La gestione dell’identità di genere rappresenta una delle sfide più delicate per i titolari del trattamento dati. Con l’evolversi del dibattito sociale e le recenti pronunce della Corte di Giustizia europea, è necessario comprendere gli obblighi normativi specifici per garantire la protezione dei diritti fondamentali degli interessati.
Indice degli argomenti
La definizione di identità sessuale e di genere
Il termine “identità di genere“, secondo l’Istituto Superiore di Sanità (“ISS”), fa riferimento “a come una persona si definisce rispetto al genere a cui sente di appartenere: una persona può definirsi uomo, donna o entrambi o come appartenente a un genere diverso da questi due”[1].
Lo stesso ISS definisce l’identità sessuale come “un costrutto che si sviluppa nel tempo attraverso un processo dove si intrecciano fattori biologici, psichici e sociali ed è costituita dai seguenti elementi: il sesso assegnato alla nascita, l’identità di genere, l’orientamento sessuale e il ruolo di genere”[2].
Come è ben noto agli addetti ai lavori, sono dati personali tutte le informazioni che riguardano una persona fisica identificata o che sia direttamente o indirettamente identificabile. In tale definizione, dunque, vi rientrano sicuramente le informazioni che possono rivelare caratteristiche, stile di vita, relazioni personali e altri dettagli di una persona fisica.
Tra queste informazioni meritano particolare attenzione (e protezione speciale) quelle rientranti nella classificazione delle “categorie particolari di dati personali” nella loro nozione data dal Reg. (UE) 2016/679 (di seguito anche “GDPR”): trattasi dei dati genetici, dati biometrici, quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, quelli relativi alla salute o alla vita sessuale o all’orientamento sessuale.
Riguardo al tema di cui si tratta oggi, vedremo che lo stesso si intreccia in modo non del tutto lineare con le tematiche della discriminazione e del corretto inquadramento del confine tra dati relativi alla vita sessuale, all’orientamento sessuale ed alla salute. Ed è proprio in questo complesso contesto che l’Autorità Garante per la Protezione dei Dati Personali (di seguito per semplicità anche il “Garante” o “Garante Privacy”) ha innestato un noto provvedimento (il primo ed ultimo) relativo ad un caso di cambio di sesso di una persona.
Il Garante privacy e l’identità di genere: precedenti normativi
Premettendo che non è un tema nuovo o poco trattato nello scenario nazionale e soprattutto internazionale, non si può dire che il Garante per la protezione dei dati personali abbia, nel corso degli anni, posto molta attenzione ai temi dell’identità sessuale e dell’identità di genere.
Era il lontano 2012 quando l’Autorità, nel provvedimento n. 341 del 15 novembre 2012[3], rispondendo a due richieste di chiarimenti, in particolare di uno studente che aveva cambiato il proprio sesso e dell’Università interessata che aveva rilasciato il diploma di laurea, aveva espresso la sua posizione al riguardo: “No alle annotazioni di rettificazione di sesso su diplomi e certificazioni di laurea”.
Il trattamento dei dati personali, con particolare riferimento all’identità personale, alla quale è riconducibile anche quella sessuale, deve essere sempre svolto nel pieno rispetto dei diritti e delle libertà fondamentali dell’interessato. Questo perché “[…] i dati idonei a rivelare la vita sessuale, rientranti nella più ampia categoria dei dati “sensibili” e riguardanti profili particolarmente delicati della vita privata delle persone (art. 4, comma 1, lett. d), del Codice), sono oggetto di una speciale protezione in base alla quale i titolari sono tenuti a conformare il relativo trattamento secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell´interessato, nel rispetto del principio di indispensabilità (artt. 22 e 26 del Codice); […]”.
Va detto che il Garante, in questo provvedimento, si limita a fare questa piccola “menzione” dei dati idonei a rivelare la vita sessuale, senza realmente collegarli al dato relativo all’identità sessuale o sforzarsi di motivare questa sua citazione. Lo slancio interpretativo che collega i due, tuttavia, non è del tutto strambo, come vedremo tra poco.
Nel caso di specie, lo studente aveva posto il quesito “in ordine alla possibilità di ottenere il rilascio di un nuovo certificato di laurea recante unicamente i dati anagrafici così come modificati a seguito della sentenza passata in giudicato che ha accolto la sua domanda di rettificazione di attribuzione di sesso e privo, pertanto, di ogni eventuale annotazione idonea a rivelare l´avvenuto cambiamento dell´identità sessuale.”[…] mentre l’Università chiedeva di sapere se potesse “[…] violare la riservatezza dell´individuo aggiungere un´annotazione in calce al diploma che riporta la sentenza e il nuovo nome dell´interessato [diploma che] rimane comunque intestato alla persona con i precedenti dati anagrafici”, ovvero se “sia preferibile operare una ristampa del diploma con i nuovi dati anagrafici […]”.
