad fundamental del interesado, tal como los garantiza la Carta.
72. Pues bien, como sostiene Mousse, este es el caso, a mi juicio, en el presente asunto. En efecto, dicha asociación alega que existe riesgo de discriminación por razón de género como consecuencia del tratamiento de datos relativos a los términos de cortesía, especialmente en el caso de personas transexuales o con nacionalidad de un Estado que reconoce género neutro.
73. En tales circunstancias, y sin perjuicio de las comprobaciones del tribunal remitente, opino que el interés legítimo de comunicarse con el cliente no puede prevalecer sobre los intereses o los derechos y libertades fundamentales de la persona interesada.
B. Sobre la segunda cuestión prejudicial
74. Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente solicita que se dilucide, en esencia, si el artículo 6, apartado 1, letra f), del RGPD debe interpretarse en el sentido de que, para apreciar la necesidad de un tratamiento de datos personales a los efectos de dicha disposición, debe tenerse en cuenta la posible existencia de un derecho de oposición de la persona interesada al amparo del artículo 21, apartado 1, del Reglamento.
75. El artículo 21, apartado 1, del RGPD establece que el interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de sus derechos en vía judicial.
76. Según reiterada jurisprudencia, para interpretar una disposición del Derecho de la Unión, deben tenerse en cuenta no solo su tenor, sino también su contexto y los objetivos perseguidos por la normativa de la que forma parte. (33)
77. En cuanto al texto del artículo 21, apartado 1, del RGPD, he de señalar que el legislador de la Unión subraya que el derecho de oposición se refiere al tratamiento de datos personales basado, en particular, en el artículo 6, apartado 1, letra f), de dicho Reglamento. En otras palabras, como alegan Mousse y la Comisión, el derecho de oposición requiere la existencia de un tratamiento lícito, basado en el interés legítimo del responsable del tratamiento. Por lo tanto, el derecho de oposición solo puede ejercerse una vez que el tratamiento lícito ha tenido lugar, con objeto de poner fin a este.
78. Así lo confirma, en mi opinión, la segunda parte del artículo 21, apartado 1, del RGPD, que establece que, en caso de oposición en virtud de dicha disposición por parte del interesado, el responsable del tratamiento dejará de tratar los datos en cuestión. (34) A mi juicio, esa formulación implica claramente que el tratamiento de los datos en cuestión es lícito de conformidad con los requisitos establecidos en el artículo 6, apartado 1, letra f), del Reglamento, pero que los datos ya no podrán tratarse una vez formulada la oposición.
79. En otras palabras, el artículo 21, apartado 1, del RGPD solo entra en juego una vez comprobada la legalidad del tratamiento.
80. Por lo tanto, de los términos del artículo 21, apartado 1, del RGPD se desprende que la existencia de un derecho de oposición no es en modo alguno pertinente para evaluar la necesidad de dicho tratamiento con arreglo al artículo 6, apartado 1, letra f), de dicho Reglamento, ya que la aplicación del artículo 21, apartado 1, de este presupone que ya se cumplen los requisitos del artículo 6, apartado 1, letra f), del Reglamento.
81. Esta interpretación literal del artículo 21, apartado 1, del RGPD se ve confirmada además por el análisis del contexto y las finalidades del Reglamento.
82. En cuanto a la interpretación sistemática de esta disposición, los motivos que pueden justificar el tratamiento de datos personales se recogen en el artículo 6 del RGPD, que se refiere al principio de licitud, dentro del capítulo II del Reglamento, relativo a los principios que rigen el tratamiento de datos. El artículo 21 de dicho Reglamento, por su parte, forma parte del capítulo III, que regula los derechos del interesado. Además, como ya he señalado, los motivos establecidos en el artículo 6 del Reglamento son, según jurisprudencia reiterada, exhaustivos. (35) Por consiguiente, las dos disposiciones en cuestión cumplen dos funciones diferentes y no puede considerarse que el artículo 21 del RGPD pueda tenerse en cuenta al examinar la licitud del tratamiento, que se rige únicamente por el artículo 6 del Reglamento.
83. Por lo que respecta a la interpretación teleológica del artículo 6, apartado 1, letra f), y del artículo 21 del RGPD, tener en cuenta la existencia de un derecho de oposición para apreciar la licitud del tratamiento de datos con arreglo al artículo 6 del Reglamento equivaldría a admitir la licitud del tratamiento de datos sobre la base de la mera posibilidad de que el interesado se oponga posteriormente a dicho tratamiento. Esto daría lugar, por tanto, a que los motivos de licitud del tratamiento se ampliaran más allá de los casos previstos en el artículo 6 del Reglamento y haría que el nivel de protección ofrecido a los interesados dependiera de su diligencia para oponerse al tratamiento de sus datos personales, sin lo cual el tratamiento podría considerarse lícito. Por lo tanto, me parece que una interpretación de este tipo puede menoscabar el objetivo de garantizar un alto nivel de protección de las personas en lo que respecta al tratamiento de sus datos personales.
84. Por consiguiente, considero que procede responder a la segunda cuestión prejudicial que el artículo 6, apartado 1, letra f), del RGPD debe interpretarse en el sentido de que se opone a que, para apreciar la necesidad de un tratamiento de datos personales en el sentido de dicha disposición, se tenga en cuenta la posible existencia de un derecho de oposición del interesado al amparo del artículo 21, apartado 1, del Reglamento.
V. Conclusión
85. En virtud de todas las consideraciones anteriores, propongo que se responda del siguiente modo a las cuestiones prejudiciales planteadas por el Conseil d’État (Consejo de Estado, actuando como Tribunal Supremo de lo Contencioso-Administrativo, Francia):
El artículo 6, apartado 1, letra b), y el artículo 5, apartado 1, letra c), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
deben interpretarse en el sentido de que:
el tratamiento sistemático de los datos personales relativos al término de cortesía con que una sociedad se dirige a sus clientes no puede considerarse necesario para la ejecución de un contrato en el que el interesado es parte ni para la aplicación a petición de este de medidas precontractuales, cuando la finalidad de dicho tratamiento es permitir una comunicación comercial personalizada que se atenga a las prácticas habituales en materia de comunicación comercial o que permita adaptar el servicio de transporte en función del sexo de la persona interesada.
El artículo 6, apartado 1, letra f), y artículo 5, apartado 1, letra c), del Reglamento 2016/679
deben interpretarse en el sentido de que:
el tratamiento de los datos personales relativos al término de cortesía con el que una sociedad de transportes se dirige a sus clientes no puede considerarse necesario para proteger los intereses legítimos del responsable del tratamiento o de un tercero, en el sentido de dicha disposición, si la sociedad no indicó a los usuarios de los que se recogieron los datos un interés legítimo perseguido por su tratamiento.
El artículo 6, apartado 1, letra f), del Reglamento 2016/679
debe interpretarse en el sentido de que:
se opone a que, para apreciar la necesidad de un tratamiento de datos personales en el sentido de dicha disposición, se tenga en cuenta la posible existencia de un derecho de oposición del interesado con arreglo al artículo 21, apartado 1, del Reglamento.