Il diritto di rettifica, sancito dall’articolo 16 del Regolamento Ue 2016/679 o GDPR, garantisce agli interessati la possibilità di ottenere la correzione di dati personali inesatti o incompleti. Tale diritto si inserisce nell’ambito del principio di esattezza stabilito dall’articolo 5, paragrafo 1, lettera d), del GDPR, secondo cui i dati personali devono essere accurati e, se necessario, aggiornati. Il diritto di rettifica assume particolare rilevanza quando il dato errato può determinare effetti pregiudizievoli per l’interessato, come accade nelle ipotesi di registrazione del gender nei registri pubblici.
Uno dei casi più delicati di applicazione del diritto di rettifica riguarda la transizione del genere e susseguente modifica di quello anagrafico.
In tale contesto, la Pubblica Amministrazione sarebbe tenuta a garantire l’aggiornamento dei dati in conformità al principio di correttezza ed esattezza sancito dall’articolo 5, paragrafo 1, lettera d), del GDPR. Il mancato adeguamento del dato personale può comportare una violazione del diritto dell’interessato alla propria identità e dignità personale.
La questione è stata oggetto di attenzione giurisprudenziale a livello europeo. In particolare, recentemente, la Corte di Giustizia dell’Unione Europea (CGUE) è stata chiamata a pronunciarsi su tre aspetti fondamentali:
- L’obbligo dell’autorità incaricata della tenuta dei registri pubblici di rettificare il dato relativo al sesso di una persona in caso di variazione successiva all’inserimento nei registri;
- L’onere probatorio che giustifichi l’istanza di rettifica;
- L’eventuale dimostrazione dell’avvenuta riassegnazione chirurgica del sesso.
L’analisi della pronuncia della CGUE fornisce chiarimenti fondamentali sul bilanciamento tra la necessità di accuratezza dei registri pubblici e il rispetto dei diritti fondamentali degli interessati, con ricadute significative sulle prassi amministrative degli Stati membri dell’Unione Europea.
Indice degli argomenti
Il diritto di rettifica e principio di esattezza: gli effetti pregiudizievoli per gli interessati
Il diritto di rettifica, sancito dall’art. 16 del Reg. (UE) 2016/679 (GDPR), rappresenta una delle principali garanzie offerte agli interessati per assicurare che i propri dati personali siano trattati in modo accurato e aggiornato. In particolare, tale diritto consente agli interessati di ottenere dal titolare del trattamento la correzione dei dati personali inesatti che li riguardano, nonché l’integrazione dei dati personali incompleti, anche mediante una dichiarazione integrativa.
Il diritto di rettifica si inserisce nel solco del principio di esattezza stabilito dall’articolo 5, par. 1, lett. d) GDPR, secondo cui i dati personali devono essere esatti e, se necessario, aggiornati. Il titolare del trattamento è tenuto ad adottare tutte le misure ragionevoli per rettificare tempestivamente i dati inesatti rispetto alle finalità per i quali sono trattati.
L’importanza del diritto di rettifica è da tempo sottolineata dalla Corte di giustizia dell’Unione Europea (CGUE), che ha ribadito – a più riprese – come “l’esattezza dei dati personali” costituisca una delle condizioni di liceità del trattamento. Tra le diverse pronunce, nella sentenza Nowak (C-434/16, si fa riferimento –ratione temporis- art. 12, lett. b, direttiva 95/46), la CGUE ha riconosciuto che la tutela dei diritti fondamentali dell’interessato sia condizionata dall’esattezza dei dati personali che la riguardano e che questi siano trattati in maniera lecita.
La Causa Google Spain
Tra le pronunce più note, nella causa Google Spain (C-131/12), la CGUE ha ribadito l’importanza dell’esattezza dei dati personali, affermando che i dati inesatti o non aggiornati possono avere un impatto negativo sulla vita privata degli interessati e che questi ultimi hanno il diritto di ottenere la rettifica o la cancellazione di tali dati.
Si comprende allora che, gli effetti pregiudizievoli derivanti dalla presenza di dati inesatti, possono essere significativi, soprattutto quando tali dati sono utilizzati per prendere decisioni che incidono sui diritti e le libertà degli interessati.
