Obbligo di pagamento con carta e tutela dei dati personali nel diritto UE
Obbligo di pagamento con carta e tutela dei dati personali nel diritto UE

Obbligo di pagamento con carta e tutela dei dati personali nel diritto UE

Il quadro normativo europeo e la centralità del principio di minimizzazione

Nel diritto dell Unione europea la disciplina sulla protezione dei dati personali, dettata dal regolamento UE n. 2016/679 Gdpr, si applica anche alle ordinarie transazioni commerciali. L articolo 5 del Gdpr impone che ogni trattamento di dati sia improntato, tra gli altri, al principio di minimizzazione, secondo il quale i dati personali devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Questo principio assume rilievo specifico quando un esercente decide di non accettare più il denaro contante e di imporre esclusivamente l utilizzo di carte di debito o di credito, con conseguente raccolta sistematica di informazioni sugli acquisti dei clienti. Il trattamento che ne deriva coinvolge infatti una pluralità di dati ulteriori rispetto a quelli strettamente indispensabili alla semplice esecuzione del contratto di vendita al dettaglio.

La vicenda olandese e il ruolo del Consiglio di Stato dei Paesi Bassi

Il caso concreto sottoposto al giudice amministrativo

Con sentenza dell 11 febbraio 2026 nel caso n. 202203874/1/A3 il Consiglio di Stato dei Paesi Bassi è stato chiamato a pronunciarsi sulla legittimità della scelta di un esercente nella specie un esercizio cinematografico di escludere in modo assoluto i pagamenti in contanti, tanto per l acquisto dei biglietti quanto per le consumazioni al bar interno, ammettendo unicamente i pagamenti effettuati tramite carte di debito o di credito.

Un cliente che intendeva pagare il biglietto in contanti non ha potuto concludere l acquisto proprio a causa di tale politica aziendale. Lo stesso limite era stato riscontrato per i servizi accessori offerti nella struttura. Da ciò è scaturita la contestazione della persona interessata, che ha ritenuto di vedere compromessa la propria riservatezza a seguito di un trattamento ritenuto eccessivo dei dati riguardanti il mezzo di pagamento e il dettaglio delle spese sostenute.

Dal reclamo al Garante privacy alla fase contenziosa

L interessato ha presentato reclamo all Autorità nazionale per la protezione dei dati, chiedendo di accertare l illegittimità dell imposizione generalizzata del pagamento con carta. Il Garante olandese ha però respinto l istanza ritenendo sufficienti le giustificazioni addotte dal cinema, che aveva richiamato l esigenza di proteggere il personale da possibili rapine e di ridurre la presenza di denaro contante in cassa.

Esaurita la fase amministrativa, l interessato ha proposto ricorso giurisdizionale contro la decisione dell Autorità. Il giudice di primo grado ha confermato la posizione del Garante, escludendo la violazione della normativa privacy. Solo in sede di appello davanti al Consiglio di Stato è intervenuta una radicale revisione di tale impostazione.

La verifica di proporzionalità tra esigenza di sicurezza e diritti degli interessati

L applicazione dell articolo 5 Gdpr al divieto di contanti

Il Consiglio di Stato ha ritenuto che l approccio dell esercente non fosse compatibile con l articolo 5 del Gdpr e in particolare con il principio di minimizzazione dei dati. La finalità dichiarata dal cinema era quella di tutelare l incolumità dei dipendenti e diminuire il rischio di rapine. Il giudice ha pertanto verificato se, per realizzare questo obiettivo, fosse davvero necessario imporre in modo assoluto i pagamenti con carta, con il conseguente trattamento sistematico di dati personali dei clienti.

Nell analisi del Collegio la mera affermazione della priorità della sicurezza non è sufficiente per legittimare un incremento così significativo dei dati trattati. È richiesto un vaglio concreto di proporzionalità che chiarisca se il divieto totale di contante sia effettivamente collegato alla riduzione del rischio e se non esistano misure alternative meno invasive ma ugualmente idonee a garantire la protezione del personale.

