Trattamento dei dati personali dei lavoratori: la CGUE sugli accordi aziendali che deroghino in peius le tutele del GDPR

28 Marzo 2025

La discrezionalità accordata alla legge nazionale e ai contratti collettivi dall’art. 88, comma 1° del Regolamento 679/2016 nel determinare “norme più specifiche” che assicurino la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori, non vieta al giudice nazionale adito di effettuare un controllo giurisdizionale completo nel rispetto dei principi generali posti dal GDPR.

Con la sentenza del 19 dicembre 2024, nella causa C-65/23, la Corte di Giustizia Europea (“CGUE”) si è espressa sulle disposizioni contenute in un accordo aziendale sottoscritto tra una società tedesca e il comitato aziendale dei propri dipendenti ai sensi dell’art. 88, comma 1 del Regolamento UE n. 679/2016 (il “Regolamento” o “GDPR”) in quanto potenzialmente contrarie ai principi generali in tema di tutela dei dati personali contenuti nello stesso.

Più precisamente, l’art. 88 GDPR stabilisce che gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro.

La vicenda prende le mosse dal giudizio instaurato da un lavoratore della citata una società tedesca, che ha chiesto l’accesso ad alcune informazioni, la cancellazione di dati che lo riguardavano, nonché un risarcimento per il danno morale asseritamente subìto a seguito di un trattamento illecito dei suoi dati personali, che erano stati trasferiti dal software della società datrice ad un server americano di proprietà della società controllante, in base a quanto stabilito nell’accordo aziendale. In particolare, il dipendente ha sostenuto che il trasferimento dei suoi dati non fosse necessario e che, inoltre, alcuni dei dati trasferiti non fossero neppure oggetto dell'accordo stesso.

In proprio favore, il lavoratore ha invocato gli artt. 5, 6, comma 1° e 9, commi 1° e 2° del GDPR, i quali definiscono i principi applicabili al trattamento dei dati personali, delimitandone i confini di liceità e prevedendo limiti specifici per il trattamento di categorie particolari di dati personali (e.g., che rivelino l’originale razziale o etnica, le opinioni politiche o le convinzioni religiose di ciascuno). 

Più nello specifico, il dipendente ha reclamato che il trattamento dei propri dati, giustificato ai fini dello svolgimento rapporto di lavoro, avesse violato le disposizioni menzionate e che, per tale ragione, l’accordo aziendale – che prevedeva tale modalità illegittima – dovesse essere sostanzialmente disapplicato per garantire la piena tutela accordata dal GDPR. Inoltre, pur ipotizzando la validità dell’accordo aziendale, lo stesso sarebbe stato disatteso, se si considera che, in concreto, erano stati trasferiti dalla datrice alla controllante diversi dati personali non elencati nell’accordo aziendale, ossia di cui non era stato autorizzato il trasferimento (quali recapiti privati, numeri di previdenza sociale e di identificazione fiscale).

Dopo aver valutato i quesiti del rinvio pregiudiziale eseguito dalla Suprema Corte tedesca, la CGUE, investita del caso, si è chiesta se gli accordi collettivi disciplinanti le modalità di trattamento dei dati personali, ai sensi dell’art. 88, comma 1° del GDPR, dovessero rispettare i soli limiti posti dal comma 2° dello stesso articolo (i.e., salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati) oppure anche i principi generali sanciti agli artt. 5, 6, comma 1°, e 9, comma 1° e 2°, del medesimo Regolamento, tra i quali il criterio di “necessità del trattamento”.

All’esito delle proprie valutazioni, la Corte europea ha optato per la seconda soluzione, affermando che le “norme più specifiche” eventualmente introdotte da una norma di legge nazionale o da un contratto collettivo ai sensi dell’art. 88, comma 1° del Regolamento, devono, in ogni caso, rispettare anche i principi generali posti dagli artt. 5, 6 e 9 dello stesso. Ha affermato, inoltre, la il margine di discrezionalità, nella definizione di “necessità del trattamento dei dati”, che andrebbe riconosciuto alle parti che sottoscrivono un accordo sindacale ai sensi dall’art. 88, comma 1° del GDPR, considerando che tale criterio potrebbe variare di settore in settore, e che, di norma, sindacati e imprese posseggono conoscenze e sensibilità idonee ad apprezzare le peculiarità di settore, non impedisce un controllo giurisdizionale “sul rispetto di tutte le condizioni e i limiti prescritti dalle disposizioni di tale regolamento per il trattamento di dati personali”, inclusa la verifica del carattere necessario del trattamento dei dati, ai sensi degli artt. 6, 6 e 9 del GDPR.

La soluzione offerta dalla CG UE sembra escludere, dunque, in modo netto, la possibilità, per sindacati e imprese nazionali, di derogare pattiziamente ai limiti e alle tutele accordate in tema di privacy dal Regolamento UE n. 679/2016, a nulla rilevando le peculiarità proprie di ciascun settore.

2025 - Morri Rossetti

cross