NEWSLETTER PRIVACY MAGGIO 2025

1 maggio 2025
 
Privacy e rettifica dati sull’identità di genere: no alla prova dell’operazione chirurgica
La Corte Ue di Giustizia Ue ha innanzitutto ricordato l’importanza del “principio di esattezza” previsto dall’art. 5, par. 1, lett. d) del GDPR, secondo cui l’interessato ha il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati personali che lo riguardano se questi sono inesatti. In questo modo il Regolamento Privacy concretizza il diritto fondamentale, sancito dalla Carta dei diritti fondamentali dell’Unione europea, secondo il quale ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. A tal riguardo, la Corte Ue ricorda che secondo la giurisprudenza il carattere esatto e completo dei dati personali deve essere valutato alla luce della finalità per la quale essi sono stati raccolti.  Riguardo al caso di specie, la Corte ribadisce che l’informazione relativa all’identità di genere può essere qualificata come «dato personale», in quanto si riferisce a una persona fisica identificata o identificabile e oggetto di un «trattamento», perché è stato raccolto e registrato dall’autorità competente. Di conseguenza, il trattamento, che verte su dati contenuti o destinati a figurare in un archivio, rientra nell’ambito di applicazione ratione materiae del GDPR. Pertanto, la Corte Ue ribadisce che spetta al giudice ungherese verificare l’esattezza del dato alla luce della finalità per la quale esso è stato raccolto. Se la raccolta di tale dato aveva lo scopo di identificare la persona interessata, sembrerebbe riguardare l’identità di genere vissuta da tale persona, e non quella che le sarebbe stata assegnata alla nascita.    La rettifica dei dati relativi all’identità di genere non può essere subordinata alla prova di un trattamento chirurgico di riassegnazione del sesso. Lo ha sancito la Corte di giustizia dell’Unione europea con la sentenza del 13 marzo 2025 (C-247/23): tale pronuncia rappresenta un importante precedente sulla tematica della transidentità, in quanto i giudici di Lussemburgo riconoscono il diritto alla rettifica dei dati personali, affermando che uno Stato membro non possa invocare l’assenza, nel proprio diritto nazionale, di una procedura di riconoscimento giuridico della transidentità per ostacolare l’esercizio di tale diritto.   In definitiva, quindi, e più precisamente, per la rettifica dei dati personali relativi all’identità di genere di una persona fisica, contenuti in un registro pubblico, se da un lato uno Stato membro può imporre alla persona di fornire gli elementi di prova pertinenti e sufficienti che si possono ragionevolmente richiedere per dimostrare l’inesattezza di questi dati, dall’altro lato però, esso non può in alcun caso subordinare, mediante una prassi amministrativa, l’esercizio del “diritto alla rettifica” alla produzione di prove di un trattamento chirurgico di riassegnazione sessuale.
          La Corte di Giustizia precisa che uno Stato membro non può invocare l’assenza, nel proprio diritto nazionale, di una procedura di riconoscimento giuridico della transidentità per ostacolare l’esercizio del diritto di rettifica. In particolare, la Corte Ue ricorda che sebbene il diritto dell’Unione non pregiudichi la competenza degli Stati membri in materia di stato civile delle persone e di riconoscimento giuridico della loro identità di genere, tuttavia devono rispettare il diritto dell’Unione compreso il GDPR, letto alla luce della Carta. Di conseguenza, la Corte europea conclude che il GDPR deve essere interpretato nel senso che esso impone a un’autorità nazionale incaricata della tenuta di un registro pubblico di rettificare i dati personali relativi all’identità di genere di una persona fisica qualora tali dati non siano esatti, ai sensi di tale regolamento. Diritto di rettifica dei dati ai fini della “riassegnazione del sesso” La Corte Ue constata che, ai fini dell’esercizio del suo diritto di rettifica, tale persona può essere tenuta a fornire gli elementi di prova pertinenti e sufficienti che possono ragionevolmente essere richiesti per dimostrare l’inesattezza di detti dati Tuttavia, l’art. 16 del GDPR non precisa quali siano gli elementi di prova che possono essere richiesti. Tali obblighi possono essere limitati dal diritto dell’Unione o degli Stati membri purché sia rispettata l’essenza dei diritti e delle libertà fondamentali e costituisca una misura necessaria e proporzionata in una società democratica per garantire taluni obiettivi di interesse pubblico generale, in particolare l’affidabilità e la coerenza dei registri pubblici. Nel caso di specie, risulta che l’Ungheria ha adottato una prassi amministrativa che subordina l’esercizio del diritto di rettifica alla presentazione di prove di un trattamento chirurgico di riassegnazione sessuale. Una tale prassi comporta, secondo la Corte Ue, una limitazione del diritto di rettifica e lede l’essenza del diritto all’integrità della persona e del diritto al rispetto della vita privata, tutelati dalla Carta. Inoltre, un siffatto requisito non è, in ogni caso, necessario né proporzionato al fine di garantire l’affidabilità e la coerenza di un registro pubblico, quale il registro dell’asilo, in quanto un certificato medico può costituire un elemento di prova pertinente e sufficiente.        
         AI: le ultime decisioni delle corti comparate sulla produzione di immagini
 Nel Regno Unito la Chancery Division della England and Wales High Court ha deciso una controversia di rilevanza internazionale in materia di intelligenza artificiale generativa relativa all’utilizzo senza consenso di 12 milioni di immagini, video e illustrazioni di proprietà di Getty Images da parte di Stability AI. L’utilizzo di tali immagini serviva per addestrare “Stable Diffusion”, cioè un modello GenAI “text-toimage”. La Getty Images lamenta la violazione del copyright sia per ciò che concerne l’utilizzo illecito in via generale sia per la riproduzione di parti sostanziali delle opere originali. Stability AI ha ammesso parzialmente l’utilizzo di tali immagini, ma senza specificare quali. La decisione del 14 gennaio 2025 ha natura procedimentale, ma fissa alcuni principi che potrebbero diventare rilevanti in particolare nell’ambito dell’udienza di Case Management (svoltasi in novembre) ove è stata rigettata l’istanza di altri titolari di copyright di venire rappresentati nella causa come se fosse una azione di classe. Siffatta istanza non è stata ritenuta ammissibile perché non erano stati assicurati i requisiti richiesti dalla legge. La Corte ha quindi invitato le parti non ammesse a ripresentare l’azione con prove più solide o una classe più circoscritta. Si osserva che analoga causa intercorrente tra le medesime         biometrico erano ancora concetti appartenenti alla fantascienza. In vent’anni il panorama tecnologico si è grandemente sviluppato, mentre i servizi di archiviazione fotografica non sono più attrattivi per il mercato né remunerativi per gli investitori. Pertanto, Photobucket si trova ad avere un archivio oltre 13 miliardi di immagini, che si propone di vendere ad aziende che sviluppano IA, senza però che gli utenti abbiano espresso esplicitamente il loro consenso. Ciò ha portato alla presentazione di una class action federale i cui primi aderenti sono una madre il cui figlio all’epoca minorenne, appariva nelle foto e un fotografo professionista. La causa intende rappresentare la quota più ampia possibile dei 100 milioni di iscritti che hanno affidato a Photobucket le proprie immagini e che negli ultimi anni hanno trascurato i loro account. Il cuore dell’azione giudiziaria concerne il tentativo di monetizzare l’archivio di foto a terzi per lo sviluppo di GenAI biometrica. In questo contesto verrebbe pure discussa la policy aziendale di inviare email in cui gli utenti venivano invitati a cancellare ovvero mantenere l’account attraverso l’indirizzamento ad una pagina che li obbligava ad accetare nuovi termini d’uso, comprensivo quello biometrico delle immagini. Inoltre, l’azienda avrebbe considerato automaticamente consenzienti gli utenti rimasti silenti nei 45 giorni concessi da Photobucket per effettuare siffatta scelta.      parti e avente il medesimo oggetto è pendente di fronte alla United States District Court of Delaware. Negli Stati Uniti, la United States District Court, Central District of California ha parzialmente accolto le richieste di Tesla e Warner Bros. Discovery, in una controversia avente ad oggetto l’uso abusivo di marchi e la violazione del copyright in merito all’uso non autorizzato di immagini del film Blade Runner 2049 per promuovere il cybercab autonomo di Tesla. Sotto il primo profilo, la Corte federale ha rigettato la domanda respingendo le accuse mosse dalla Alcon Entertainment affermando che considerati i differenti ambiti delle rispettive attività (intrattenimento cinematografico e automotive innovativo) non vi potesse essere confusione, mentre ha accolto l’istanza sulla violazione del copyright in relazione all’uso non autorizzato per la generazione con AI di immagini per la promozione del nuovo prodotto Tesla. Il giudice ha poi ordinato il rinvio della causa a una fase di mediazione. Sempre negli Stati Uniti, di fronte alla United States District Court, District of Colorado è pendente di una causa in relazione all’utilizzo dell’archivio fotografico di Photobucket, creato nel 2003 come servizio online per utenti di MySpace, in un’epoca in cui il trattamento massivo dei dati a scopo di machine learning e il riconoscimento facciale  Questa rassegna mensile di diritto della tecnologia è focalizzata sulle controversie concluse ovvero in corso inerenti gli strumenti di AI Generativa applicati alla creazione di immagini, sia per quel che concerne la violazione del diritto d’autore sia per ciò che riguarda del consenso all’uso dei dati inerenti l’immagine stessa.                              
    PRIVACY: L’OBBLIGO DI FORNIRE RISPOSTA A FRONTE DI UN’ISTANZA DI ACCESSO AGLI ATTI  
In materia di trattamento dei dati personali, il soggetto onerato dell’obbligo di fornire risposta in ordine al possesso (o meno) dei dati sensibili è il destinatario dell’istanza di accesso e non l’istante, dovendo il primo sempre riscontrare l’istanza dell’interessato, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l’ostensione. In questo modo si espresso il Tribunale di Spoleto con la sentenza n. 112 del 5 marzo 2025.        

