Transgender e GDPR: la rettifica dei dati non può richiedere l'intervento chirurgico

SENTENZA DELLA CORTE (Prima Sezione)

13 marzo 2025 (*)

« Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 5, paragrafo 1, lettera d) – Principio di esattezza – Articolo 16 – Diritto di rettifica – Articolo 23 – Limitazioni – Dati relativi all’identità di genere – Dati inesatti al momento della loro iscrizione in un registro pubblico – Mezzi probatori – Prassi amministrativa consistente nel richiedere la prova di un trattamento chirurgico di riassegnazione sessuale »

Nella causa C-247/23 [Deldits] (*),

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla Fovárosi Törvényszék (Corte di Budapest-Capitale, Ungheria), con decisione del 29 marzo 2023, pervenuta in cancelleria il 18 aprile 2023, nel procedimento

VP

contro

Országos Idegenrendészeti Foigazgatóság,

LA CORTE (Prima Sezione),

composta da K. Lenaerts, presidente della Corte, facente funzione di presidente della Prima Sezione, T. von Danwitz (relatore), vicepresidente della Corte, M.L. Arastey Sahún, presidente della Quinta Sezione, A. Kumin e I. Ziemele, giudici,

avvocato generale: A.M. Collins

cancelliere: I. Illéssy, amministratore

vista la fase scritta del procedimento e in seguito all’udienza del 3 giugno 2024,

considerate le osservazioni presentate:

–        per VP, da G. Gyozo, ügyvéd, E. Polgári e T.L. Sepsi, ügyvéd;

–        per il governo ungherese, da M.Z. Fehér e R. Kissné Berta, in qualità di agenti;

–        per il governo estone, da N. Grünberg, in qualità di agente;

–        per il governo spagnolo, da S. Núñez Silva e A. Pérez-Zurita Gutiérrez, in qualità di agenti;

–        per il governo francese, da R. Bénard, B. Dourthe e B. Fodda, in qualità di agenti;

–        per il governo dei Paesi Bassi, da M.K. Bulterman, A. Hanje e J.M. Hoogveld, in qualità di agenti;

–        per il governo portoghese, da P. Barros da Costa, A. Pimenta, J. Ramos e Â. Seiça Neves, in qualità di agenti;

–        per la Commissione europea, da A. Bouchagiar, H. Kranenborg e Zs. Teleki, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 12 settembre 2024,

ha pronunciato la seguente

Sentenza

1        La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 16 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2        Tale domanda è stata presentata nell’ambito di una controversia tra VP, una persona fisica, e l’Országos Idegenrendészeti Foigazgatóság (Direzione generale nazionale della polizia degli stranieri, Ungheria) (in prosieguo: l’«autorità competente in materia di asilo») in merito alla rettifica dei dati relativi all’identità di genere di VP in un registro pubblico tenuto da tale autorità.

 Contesto normativo

 Diritto dell’Unione

3        I considerando 1, 10, 59 e 73 del RGPD enunciano quanto segue:

«(1)      La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della [carta dei diritti fondamentali dell’Unione europea (in prosieguo: la “Carta”)] e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

(...)

(10)      Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. Per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento. (...)

(...)

(59)      È opportuno prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. (...)

(...)

(73)      l diritto dell’Unione o degli Stati membri può imporre limitazioni a specifici principi e ai diritti di (…) rettifica e cancellazione [di dati personali] (…) ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, ivi comprese (…) le attività di prevenzione, indagine e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica (…), per la tutela di altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, tra cui (…) la tenuta di registri pubblici per ragioni di interesse pubblico generale (…), o per la tutela dell’interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari. Tali limitazioni dovrebbero essere conformi alla Carta e alla [Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la “CEDU”)]».

4        L’articolo 1 del RGPD, intitolato «Oggetto e finalità», al paragrafo 2 così dispone:

«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».

