I contratti collettivi nazionali non possono violare la privacy. Lo stabilisce la Corte di Giustizia UE.
-
- 8 Febbraio 2025
Premessa
Un recente arresto della Corte di Giustizia della Unione Europea[1] (di seguito, CGUE) ha stabilito che i contratti collettivi di lavoro (CCL9stipulati tra i datori di lavoro e le associazioni sindacali devono rispettare la normativa in materia di protezione dei dati personali ed in caso di contrasto vanno disapplicati.
Il caso
La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 82, paragrafo 1, nonché dell’articolo 88, paragrafi 1 e 2, in combinato disposto con l’articolo 5, l’articolo 6, paragrafo 1, nonché l’articolo 9, paragrafi 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
Tale domanda è stata presentata nell’ambito di una controversia tra MK, persona fisica, e K GmbH, suo datore di lavoro, in merito al risarcimento del danno morale che tale persona asserisce di aver subito a causa di un trattamento dei suoi dati personali effettuato da tale società sulla base di un accordo aziendale.
Contesto normativo
Il contesto normativo preso a riferimento dalla CGUE ha riguardato sia norme comunitarie che norme nazionali
Diritto dell’Unione
I considerando 8, 10 e 155 del GDPR sono del seguente tenore:
«(8) Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale.(…)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (…) Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali (“dati sensibili”). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito. (…)
(155) Il diritto degli Stati membri o i contratti collettivi, ivi compresi gli “accordi aziendali”, possono prevedere norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per quanto riguarda le condizioni alle quali i dati personali nei rapporti di lavoro possono essere trattati sulla base del consenso del dipendente, per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro».
L’articolo 4 del GDPR, intitolato «Definizioni», dispone quanto segue:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); (…)
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali (…);
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (…)».
Il capo II del GDPR, intitolato «Principi», comprende gli articoli da 5 a 11 di quest’ultimo.
L’articolo 5 del GDPR, intitolato «Principi applicabili al trattamento di dati personali», prevede quanto segue:
«1. I dati personali sono:
(…)
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
(…)
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
L’articolo 6 del GDPR, rubricato «Liceità del trattamento», prevede quanto segue:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. (…)
8 L’articolo 9 del GDPR, intitolato «Trattamento di categorie particolari di dati personali», è del seguente tenore:
«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
(…)».
L’articolo 82 del GDPR, contenuto nel capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni», a sua volta intitolato «Diritto al risarcimento e responsabilità», al paragrafo 1 prevede quanto segue:
«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
L’articolo 88 del GDPR, contenuto nel capo IX del RGPD, intitolato «Disposizioni relative a specifiche situazioni di trattamento», è a sua volta intitolato «Trattamento di dati nell’ambito dei rapporti di lavoro», ai paragrafi 1 e 2 prevede quanto segue:
«1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.
2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro».
L’articolo 99 del RGPD, intitolato «Entrata in vigore e applicazione», è così formulato:
«1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
2. Esso si applica a decorrere da 25 maggio 2018».
Il giudice del rinvio chiede, in sostanza, se l’articolo 88, paragrafi 1 e 2, del RGPD debba essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di costringere i suoi destinatari a rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2, di detto regolamento, ma anche quelli derivanti dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, di quest’ultimo.
Sulla prima questione
Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 88, paragrafi 1 e 2, del RGPD debba essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di costringere i suoi destinatari a rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2, di detto regolamento, ma anche quelli derivanti dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, di quest’ultimo.
A tal riguardo, occorre ricordare che il RGPD mira a garantire un’armonizzazione delle legislazioni nazionali relative alla protezione dei dati personali che è, in linea di principio, completa. Tuttavia, talune disposizioni di detto regolamento offrono la possibilità agli Stati membri di prevedere norme nazionali supplementari, più rigorose ovvero a carattere derogatorio, che lasciano a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate («clausole di apertura.