L insufficienza di motivazioni generiche e l onere di dimostrazione

Il Consiglio di Stato ha osservato che il solo fatto che il denaro contante possa costituire oggetto di furto non basta a giustificare l obbligo generalizzato di utilizzo delle carte. Occorre invece dimostrare in modo puntuale il nesso tra la restrizione imposta ai clienti e il miglioramento effettivo della sicurezza. Il cinema non ha fornito elementi concreti, studi di rischio o dati oggettivi tali da far ritenere la scelta proporzionata e strettamente necessaria rispetto allo scopo perseguito.

In questa prospettiva la decisione mette in rilievo che la raccolta di dati personali in fase di pagamento deve essere ridotta a ciò che è indispensabile. Quando è possibile effettuare l operazione commerciale mediante contante, che non comporta trattamento identificativo dei clienti, la scelta di escludere questo strumento deve essere sorretta da motivazioni solide e circostanziate, non da generiche considerazioni di opportunità gestionale.

La censura all Autorità di controllo e gli obblighi di riesame

I limiti dell istruttoria compiuta dal Garante nazionale

Un passaggio decisivo della sentenza riguarda la valutazione del comportamento dell Autorità di controllo. Il Consiglio di Stato ha rilevato che il Garante, nel rigettare il reclamo, si è concentrato sulla sola dimensione della sicurezza interna dell esercente senza tenere adeguatamente conto delle esigenze di protezione dei dati e del necessario equilibrio tra i vari interessi in gioco.

Il giudice amministrativo ha quindi stigmatizzato la mancata verifica, da parte del Garante, dell effettiva necessità del trattamento derivante dalla esclusione del contante. Non è stato esaminato se la tutela dell incolumità dei dipendenti potesse essere conseguita con misure organizzative diverse, come ad esempio soluzioni di sicurezza fisica o logistica, meno intrusive nei confronti della sfera privata dei clienti.

L ordine di nuova valutazione del reclamo

Sulla base di tali considerazioni il Consiglio di Stato ha disposto l annullamento della decisione dell Autorità di protezione dei dati, condannandola anche alle spese di giudizio e imponendole di riesaminare il reclamo dell interessato. Nel nuovo esame il Garante dovrà applicare in modo coerente i principi creati dal Gdpr e ribaditi nella sentenza con particolare riferimento alla minimizzazione dei dati e al test di necessità e proporzionalità del trattamento rispetto alle finalità di sicurezza dichiarate dall esercente.

Rilievo della decisione per gli ordinamenti nazionali e per l Italia

Poiché il regolamento UE n. 2016/679 è direttamente applicabile in tutti gli Stati membri, il ragionamento del Consiglio di Stato dei Paesi Bassi assume valore di riferimento anche per gli operatori economici e le autorità di vigilanza degli altri ordinamenti, inclusa l Italia. Il caso esamina, in chiave concreta, la linea di confine tra esigenze di organizzazione aziendale sicurezza interna e rispetto dei principi generali di protezione dei dati personali.

Resta fermo che la pronuncia non incide sui limiti all uso del contante derivanti dalla normativa antiriciclaggio, che continua a operare su un piano distinto e con ratio propria. Ciò che emerge con chiarezza è che le scelte dei singoli esercenti non possono trasformarsi, senza adeguata giustificazione, in un obbligo generalizzato di tracciabilità degli acquisti dei clienti attraverso strumenti di pagamento elettronici, quando la normativa non lo impone espressamente.

In prospettiva, l orientamento del Consiglio di Stato olandese contribuisce a definire gli standard interpretativi del Gdpr nella prassi quotidiana dei rapporti tra commercianti e consumatori. La gestione dei mezzi di pagamento diventa così banco di prova per verificare quanto seriamente siano considerati i limiti alla raccolta dei dati e quanto attentamente vengano ponderate le esigenze di sicurezza rispetto al diritto alla riservatezza degli interessati.