Il Garante Privacy, accogliendo la soluzione indicata dall’Università per tutelare le ragioni dello studente, aveva ritenuto, “[…] che la modalità prospettata dall´Università stessa in base alla quale viene omessa l´annotazione della motivazione della ristampa dei diplomi di laurea richiesta dagli studenti per i quali sia intervenuta una sentenza del tribunale di rettificazione di attribuzione di sesso passata in giudicato, -valutazione effettuata dall´Università nell´ambito della propria autonomia anche in relazione alla conformità alla vigente normativa di settore-, sia idonea a tutelare adeguatamente la dignità degli interessati e il diritto degli stessi a vedere correttamente rappresentata la propria identità sessuale a seguito della sua modificazione”.
Inoltre, in tale contesto, il Garante ha voluto ribadire come spetti (sempre e comunque) al Titolare del trattamento, dunque nel caso di specie all’Università, l’obbligo di “adottare ogni idonea cautela al fine di garantire una tutela rafforzata ai dati idonei a rivelare la vita sessuale, in modo da salvaguardare il diritto degli interessati a vedere correttamente rappresentata la propria identità sessuale”.
Sebbene il concetto di “accountability” sia arrivato con l’avvento del GDPR, risultava alquanto pacifico (già oltre dieci anni fa) che i dati personali relativi all’identità della persona dovessero essere opportunamente gestiti e soprattutto protetti con l’adozione di idonei accorgimenti e cautele da parte dei Titolari dei trattamenti.
Identità sessuale: categoria particolare di dato personale?
Il vero tema che emerge dalla citata decisione, ad ogni modo, è che la stessa tratta di identità sessuale, che sembrerebbe essere ricondotta ad un dato relativo alla vita sessuale, e non di identità di genere.
La ragione di questa impostazione del provvedimento e del mancato trattamento del concetto di identità di genere, ad ogni modo, potrebbe essere dovuta ad un mero fattore cronologico: correva l’anno 2012 e il tema dell’identità di genere non era entrato nel dibattito mainstream e non era realmente trattato se non in consessi accademici ristretti e specializzati.
Ad ogni modo, è interessante domandarsi se sia corretto che l’identità sessuale possa essere ricondotta ad una categoria particolare di dati personali. Questo non è chiaramente indicato nel provvedimento citato e, a onor del vero, nel provvedimento 341/2012, il tema della identità sessuale non è particolarmente approfondito. Con un piccolo sforzo interpretativo, ad ogni modo, si potrebbe argomentare che la rettificazione di attribuzione di sesso, legata nel caso di specie all’identità sessuale, potrebbe rientrare nelle categorie particolari di dati personali.
Essa, infatti, viene effettuata in forza di una sentenza del tribunale e attribuisce ad una persona sesso diverso da quello enunciato nell’atto di nascita a seguito di intervenute modificazioni dei suoi caratteri sessuali. Proprio queste modificazioni, tecnicamente, sottendono ad avvenuti interventi chirurgici e, dunque, ad un dato relativo alla salute.
Rifacendosi alla definizione già menzionata del ISS, “un costrutto che si sviluppa nel tempo […] ed è costituita dai seguenti elementi: il sesso assegnato alla nascita, l’identità di genere, l’orientamento sessuale” vediamo come questa abbia al suo interno anche una chiara componente legata all’orientamento sessuale. Da ciò se ne evince che non è per nulla peregrina l’ipotesi che l’identità sessuale possa rientrare nell’alveo delle categorie particolari di dati, benché essa non sia esplicitamente ricompresa tra di esse, vuoi per la sua componente pratica legata alla rettificazione di attribuzione di sesso, vuoi per la sua componente socio/psicologica legata all’orientamento sessuale (meno chiara è la riconduzione alla vita sessuale che ne fa il Garante).
Benché un approccio caso per caso sarà necessario per valutare se tali dati rientrino nella casistica di cui all’art. 9, 1 del GDPR, è comunque certo che tali dati siano particolarmente delicati e meritino una protezione speciale, rientrando dunque di diritto tra i c.d. “dati aventi carattere altamente personale” citati dalle linee guida sulle Valutazioni di impatto[4] come meritevoli di particolare tutela ed elemento di rischio elevato da tenere in considerazione nella valutazione sulla necessità di predisporre una DPIA.
