Provvedimento del 14 maggio 2026 [10259296]
Provvedimento del 14 maggio 2026 [10259296]
CondividiVEDI ANCHE Newsletter del 17 giugno 2026
[doc. web n. 10259296]
Provvedimento del 14 maggio 2026
Registro dei provvedimenti
n. 347 del 14 maggio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia componente e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato dalla sig.ra XX in data 29/01/2025, ai sensi dell’art. 77 del Regolamento con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Emirates;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Agostino Ghiglia;
PREMESSO
1. Il reclamo nei confronti della Società.
Con il reclamo presentato a questa Autorità in data 29/01/2025, la Sig.ra XX ha lamentato una presunta violazione della disciplina in materia di protezione dei dati personali da parte di Emirates (di seguito anche “la Società” o “la Compagnia”), riguardante la raccolta delle informazioni nei confronti dei viaggiatori con disabilità o a mobilità ridotta.
Con il reclamo, è stato lamentato che Emirates procederebbe, nei confronti delle “persone a mobilità ridotta” (c.d. "PMR"), a subordinare l’effettiva prestazione del servizio di trasporto aereo alla compilazione del form c.d. “MEDIF” (acronimo di Medical Information for Fitness to Travel or Special Assistance), sottoponendo, in particolare, tale questionario, in assenza di qualsiasi riferimento all’informativa sul trattamento dei dati personali, nonché senza raccogliere il consenso da parte dell’interessato.
Più nel dettaglio, la reclamante riferiva la circostanza secondo cui, pur non rientrando nelle categorie di necessaria compilazione del modulo, “Emirates ha comunque richiesto che compilassi il modulo e lo inviassi a MEDAattachments@emirates.com”, dovendo pertanto fornire “numerose informazioni sullo stato di salute per le quali non ho avuto alcuna informazione preventiva sulle modalità di trattamento, né ho firmato alcun consenso o informativa al/sul trattamento degli stessi” (v. reclamo del 29 gennaio 2025, pag. 2).
2. L’attività istruttoria.
Con nota del 08/05/2025 (prot. n. 61864), questa Autorità ha invitato la Società a fornire osservazioni in ordine ai fatti oggetto di reclamo.
Rispetto alle richieste di chiarimento formulate da codesta Autorità, la Società (nota del 06/06/2025) ha precisato la propria posizione, con particolare riferimento al trattamento dei dati personali dei passeggeri, inclusi quelli relativi alla salute, evidenziando anzitutto che il settore del trasporto aereo è regolato da un complesso sistema normativo, sia a livello nazionale che europeo e internazionale, che impone obblighi stringenti in materia di sicurezza, i quali non riguardano soltanto gli aspetti tecnici del volo, ma includono anche la tutela della salute e dell’incolumità dei passeggeri già nella fase precedente all’imbarco.
In questo contesto, le compagnie aeree sono tenute ad adottare misure preventive per verificare che ogni passeggero sia in condizioni idonee a viaggiare, evitando situazioni che possano mettere a rischio sé stesso o gli altri durante il volo.
Questa esigenza è particolarmente rilevante nei confronti dei passeggeri con condizioni mediche particolari o con mobilità ridotta (PMR), per i quali la normativa europea, in particolare il Regolamento (CE) n. 1107/2006, prevede specifiche tutele. Tale regolamento stabilisce che questi passeggeri devono poter accedere al trasporto aereo, senza discriminazioni, e ricevere assistenza adeguata e gratuita, salvo limitazioni giustificate da motivi di sicurezza.
Per garantire tali obiettivi, le compagnie possono richiedere informazioni sulle condizioni di salute dei passeggeri e, se necessario, anche certificazioni mediche. In linea con queste disposizioni, la Compagnia adotta e utilizza il modulo MEDIF, uno strumento standardizzato che consente di raccogliere le informazioni necessarie per valutare l’idoneità al volo e predisporre eventuali misure di assistenza speciale.
La compilazione del MEDIF è richiesta dalla Società solo in presenza di determinate condizioni, come la necessità di assistenza medica durante il volo, l’uso di dispositivi sanitari, recenti interventi chirurgici o patologie che possano rendere incerta la capacità di affrontare il viaggio in sicurezza. Al contrario, non è richiesto nei casi in cui il passeggero necessiti esclusivamente di assistenza a terra.