5        L’articolo 2 del RGPD, intitolato «Ambito di applicazione materiale», al paragrafo 1, prevede quanto segue:

«Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».

6        Ai sensi dell’articolo 4 del RGPD, intitolato «Definizioni»:

«Ai fini del presente regolamento s’intende per:

1)      “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2      “trattamento” qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)».

7        L’articolo 5 del RGPD, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 1, così dispone:

«I dati personali sono:

(...)

d)      esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);

(...)».

8        L’articolo 6 del RGPD, rubricato «Liceità del trattamento», prevede quanto segue:

«1.      Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

(...)

c)      il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

(...)

e)      il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

(...)

2.      Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

3.      La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

a)      dal diritto dell’Unione; o

b)      dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: Tali disposizioni possono riguardare «le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

(...)».

9        L’articolo 16 del RGPD, intitolato «Diritto di rettifica», stabilisce quanto segue:

«L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa».

10      L’articolo 23 del RGPD, intitolato «Limitazioni», al paragrafo 1, dispone quanto segue:

«Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

a)      la sicurezza nazionale;

b)      la difesa;

c)      la sicurezza pubblica;

d)      la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;

e)      altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;

(...)

h)      una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);

(...)».

 Diritto ungherese

11      L’articolo 81 del menedékjogról szóló 2007. évi LXXX. törvény (legge n. LXXX del 2007 sul diritto di asilo), del 29 giugno 2007 (Magyar Közlöny 2007/83; in prosieguo: la «legge sul diritto di asilo») così dispone:

«L’autorità competente in materia di asilo tratta nel registro relativo a tale materia i dati personali dei rifugiati, dei beneficiari di protezione sussidiaria, dei beneficiari della condizione di persona accolta, dei beneficiari di protezione provvisoria, nonché delle persone che chiedono protezione internazionale e delle persone soggette alla procedura Dublino (in prosieguo, congiuntamente: le “persone soggette alla presente legge”), i dati riguardanti il loro soggiorno nonché l’assistenza e gli aiuti cui hanno diritto, così come le successive modifiche degli stessi, al fine di:

a)      verificare che esse abbiano lo status di rifugiato, di beneficiario di protezione sussidiaria, di beneficiario di protezione provvisoria o di beneficiario della condizione di persona accolta e assicurarsi che spetti loro il godimento dei diritti derivanti da tale status;

b)      verificare che spetti loro il diritto all’assistenza e agli aiuti definiti nella presente legge e in altre norme;

c)      verificare la loro identità personale;

d)      evitare la duplicazione di procedure; e

e)      accertare se la domanda sia stata presentata più volte».

12      L’articolo 82 della legge sul diritto di asilo prevede quanto segue:

«Ai fini del presente capo, sono considerati “dati di identificazione delle persone fisiche” i seguenti dati delle persone soggette alla presente legge:

(...)

f)      genere».

13      L’articolo 83, paragrafo 1, di tale legge così stabilisce:

«Il registro in materia di asilo contiene i seguenti dati delle persone soggette alla presente legge:

a)      i dati di identificazione delle persone fisiche.

(...)».

14      L’articolo 83/A, paragrafo 5, di detta legge così dispone:

«L’autorità competente in materia di asilo deve cancellare d’ufficio le annotazioni contrarie alla normativa, correggere quelle non corrette e inserire le annotazioni mancanti nel registro ufficiale da essa tenuto».

 Procedimento principale e questioni pregiudiziali

15      VP è una persona di cittadinanza iraniana che ha ottenuto lo status di rifugiato in Ungheria nel corso del 2014. A sostegno della sua domanda di ottenimento di tale status, VP aveva invocato la sua transidentità e aveva prodotto certificati medici rilasciati da specialisti in psichiatria e ginecologia. Secondo tali attestati, anche se VP era nato donna, la sua identità di genere era maschile. A seguito del riconoscimento del suo status di rifugiato su tale base, VP è stato tuttavia registrato come donna nel registro dell’asilo che, conformemente alle disposizioni della legge sul diritto di asilo, è tenuto dall’autorità competente in materia di asilo e che contiene i dati di identificazione, compreso il genere, delle persone fisiche che hanno ottenuto tale status.