L’articolo 88 del RGPD, relativo al trattamento di dati personali nell’ambito dei rapporti di lavoro, stabilisce le condizioni alle quali gli Stati membri possono prevedere, con legge o tramite contratti collettivi, «norme più specifiche» per assicurare la protezione dei diritti e delle libertà dei dipendenti interessati da un siffatto trattamento. Il considerando 155 di tale regolamento indica, in particolare, che la nozione di «contratto collettivo», ai sensi di tale articolo 88, include gli «accordi aziendali», come quello di cui trattasi nel procedimento principale. Inoltre, gli articoli 5, 6 e 9 di detto regolamento enunciano, rispettivamente, i principi relativi al trattamento dei dati personali, le condizioni di liceità di tale trattamento e norme relative al trattamento di categorie particolari di tali dati.[2]
In primo luogo, dalla formulazione dell’articolo 88 del RGPD emerge che il suo paragrafo 1 richiede che le «norme più specifiche» autorizzate da tale disposizione abbiano un contenuto normativo specifico per l’area regolamentata e distinto dalle norme generali di tale regolamento, mentre il suo paragrafo 2 delimita, conformemente all’obiettivo di armonizzazione perseguito da detto regolamento, il margine di discrezionalità degli Stati membri che intendono adottare una normativa nazionale sulla base di tale paragrafo 1.
Per contro, tale formulazione non fornisce indicazioni esplicite quanto alla questione se le «norme più specifiche» che gli Stati membri hanno quindi la possibilità di adottare debbano tendere al rispetto unicamente dei requisiti di cui all’articolo 88, paragrafo 2, del RGPD o anche di quelli di altre disposizioni di tale regolamento, cosicché i trattamenti di dati personali realizzati in applicazione di tali norme dovrebbero essere, inoltre, conformi a queste ultime disposizioni.
In secondo luogo, per quanto riguarda gli obiettivi dell’articolo 88 del RGPD, la Corte ha già dichiarato che tale articolo costituisce una «clausola di salvaguardia» e che la facoltà conferita agli Stati membri dal paragrafo 1 di quest’ultimo, tenuto conto delle particolarità di un siffatto trattamento, si spiega in particolare con l’esistenza di un vincolo di subordinazione tra il lavoratore dipendente e il datore di lavoro. Orbene, le condizioni imposte dall’articolo 88, paragrafo 2, di tale regolamento rispecchiano i limiti della differenziazione accettata da detto regolamento, nel senso che siffatta mancanza di armonizzazione può essere ammessa solo qualora le differenze che permangono siano accompagnate da garanzie specifiche ed appropriate intese a proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell’ambito dei rapporti di lavoro).[3]
In terzo luogo, il contesto in cui si inserisce l’articolo 88 del RGPD corrobora tale interpretazione.
Infatti, l’articolo 88 del RGPD figura al capo IX di quest’ultimo, intitolato «Disposizioni relative a specifiche situazioni di trattamento», mentre gli articoli 5, 6 e 9 di tale regolamento sono contenuti nel capo II di quest’ultimo, intitolato «Principi», il quale ha quindi una portata più generale. Inoltre, dalla formulazione di tale articolo 6, che fa esplicito riferimento, ai suoi paragrafi 2 e 3, alle disposizioni di tale capo IX, risulta chiaramente che le condizioni di liceità previste da detto articolo 6 sono vincolanti anche nell’ambito delle «specifiche situazioni» disciplinate dalle disposizioni di detto capo IX.
Inoltre, secondo costante giurisprudenza, qualsiasi trattamento di dati personali deve rispettare i principi che disciplinano il trattamento di tali dati nonché i diritti dell’interessato enunciati, rispettivamente, ai capi II e III del RGPD. In particolare, deve essere conforme ai principi relativi al trattamento di tali dati enunciati all’articolo 5 di tale regolamento e soddisfare le condizioni di liceità elencate all’articolo 6 del medesimo regolamento.