Evoluzione giurisprudenziale dell’identità di genere
Nel corso degli ultimi anni il dibattito politico e sociale si è spostato dal concetto di identità sessuale andandosi via via concentrando sulla tematica dell’identità di genere e, su tale scorta, si sono innestate posizioni di dottrina e giurisprudenza.
Benché il Garante, dal suo canto, non abbia realmente trattato il tema, si possono trovare alcuni contributi di altre Autorità di controllo, in particolare dell’ICO[5].
In particolare, l’ICO riconosce che il dato relativo alla riassegnazione del genere, in particolare quando contiene informazioni sulla transizione di genere che possano includere informazioni o inferenze relative alla salute, orientamento sessuale o vita sessuale di una persona, rientra nell’alveo delle categorie particolari di dati personali[6]. Lo stesso ICO, in passato, aveva adottato un documento nel quale spiegava che la valutazione se l’identità di genere debba rientrare o meno nelle categorie particolari di dati personali, debba essere fatta volta per volta. Tale documento, purtroppo, non è più reperibile sul sito dell’autorità inglese[7].
In questo caso, benché il concetto alla base dell’analisi sia diverso, più ristretto, e più controverso, in modo non dissimile da quanto detto sull’identità sessuale sarà necessario effettuare una analisi caso per caso della tipologia dei dati effettivamente raccolti, delle inferenze che ne possono derivare e del contesto del trattamento stesso per determinare se questi rientrino tra le categorie particolari di dati personali o meno. Anche in questo caso, ad ogni modo, è pacifico che il trattamento di tali dati debba avvenire con particolare cautela, rientrano questi palesemente tra le categorie di dati aventi carattere altamente personale, come già descritti in precedenza.
Le sentenze CGUE sull’identità di genere: i casi Mousse e Deldits
In tale contesto, sono recentemente intervenute due sentenze della Corte di Giustizia dell’Unione Europea (di seguito anche “Corte” o “CGUE”) che, interpellata in merito all’interpretazione del diritto dell’Unione Europea e senza dover risolvere le rispettive controversie a livello nazionale, si è pronunciata sui dati relativi all’identità di genere.
Il primo caso è la sentenza della Corte nella causa C-394/23|Mousse[8] del 9 gennaio 2025 nella quale la stessa ha affermato che la raccolta di dati relativi all’appellativo dei clienti (“Signore” o “Signora”) non è oggettivamente indispensabile, in particolare, quando essa ha come finalità una personalizzazione della comunicazione commerciale.
In particolare, l’associazione Mousse aveva promosso un reclamo al Garante Privacy francese (CNIL) contestando la prassi della società ferroviaria francese SNCF Connect di obbligare i suoi clienti a indicare il loro appellativo («Signore» o «Signora») al momento dell’acquisto dei titoli di trasporto online.
Secondo l’associazione, tale obbligo violava le norme del GDPR ed in particolare il principio di minimizzazione dei dati poiché l’inserimento dell’appellativo, che corrisponde a un’identità di genere, non risultava indispensabile, dunque non necessario, per l’acquisto del biglietto, motivo per cui si era rivolta alla CNIL. L’Autorità, dal canto suo, aveva deciso di respingere tale reclamo, ritenendo che la contestazione mossa dall’associazione non costituisse una violazione delle norme del GDPR. Avverso tale decisione, l’associazione aveva deciso di adire il Conseil d’État (Consiglio di Stato, in Francia) per ottenerne l’annullamento.
Nell’ambito di tale controversia, il Consiglio di Stato ha sottoposto la questione alla CGUE, in particolare, chiedeva se la raccolta dei dati relativi all’appellativo dei clienti, limitata ai termini «Signore» e «Signora», possa essere qualificata come lecita e conforme, in particolare, al principio di minimizzazione dei dati, quando tale raccolta sia diretta a consentire una comunicazione commerciale personalizzata nei confronti di tali clienti, conformemente agli usi comunemente ammessi in materia.