16      Nel corso del 2022, VP ha presentato una domanda presso l’autorità competente in materia di asilo, sulla base dell’articolo 16 del RGPD, diretta a far rettificare la menzione del suo genere come maschile e a modificare il suo nome nel registro dell’asilo. VP ha allegato i suddetti certificati medici a tale domanda. Con decisione dell’11 ottobre 2022, tale autorità ha respinto detta domanda, con la motivazione che VP non aveva dimostrato di aver subito un trattamento chirurgico di riassegnazione sessuale e che i certificati forniti dimostravano soltanto la sua transidentità.

17      VP ha proposto un ricorso di annullamento avverso tale decisione dinanzi alla Fovárosi Törvényszék (Corte di Budapest-Capitale, Ungheria), giudice del rinvio. A sostegno del suo ricorso, VP fa valere che la transidentità implica, per definizione, un cambiamento di identità di genere e che i certificati medici presentati confermano tale cambiamento. Dalla giurisprudenza della Corte europea dei diritti dell’uomo risulterebbe che un trattamento chirurgico di riassegnazione sessuale non può essere richiesto ai fini del riconoscimento di un cambiamento di identità di genere. Un requisito di tal genere sarebbe altresì contrario, in particolare, agli articoli 3 e 7 della Carta. VP sostiene inoltre che diversi Stati membri, tra cui il Regno del Belgio, il Regno di Danimarca, l’Irlanda, la Repubblica ellenica, la Repubblica di Malta, la Repubblica portoghese e il Regno di Svezia, riconoscerebbero i cambiamenti di identità di genere sulla base di dichiarazioni delle persone interessate. VP precisa che i certificati medici presentati a sostegno del suo ricorso attestano il suo aspetto maschile e fanno espressamente riferimento, a titolo diagnostico, al codice F64.0 della classificazione internazionale delle malattie stabilita dall’Organizzazione mondiale della sanità (OMS), relativo alla transidentità.

18      L’autorità competente in materia di asilo conclude per il rigetto del ricorso.

19      Secondo il giudice del rinvio, sebbene la legge sul diritto di asilo contenga certamente una disposizione generale relativa alla rettifica delle iscrizioni erronee, tale legge non prevedrebbe né la procedura né le condizioni per il riconoscimento di un cambiamento di identità di genere e/o di nome in relazione a tale cambiamento. A tal riguardo, l’Alkotmánybíróság (Corte costituzionale, Ungheria) avrebbe considerato, nella sua sentenza n. 6/2018, del 27 giugno 2018, che la mancata adozione, da parte del legislatore ungherese, di una procedura che consentisse alle persone che risiedono legalmente in Ungheria, senza avere la qualità di cittadini ungheresi, di modificare la menzione relativa al loro genere e al loro nome, mentre una siffatta possibilità era offerta ai cittadini ungheresi, era incostituzionale. Inoltre, la Corte europea dei diritti dell’uomo avrebbe dichiarato, con la sua sentenza del 16 luglio 2020, Rana c. Ungheria (CE:ECHR:2020:0716JUD004088817), che l’Ungheria aveva violato la CEDU non prevedendo una procedura di riconoscimento giuridico di un cambiamento di identità di genere per i rifugiati. Tale situazione di vuoto giuridico perdurerebbe da allora, nonostante tali sentenze.