Per quanto riguarda più specificamente il rapporto tra l’articolo 88 del RGPD e altre disposizioni di tale regolamento, la Corte ha rilevato, segnatamente alla luce del considerando 8 di quest’ultimo, che, nonostante l’eventuale esistenza di «norme più specifiche» adottate dagli Stati membri sulla base dell’articolo 88, paragrafo 1, di detto regolamento, qualsiasi trattamento di dati personali deve rispettare gli obblighi risultanti dalle disposizioni dei capi II e III del medesimo regolamento nonché, in particolare, dagli articoli 5 e 6 di quest’ultimo.
Analogamente, gli obblighi derivanti dall’articolo 9 del RGPD devono essere rispettati in occasione di qualsiasi trattamento di dati personali rientrante nell’ambito di applicazione di tale regolamento, anche in presenza di «norme più specifiche» adottate in forza dell’articolo 88, paragrafo 1, di quest’ultimo. Infatti, tale articolo 9, che disciplina il trattamento delle categorie particolari di dati da esso elencate, figura nel capo II di detto regolamento, al pari dei suoi articoli 5 e 6, i cui requisiti sono peraltro cumulabili con quelli derivanti da detto articolo 9. Siffatta interpretazione contrasterebbe, per di più, con la finalità di tale stesso articolo 9, consistente nel garantire una protezione maggiore nei confronti di trattamenti che, a causa della natura particolarmente sensibile dei dati che ne sono oggetto, possono costituire un’ingerenza particolarmente grave nei diritti fondamentali delle persone interessate.
Pertanto, nell’ipotesi in cui il diritto di uno Stato membro contenga «norme più specifiche», ai sensi dell’articolo 88, paragrafo 1, del RGPD, i trattamenti di dati personali disciplinati da tali norme devono rispettare non solo le condizioni poste ai paragrafi 1 e 2 di tale articolo, ma anche quelle stabilite agli articoli 5, 6 e 9 di tale regolamento, come interpretate dalla giurisprudenza della Corte.
Alla luce dei motivi che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 88, paragrafi 1 e 2, del RGPD deve essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di vincolare i suoi destinatari a rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2, di tale regolamento, ma anche quelli che discendono dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, dello stesso.
Sulla seconda questione
Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 88, paragrafo 1, del RGPD debba essere interpretato nel senso che, qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui disporrebbero le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento, avrebbe l’effetto di impedire al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.
Innanzitutto, è importante ricordare che, come sottolineato nel paragrafo 41 della presente sentenza, gli Stati membri che esercitano l’opzione concessa loro dall’articolo 88 del RGPD devono utilizzare il loro margine di discrezionalità alle condizioni ed entro i limiti prescritti dalle disposizioni di tale regolamento e quindi garantire che le «norme più specifiche» che inseriscono nel loro ordinamento giuridico interno non compromettano il contenuto e gli obiettivi di tale regolamento. Tali norme devono mirare, in particolare, a garantire un livello elevato di tutela delle libertà e dei diritti fondamentali dei lavoratori con riguardo al trattamento dei loro dati personali nell’ambito dei rapporti di lavoro.
Per quanto riguarda la portata del controllo giurisdizionale che può essere esercitato nei confronti di siffatte norme specifiche, la Corte ha già dichiarato che spetta al giudice nazionale adito, il solo competente a interpretare il diritto nazionale, valutare se dette norme rispettino effettivamente le condizioni e i limiti prescritti, in particolare, dall’articolo 88 del RGPD. Conformemente al principio del primato del diritto dell’Unione, nel caso in cui detto giudice giunga alla constatazione che le disposizioni nazionali di cui trattasi non rispettano tali condizioni e limiti, esso è tenuto a disapplicare dette disposizioni. In assenza di norme più specifiche che rispettino le condizioni e i limiti stabiliti dall’articolo 88 del RGPD, il trattamento di dati personali nell’ambito dei rapporti di lavoro è direttamente disciplinato dalle disposizioni di detto regolamento.
