La disapplicazione delle disposizioni della contrattazione collettiva in contrasto con la normativa privacy

La pronuncia in esame trae origine da un una controversia instaurata da un dipendente di una società tedesca che, proponendo ricorso avverso il suo datore di lavoro, presentava domanda di risarcimento danni. Il dipendente, il quale, tra l’altro, presiedeva il comitato aziendale costituito presso tale società, ha asserito di aver subito un danno morale a causa di un illecito trattamento dei suoi dati personali effettuato dalla datrice di lavoro. In particolare, il dipendente sosteneva che il datore avesse svolto un trattamento di dati personali (trasferiti presso un server della società capogruppo situato negli Stati Uniti) in violazione dei limiti stabiliti da un accordo aziendale. Tale accordo prevedeva che (in fase di test inizialmente) solo alcune tipologie di dati personali dei dipendenti potessero essere trattate e, comunque, non per finalità di valutazione del personale, mediante un software gestionale della capogruppo integrato con il software normalmente utilizzato per il trattamento dei dati personali dei dipendenti operanti in Germania.

L’azione proposta dal dipendente, volta ad ottenere l’accesso ai propri dati personali, alla relativa cancellazione e all’ottenimento di un risarcimento danni, giungeva fino alla Corte Federale del Lavoro. Quest’ultima, giudice di ultima istanza, rivolgendosi alla Corte di Giustizia Europea, ha sollevato questioni sulla portata dell’applicabilità dell’art. 88 del Regolamento (EU) 2016/679 (GDPR), il quale prevede che “gli Stati Membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, […]”.

Il tema principale, dunque, è se i contratti collettivi, anche aziendali, che definiscono diritti ed obblighi per le parti stipulanti, possano disciplinare il trattamento dei dati personali dei lavoratori, anche in deroga al GDPR, oppure se debbano obbligatoriamente ed integralmente adeguarsi ad esso.

In questo contesto, la Corte di ultima istanza ha deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia Europea alcune (tre di cui l’ultima assorbita) questioni pregiudiziali. In particolare:

Sulla prima questione

La Corte ha osservato preliminarmente che l’art. 88, paragrafo 1, richiede che le norme specifiche introdotte dagli Stati Membri abbiano un contenuto normativo chiaro e specifico per l’ambito disciplinato. Inoltre, il paragrafo 2 delimita il margine di discrezionalità concesso agli Stati Membri, che possono adottare normative nazionali basandosi su quanto previsto dal paragrafo 1. Tuttavia, la formulazione dell’articolo 88 non chiarisce espressamente se le norme nazionali più specifiche debbano rispettare esclusivamente i requisiti indicati nel paragrafo 2 o anche quelli previsti da altre disposizioni del GDPR.

Di conseguenza, la Corte ha sottolineato che, qualora gli Stati Membri esercitino la facoltà prevista dall’art. 88, debbano farlo rispettando le condizioni e i limiti fissati dal GDPR, in modo da non compromettere il contenuto e gli obiettivi generali del regolamento. In particolare, per garantire un elevato livello di protezione dei dati personali dei lavoratori, lo stesso articolo non può essere interpretato come se consentisse agli Stati Membri di introdurre norme che eludano gli obblighi posti a carico del responsabile o dell’incaricato del trattamento ai sensi di altre disposizioni del GDPR.

Pertanto, l’art. 88, paragrafi 1 e 2 dovrà essere interpretato nel senso che qualora gli Stati Membri adottino norme più specifiche tramite leggi o contratti collettivi, tali norme devono comunque rispettare anche i requisiti previsti dei predetti articoli 5, 6, paragrafo 1, e 9, paragrafi 1 e 2, del GDPR.

Sulla seconda questione

La Corte ha preliminarmente chiarito che spetta al giudice nazionale, unico competente per l’interpretazione del diritto interno, verificare se le norme nazionali rispettino le condizioni e i limiti stabiliti dall’articolo 88 del GDPR, disapplicandole qualora risultino non conformi. Tali principi si applicano anche alle disposizioni di un contratto collettivo redatto ai sensi dell’articolo 88 del GDPR, poiché le parti contrattuali dispongono di un margine di discrezionalità analogo a quello riconosciuto agli Stati Membri. Tuttavia, il controllo giurisdizionale su tali contratti, al pari di quello sulle norme nazionali, deve essere pieno e senza restrizioni e volto a verificare il rispetto delle condizioni e dei limiti previsti dal GDPR, incluso il rispetto dei principi generali sul trattamento dei dati di cui all’art. 5 e in presenza di condizioni di liceità per le diverse categorie di dati trattati a norma degli artt. 6 e 9.

Considerata la risposta fornita alla seconda questione, la Corte ha infine ritenuto superfluo rispondere alla terza, relativa alla portata del controllo giurisdizionale in situazioni analoghe.

Alla luce dei motivi sopra esposti, la Corte di Giustizia Europea ha quindi dichiarato che:

“L’articolo 88, paragrafi 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di vincolare i suoi destinatari a rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2 di tale regolamento, ma anche quelli che discendono dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, dello stesso.

L’articolo 88, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui dispongono le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento, non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo”.

A fronte della sentenza esaminata, i datori di lavoro, in qualità di titolari del trattamento dei dati personali dei dipendenti, devono – in ottica di accountability - verificare la conformità degli accordi collettivi anche aziendali, e in genere di tutti i trattamenti di dati personali posti in essere, alla normativa sulla privacy, in primis alle regole introdotte dal GDPR. Sarà pertanto necessario esaminare con attenzione non solo la categoria dei dati trattati, ma anche le basi giuridiche del trattamento rispetto alle finalità dichiarate, per garantire che ogni trattamento (ivi inclusi gli eventuali trasferimenti di dati verso Paesi extra UE come gli Stati Uniti) avvenga in modo conforme e legittimo e previa adozione di misure tecniche ed organizzative adeguate al livello di rischio concreto.

Il coinvolgimento del Responsabile della Protezione dei Dati (DPO) o, in mancanza, dei professionisti della privacy, sarà quindi imprescindibile per evitare o quanto meno limitare il rischio di contestazioni e azioni da parte dei lavoratori che possono tradursi nella disapplicazione da parte del giudice del lavoro di una norma collettiva e/o nelle sanzioni del Garante.

_______

*Nadia Martini, Avvocato, Partner - Rödl & Partner e Irene Pudda, Associate Partner, Avvocato – Rödl & Partner

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più