Il modulo MEDIF contiene dati identificativi, informazioni di contatto, dettagli sullo stato di salute, eventuali esigenze mediche o di mobilità, nonché i dati del medico curante e dell’eventuale accompagnatore. Tali informazioni sono considerate strettamente necessarie per le finalità perseguite, ossia la verifica dell’idoneità al volo, l’organizzazione dell’assistenza e il rispetto degli obblighi normativi in materia di sicurezza del trasporto aereo.
Emirates ha sottolineato inoltre l’impegno a rispettare pienamente la normativa sulla protezione dei dati personali, dichiarando di fornire ai passeggeri un’informativa chiara e accessibile sul trattamento dei dati, disponibile sul proprio sito web, nonché di impegnarsi a garantire -agli interessati- l’esercizio dei diritti previsti dal Regolamento.
Per quanto riguarda la base giuridica del trattamento, Emirates ha chiarito che i dati personali comuni sono trattati per l’esecuzione del contratto di trasporto e per adempiere agli obblighi legali in materia di sicurezza. I dati relativi alla salute, invece, sono trattati per motivi di interesse pubblico rilevante, connessi alla sicurezza del trasporto aereo e alla tutela dei passeggeri.
Dal punto di vista operativo, i dati raccolti tramite il MEDIF sono accessibili solo al personale autorizzato, come il team medico, il servizio clienti e il personale tecnico coinvolto nella predisposizione dell’assistenza. Il modulo deve essere compilato prima del viaggio e inviato almeno 48 ore prima della partenza, così da consentire una valutazione adeguata. I dati vengono conservati per la durata del viaggio e successivamente per un periodo di sette anni, al fine di soddisfare esigenze legali e difensive, dopodiché vengono cancellati.
In conclusione, la Società ha dichiarato che il trattamento dei dati personali, effettuato tramite il MEDIF, è limitato a quanto strettamente necessario, proporzionato alle finalità perseguite e conforme ai principi del Regolamento, ciò in quanto tale trattamento rappresenta uno strumento essenziale per garantire la sicurezza del volo e fornire un servizio adeguato ai passeggeri con esigenze particolari.
3. La notifica delle violazioni e le memorie difensive.
Con comunicazione del 30 settembre 2025, l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria ha provveduto a notificare ad Emirates l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83, del Regolamento, in relazione alla violazione degli artt. 5, par. 1, lett. a) b), c), e), 6, par. 1, 9, par. 2, 12 e 13 del Regolamento; ciò in conformità a quanto previsto dall’art. 166, comma 5, del Codice.
Ciò in quanto non veniva sufficientemente argomentata, dalla Società, la necessità della compilazione -rispetto al caso di specie- del modulo MEDIF, né, d’altronde, altrettanto sufficienti sono risultate le argomentazioni a sostegno del rispetto degli obblighi di aver fornito adeguata informativa all’interessata, nonché in merito alla limitazione della conservazione della documentazione predetta.
Al riguardo, la Società, con comunicazione del 31 ottobre 2025, ha fatto pervenire i propri scritti difensivi.
In merito, rispetto alle violazioni contestate, Emirates ha fornito ulteriori elementi a sostegno della liceità del trattamento dei dati posto in essere, operando, in particolare, un più puntuale richiamo degli obblighi normativi -internazionali ed europei- previsti nel trasporto aereo che impongono la verifica dell’idoneità al volo dei passeggeri con condizioni mediche, anche attraverso la relativa raccolta di informazioni sanitarie (attraverso, ad esempio, l’uso di strumenti standard come il MEDIF).
Questi obblighi sono diretta emanazione di direttive provenienti da organismi di regolazione del settore aereo, come l’ENAC (Ente Nazionale per l’Aviazione Civile), ICAO (International Civil Aviation Organization/Organizzazione Internazionale dell’Aviazione Civile), IATA (International Air Transport Association/ Associazione Internazionale del Trasporto Aereo) ed ECAC (European Civil Aviation Conference/Conferenza Europea dell’Aviazione Civile), i quali impongono ai vettori una articolata normativa, per finalità di sicurezza, rispetto alla quale, la raccolta, in particolare dei dati sanitari si determina funzionale a garantire la sicurezza del volo, a prevenire emergenze mediche a bordo ed a fornire assistenza adeguata ai passeggeri con disabilità o problemi di salute.