Nel caso di specie, la Corte, in conformità al principio di minimizzazione dei dati (che costituisce espressione del principio di proporzionalità) ed in aderenza al fatto che i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, ha ritenuto che “[…] il trattamento di dati personali relativi all’appellativo dei clienti di un’impresa di trasporto, avente la finalità di personalizzare la comunicazione commerciale fondata sulla loro identità di genere, non sembra essere né oggettivamente indispensabile né essenziale per consentire la corretta esecuzione di un contratto e, pertanto, non può essere considerato necessario all’esecuzione di tale contratto; il trattamento di dati personali relativi all’appellativo dei clienti di un’impresa di trasporto, avente la finalità di personalizzare la comunicazione commerciale fondata sulla loro identità di genere, non può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, qualora: il legittimo interesse perseguito non sia stato indicato a tali clienti al momento della raccolta di tali dati; oppure detto trattamento non sia effettuato nei limiti dello stretto necessario per la realizzazione di tale legittimo interesse; oppure alla luce dell’insieme delle circostanze pertinenti, i diritti e le libertà fondamentali di detti clienti possano prevalere su tale legittimo interesse, in particolare a causa di un rischio di discriminazione fondata sull’identità di genere.[…]”
Il secondo caso è la sentenza della CGUE nella causa C-247/23|[Deldits][9] del 13 marzo 2025 nella quale la Corte ha sancito come la rettifica dei dati relativi all’identità di genere non può essere subordinata alla prova di un trattamento chirurgico.
In particolare, una cittadina iraniana aveva presentato domanda per l’ottenimento dello status di rifugiato in Ungheria invocando la sua transidentità e producendo certificati medici rilasciati da specialisti in psichiatria e ginecologia atti a dimostrare che, sebbene fosse nata donna, la sua identità di genere era maschile. Una volta ottenuto tale status nell’anno 2014, l’Autorità nazionale competente in materia di asilo aveva tuttavia iscritto nell’apposito registro la persona come donna e non come uomo, come dimostrato in atti.
Successivamente, ossia nell’anno 2022, la cittadina iraniana ha esercitato il suo diritto in materia di privacy, in particolare il diritto di rettifica ai sensi dell’Art. 16 del GDPR, sulla base degli stessi certificati medici prodotti nel corso dell’ottenimento dello status di rifugiato. Richiesta questa che è stata respinta dall’autorità ungherese adita in quanto la stessa non aveva dimostrato di aver subito un trattamento chirurgico di riassegnazione sessuale.
L’interessato, pertanto, aveva proposto ricorso avverso tale rigetto dinanzi alla Corte di Budapest-Capitale (Ungheria) la quale sottoponeva la questione alla CGUE, in particolare, chiedeva se, da un lato, il GDPR potesse imporre ad un’autorità nazionale incaricata della tenuta di un registro pubblico di rettificare i dati personali relativi all’identità di genere di una persona fisica qualora tali dati non siano esatti e, dall’altro, se uno Stato membro possa subordinare, mediante una prassi amministrativa, l’esercizio del diritto di rettifica di tali dati alla produzione di prove, in particolare, di un trattamento chirurgico di riassegnazione sessuale.
In questo caso, la Corte ha precisato “[…] che, ai sensi dell’articolo 16 del RGPD, l’interessato ha il diritto di ottenere dal titolare del trattamento, nel più breve tempo possibile, la rettifica dei dati personali inesatti che lo riguardano. Questa disposizione concretizza il diritto fondamentale sancito dall’articolo 8, paragrafo 2, seconda frase, della Carta dei diritti fondamentali dell’Unione europea (2), secondo cui ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. Inoltre, l’articolo 16 del RGPD deve essere letto alla luce del principio di esattezza(3), in base al quale i dati trattati devono essere esatti e, se necessario, aggiornati, precisando che devono essere adottate tutte le misure ragionevoli per garantire che i dati inesatti, tenuto conto delle finalità per le quali sono trattati, siano cancellati o rettificati senza indugio. […] Di conseguenza, la Corte conclude che l’articolo 16 del RGPD deve essere interpretato nel senso che obbliga un’autorità nazionale incaricata della tenuta di un registro pubblico a rettificare i dati personali relativi all’identità di genere di una persona fisica qualora tali dati non siano esatti ai sensi di tale regolamento.”
Inoltre la stessa CGUE, in merito al secondo quesito ossia se uno Stato membro possa subordinare l’esercizio del diritto di rettifica di tali dati alla produzione di prove di un trattamento chirurgico, dispone “[…] che l’articolo 16 del RGPD deve essere interpretato nel senso che, ai fini dell’esercizio del diritto di rettifica dei dati personali relativi all’identità di genere di una persona fisica, contenuti in un registro pubblico, tale persona può essere tenuta a fornire gli elementi di prova pertinenti e sufficienti che si che possono ragionevolmente richiedere a detta persona per dimostrare l’inesattezza di tali dati. Tuttavia, uno Stato membro non può in alcun caso subordinare l’esercizio di tale diritto, mediante una prassi amministrativa, alla presentazione di prove di un trattamento chirurgico di riassegnazione sessuale […]”.