20      Detta situazione sarebbe aggravata dalla circostanza che, dal 2020, la possibilità di riconoscimento giuridico di un cambiamento di identità di genere avrebbe cessato di esistere per i cittadini ungheresi. Proprio a causa di tale assenza di possibilità di riconoscimento nel diritto nazionale, VP avrebbe proposto il suo ricorso sulla base dell’articolo 16 del RGPD. In tale contesto, il giudice del rinvio si chiede se tale articolo imponga all’autorità competente in materia di asilo un obbligo di rettificare i dati relativi al genere nel registro dell’asilo e, in caso affermativo, quali sarebbero le prove che l’interessato dovrebbe fornire a sostegno della sua domanda.

21      In tale contesto, la Fovárosi Törvényszék (Corte di Budapest-Capitale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      Se l’articolo 16 del RGPD debba essere interpretato nel senso che l’autorità incaricata della tenuta dei registri ai sensi del diritto nazionale sia tenuta, in relazione all’esercizio dei diritti della persona interessata, a rettificare il dato personale relativo al sesso di detta persona registrato dall’autorità nel caso in cui tale dato sia cambiato dopo il suo inserimento nel registro e non sia pertanto conforme al principio di esattezza stabilito dall’articolo 5, paragrafo 1, lettera d), del RGPD.

2)      In caso di risposta affermativa alla prima questione pregiudiziale, se l’articolo 16 del RGPD debba essere interpretato nel senso che richiede che la persona che chiede la rettifica del dato relativo al suo sesso fornisca prove che giustifichino la sua domanda di rettifica.

3)      In caso di risposta affermativa alla seconda questione pregiudiziale, se l’articolo 16 del RGPD debba essere interpretato nel senso che la persona richiedente è tenuta a dimostrare di essersi sottoposta ad una riassegnazione chirurgica del genere».

 Sulle questioni pregiudiziali

 Sulla prima questione

22      Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 16 del RGPD debba essere interpretato nel senso che impone a un’autorità nazionale incaricata della tenuta di un registro pubblico di rettificare i dati personali relativi all’identità di genere di una persona fisica qualora tali dati non siano esatti, ai sensi dell’articolo 5, paragrafo 1, lettera d), di tale regolamento.

23      In via preliminare, occorre ricordare che, ai sensi dell’articolo 16 del RGPD, l’interessato ha il diritto di ottenere dal titolare del trattamento, quanto prima, la rettifica dei dati personali inesatti che lo riguardano. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

24      Tale disposizione concretizza il diritto fondamentale sancito all’articolo 8, paragrafo 2, seconda frase, della Carta, secondo il quale ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

25      Inoltre, l’articolo 16 del RGPD deve essere letto alla luce, da un lato, dell’articolo 5, paragrafo 1, lettera d), del RGPD, che sancisce il principio di esattezza, in forza del quale i dati trattati devono essere esatti e, se necessario, aggiornati, fermo restando che devono essere adottate tutte le misure ragionevoli affinché i dati inesatti, tenuto conto delle finalità per le quali sono trattati, siano cancellati o rettificati senza indugio. Dall’altro lato, tale disposizione deve essere letta anche alla luce del considerando 59 del RGPD, dal quale risulta che dovrebbero essere previste modalità per agevolare l’esercizio, da parte dell’interessato, dei diritti conferitigli da tale regolamento, compresi i mezzi per chiedere e, se del caso, ottenere gratuitamente, in particolare, la rettifica dei suoi dati personali.

26      A tal riguardo, occorre precisare che, secondo la giurisprudenza della Corte, il carattere esatto e completo dei dati personali deve essere valutato alla luce della finalità per la quale tali dati sono stati raccolti (v., per analogia, sentenza del 20 dicembre 2017, Nowak, C-434/16, EU:C:2017:994, punto 53).

27      Infine, quanto all’interpretazione dell’articolo 16 del RGPD, occorre ancora ricordare che l’obiettivo perseguito da detto regolamento, quale risulta dall’articolo 1 nonché dai considerando 1 e 10 di quest’ultimo, consiste, segnatamente, nel garantire un elevato livello di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali, sancito dall’articolo 8, paragrafo 1, della Carta e all’articolo 16, paragrafo 1, TFUE (sentenza del 9 gennaio 2025, Mousse, C-394/23, EU:C:2025:2, punto 21 e giurisprudenza ivi citata).