Ciò in quanto, “il trasporto aereo […] si svolge in un ambiente fisiologicamente peculiare, caratterizzato da una pressione in cabina ridotta (la pressione dell’aria varia sensibilmente nei 15-30 minuti successivi al decollo e prima dell’atterraggio, e l’espansione o la compressione dei gas può causare dolore o sensazioni di pressione) e da una minore disponibilità di ossigeno (equivalente a quella presente a un’altitudine di circa 1.800-2.400 metri, con una pressione parziale di ossigeno inferiore di circa il 20% rispetto al livello del mare), nonché da risorse mediche a bordo limitate” (pag. 10 nota del 30 ottobre 2025).
In merito all’individuazione della base giuridica, Emirates ha affermato pertanto che il trattamento si basa sull’esecuzione del contratto (assistenza richiesta dal passeggero); nonché sugli obblighi legali di sicurezza del volo e il correlato interesse pubblico rilevante alla sicurezza e salute del passeggero, sulla base di una impostazione che non considera adeguata la base giuridica del consenso per il trattamento dei dati sanitari dei passeggeri, in quanto “in un rapporto come quello di trasporto aereo, caratterizzato da un'evidente asimmetria tra passeggero e vettore e da un condizionamento contrattuale” risulterebbe compromessa “la libertà di scelta dell'interessato” (pag. 11 nota del 30 ottobre 2025).
È stato inoltre rappresentato che il modulo MEDIF è uno standard internazionale, adottato da molte compagnie aeree, e che la Società ne richiede la compilazione solo ai passeggeri che rientrano nelle categorie interessate dalle normative, circostanza che sarebbe dimostrata, nel caso specifico, dal fatto che “la cliente ha fornito solo i dati necessari” (pag. 14 nota del 30 ottobre 2025).
Con riguardo agli altri aspetti oggetto di contestazione, la Compagnia ha argomentato:
- rispetto alla mancanza di sufficienti informazioni rese agli interessati con disabilità o a mobilità ridotta sui trattamenti oggetto del procedimento “le misure adottate da Emirates in materia di trasparenza e informazione agli interessati devono ritenersi pienamente conformi agli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento, nonché in linea con le indicazioni dell'EDPB sul tema, in quanto garantiscono un accesso costante, chiaro e completo alle informazioni sul trattamento dei dati personali, ivi compresi quelli relativi allo stato di salute dei PMR raccolti tramite il modulo MEDIF. L'informativa generale, costantemente disponibile nel footer del sito internet di Emirates e integrata da canali diretti di contatto con il Data Privacy Office, assicura un elevato livello di comprensibilità e fruibilità.” (cfr. nota cit., pag. 21);
- relativamente alla mancata individuazione di idonei tempi di conservazione dei dati degli interessati con disabilità o a mobilità ridotta, “la durata settennale del periodo di conservazione dei moduli MEDIF deve ritenersi pienamente conforme al principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del Regolamento, in quanto necessaria, proporzionata e coerente con gli obblighi normativi e operativi propri del settore del trasporto aereo. Tale periodo garantisce, infatti, la possibilità di adempiere agli obblighi di sicurezza e audit previsti dalle autorità dell’aviazione civile, nonché di assicurare la difesa dei diritti del vettore in caso di eventuali reclami o contenziosi, nel rispetto dei termini di prescrizione applicabili alle società stabilite negli Emirati Arabi. (cfr. nota cit., pag. 23);
- con riferimento al numero di interessati coinvolti, “ha riguardato un numero estremamente limitato di interessati globali, pari a circa 7.300 passeggeri nel corso del 2024, a fronte di oltre circa 53,7 milioni di viaggiatori trasportati nello stesso periodo (ossia circa lo 0,01% del totale), riconducibile ai soli passeggeri che, globalmente, in casi specifici e circoscritti, hanno presentato una richiesta di assistenza medica o di valutazione di idoneità al volo tramite il modulo MEDIF. Si tratta, pertanto, di un trattamento ristretto ed episodico, non sistematico né su larga scala, riferito esclusivamente ai passeggeri che hanno manifestato esigenze sanitarie particolari, e non a tutti i clienti della Società” (cfr. nota cit., pag. 23);
- con riferimento agli ulteriori elementi di valutazione ai sensi dell’art. 83, par. 2 del Regolamento, deve essere considerata la circostanza che la Società ha “agito in buona fede, nella convinzione piena e ragionevole della liceità dei trattamenti effettuati, avendo strutturato le proprie procedure in linea con le prassi consolidate del settore e con le indicazioni delle autorità aeronautiche competenti (a titolo meramente esemplificativo, si ricorda come il modulo MEDIF adottato da Emirates riproduca il modello dell'IATA)” (cfr. nota cit., pag. 25).