A livello nazionale, in un caso esaminato dal Garante per la protezione dei dati personali, un referto medico riportava dati identificativi errati dell’interessato, tra cui la data di nascita e il codice fiscale. Il Garante ha rilevato che la comunicazione di dati inesatti ha determinato l’elaborazione di un referto errato, causando un pregiudizio all’interessato. Il titolare del trattamento è stato dunque sanzionato per aver trattato i dati dell’interessato nell’inosservanza del principio di esattezza, ossia in violazione dell’artico 5 del GDPR (provv. n. 389 del 31 agosto 2023).
I provvedimenti sanzionatori del Garante verso la PA
Analogamente, con particolare riferimento al diritto di rettifica, anche la P.A. è stata destinataria di provvedimenti sanzionatori del Garante. In una fattispecie, infatti, una Questura locale aveva comunicato dati inesatti a una pluralità di soggetti e, nonostante la richiesta di rettifica da parte dell’interessato, non aveva provveduto tempestivamente alla correzione. Il Garante ha ritenuto che la mancata rettifica tempestiva configurasse un trattamento scorretto dei dati personali e una violazione del diritto di rettifica, sicché comminava una sanzione amministrativa, di Euro 50.000, nei confronti del Ministero dell’Interno.
Inoltre, non solo il Garante, ma anche la giurisprudenza di merito ha riconosciuto l’importanza del diritto di rettifica e la necessità di bilanciare il diritto alla protezione dei dati personali con altri diritti fondamentali. In particolare, il Tribunale di Milano ha affermato che il diritto alla protezione dei dati personali evidenzia un interesse fondamentale della persona alla corretta e legittima utilizzazione dei propri dati, e che la violazione di tale diritto può comportare altresì un danno risarcibile (sul punto, Trib. Milano, sent. nn. 11920/2017 e 3578/2018).
Il diritto di rettifica assume pertanto particolare rilevanza quando il dato errato può determinare effetti pregiudizievoli per l’interessato, come accade nelle ipotesi di registrazione del gender nei registri pubblici. Un errore nella registrazione del gender può influire sull’identità dell’interessato, causando discriminazioni o limitazioni nell’accesso a diritti e servizi. A titolo esemplificativo, un errore nella registrazione del gender nei registri pubblici può avere conseguenze rilevanti sulla vita dell’interessato, influenzando l’accesso a servizi essenziali, diritti e opportunità. In tali casi, il diritto di rettifica diventa uno strumento importante per tutelare la dignità e l’identità dell’interessato.
In questa particolare ipotesi, il diritto di rettifica sancito ex art. 16 del GDPR rappresenta infatti una garanzia fondamentale per gli interessati, consentendo loro di ottenere la correzione di dati personali inesatti o incompleti relativi all’identità di genere.
Per converso, i titolari del trattamento devono adottare tutte le misure necessarie per garantire l’esattezza dei dati personali. Il rispetto di tali obblighi è essenziale per tutelare i diritti degli interessati e per garantire un trattamento dei dati personali conforme ai principi del GDPR.
La giurisprudenza europea in materia di transidentità e analisi della sentenza della CGUE nella causa C-247/23
Negli ultimi decenni, ha assunto sempre maggiore rilevanza il tema dell’applicazione del diritto di rettifica in relazione al riconoscimento giuridico dell’identità di genere, ossia alla possibilità di ottenere documenti ufficiali che rispecchino l’identità e l’espressione di genere di ciascun individuo. In questo contesto, la Corte Europea dei Diritti dell’Uomo (Corte EDU o Corte di Strasburgo) si è più volte pronunciata sulla protezione dell’identità di genere e sul diritto di modificare i documenti ufficiali per riflettere il cambiamento di genere e nome.
In tal senso, è emblematica la causa A.P. Garçon e Nicot c. Francia del 2017. La Corte Europea censurava alcune disposizioni della legislazione francese allorché subordinassero la rettificazione del sesso e del nome nei registri di stato civile a interventi chirurgici o trattamenti medici che causano sterilità permanente, ritenendo che ciò violasse l’articolo 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU), a tutela della vita privata e familiare.