Tali considerazioni valgono anche per le parti di un contratto collettivo di cui all’articolo 88 del RGPD, come quello di cui trattasi nel procedimento principale. Infatti, come rilevato in sostanza dalla Commissione europea nelle sue osservazioni scritte, le parti di un contratto collettivo devono poter disporre di un margine di discrezionalità equivalente, in particolare per quanto riguarda i suoi limiti, a quello riconosciuto agli Stati membri, dal momento che le «norme più specifiche» di cui al paragrafo 1 di tale articolo 88 possono segnatamente risultare da contratti collettivi. Il considerando 155 di tale regolamento indica altresì che siffatte norme possono essere previste dal diritto degli Stati membri o da contratti collettivi, compresi gli «accordi aziendali».
Pertanto, nonostante il margine di discrezionalità che l’articolo 88 del RGPD lascia alle parti di un contratto collettivo, il controllo giurisdizionale esercitato su un siffatto contratto, al pari di quello relativo a una norma di diritto nazionale adottata ai sensi di tale disposizione, deve poter vertere senza alcuna restrizione sul rispetto di tutte le condizioni e i limiti prescritti dalle disposizioni di tale regolamento per il trattamento di dati personali.
Occorre poi precisare che un siffatto controllo giurisdizionale deve, più specificamente, mirare alla verifica del carattere «necessario» del trattamento di tali dati, ai sensi degli articoli 5, 6 e 9 del RGPD. In altri termini, l’articolo 88 di quest’ultimo non può essere interpretato nel senso che le parti di un contratto collettivo dispongono di un margine di discrezionalità che consentirebbe loro di introdurre «norme più specifiche» che portano ad applicare in modo meno restrittivo, o addirittura ad escludere, detto requisito di necessità.
È vero che, come hanno osservato in sostanza il giudice del rinvio e l’Irlanda, le parti di un contratto collettivo sono in genere nella posizione migliore per valutare se un trattamento di dati sia necessario in un contesto professionale concreto, poiché tali parti possiedono abitualmente ampie conoscenze quanto alle esigenze specifiche del settore del lavoro e del settore di attività interessato. Tuttavia, tale processo di valutazione non deve indurre le parti a scendere a compromessi, di natura economica o di convenienza, che potrebbero pregiudicare indebitamente l’obiettivo del RGPD di garantire un elevato livello di protezione dei diritti e delle libertà fondamentali dei dipendenti in relazione al trattamento dei loro dati personali.
Di conseguenza, un’interpretazione dell’articolo 88 del RGPD secondo la quale i giudici nazionali non potrebbero esercitare un controllo giurisdizionale completo su un contratto collettivo, in particolare per verificare se le giustificazioni addotte dalle parti di tale contratto stabiliscano il carattere necessario del trattamento dei dati personali che ne deriva, non sarebbe compatibile con tale regolamento, tenuto conto dell’obiettivo di protezione ricordato nel punto precedente della presente sentenza.
Infine, va sottolineato che, qualora il giudice nazionale adito giungesse alla conclusione, all’esito del suo controllo, che alcune disposizioni del contratto collettivo in questione non rispettano le condizioni e i limiti prescritti dal RGPD, sarebbe tenuto a non applicare tali disposizioni, in conformità alla giurisprudenza citata nel punto 53 della presente sentenza.
Alla luce dei motivi che precedono, occorre rispondere alla seconda questione dichiarando che l’articolo 88, paragrafo 1, del RGPD deve essere interpretato nel senso che, qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui dispongono le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento, non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.
Sulla terza questione
61 Alla luce della risposta fornita alla seconda questione, non occorre rispondere alla terza questione.
Per questi motivi, la Corte (Ottava Sezione) dichiara:
1) L’articolo 88, paragrafi 1 e 2,[4] dev’essere interpretato nel senso che:
una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di vincolare i suoi destinatari a rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2 di tale regolamento, ma anche quelli che discendono dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, dello stesso.
