Altro intervento della Corte di Giustizia della UE che questa volta è stata chiamata a pronunciarsi sull’interpretazione del GDPR e nello specifico sul trattamento dati personali nei rapporti di lavoro (art. 88).
Con la causa C-65/23 ha stabilito due principi che cementificano l’importanza del GDPR. Da un lato, la CGUE è netta nel dire che anche i contratti collettivi nazionali del lavoro – CCNL devono sottostare alle regole del GDPR; dall’altro, se il Giudice trova una violazione in materia di protezione dati personali è obbligato a disapplicare il CCNL.
Scopriamo meglio.
Indice degli argomenti
La sentenza della CGUE e la sua portata innovativa
La privacy è tutt’altro che negletta, anzi e alla Corte di Giustizia UE è assai cara dal momento che si poggia, con la sentenza in parola, su due pilastri: basta contratti collettivi in violazione della privacy e al via i poteri di disapplicazione dei contratti da parte dei giudici/garanti.
Da ultimo, ma non ultimo è bene che datori e sindacati consultino i DPO in tutto questo eventuale marasma.
Contratti di lavoro e privacy: il caso
Il caso nasce a seguito di un ricorso presentato da un impiegato/interessato di una società tedesca/titolare che utilizzava il “software SAP” nella specie a fini contabili, concludendo a proposito svariati accordi aziendali.
Nel lontano 2017 la medesimi società si dotava di un software cd “Workday” in cloud, quale “sistema unico per la gestione delle informazioni sul personale”. Nel luglio dello stesso, veniva siglato un accordo in termini di “tolleranza” ovvero nei limiti di utilizzo di tale software cioè a dire che lo stesso non venisse utilizzato a fini di gestione delle risorse umane, come la valutazione di un lavoratore, durante la fase di sperimentazione.
Per tali motivi, l’interessato proponeva prima dinanzi all’Arbeitsgericht (Tribunale del lavoro, Germania) e poi avanti al Landesarbeitsgericht (Tribunale superiore del lavoro del Land, Germania) domande dirette a ottenere:
- l’accesso a talune informazioni;
- la cancellazione di dati che lo riguardavano;
- la concessione di un risarcimento.
Presentava poi ricorso per cassazione (Revision) presso il Bundesarbeitsgericht (Corte federale del lavoro, Germania), vista l’insoddisfazione ottenuta fino ad allora. La Corte federale sospendeva il giudizio rinviando il tutto alla CGUE.
Vincolatività del GDPR e disapplicazione della norma non compliant
Due (o meglio tre, anche se l’ultima è stata assorbita) sono le questioni pregiudiziali.
La prima concerne la questione della vincolatività del GDPR sul CCNL. Si legge in sentenza testualmente che “l’articolo 88 del GDPR, relativo al trattamento di dati personali nell’ambito dei rapporti di lavoro, stabilisce le condizioni alle quali gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche”.
Quindi, anche il CCNL è tenuto a rispettare la privacy; eaggiunge che “la mancata armonizzazione può essere ammessa solo qualora le differenze che permangono siano accompagnate da garanzie specifiche ed appropriate intese a proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell’ambito dei rapporti di lavoro”.
L’assenza di misure di sicurezza adeguate quindi non va affatto bene.
La seconda questione pregiudiziale concerne il potere del giudice di disapplicare, “qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui disporrebbero le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2”.
Con l’effetto di impedire al giudice nazionale un controllo completo nel merito.
E qualora il giudice, nel pieno esercizio delle funzioni, si rendesse conto che la norma vìola il GDPR sarà tenuto a disapplicarla, senza se e senza ma.
Il riscontro della CGUE e i due principi di diritto
Dal canto suo la CGUE è chiara nell’interpretazione affermando come la normativa nazionale, anche se derogatoria, da un lato deve vincolare i suoi destinatari a rispettare la privacy” (artt. 88, 5, e 9), dall’altro “deve imporre il margine di discrezionalità di cui dispongono le parti di tale contratto per determinare il carattere necessario di un trattamento di dati personali” (artt.5, 6, 9).
Il messaggio è chiaro: se da un lato i contratti nazionali sono soggetti alle regole del GDPR, dall’altro occorre che i giudici se ne accorgano, e che i Garanti sanzionino.
La sentenza della CGUE e i distingui civilistici
La sentenza in parola pone anche dei distinguo civilistici e, in particolare, se:
- la clausola contrattuale è illecita in quanto formulata con violazione del GDPR;
- e l’applicazione della clausola contrattuale in modo difforme dai principi del GDPR.
Si tratta di due postulati differenti che portano tuttavia alla stessa conclusione: la disapplicazione.
Al riguardo, merita chiarire che il giudice nella sua attività di disapplicazione della clausola contrattuale illecita, ha il potere limitato alla sola disapplicazione della singola clausola illecita, ma non di tutto il contratto, applicando i principi generali (codicistici) in tema di interpretazione del contratto con eliminazione della sola clausola negoziale nulla per illiceità derivante dalla violazione di legge e applicazione del restante accordo negoziale, da interpretarsi in funzione della modificazione apportata dalla disapplicazione.
A questo punto rimane il problema in ordine alla liceità di clausole si pongano in violazione di norme di legge e sciogliere definitivamente il dubbio sulla portata giuridica delle norme del GDPR: sono norme generali di “ordine pubblico” da intendersi secondo il diritto civile? Sicuramente sono norme sovraordinate che in quanto tali prevalgono.
Di qui, ecco che la conformità alla data protection vince sulla formulazione del CCNL, come stabilito nel caso di specie dalla CGUE.
CCNL al vaglio del GDPR: ecco cosa impariamo
Con la sentenza in parola, ecco che il GDPR prende sempre più piede e la compliance alla data protection pure.
Se infatti le organizzazioni che, in materia di (diritto del) lavoro, hanno come riferimento il CCNL non risultino — essendo vere e proprie fonti — compliant alla normativa (art. 88) privacy potranno essere sanzionate dal Garante e condannate dal Giudice, il quale qualora dovesse poi ravvisarne qualche difformità, sarà tenuto a disapplicare.
I DPO in queste circostanze dovranno essere assolutamente interpellati, ed evidenti saranno le ricadute/effetti sui contratti che dovranno essere a prova di privacy.
In caso contrario, tanto il giudice quanto il garante, secondo le rispettive competenze, dovranno prendere provvedimenti l’uno in termini disapplicativi, l’altro sanzionatori, riconoscendo anche e se del caso il risarcimento dei danni all’interessato che lamenti una violazione sul trattamento dei dati personali, come è avvenuto nel caso di specie.