3.1 Misure adottate e misure in corso di adozione da parte di Emirates.
A seguito dell'avvio del procedimento, Emirates ha rappresentato di aver provveduto a:
- “rafforzare la visibilità delle informazioni fornite agli interessati in relazione al trattamento dei loro dati personali in ossequio al principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 12 del Regolamento, introducendo nella stessa pagina web dedicata alla compilazione del modulo MEDIF una sezione specifica denominata "Protezione dei dati", che contiene una sintesi chiara delle finalità e modalità del trattamento e un link diretto alla informativa sul trattamento dei dati generale, costantemente aggiornata e accessibile da ogni pagina del sito istituzionale (cfr. Modulo MEDIF (Medical Information Form) | Salute in viaggio | Emirates Italia)”;
- “avviare una revisione interna del periodo di conservazione dei dati trattati tramite il modulo MEDIF, con l'obiettivo di ridurre la durata attualmente prevista, pur mantenendo un periodo proporzionato alle finalità di sicurezza e tutela giuridica perseguite, nonché nel rispetto di eventuali periodi di conservazione e prescrizione previsti dalla normativa applicabile. Tale revisione è stata intrapresa in ottica collaborativa, al fine di allinearsi alle più recenti aspettative espresse dal Garante in ossequio ai principi di minimizzazione e limitazione della conservazione di cui all'art. 5 del Regolamento” (cfr. scritti difensivi del 31 ottobre 2025, pag. 25).
Si dà inoltre atto inoltre che, in adempimento al principio di accountability, la Compagnia ha dichiarato che “Emirates sta valutando altresì l'introduzione di un'informativa sintetica dedicata specificamente al modulo MEDIF, da pubblicare nella medesima sezione del sito, con lo scopo di riassumere in modo ancora più immediato le finalità, le basi giuridiche e i tempi di conservazione del trattamento, rinviando alla informativa completa per ulteriori dettagli”.
4. L’esito dell’istruttoria e le valutazioni del Dipartimento. La liceità del trattamento dei dati relativi agli interessati con disabilità o a mobilità ridotta.
All’esito dell’esame delle dichiarazioni rese all’Autorità, nel corso del procedimento, nonché della documentazione acquisita, risulta che la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento, riferite anzitutto alla reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.
In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Tanto doverosamente premesso, alla luce degli elementi acquisiti nel corso del procedimento nonché delle successive valutazioni svolte da questo Ufficio, risulta accertato quanto segue.
Con particolare riferimento alla liceità del trattamento dei dati relativi agli interessati con disabilità o a mobilità ridotta, sono emersi in sede di acquisizione delle memorie difensive (cfr. par. 3) una serie di chiarimenti, relativi al contesto normativo e agli obblighi di Emirates nel trasporto aereo dei PMR (“persone a mobilità ridotta”) e, più in generale, alla legittimità del trattamento dei dati personali, anche con riferimento alla condizione specifica della reclamante (v. in particolare, par. 2, pagg. da 6 a 18 delle memorie citate).
Al riguardo, l’Autorità ha anche interpellato formalmente (v. nota prot. n. 29447 del 25/02/2026) l’Ente Nazionale per l’Aviazione Civile (ENAC), organismo responsabile in Italia del rispetto dei diritti del passeggero diversamente abile o a mobilità ridotta, al fine di approfondire la portata degli obblighi legali di verifica dell’idoneità al volo nonché, per i dati appartenenti a categorie particolari, di cui all'art. 9 del Regolamento, la possibilità di rinvenire in tali disposizioni il perseguimento di motivi di interesse pubblico rilevante connessi alla sicurezza del trasporto aereo.
Con nota prot. n. 39556 del 16 marzo 2026, l’ENAC ha rappresentato all’Autorità che “nel caso specifico di passeggeri con patologie croniche o degenerative, l’acquisizione di dettagli sullo stato di salute attuale è l’unico strumento che permette alla Compagnia di predisporre le misure di sicurezza ed evitare rischi quali atterraggi non programmati o emergenze mediche in alta quota” e, pertanto, che “il trattamento dei dati raccolti tramite MEDIF da parte di Emirates, in base a quanto evidenziato dalla Direzione Tutela dei Diritti del Passeggero ENAC, è, pertanto, da ritenersi conforme ai principi di cui all’art. 5 del GDPR, essendo strettamente funzionale alla prestazione del servizio di trasporto in condizioni di sicurezza e all’erogazione dell’assistenza necessaria, nel pieno rispetto del diritto alla mobilità dei passeggeri con disabilità o mobilità ridotta”.