Leggi anche:

  • NEWSLETTER PRIVACY MAGGIO 2025 - 1 maggio 2025 Privacy e rettifica dati sull’identità di genere: no alla prova dell’operazione chirurgicaLa Corte Ue di Giustizia Ue ha innanzitutto ricordato l’importanza del “principio di esattezza” previsto dall’art. 5, par. 1, lett. d) del GDPR, secondo cui l’interessato ha il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati… Read More
  • NEWSLETTER 5/2025 - Novita’ normative Con la nota del 10 aprile 2025, il Ministero del Lavoro interviene sulla nuova procedura di dimissioni per fatti concludenti come prevista dal Collegato lavoro e già oggetto di interpretazione con la circolare n. 6/2025. Un termine eccessivamente breve, sostiene il Ministero, potrebbe compromettere le garanzie minime di difesa del lavoratore, ritrovandosi nell’impossibilità… Read More
  • NEWSLETTER PRIVACY - APRILE 2025 Via libera al Senato al disegno di legge su AI. È stato approvato in Senato il Ddl. 1146, recante “Disposizioni e delega al Governo in materia di intelligenza artificiale” che, insieme al Regolamento Ue 2024/1689, compone il quadro normativo in tema di AI applicabile in Italia. Il testo passa ora all’esame della Camera.… Read More
Ultime News