La condanna della Corte EDU all’Italia
Inoltre, nella sentenza S.V. c. Italia del 2018, la Corte EDU condannava l’Italia per non aver consentito di modificare il proprio nome a una donna transgender che aveva intrapreso un percorso di transizione. Nello specifico, la Corte ha censurato la rigidità procedurale della normativa italiana, secondo cui non era possibile ottenere la modifica del nome sui documenti prima del completamento definitivo della transizione, che includeva l’intervento chirurgico.
Modificare i dati relativi all’identità di genere: il pronunciamento della Corte di Giustizia dell’Unione Europea
In linea di continuità con l’orientamento giurisprudenziale della Corte di Strasburgo, la Corte di Giustizia dell’Unione Europea si è recentemente espressa sulla possibilità di modificare i dati relativi all’identità di genere e, in particolare, sull’applicazione del diritto di rettifica previsto dall’art. 16 GDPR.
La vicenda[1] è nata da un cittadino iraniano che nel 2014 aveva ottenuto lo status di rifugiato in Ungheria invocando la sua transidentità, ma era stato registrato come donna nonostante avesse fornito certificati medici attestanti la sua identità di genere maschile. Nel 2022, il ricorrente ha richiesto, ai sensi dell’art. 16 del GDPR, la rettifica del genere e del nome iscritti nel registro dell’asilo, ma tale domanda è stata respinta dall’autorità ungherese, poiché non aveva subito un trattamento chirurgico di riassegnazione sessuale. Il richiedente proponeva quindi ricorso dinanzi alla Corte di Budapest, che ai sensi dell’art. 267 TFUE ha sottoposto alla CGUE le seguenti questioni pregiudiziali: obbligo di rettifica della P.A. nei casi di transidentità; onere probatorio richiesto per l’istanza di rettifica; eventuale prova dell’intervento chirurgico.
In merito alla prima questione, la Corte di Giustizia ha dapprima sottolineato come la rettifica dei dati trattati costituisca un aspetto essenziale della tutela dei soggetti interessati, così come previsto dal diritto di rettifica e dal principio di esattezza del GDPR, nonché dall’art. 8 della Carta dei Diritti Fondamentali dell’Unione Europea (Carta).
Successivamente, la Corte ha ribadito che l’esattezza dei dati deve essere valutata in relazione allo scopo per cui sono stati raccolti, e tale valutazione deve essere effettuata dal giudice del rinvio. In particolare, se i dati sull’identità di genere sono stati raccolti per identificare correttamente la persona, essi devono riflettere l’identità di genere vissuta dalla persona e non quella assegnata alla nascita. Nel caso di specie, il dato risultava inesatto sin dalla sua iscrizione nel registro da parte della pubblica amministrazione e pertanto l’interessato avrebbe avuto il diritto di chiederne la rettifica.
La CGUE respingeva altresì l’argomentazione del governo ungherese, il quale sosteneva che “la rettifica dei dati sarebbe ostacolata da disposizioni nazionali”. Gli Stati membri, invero, possono limitare l’esercizio del diritto di rettifica nei casi previsti dall’art. 23 del GDPR tuttavia, nel caso in esame, il rifiuto della rettifica non risultava sorretto da una previsione legislativa di tal fatta, bensì da un’interpretazione errata – da parte dell’autorità – delle condizioni di identità di genere della persona interessata.
La Corte di Lussemburgo precisava inoltre che non fosse possibile invocare l’assenza di un riconoscimento giuridico della transidentità per impedire l’esercizio del diritto alla rettifica. Sebbene gli Stati membri abbiano piena competenza in materia di stato civile delle persone e di riconoscimento giuridico della loro identità di genere, nell’esercizio di tale competenza devono sempre rispettare il diritto dell’Unione Europea, inclusi l’articolo 8 della Carta e l’art. 16 del GDPR.
Pertanto, la Corte statuiva che l’art. 16 del GDPR impone alle autorità nazionali incaricate della tenuta di registri pubblici di rettificare i dati personali relativi all’identità di genere qualora inesatti, in linea con il principio di esattezza.