28      Conformemente a tale obiettivo, qualsiasi trattamento di dati personali deve, in particolare, essere conforme ai principi relativi al trattamento di tali dati enunciati all’articolo 5 del RGPD, compreso il principio di esattezza ricordato al punto 25 della presente sentenza, ma anche soddisfare le condizioni di liceità elencate all’articolo 6 di tale regolamento (v., in tal senso, sentenza del 9 gennaio 2025, Mousse, C-394/23, EU:C:2025:2, punto 22 e giurisprudenza ivi citata).

29      In tali circostanze, l’aggiornamento dei dati trattati costituisce un aspetto essenziale della tutela della persona interessata con riguardo al trattamento di tali dati.

30      Nel caso di specie, è pacifico, da un lato, che l’informazione relativa all’identità di genere di VP può essere qualificata come «dato personale», dal momento che si riferisce a una persona fisica identificata o identificabile, ai sensi dell’articolo 4, punto 1, del RGPD, e, dall’altro, che tale dato è stato oggetto di un «trattamento», ai sensi dell’articolo 4, punto 2, di tale regolamento, in quanto è stato raccolto e registrato dall’autorità competente in materia di asilo in un registro pubblico, ossia il registro dell’asilo. Di conseguenza, un siffatto trattamento, che verte su dati contenuti o destinati a figurare in un archivio, rientra nell’ambito di applicazione ratione materiae di detto regolamento, in forza dell’articolo 2, paragrafo 1, di quest’ultimo (v., per analogia, sentenza del 9 gennaio 2025, Mousse, C-394/23, EU:C:2025:2, punto 30).

31      Sebbene il rispetto delle condizioni di liceità del trattamento di cui trattasi, ai sensi dell’articolo 6 del RGPD, non sembri essere stato rimesso in discussione nell’ambito del procedimento principale, il rispetto, da parte dell’autorità competente in materia di asilo, del principio di esattezza enunciato all’articolo 5, paragrafo 1, lettera d), di tale regolamento è contestato da VP, che chiede una rettifica del dato personale relativo alla sua identità di genere, ai sensi dell’articolo 16 di detto regolamento.

32      Alla luce della giurisprudenza ricordata al punto 26 della presente sentenza, spetta al giudice del rinvio verificare l’esattezza del dato di cui trattasi nel procedimento principale alla luce della finalità per la quale esso è stato raccolto e valutare, in particolare, alla luce dell’articolo 81, lettera c), della legge sul diritto di asilo, se la raccolta di tale dato abbia lo scopo di identificare la persona interessata. Se così fosse, detto dato sembrerebbe quindi riguardare l’identità di genere vissuta da tale persona, e non quella che le sarebbe stata assegnata alla nascita. In tale contesto, contrariamente a quanto sostiene il governo ungherese, spetterebbe al titolare del trattamento, nella fattispecie all’autorità competente in materia di asilo, prendere in considerazione l’identità di genere di detta persona al momento della sua iscrizione nel registro dell’asilo, e non l’identità di genere che gli sarebbe stata assegnata alla nascita.

33      Di conseguenza, come rilevato, in sostanza, dall’avvocato generale ai paragrafi 31 e 40 delle sue conclusioni, e alla luce del fascicolo di cui dispone la Corte, secondo il quale, nell’ambito della procedura di riconoscimento dello status di rifugiato, l’Ungheria avrebbe ammesso che VP era una persona transgender, il dato personale relativo alla sua identità di genere, figurante nel registro dell’asilo, sembra essere stato inesatto sin dalla sua iscrizione.