Continua la Corte dicendo che la richiesta come prova del “trattamento chirurgico di riassegnazione sessuale” lede, l’essenza del diritto all’integrità della persona e del diritto al rispetto della vita privata, di cui rispettivamente agli articoli 3 e 7 della Carta dei diritti fondamentali dell’Unione europea. Inoltre, tale requisito non è, in ogni caso, necessario né proporzionato al fine di garantire l’affidabilità e la coerenza di un registro pubblico, quale il registro dell’asilo, dal momento che un certificato medico, ivi compresa una precedente psicodiagnosi, può costituire un elemento di prova pertinente e sufficiente al riguardo.
In conclusione, le due sentenze, da un lato confermano che una definizione ponderata dei dati trattati in relazione a ciascuna finalità porterebbe a ritrovarsi nella situazione di non violare i principi del GDPR, quale il principio di minimizzazione dei dati, e dall’altro sanciscono, ancora una volta, che ogni persona, nella sua qualità di interessato del trattamento, ha il diritto di esercitare i diritti riconosciuti dal GDPR e, quindi, anche quello di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica, entro i termini previsti dalla legge.
Di particolare rilevanza è altresì il fatto che nella trattazione delle citate sentenze, il tema dell’inquadramento dei dati relativi all’identità di genere come categorie particolari di dati personali non emerge mai: i trattamenti sono ricondotti all’alveo dei presupposti di liceità di cui all’art. 6 del GDPR (dunque sicuramente non categorie particolari di dati personali) e non viene mai messo in discussione tale tema.
Errori comuni nella gestione dei dati personali relativi all’identità di genere
Alla luce di quanto detto, ciò che emerge è che l’accountability del Titolare del trattamento sia la pietra miliare per attorno alla quale costruire un impianto di governance che permetta di evitare di sbagliare sin dall’inizio o di non tenere in considerazione tutti i fattori privacy che rendano lecito il trattamento.
Dopo quasi 7 anni di applicazione del GDPR e sebbene possa sembrare ripetitivo, appare comunque opportuno richiamare alcune considerazioni da tenere in conto per non commettere errori quali, ad esempio:
- Sono stati definiti i dati personali oggetto del trattamento?
- I dati personali sono stati valutati e scelti nel rispetto della finalità che il Titolare del trattamento intende perseguire?
- I dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati?
- Conoscere l’identità di genere dell’interessato è realmente necessaria per la finalità del trattamento?
- I dati relativi all’identità sessuale o all’identità di genere, nel contesto del trattamento specifico in questione, comporta il trattamento di categorie particolari di dati personali?
- Il Titolare ha valutato analisi volte a verificare che il trattamento dei dati personali non si ponga in contrasto con i capisaldi della normativa privacy?
- È chiaro al Titolare del trattamento che, nel caso di richieste di esercizio dei diritti in ambito privacy, le stesse debbano essere esaminate entro i termini previsti dalla normativa?
In conclusione, è compito del Titolare, a seconda dei casi concreti, verificare i dati raccolti e che gli stessi rispettino la finalità perseguita onde evitare di raccogliere informazioni che non siano indispensabili per l’esecuzione dell’attività.
Note
[1] https://www.iss.it/identit%C3%A0-di-genere/-/asset_publisher/xqprREqYmtu7/content/id/5103322
[2] https://www.iss.it/infointersex-vsc-e-identita-sessuale
[3] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2121695
[4] Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, WP29, p. 10 https://ec.europa.eu/newsroom/article29/items/611236.
[5] Autorità di controllo Inglese che, come sappiamo, non è più soggetta al GDPR ma al UK GDPR che tuttavia, sostanzialmente, ricalca la normativa europea.
[6] https://ico.org.uk/action-weve-taken/complaints-and-concerns-data-sets/data-security-incident-trends/glossary-of-terms/data-type/#:~:text=This%20may%20also%20include%20that,9%20of%20the%20UK%20GDPR. “information about those who have transitioned or are transitioning between genders. If this includes specific information or inference about someone’s health (or any other specific category such as sexual orientation or sex life), it is considered special category data in accordance with Article 9 of the UK GDPR”.
[7] Benché il link non sia più attivo, si riporta in ogni caso la fonte: https://ico.org.uk/media/about-the-ico/disclosure-log/4025619/ic-227469-p3v4-attachment.pdf.
[8] https://curia.europa.eu/juris/documents.jsf?num=C-394/23
[9] https://curia.europa.eu/juris/documents.jsf?num=C-247/23
