Gentile utente ti informiamo che questo sito utilizza cookie di profilazione di terze parti. Se decidi di continuare la navigazione accetti l'uso dei cookie.
x Chiudi
Consulenza.it - L'informazione integrata per professionisti e aziende
Consulenza Buffetti - il portale dei professionisti e delle aziende
Ricerca avanzata

News

Privacy
torna alle news

Se il contratto collettivo viola il GDPR va disapplicato

La Corte di Giustizia dell’Unione Europea il 19 dicembre 2023 si è pronunciata nella causa C-65/23 avente ad oggetto l’interpretazione dell’articolo 88 del Regolamento n. 679/2016, che ha disciplina il margine di discrezionalità lasciato agli Stati membri di intervenire con norme di settore specifiche per regolare questioni riferite al trattamento di dati personali, statuendo che, se le disposizioni dei contratti collettivi nazionali del lavoro violano il GDPR, vanno disapplicate e, dunque, le parti contrattuali devono necessariamente considerare la disciplina in materia di privacy quando adottano regole di settore. 

Il giudice che interviene in situazioni di questo tipo ha il potere di controllo, facendo valere la normativa europea contro quella nazionale, se quest’ultima non è in linea con la prima.

I fatti

La questione presentata davanti alla Corte Europea ha preso le mosse innanzi al giudice tedesco, il quale si è trovato a dover decidere un caso in cui il dipendente di una società di diritto tedesco aveva presentato ricorso, lamentando un illecito trattamento di suoi dati personali da parte della società per cui lavorava attraverso il software in uso.

La società aveva introdotto un software SAP per il trattamento dei dati personali dei suoi lavoratori, per poi trasferirlo nel cloud come sistema unico di trattamento dei dati dei suoi dipendenti, spostando diversi dati personali su un server situato negli Stati Uniti.

 

Inizialmente, erano stati conclusi diversi accordi con le rappresentanze sindacali dei dipendenti che concedevano il trattamento dei dati da parte di questo software solo di alcune informazioni. 

Il dipendente, il quale, tra l’altro, presiedeva il comitato aziendale che aveva sottoscritto l’accordo sindacale si era rivolto all’autorità giudiziaria tedesca contro l’azienda datrice di lavoro, richiedendo il risarcimento del danno, l’accesso alle informazioni che lo riguardavano e la cancellazione dei suoi dati presenti nel sistema informatico, sostenendo che l’azienda avrebbe trasferito nel cloud del server e quindi negli Stati Uniti, dati personali a lui riferiti, che non erano citati nel suddetto accordo aziendale, in particolare si trattava dei suoi recapiti privati, dei dettagli del suo contratto e della sua retribuzione, dei suoi numeri di previdenza sociale e di identificazione fiscale, della sua cittadinanza nonché del suo stato civile.

 

Giunto il caso davanti alla Bundesarbeitsgericht (Corte federale del lavoro: il “giudice del rinvio”), il giudice ha sospeso il procedimento e aperto davanti alla Corte di Giustizia dell’Unione europea una questione pregiudiziale, avente ad oggetto l’interpretazione dell’articolo 88 del Regolamento n. 679/2016, chiedendo se:

  1. una norma nazionale che disciplina i trattamenti di dati personali ai fini dei rapporti di lavoro che prevede, sostanzialmente, che un siffatto trattamento opera sulla base di contratti collettivi sia lecita fatto salvo il rispetto dell’articolo 88, paragrafo 2, del RGPD, come l’articolo 26, paragrafo 4, del BDSG, è compatibile con tale regolamento o se, a tal fine, il trattamento interessato debba anche essere conforme alle altre disposizioni dello stesso. Tale giudice propende a stimare che qualora il trattamento dei dati personali dei dipendenti sia disciplinato da un «contratto collettivo» ai sensi dell’articolo 88 del RGPD, tale trattamento non può discostarsi dai requisiti derivanti non solo da tale articolo 88, ma anche dall’articolo 5, dell’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, di tale regolamento, in particolare per quanto riguarda il criterio di necessità del trattamento previsto in tali tre ultimi articoli.
  2. In secondo luogo, in caso di risposta affermativa alla sua prima domanda, detto giudice si chiede se le parti di un siffatto contratto collettivo abbiano un margine di discrezionalità che dovrebbe essere soggetto solo a un controllo giudiziario limitato per quanto riguarda la valutazione della necessità del trattamento in questione, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, del RGPD. A suo avviso, tale tesi può trovare sostegno nell’argomento secondo cui tali parti sarebbero molto vicine alla vita dell’impresa e sarebbero generalmente giunte ad un giusto equilibrio tra gli interessi in gioco. Tuttavia, la giurisprudenza della Corte relativa ad altri atti del diritto dell’Unione, in particolare le sentenze del 7 febbraio 1991, Nimz (C 184/89, EU:C:1991:50), e del 20 marzo 2003, Kutz-Bauer (C 187/00, EU:C:2003:168), lascerebbe piuttosto ritenere che le disposizioni di un contratto collettivo rientrante nell’ambito di applicazione di tale diritto non possano essere contrarie a quest’ultimo e che, se necessario, occorra disapplicare siffatte disposizioni.
  3. In terzo luogo, in caso di risposta affermativa alla seconda questione, il giudice del rinvio desidera conoscere i criteri di valutazione ai quali esso dovrebbe, se del caso, limitare il suo controllo giurisdizionale.

La decisione della Corte Europea

Prima di analizzare le argomentazioni della Corte europea, è opportuno ricordare cosa stabilisce 

l’articolo 88 del Regolamento n. 679/2016 che è contenuto nel capo IX «Disposizioni relative a specifiche situazioni di trattamento», ed è intitolato «Trattamento di dati nell’ambito dei rapporti di lavoro».

Ai paragrafi 1 e 2, il suddetto articolo recita quanto segue:

  1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi [sono inclusi gli accordi aziendali, come chiarisce il considerando n. 155], norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.
  2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

Dal tenore della disposizione suddetta, si rileva (come del resto chiarito dai giudici europei) che il legislatore si è limitato a concedere un potere di discrezionalità agli Stati membri rispetto alla normativa di settore, in questo caso riferita a questioni afferenti il diritto del lavoro, tratteggiando anche, a grandi linee, l’oggetto delle norme nazionali, ma nulla ha chiarito in merito alla considerazione (o meno) che tali norme di settore dovrebbero avere rispetto alle altre disposizioni del Regolamento.

La Corte Europea ha già, a suo tempo, dichiarato che tale articolo costituisce una «clausola di salvaguardia» e che la facoltà conferita agli Stati membri dal paragrafo 1 di quest’ultimo, tenuto conto delle particolarità di un siffatto trattamento, si spiega in particolare con l’esistenza di un vincolo di subordinazione tra il lavoratore dipendente e il datore di lavoro. Orbene, le condizioni imposte dall’articolo 88, paragrafo 2, di tale regolamento rispecchiano i limiti della differenziazione accettata da detto regolamento, nel senso che siffatta mancanza di armonizzazione può essere ammessa solo qualora le differenze che permangono siano accompagnate da garanzie specifiche ed appropriate intese a proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell’ambito dei rapporti di lavoro (v., in tal senso, sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C 34/21, EU:C:2023:270, punti 52, 53 e 73).

 

La normativa di settore deve rispettare integralmente i principi del GDPR

 

Nella sua decisione, la Corte ha sottolineato che, quando gli Stati membri esercitano la facoltà loro concessa dall’articolo 88 del Regolamento, devono utilizzare il loro potere discrezionale alle condizioni e nei limiti prescritti dalle disposizioni dello stesso e devono quindi legiferare in modo da non pregiudicare il contenuto e gli obiettivi del GDPR, che ha specificamente il fine di assicurare un livello elevato di protezione dei diritti e delle libertà degli interessati da un siffatto trattamento, come risulta dal suo considerando 10. 

Pertanto, l’obiettivo delle norme adottate da uno Stato membro sulla base di tale articolo 88 consiste nel proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali.

Tuttavia, per evitare di compromettere tutte queste finalità, e più in particolare quella di garantire un elevato livello di protezione dei dipendenti nel caso in cui i loro dati personali siano trattati nell’ambito di un rapporto di lavoro, l’articolo 88 del RGPD non può essere interpretato nel senso che le «norme più specifiche» che gli Stati membri sono autorizzati ad adottare ai sensi di tale articolo possano avere l’oggetto o l’effetto di eludere gli obblighi del responsabile del trattamento, o anche dell’incaricato del trattamento, derivanti da altre disposizioni di tale regolamento.