34      A tal riguardo, contrariamente a quanto sostiene il governo ungherese, uno Stato membro non può avvalersi di disposizioni di diritto nazionale specifiche, adottate sulla base dell’articolo 6, paragrafi 2 e 3, del RGPD, per ostacolare il diritto di rettifica sancito all’articolo 8, paragrafo 2, della Carta e concretizzato all’articolo 16 del RGPD.

35      Infatti, da un lato, dal considerando 10, terza frase, di tale regolamento risulta che tali disposizioni specifiche sono destinate unicamente a precisare ulteriormente l’applicazione delle norme contenute nel RGPD, e non a derogarvi.

36      D’altro canto, il diritto di rettifica di cui all’articolo 16 del RGPD può essere limitato solo alle condizioni di cui all’articolo 23 di tale regolamento, letto alla luce del considerando 73 dello stesso. Pertanto, uno Stato membro può, in particolare, prevedere, mediante misure legislative interne, limitazioni a tale diritto nel caso di dati personali contenuti in registri pubblici tenuti per motivi di interesse pubblico generale. Tuttavia, nel caso di specie, come rilevato, in sostanza, dall’avvocato generale al paragrafo 44 delle sue conclusioni, dal fascicolo di cui dispone la Corte non risulta che il legislatore ungherese abbia limitato, nel rispetto delle condizioni di cui all’articolo 23 del RGPD, la portata di detto diritto di rettifica, né che l’autorità competente in materia di asilo abbia motivato il suo rifiuto della rettifica richiesta invocando una siffatta limitazione legale. Infatti, fatta salva la verifica da parte del giudice del rinvio, sembrerebbe che tale rifiuto non sia fondato su una misura legislativa adottata ai sensi dell’articolo 23 del RGPD, bensì sulla considerazione secondo cui VP non avrebbe fornito la prova della sua identità di genere.

37      In ogni caso, uno Stato membro non può invocare l’assenza, nel proprio diritto nazionale, di un procedimento di riconoscimento giuridico della transidentità per ostacolare il diritto di rettifica. A tal riguardo, occorre ricordare che, sebbene il diritto dell’Unione non pregiudichi la competenza degli Stati membri in materia di stato civile delle persone e di riconoscimento giuridico della loro identità di genere, tali Stati devono tuttavia, nell’esercizio di tale competenza, rispettare il diritto dell’Unione. Pertanto, una normativa nazionale che osta a che una persona transgender, in mancanza del riconoscimento della sua identità di genere, possa soddisfare una condizione necessaria per beneficiare di un diritto tutelato dal diritto dell’Unione come, nel caso di specie, il diritto sancito all’articolo 8, paragrafo 2, della Carta e concretizzato all’articolo 16 del RGPD, deve essere considerata, in linea di principio, incompatibile con il diritto dell’Unione (v., per analogia, sentenza del 4 ottobre 2024, Mirin, C-4/23, EU:C:2024:845, punti 53 e 60 e giurisprudenza ivi citata).

38      Alla luce di tutte le considerazioni che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 16 del RGPD deve essere interpretato nel senso che esso impone a un’autorità nazionale incaricata della tenuta di un registro pubblico di rettificare i dati personali relativi all’identità di genere di una persona fisica qualora tali dati non siano esatti, ai sensi dell’articolo 5, paragrafo 1, lettera d), di tale regolamento.

 Sulla seconda e terza questione

39      Con le sue questioni seconda e terza, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 16 del RGPD debba essere interpretato nel senso che uno Stato membro può subordinare, mediante una prassi amministrativa, l’esercizio del diritto di rettifica dei dati personali relativi all’identità di genere di una persona fisica, contenuti in un registro pubblico, alla produzione di prove, segnatamente, di un trattamento chirurgico di riassegnazione sessuale.

40      Come rilevato dall’avvocato generale al paragrafo 47 delle sue conclusioni, l’articolo 16 del RGPD non precisa quali siano gli elementi di prova che possono essere richiesti da un titolare del trattamento al fine di dimostrare l’inesattezza dei dati personali di cui una persona fisica chiede la rettifica.

