La gestione dell’identità di genere nei processi aziendali è diventata uno dei temi più delicati e sottovalutati del 2025. Moduli che obbligano a scegliere tra “Signore” o “Signora”, sistemi HR che richiedono prove mediche per aggiornare i dati anagrafici e piattaforme digitali che raccolgono il genere senza una reale necessità operativa sono pratiche ancora diffuse. Tuttavia, la Corte di Giustizia dell’Unione Europea ha chiarito con decisioni recentissime che queste abitudini non sono solo inadeguate, ma illegittime e discriminatorie.
Il GDPR stabilisce che i dati personali devono essere pertinenti e limitati rispetto alla finalità del trattamento. La Corte UE, nel caso “Mousse” (C-394/23), ha affermato che la richiesta obbligatoria di qualificativi come “Signore/Signora” nei moduli commerciali non è giustificata. Una scelta apparentemente neutra può comportare implicazioni legate al genere e generare discriminazioni, soprattutto quando il dato non è necessario alla fornitura del servizio.
Nel settore pubblico, la sentenza “Deldits” (C-247/23, marzo 2025) ha chiarito che è illegittimo richiedere interventi chirurgici o documentazione medica per aggiornare il genere anagrafico. L’articolo 16 del GDPR riconosce all’interessato il diritto alla rettifica immediata dei dati personali inesatti. Negare l’aggiornamento significa violare dignità, integrità fisica e vita privata.
Anche negli ambiti privati, l’identità di genere rappresenta un dato particolarmente delicato. Pur non rientrando sempre automaticamente tra quelli “particolari” dell’art. 9 GDPR, richiede comunque una protezione rafforzata, perché la sua diffusione può esporre la persona a discriminazioni o trattamenti ingiusti. Le aziende devono quindi chiedersi chi accede a queste informazioni, come vengono protette, se sono realmente necessarie e attraverso quali strumenti vengono archiviate o elaborate.
La compliance non si limita al corretto wording dei moduli, ma investe l’intera governance dei dati. Occorre mappare i flussi informativi, rivedere i campi obbligatori nei form digitali, aggiornare le policy interne, limitare i tempi di conservazione, definire ruoli e autorizzazioni di accesso e formare adeguatamente il personale HR, customer care e IT. Le organizzazioni devono essere in grado di dimostrare — non solo dichiarare — che i trattamenti sono proporzionati, trasparenti e adeguatamente giustificati.
Il rischio non è solo sanzionatorio. Un trattamento scorretto dei dati di genere può generare danni reputazionali, segnalazioni al Garante, contenziosi per discriminazione e fratture nel clima interno. Il GDPR tutela prima di tutto la persona, e la gestione dell’identità di genere rappresenta uno dei banchi di prova più concreti per misurare la maturità di un’azienda in materia di protezione dei dati.
Approfondire il tema e aggiornare modelli, flussi e policy interne rappresenta un passo essenziale per garantire una gestione dei dati realmente conforme e rispettosa. Un adeguato livello di consapevolezza è oggi il primo strumento di tutela.