In merito alla seconda e alla terza questione (trattate congiuntamente), ai fini dell’esercizio del diritto di rettifica dei dati personali relativi all’identità di genere, la CGUE ha affermato che: se da un lato l’istante possa essere tenuto a fornire gli elementi di prova pertinenti e sufficienti per dimostrare l’inesattezza dei dati, dall’altro lato gli Stati membri non possono subordinare l’esercizio di tale diritto alla presentazione di prove di un trattamento chirurgico di riassegnazione sessuale.
Il GDPR non indica infatti quali prove siano sufficienti a giustificare l’istanza di rettifica e, ove vi siano limitazioni nell’esercizio di tale diritto, questo deve avvenire in conformità all’art. 23 del GDPR, nonché dei diritti e delle libertà fondamentali garantiti dalla Carta dei Diritti Fondamentali dell’Unione Europea e dalla Convenzione Europea dei Diritti dell’Uomo. La protezione dell’identità di genere rientra, tanto nel diritto all’integrità della persona, quanto nel diritto al rispetto della vita privata, diritti sanciti rispettivamente dalla Carta (artt. 3 e 7) e dalla CEDU (art. 8) e questi non possono essere subordinati a trattamenti chirurgici che non siano espressione di una liberà volontà.
La prassi amministrativa adottata dall’Ungheria non poteva allora essere ritenuta né necessaria, né proporzionata al fine di garantire l’affidabilità e la coerenza di un registro pubblico. Al contrario, per fondare la richiesta di rettifica sarebbe stato sufficiente – in via del tutto esemplificativa- la produzione un certificato medico, comprensivo di una diagnosi psicologica.
Bilanciamento tra la necessità di accuratezza e il rispetto dei diritti fondamentali
Tanto rilevato, il bilanciamento tra l’esigenza di accuratezza dei dati e il rispetto dei diritti fondamentali impone alle amministrazioni pubbliche (e ai suoi funzionari) di adottare misure che garantiscano sia la qualità delle informazioni nei registri ufficiali, sia la tutela dell’identità e della dignità delle persone interessate. Il principio di esattezza sancito dall’art. 5, par. 1, lett. d) del GDPR deve essere declinato in modo da non tradursi in un ostacolo al diritto di rettifica riconosciuto dall’art. 16 dello stesso Regolamento, soprattutto nei casi in cui l’inesattezza del dato possa arrecare un pregiudizio significativo agli interessati.
Ebbene, anche alla luce della recente giurisprudenza della CGUE, le amministrazioni sono chiamate a:
- implementare procedure di rettifica che siano accessibili, trasparenti ed efficaci, evitando formalismi eccessivi o richieste probatorie sproporzionate. In particolare, dovrebbero essere predisposte linee guida chiare per la gestione delle richieste di rettifica, con tempi certi di risposta e indicazioni sui documenti idonei a comprovare l’inesattezza del dato. In materia di identità di genere, ad esempio, la PA non dovrebbe subordinare la rettifica all’avvenuta riassegnazione chirurgica del sesso, come ribadito dalla Corte di Giustizia, ma piuttosto accettare certificazioni mediche e dichiarazioni dell’interessato conformi al principio di autodeterminazione.
- prevedere sistemi di aggiornamento automatico e interconnessione tra diverse banche dati, affinché una rettifica effettuata in un registro si rifletta senza ritardi su tutti gli archivi pertinenti, riducendo il rischio di incongruenze o di duplicazioni errate.
- promuovere percorsi di formazione per il personale, affinché sia consapevole dell’impatto delle informazioni errate sui diritti fondamentali e operi in modo conforme ai principi di non discriminazione e rispetto della privacy.
In definitiva, il rispetto del diritto di rettifica non può essere considerato solo un adempimento burocratico, ma deve essere integrato in una più ampia strategia di tutela dei diritti della persona. L’adozione di strumenti tecnologici avanzati, unitamente a un approccio amministrativo improntato alla flessibilità e alla protezione dei diritti, costituisce la chiave per garantire che l’esattezza dei dati non comprometta l’identità e la dignità degli individui, ma ne sia invece uno strumento di riconoscimento e salvaguardia.
[1] CGUE, sentenza del 13 marzo 2025, causa C-247/23 | [Deldits]