Alla luce di quanto sopra esposto, questo Dipartimento, considerate le competenze di ENAC quale “autorità unica di regolazione tecnica, certificazione, vigilanza e controllo nel settore dell’aviazione civile in Italia”, prende atto di quanto affermato da tale Ente e, pertanto, non ravvisa gli estremi di una violazione, da parte della Società, degli obblighi di cui all’art. 5, par. 1, lett. a), b) e c), art. 6, par. 1 e art. 9 del Regolamento.
4.1. La violazione degli obblighi di trasparenza nei confronti degli interessati.
Nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento).
Nel corso dell’istruttoria, è invece risultato che Emirates, pur richiedendo “ai passeggeri che hanno problemi di salute o necessitano di assistenza per viaggiare, di verificare l'idoneità a volare prima del viaggio e la tipologia di assistenza speciale richiesta, tramite la compilazione del modulo c.d. "MEDIF"”, non adempie adeguatamente agli obblighi informativi sopra descritti.
Ciò, sia con riguardo a quanto riportato sulla pagina del sito dedicata al modulo MEDIF (cfr. accedendo alla pagina del sito relativa alla compilazione del modulo MEDIF, si avverte semplicemente “Compilando il modulo MEDIF (Medical Information Form), consentirete al nostro personale di valutare se potete volare in condizioni di sicurezza e in che misura possiamo fornire assistenza durante il viaggio.”), sia nell’informativa generale sul trattamento dei dati personali, dove manca, tra l’altro, una sezione dedicata a questo tipo di trattamento (cfr. privacy policy Emirates, laddove si fa genericamente menzione al fatto che “in alcune circostanze avremo bisogno di raccogliere le categorie particolari di dati personali, ad esempio stato di salute e condizioni mediche”), sia infine con riferimento alle prassi emerse rispetto al caso concreto, dove non risulta che il personale addetto abbia, in alcun momento, fornito all’interessato informazioni chiare, concise e trasparenti sulle operazioni di trattamento dei propri dati personali poste in essere dalla Società, tramite il modulo MEDIF.
Non emerge, in particolare, la possibilità, per il cliente/interessato, di conoscere preventivamente se, a cagione della sua malattia o condizione personale, verrà effettivamente sottoposto a un siffatto trattamento di dati personali, a seguito della stipula del contratto di trasporto aereo.
Sul punto, pur prendendo atto che la Società ha, dopo l'avvio del procedimento, inserito nel footer della pagina web relativa alla richiesta di compilazione del modulo il link che consente di accedere al documento integrale dell’informativa, risulta tuttora complesso per l’interessato ricostruire alcune informazioni necessarie quali, tra l’altro, le basi giuridiche, le finalità del trattamento. Si registra inoltre che alcune indicazioni risultano, ad oggi, ancora non indicate (ad esempio i tempi di conservazione dei dati personali).
Alla luce delle considerazioni che precedono, deve pertanto concludersi che Emirates ha fornito agli interessati un’informativa non idonea sul trattamento dei dati personali avendo, pertanto, agito in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento.
4.2. La violazione del principio di limitazione della conservazione.
Nell’ambito dell’istruttoria, sono stati riscontrati ulteriori profili di violazione, concernenti in particolare i tempi di conservazione dei dati personali della clientela.
In particolare, sul punto, è stato accertato che Emirates non ha definito tempistiche idonee alla finalità per le quali i dati vengono raccolti, dichiarando che “una volta ricevuto, il MEDIF viene conservato a cura di Emirates insieme ai documenti di viaggio del passeggero e mantenuto per tutto il volo (o l'intero itinerario di viaggio se il passeggero ha prenotato più voli per cui è richiesta la medesima assistenza speciale), nonché per i 7 anni successivi”.
Al riguardo, merita invero evidenziare che l’art. 5, par. 1, lett. e) del Regolamento prevede che i dati personali devono essere conservati in modo da consentire l’identificazione dell’interessato, per un arco di tempo non superiore a quello necessario a conseguire le finalità del trattamento.