41      In tale contesto, se l’interessato, che chiede la rettifica di tali dati, può essere tenuto a fornire gli elementi di prova pertinenti e sufficienti che, alla luce delle circostanze del caso di specie, possono ragionevolmente essere richiesti a tale persona per dimostrare l’inesattezza di detti dati [v., per analogia, sentenza dell’8 dicembre 2022, Google (Deindicizzazione di un contenuto asseritamente inesatto), C-460/20, EU:C:2022:962, punti 68 e 72], occorre tuttavia precisare, come ricordato al punto 36 della presente sentenza, che uno Stato membro può limitare l’esercizio del diritto di rettifica solo nel rispetto dell’articolo 23 del RGPD.

42      Orbene, l’articolo 23, paragrafo 1, del RGPD prevede che il diritto dell’Unione o il diritto dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento possono limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e all’articolo 34 di tale regolamento, nonché al suo articolo 5, nella misura in cui le disposizioni del diritto in questione corrispondano ai diritti e agli obblighi previsti agli articoli da 12 a 22 di detto regolamento, a condizione, tuttavia, che una siffatta limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e costituisca una misura necessaria e proporzionata in una società democratica per garantire taluni obiettivi elencati dal medesimo regolamento, quali, in particolare, importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro. Come rilevato al punto 36 della presente sentenza, il diritto di rettifica può essere oggetto di limitazioni nel contesto della tenuta di registri pubblici conservati per motivi di interesse pubblico generale, in particolare al fine di garantire l’affidabilità e la coerenza di tali registri.

43      Nel caso di specie, dalla domanda di pronuncia pregiudiziale risulta che lo Stato membro interessato ha adottato una prassi amministrativa consistente nel subordinare l’esercizio, da parte di una persona transgender, del suo diritto di rettifica dei dati relativi alla sua identità di genere, contenuti in un registro pubblico, alla produzione di prove di un trattamento chirurgico di riassegnazione sessuale. Una siffatta prassi amministrativa dà luogo a una limitazione del diritto di rettifica, che deve essere conforme alle condizioni di cui all’articolo 23 del RGPD, come ricordato ai due punti precedenti della presente sentenza.

44      Orbene, in primo luogo, occorre rilevare che tale prassi amministrativa non soddisfa il requisito secondo cui il diritto di uno Stato membro può limitare la portata del diritto previsto all’articolo 16 del RGPD solo mediante misure legislative. Infatti, fatta salva la verifica da parte del giudice del rinvio, il diritto ungherese non sembra contenere alcuna misura legislativa relativa ai requisiti probatori applicabili quanto alla rettifica dei dati relativi all’identità di genere delle persone iscritte nel registro dell’asilo.

45      In secondo luogo, una siffatta prassi amministrativa pregiudica l’essenza dei diritti fondamentali garantiti dalla Carta e, in particolare, l’essenza del diritto all’integrità della persona e del diritto al rispetto della vita privata, di cui rispettivamente agli articoli 3 e 7 di quest’ultima.

46      A tal riguardo, occorre ricordare che, conformemente all’articolo 52, paragrafo 3, della Carta, i diritti garantiti da quest’ultima hanno lo stesso significato e la stessa portata dei corrispondenti diritti garantiti dalla CEDU, che costituisce una soglia di protezione minima (v., in tal senso, sentenza del 4 ottobre 2024, Mirin, C-4/23, EU:C:2024:845, punto 63 e giurisprudenza ivi citata).

