In data 13 marzo 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-247/23, VP contro Országos Idegenrendészeti Főigazgatóság, sull’interpretazione dell’articolo 16 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra VP, una persona fisica, e l’Országos Idegenrendészeti Főigazgatóság (Direzione generale ungherese della polizia degli stranieri) in merito alla rettifica dei dati relativi all’identità di genere di VP in un registro pubblico tenuto da tale autorità.
Questi i fatti.
VP è una persona di cittadinanza iraniana che, a sostegno della domanda di ottenimento dello status di rifugiato in Ungheria nel corso del 2014, aveva invocato la sua transidentità e aveva prodotto certificati medici rilasciati da specialisti in psichiatria e ginecologia. A seguito del riconoscimento di tale status, tuttavia, VP era stato registrato come donna nell’apposito registro tenuto dall’autorità competente in materia di asilo e contenente i dati di identificazione, compreso il genere, delle persone fisiche che hanno ottenuto lo status in questione. Nel corso del 2022, pertanto, VP aveva presentato una domanda diretta a far rettificare la menzione del suo genere come maschile e a modificare il suo nome nel registro dell’asilo. L’autorità competente in materia di asilo, tuttavia, aveva respinto tale domanda sostenendo che VP non aveva dimostrato di aver subito un trattamento chirurgico di riassegnazione sessuale, e che i certificati forniti dimostravano soltanto la sua transidentità. Di conseguenza, VP aveva proposto un ricorso di annullamento avverso tale decisione dinanzi alla Fővárosi Törvényszék (Corte di Budapest-Capitale; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 16[2] del GDPR debba essere interpretato nel senso che impone ad un’autorità nazionale incaricata della tenuta di un registro pubblico di rettificare i dati personali relativi all’identità di genere di una persona fisica qualora essi non siano esatti, ai sensi dell’articolo 5, paragrafo 1, lettera d)[3], di tale regolamento.
La Corte ha preliminarmente ricordato che il GDPR si prefigge di garantire un elevato livello di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali[4]. Nello specifico, qualsiasi trattamento di dati personali deve non solo essere conforme ai principi enunciati all’articolo 5 di tale regolamento, compreso quello di esattezza, e bensì anche soddisfare le condizioni di liceità elencate all’articolo 6[5]. Di conseguenza, l’aggiornamento dei dati trattati costituisce un aspetto essenziale della tutela della persona interessata con riguardo al trattamento degli stessi.
Tutto ciò premesso, spetta al giudice del rinvio verificare l’esattezza del dato in questione nel caso concreto alla luce della finalità per la quale esso era stato raccolto e valutare, in particolare, se la sua raccolta abbia lo scopo di identificare la persona interessata. Se così fosse, tale dato sembrerebbe riguardare l’identità di genere vissuta da tale persona, e non quella che le sarebbe stata assegnata alla nascita. In tale contesto, pertanto, spetterebbe al titolare del trattamento, ossia all’autorità competente in materia di asilo, prendere in considerazione l’identità di genere di detta persona al momento della sua iscrizione nel registro dell’asilo, e non quella che gli sarebbe stata assegnata alla nascita. Di conseguenza, il dato personale relativo alla sua identità di genere, figurante nel registro dell’asilo, sembra essere stato inesatto sin dalla sua iscrizione.
Con le questioni seconda e terza, invece, il giudice del rinvio chiedeva se l’articolo 16 del GDPR debba essere interpretato nel senso che uno Stato Membro può subordinare, mediante una prassi amministrativa, l’esercizio del diritto di rettifica dei dati personali relativi all’identità di genere di una persona fisica, contenuti in un registro pubblico, alla produzione di prove, segnatamente, di un trattamento chirurgico di riassegnazione sessuale.
La Corte ha preliminarmente ricordato che l’articolo 16 del GDPR non precisa quali siano gli elementi di prova che possono essere richiesti da un titolare del trattamento al fine di dimostrare l’inesattezza dei dati personali di cui una persona fisica chiede la rettifica. Di conseguenza se l’interessato, che chiede la rettifica di tali dati, può essere tenuto a fornire gli elementi di prova pertinenti e sufficienti che, alla luce delle circostanze del caso concreto, possono ragionevolmente essergli richiesti per dimostrarne l’inesattezza[6], uno Stato Membro può limitare l’esercizio del diritto di rettifica solo nel rispetto dell’articolo 23[7] del GDPR.
Tutto ciò premesso, la prassi amministrativa in questione nel caso concreto non soddisfa il requisito secondo cui il diritto di uno Stato Membro può limitare la portata del diritto previsto all’articolo 16 del GDPR solo mediante misure legislative. Il diritto ungherese, infatti, non sembra contenere alcuna misura relativa ai requisiti probatori applicabili quanto alla rettifica dei dati relativi all’identità di genere delle persone iscritte nel registro dell’asilo. Una prassi del genere, inoltre, pregiudica l’essenza dei diritti fondamentali all’integrità della persona e al rispetto della vita privata, non essendo, in ogni caso, necessaria né proporzionata al fine di garantire l’affidabilità e la coerenza di un registro pubblico quale quello dell’asilo, dal momento che un certificato medico, ivi compresa una previa diagnosi psicologica, può costituire un elemento di prova pertinente e sufficiente al riguardo.
Alla luce di quanto visto finora, la Corte ha pertanto statuito che:
“L’articolo 16 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che impone a un’autorità nazionale incaricata della tenuta di un registro pubblico di rettificare i dati personali relativi all’identità di genere di una persona fisica qualora tali dati non siano esatti, ai sensi dell’articolo 5, paragrafo 1, lettera d), di tale regolamento.
L’articolo 16 del regolamento 2016/679 dev’essere interpretato nel senso che ai fini dell’esercizio del diritto di rettifica dei dati personali relativi all’identità di genere di una persona fisica, contenuti in un registro pubblico, tale persona può essere tenuta a fornire gli elementi di prova pertinenti e sufficienti che si possono ragionevolmente richiedere a detta persona per dimostrare l’inesattezza di tali dati. Tuttavia, uno Stato membro non può in alcun caso subordinare, mediante una prassi amministrativa, l’esercizio di tale diritto alla produzione di prove di un trattamento chirurgico di riassegnazione sessuale”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 16 GDPR, intitolato “Diritto di rettifica”, dispone: “… L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa…”.
[3] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 1 lettera d) dispone: “… I dati personali sono:
(…)
- d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»)…”.
[4] CGUE 09.01.2025, Causa C‑394/23, Mousse, punto 21.
[5] Ibidem, punto 22.
[6] CGUE 08.12.2022, Causa C‑460/20, Google (Deindicizzazione di un contenuto asseritamente inesatto), punti 68-72.
[7] L’articolo 23 GDPR, intitolato “Limitazioni”, al paragrafo 1 dispone: “… Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
- a) la sicurezza nazionale;
- b) la difesa;
- c) la sicurezza pubblica;
- d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
- e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
- f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
- g) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;
- h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);
- i) la tutela dell’interessato o dei diritti e delle libertà altrui;
- j) l’esecuzione delle azioni civili…”.