Il principio di conservazione, infatti, impone al titolare l’onere di valutare la durata del trattamento, in necessaria correlazione con le specifiche finalità prefissate, a monte all’atto della raccolta; ciò al fine di “assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” (v. cons. 39 del Regolamento).
Trattasi dell’obbligo del titolare di garantire una “corretta” durata del trattamento che, in caso contrario, potrebbe protrarsi oltre il raggiungimento delle specifiche finalità dello stesso con impatto sui principi di liceità, correttezza e trasparenza (art. 5 del Regolamento).
Sul punto, la Società si è limitata a rappresentare che tale conservazione è il frutto del “ragionevole punto di equilibrio tra i limiti minimi e massimi derivanti dai quadri normativi internazionali e locali applicabili”, in quanto “necessaria per:
- adempiere a obblighi legali e regolamentari in materia di sicurezza aerea, audit e compliance previsti dalle autorità dell'aviazione civile (come l'ENAC e l'IATA), che richiedono la disponibilità dei registri per periodi pluriennali;
- la tutela giuridica del vettore, consentendo di dimostrare la corretta gestione dell'idoneità al volo e dell'assistenza prestata in caso di reclami, contenziosi o richieste di risarcimento danni che, per legge, possono essere avanzate fino a diversi anni dopo il trasporto (si pensi, ad esempio, ai termini di prescrizione previsti dalla Convenzione di Montreal o dalle normative nazionali in materia di responsabilità del vettore) e, comunque, nel rispetto del termine di prescrizione stabilito dalle leggi e dai requisiti normativi locali applicabili a Dubai e negli Emirati Arabi Uniti (sul punto, si precisa che per gli Emirati Arabi Uniti – Paese in cui Emirates ha la propria sede – il termine di prescrizione è pari a quindici anni, mentre per l’Italia – dove Emirates opera tramite sedi secondarie e dove risiede la Reclamante – il termine è di dieci anni)”.
Al riguardo, si osserva però che le finalità di raccolta del dato, da parte della Società (“verificare l'idoneità a volare prima del viaggio”), possono consentire la conservazione per un breve periodo di tempo collegato all’effettuazione e al buon esito del viaggio, mentre la conservazione dei dati relativi alle condizioni di salute dei clienti, per un arco temporale superiore a quello strettamente necessario per il conseguimento di predetta finalità, si pone in contrasto con la normativa, anche perché la presenza di contenziosi, dopo anni dal viaggio e in relazione a trasporti privi di ogni reclamo o segnalazione, si appalesa come del tutto astratto e di scarsa probabilità.
Tra l’altro, la Compagnia stessa osserva come “ai sensi della Convenzione di Montreal che disciplina la responsabilità del vettore nel trasporto aereo internazionale, le azioni per il risarcimento dei danni derivanti dal trasporto devono essere promosse entro due anni dalla data di arrivo a destinazione o da quella in cui l’aeromobile avrebbe dovuto arrivare. Tale previsione costituisce un parametro minimo per la conservazione della documentazione necessaria a dimostrare la corretta esecuzione delle obbligazioni di trasporto, inclusi i registri relativi all’assistenza medica fornita ai passeggeri e alle valutazioni di idoneità al volo”.
Dell’importanza di rivalutare i tempi di conservazione è quindi probabilmente conscia anche Emirates la quale “ha avviato una revisione interna volta a valutare l'adozione di un periodo di conservazione più breve, comunque proporzionato alle finalità perseguite (ad esempio, tre anni), in linea con le aspettative espresse dall'Autorità”.
In tale prospettiva, la conservazione dei dati relativi alle condizioni di salute dei clienti, per un arco temporale superiore a quello strettamente necessario per il conseguimento di predetta finalità, si pone pertanto in contrasto con il Regolamento. Ne consegue quindi la violazione, da parte di Emirates delle disposizioni di cui all’art. 5, par. 1, lett. e) del Regolamento.
5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.
Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria hanno consentono solo parzialmente di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, in relazione agli artt. 5, par. 1, lett. a) ed e), 12 e 13 del Regolamento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento posto in essere dalla Società, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) ed e), 12 e 13 del Regolamento.
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
6. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).
L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).