47      Orbene, da giurisprudenza costante della Corte europea dei diritti dell’uomo risulta che l’articolo 8 della CEDU, che corrisponde all’articolo 7 della Carta, tutela l’identità di genere di una persona, che è un elemento costitutivo e uno degli aspetti più intimi della sua vita privata. Pertanto, tale disposizione include il diritto di ciascuno di stabilire i dettagli della propria identità di essere umano, il che comprende il diritto delle persone transgender allo sviluppo personale e all’integrità fisica e morale, nonché al rispetto e al riconoscimento della loro identità di genere. Tale articolo 8 impone, a tal fine, agli Stati, oltre ad obblighi negativi aventi ad oggetto quello di premunire le persone transgender contro le ingerenze arbitrarie dei poteri pubblici, obblighi positivi, il che implica altresì l’attuazione di procedimenti efficaci e accessibili che garantiscano un rispetto effettivo del loro diritto all’identità di genere. Inoltre, tenuto conto della particolare importanza di tale diritto, gli Stati dispongono solo di un potere discrezionale limitato in tale settore (v., in tal senso, sentenza del 4 ottobre 2024, Mirin, C-4/23, EU:C:2024:845, punti 64 e 65 e giurisprudenza ivi citata).

48      In tale contesto, la Corte europea dei diritti dell’uomo ha dichiarato, in particolare, che il riconoscimento dell’identità di genere di una persona transgender non può essere subordinato alla realizzazione di un trattamento chirurgico non desiderato da tale persona (v., in tal senso, Corte EDU, 19 gennaio 2021, X e Y c. Romania, CE:ECHR:2021:0119JUD000214516, §§ 165 e 167 e giurisprudenza ivi citata).

49      Infine, in terzo luogo, una prassi amministrativa come quella di cui trattasi nel procedimento principale non è, in ogni caso, necessaria né proporzionata al fine di garantire l’affidabilità e la coerenza di un registro pubblico, quale il registro dell’asilo, dal momento che un certificato medico, ivi compresa una previa diagnosi psicologica, può costituire un elemento di prova pertinente e sufficiente al riguardo (v., in tal senso, Corte EDU, 6 aprile 2017, A.P., Garçon e Nicot c. Francia, CE:ECHR:2017:0406JUD007988512, §§ 139 e 142).

50      Alla luce delle considerazioni che precedono, occorre rispondere alle questioni seconda e terza dichiarando che l’articolo 16 del RGPD deve essere interpretato nel senso che, ai fini dell’esercizio del diritto di rettifica dei dati personali relativi all’identità di genere di una persona fisica, contenuti in un registro pubblico, tale persona può essere tenuta a fornire gli elementi di prova pertinenti e sufficienti che si possono ragionevolmente richiedere a detta persona per dimostrare l’inesattezza di tali dati. Tuttavia, uno Stato membro non può in alcun caso subordinare, mediante una prassi amministrativa, l’esercizio di tale diritto alla produzione di prove di un trattamento chirurgico di riassegnazione sessuale.

 Sulle spese

51      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Prima Sezione) dichiara:

1)      L’articolo 16 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

dev’essere interpretato nel senso che:

impone a un’autorità nazionale incaricata della tenuta di un registro pubblico di rettificare i dati personali relativi all’identità di genere di una persona fisica qualora tali dati non siano esatti, ai sensi dell’articolo 5, paragrafo 1, lettera d), di tale regolamento.

2)      L’articolo 16 del regolamento 2016/679

dev’essere interpretato nel senso che:

ai fini dell’esercizio del diritto di rettifica dei dati personali relativi all’identità di genere di una persona fisica, contenuti in un registro pubblico, tale persona può essere tenuta a fornire gli elementi di prova pertinenti e sufficienti che si possono ragionevolmente richiedere a detta persona per dimostrare l’inesattezza di tali dati. Tuttavia, uno Stato membro non può in alcun caso subordinare, mediante una prassi amministrativa, l’esercizio di tale diritto alla produzione di prove di un trattamento chirurgico di riassegnazione sessuale.

Firme

*    Lingua processuale: l’ungherese.

*    Il nome della presente causa è un nome fittizio. Non corrisponde al nome reale di nessuna delle parti del procedimento.