Ne consegue che, a parere della Corte, l’articolo 88, paragrafi 1 e 2, del Regolamento deve essere interpretato nel senso che, anche qualora gli Stati membri si basino su tale articolo per introdurre, nei loro rispettivi ordinamenti giuridici interni, «norme più specifiche», mediante una legge o mediante contratti collettivi, devono parimenti essere soddisfatti i requisiti derivanti dalle altre disposizioni specificamente considerate dalla presente questione, ossia l’articolo 5, l’articolo 6, paragrafo 1, nonché l’articolo 9, paragrafi 1 e 2, di tale regolamento. Ciò vale, in particolare, per il rispetto del criterio di necessità del trattamento previsto da tali disposizioni.

Ragion per cui una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di vincolare i suoi destinatari a rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2 di tale regolamento, ma anche quelli che discendono dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, dello stesso.

 

Sul controllo giurisdizionale da parte dei giudici rispetto alla disciplina nazionale di settore

 

Per quanto riguarda la portata del controllo giurisdizionale che può essere esercitato nei confronti di siffatte norme specifiche, la Corte ha già dichiarato che spetta al giudice nazionale adito, il solo competente a interpretare il diritto nazionale, valutare se dette norme rispettino effettivamente le condizioni e i limiti prescritti, in particolare, dall’articolo 88. Conformemente al principio del primato del diritto dell’Unione, nel caso in cui detto giudice giunga alla constatazione che le disposizioni nazionali di cui trattasi non rispettano tali condizioni e limiti, esso è tenuto a disapplicare dette disposizioni. In assenza di norme più specifiche che rispettino le condizioni e i limiti stabiliti dall’articolo 88 del RGPD, il trattamento di dati personali nell’ambito dei rapporti di lavoro è direttamente disciplinato dalle disposizioni di detto regolamento.

Tali considerazioni valgono anche per le parti di un contratto collettivo di cui all’articolo 88 del RGPD, come quello di cui trattasi nel procedimento principale. Infatti, come rilevato in sostanza dalla Commissione europea nelle sue osservazioni scritte, le parti di un contratto collettivo devono poter disporre di un margine di discrezionalità equivalente, in particolare per quanto riguarda i suoi limiti, a quello riconosciuto agli Stati membri, dal momento che le «norme più specifiche» di cui al paragrafo 1 di tale articolo 88 possono segnatamente risultare da contratti collettivi. Il considerando 155 di tale regolamento indica altresì che siffatte norme possono essere previste dal diritto degli Stati membri o da contratti collettivi, compresi gli «accordi aziendali».

Pertanto, nonostante il margine di discrezionalità che l’articolo 88 del RGPD lascia alle parti di un contratto collettivo, il controllo giurisdizionale esercitato su un siffatto contratto, al pari di quello relativo a una norma di diritto nazionale adottata ai sensi di tale disposizione, deve poter vertere senza alcuna restrizione sul rispetto di tutte le condizioni e i limiti prescritti dalle disposizioni di tale regolamento per il trattamento di dati personali.

Occorre poi precisare che un siffatto controllo giurisdizionale deve, più specificamente, vertere sulla verifica del carattere «necessario» del trattamento di tali dati, ai sensi degli articoli 5, 6 e 9 del RGPD. In altri termini, l’articolo 88 di quest’ultimo non può essere interpretato nel senso che le parti di un contratto collettivo dispongono di un margine di discrezionalità che consentirebbe loro di introdurre «norme più specifiche» che portano ad applicare in modo meno restrittivo, o addirittura ad escludere, detto requisito di necessità.

Di conseguenza, qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui dispongono le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento, non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo. 

Concludendo

Nella redazione di un contratto collettivo o accordo aziendale, non deve essere rispettato solo l'articolo 88 del GDPR, ma anche i suoi principi fondamentali e i requisiti richiesti in particolare dagli articoli 5, 6 e 9, mentre il giudice che si dovesse trovare in situazioni di contrasto tra la normativa nazionale di settore e le disposizioni del Regolamento n. 679/2016, deve disapplicare la prima, in onore delle seconde.