In tale quadro, si prende atto delle dichiarazioni rese dalla Società nel corso del procedimento sull’impegno a “rafforzare la visibilità delle informazioni fornite agli interessati in relazione al trattamento dei loro dati personali in ossequio al principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 12 del Regolamento, introducendo nella stessa pagina web dedicata alla compilazione del modulo MEDIF una sezione specifica denominata "Protezione dei dati", che contiene una sintesi chiara delle finalità e modalità del trattamento e un link diretto alla informativa sul trattamento dei dati generale, costantemente aggiornata e accessibile da ogni pagina del sito istituzionale (cfr. Modulo MEDIF (Medical Information Form) | Salute in viaggio | Emirates Italia)”.
Tenuto tuttavia conto che, sul sito internet della Società, sono tutt’ora presenti informazioni poco chiare, rispetto alla compilazione del modulo MEDIF, si ritiene necessario ingiungere alla Società, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di:
effettuare una ricognizione di tutte le categorie di soggetti tenute alla compilazione del modulo e di appurare, quali, tra queste, siano effettivamente strumentali al perseguimento della finalità di tutela della sicurezza del trasporto aereo sulla base della normativa pertinente, provvedendo conseguentemente a indicare le categorie interessate da tale trattamento di dati personali, possibilmente in una sezione apposita dell’informativa, da indicare anche nella pagina relativa alla compilazione del modulo;
stabilire, con riferimento alle categorie oggetto della normativa di interesse, quali sezioni del modulo debbano essere compilate e quali campi invece è possibile lasciare “in bianco”, in quanto non necessari per il conseguimento delle finalità previste dalla normativa specialistica.
Inoltre, tenuto conto che la procedura di cancellazione dei dati raccolti è da considerarsi, allo stato, eseguita dopo 7 anni e, pertanto, in violazione principio di limitazione della conservazione (v. supra, par. 4.2), si ritiene necessario ingiungere altresì alla Società, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di individuare specifiche tempistiche di conservazione dei dati dei passeggeri tenuti alla compilazione del modulo MEDIF; ciò in linea con il principio di limitazione della conservazione sancito dall’art. 5, par. 1, lett. e) del Regolamento e procedere quindi alla cancellazione di tutti i dati attualmente raccolti, che superino tale nuovo limite di conservazione.
Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, la Società dovrà provvedere a comunicare all’Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ingiunto ai sensi del citato art. 58, par. 2, lett. d), del Regolamento.
7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689).
La violazione, accertata nei termini di cui in motivazione, non può essere considerata "minore", tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
- in relazione alla natura, gravità e durata della violazione, sono state considerate rilevanti la circostanza che la violazione accertata riguarda un numero limitato di soggetti rispetto al numero totale dei clienti/passeggeri di Emirates, nonché la circostanza che per le condotte sono state disposte prescrizioni;
- con riferimento al carattere colposo o doloso della violazione e al grado di responsabilità del titolare, la condotta tenuta dalla Società che non pare in alcun modo aver voluto discriminare la reclamante;
- non risultano precedenti violazioni della disciplina in materia di protezione dei dati personali da parte di Emirates.
Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore così come rilevate dal bilancio dell’anno 2024.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Emirates, la sanzione amministrativa del pagamento di una somma pari ad euro 180.000,00 (centottantamila). In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento del Garante n. 1/2019); non sono invece ravvisati i presupposti per l’applicazione di quanto previsto dall’art. 166, comma 7, del Codice.
In tale quadro si ritiene che, visto l’apprezzabile numero di soggetti potenzialmente coinvolti dal trattamento posto in essere, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da Emirates, con sede legale in Dubai p.o. Box 686 (Emirati Arabi Uniti) e sede secondaria in Roma, via Chopin 12, cap 00144, P.I. 04281291007, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a) ed e), 12 e 13 del Regolamento;
ORDINA
- ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 180.000,00 (centottantamila), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
- ai sensi dell'art. 58, par. 2, lett. d) del Regolamento di individuare specifiche modalità per fornire le adeguate informazioni agli interessati dei trattamenti posti in essere mediante il modulo MEDIF, nonché di configurare idonee tempistiche di conservazione dei dati, secondo le modalità previste al par. 6 del presente provvedimento, entro 30 giorni dalla notifica del presente provvedimento. Entro lo stesso termine la Società dovrà inviare all’Autorità un riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento;
INGIUNGE
quindi alla medesima Società di pagare la predetta somma di euro 180.000,00 (centottantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;
Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).
DISPONE
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 14 maggio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Montuori