2) L’articolo 88, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che:
qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui dispongono le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento, non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.
Conclusioni
La tematica ivi rappresentata è di sicuro interesse per gli enti e le imprese, così come per i professionisti che, a vario titolo, operano all’interno del mondo del lavoro e si trovano a intervenire nella applicazione dei CCL.
Per l’appunto, i CCL soggiacciono anch’essi alla normativa in materia di protezione dei dati personali, sia quella comunitaria (Regolamento UE 2016/679) che nazionale (Codice della Privacy).
[1] SENTENZA DELLA CORTE (Ottava Sezione) 19 dicembre 2024, resa nella causa C 65/23 « Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 88, paragrafi 1 e 2 – Trattamento di dati nell’ambito dei rapporti di lavoro – Dati personali dei dipendenti – Norme più specifiche previste da uno Stato membro in forza di tale articolo 88 – Obbligo di rispettare l’articolo 5, l’articolo 6, paragrafo 1, nonché l’articolo 9, paragrafi 1 e 2, di tale regolamento – Trattamento in base ad un contratto collettivo – Margine di discrezionalità delle parti del contratto collettivo sulla necessità del trattamento dei dati personali previsto da quest’ultimo – Portata del sindacato giurisdizionale » .
[2] Secondo una giurisprudenza costante, i termini di una disposizione del diritto dell’Unione che, al pari degli articoli 24 e 88 del RGPD, non contenga alcun rinvio espresso al diritto degli Stati membri al fine di determinare il suo significato e la sua portata, devono di norma dar luogo, in tutta l’Unione, ad un’interpretazione autonoma e uniforme, da effettuarsi tenendo conto, segnatamente, dei termini di tale disposizione, degli obiettivi che essa persegue e del contesto in cui si inserisce.
[3] Inoltre, la Corte ha sottolineato che, quando gli Stati membri esercitano la facoltà loro concessa dall’articolo 88 del RGPD, devono utilizzare il loro potere discrezionale alle condizioni e nei limiti prescritti dalle disposizioni di tale regolamento e devono quindi legiferare in modo da non pregiudicare il contenuto e gli obiettivi di detto regolamento, il quale ha segnatamente lo scopo di garantire un livello elevato di protezione dei diritti e delle libertà degli interessati da un siffatto trattamento, come risulta dal suo considerando 10. Pertanto, l’obiettivo delle norme adottate da uno Stato membro sulla base di tale articolo 88 consiste nel proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali. Tuttavia, per evitare di compromettere tutte queste finalità, e più in particolare quella di garantire un elevato livello di protezione dei dipendenti nel caso in cui i loro dati personali siano trattati nell’ambito di un rapporto di lavoro, l’articolo 88 del RGPD non può essere interpretato nel senso che le «norme più specifiche» che gli Stati membri sono autorizzati ad adottare ai sensi di tale articolo possano avere l’oggetto o l’effetto di eludere gli obblighi del responsabile del trattamento, o anche dell’incaricato del trattamento, derivanti da altre disposizioni di tale regolamento. Ne consegue che occorre interpretare l’articolo 88, paragrafi 1 e 2, del RGPD nel senso che, anche qualora gli Stati membri si basino su tale articolo per introdurre, nei loro rispettivi ordinamenti giuridici interni, «norme più specifiche», mediante una legge o mediante contratti collettivi, devono parimenti essere soddisfatti i requisiti derivanti dalle altre disposizioni specificamente considerate dalla presente questione, ossia l’articolo 5, l’articolo 6, paragrafo 1, nonché l’articolo 9, paragrafi 1 e 2, di tale regolamento. Ciò vale, in particolare, per il rispetto del criterio di necessità del trattamento previsto da tali disposizioni, in merito al quale il giudice del rinvio si interroga più in particolare.
[4] Del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati.
