In data 19 dicembre 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-65/23, MK contro K GmbH,sull’interpretazione dell’articolo 82, paragrafo 1, nonché dell’articolo 88, paragrafi 1 e 2, in combinato disposto con l’articolo 5, l’articolo 6, paragrafo 1, e l’articolo 9, paragrafi 1 e 2, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra MK e la K GmbH (“K”), suo datore di lavoro, in merito al risarcimento del danno morale che tale persona asseriva di aver subito a causa di un trattamento dei suoi dati personali effettuato da parte della società sulla base di un accordo aziendale.
Questi i fatti.
Inizialmente, la K aveva proceduto al trattamento di taluni dati personali dei suoi dipendenti nell’ambito dell’utilizzo di un softwaredenominato “SAP”, concludendo diversi accordi al riguardo con il suo comitato aziendale, che era presieduto da MK. Successivamente il gruppo di società D, a cui appartiene la K, aveva introdotto il software denominato “Workday”, che opera nel cloud, come sistema unico per la gestione delle informazioni sul personale, di talché la K aveva trasferito diversi dati personali dei suoi dipendenti dal SAP ad un server della società madre del gruppo D, situato negli Stati Uniti.
Tutto ciò premesso, nel luglio 2017 la K e il suo comitato aziendale avevano concluso un accordo che stabiliva una tolleranza quanto all’introduzione del software Workday e che vietava, in particolare, che lo stesso fosse utilizzato a fini di gestione delle risorse umane, come la valutazione di un lavoratore, durante la fase di sperimentazione. In tale contesto, MK aveva presentato dinanzi ai giudici territorialmente competenti delle domande dirette ad ottenere l’accesso a talune informazioni, la cancellazione di dati che lo riguardavano nonché la concessione di un risarcimento sostenendo che la K aveva trasferito, verso il server della società controllante, dati personali che lo riguardavano, alcuni dei quali non erano menzionati nel suddetto accordo aziendale. Non avendo ottenuto una completa soddisfazione, MK aveva presentato un ricorso per cassazione presso il Bundesarbeitsgericht (Corte federale del lavoro: il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva decisodi sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 88, paragrafi 1 e 2[2], del GDPR debba essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di costringere i suoi destinatari a rispettare non solo i requisiti derivanti dal paragrafo 2 di tale articolo, e bensì anche quelli derivanti dall’articolo 5[3], dall’articolo 6, paragrafo 1[4] nonché dall’articolo 9, paragrafi 1 e 2[5].
La Corte ha preliminarmente rilevato che il paragrafo 1 dell’articolo 88 del GDPR richiede che le norme più specifiche autorizzate da tale disposizione abbiano un contenuto normativo specifico per l’area regolamentata e distinto dalle norme generali di tale regolamento, mentre il suo paragrafo 2 delimita il margine di discrezionalità degli Stati Membri che intendono adottare una normativa nazionale sulla base di tale paragrafo 1[6]. Tale formulazione, per contro, non fornisce indicazioni esplicite quanto alla questione se le norme più specifiche che gli Stati Membri hanno la possibilità di adottare debbano tendere al rispetto unicamente dei requisiti di cui all’articolo 88, paragrafo 2, del GDPR o anche di quelli di altre disposizioni di tale regolamento.
Tutto ciò premesso, quando gli Stati Membri esercitano la facoltà loro concessa dall’articolo 88 del GDPR devono utilizzare il loro potere discrezionale alle condizioni e nei limiti prescritti dalle disposizioni di tale regolamento, dovendo quindi legiferare in modo da non pregiudicarne il contenuto e gli obiettivi. Per evitare di compromettere la finalità di garantire un elevato livello di protezione dei dipendenti nel caso in cui i loro dati personali siano trattati nell’ambito di un rapporto di lavoro, tuttavia, l’articolo 88 del GDPR non può essere interpretato nel senso che le norme più specifiche che gli Stati Membri sono autorizzati ad adottare ai sensi di tale articolo possano avere l’oggetto o l’effetto di eludere gli obblighi del responsabile del trattamento, o anche dell’incaricato del trattamento, derivanti da altre disposizioni di tale regolamento. Di conseguenza, occorre interpretare l’articolo 88, paragrafi 1 e 2, del GDPR nel senso che anche qualora gli Stati Membri si basino su tale articolo per introdurre, nei loro rispettivi ordinamenti giuridici interni, norme più specifiche, mediante una legge o mediante contratti collettivi, devono parimenti essere soddisfatti i requisiti derivanti dall’articolo 5, dall’articolo 6, paragrafo 1 nonché dall’articolo 9, paragrafi 1 e 2, di tale regolamento.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 88, paragrafo 1, del GDPR debba essere interpretato nel senso che, qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui disporrebbero le sue parti per determinare il carattere necessario di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento avrebbe l’effetto di impedire al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.
La Corte ha preliminarmente ricordato che spetta al giudice nazionale adito, il solo competente ad interpretare il diritto nazionale, valutare se le sue norme rispettino effettivamente le condizioni e i limiti prescritti, in particolare, dall’articolo 88 del GDPR, di talché laddove giunga alla constatazione che le disposizioni nazionali in questione non rispettano tali condizioni e limiti, egli è tenuto a disapplicarle[7]. Tali considerazioni valgono anche per le parti di un contratto collettivo di cui all’articolo 88 del GDPR, in quanto le stesse devono poter disporre di un margine di discrezionalità equivalente, in particolare per quanto riguarda i suoi limiti, a quello riconosciuto agli Stati Membri, dal momento che le norme più specifiche di cui al paragrafo 1 di tale articolo 88 possono segnatamente risultare da contratti collettivi. Di conseguenza, nonostante il margine di discrezionalità che l’articolo 88 del GDPR lascia alle parti di un contratto collettivo, il controllo giurisdizionale esercitato sullo stesso, al pari di quello relativo ad una norma di diritto nazionale adottata ai sensi di tale disposizione, deve poter vertere senza alcuna restrizione sul rispetto di tutte le condizioni e i limiti prescritti dalle disposizioni di tale regolamento per il trattamento di dati personali e, in particolare, mirare alla verifica del carattere necessario di quest’ultimo, ai sensi degli articoli 5, 6 e 9 del GDPR.
Alla luce della risposta fornita alla seconda questione, infine, la Corte ha ritenuto non necessario rispondere alla terza, con la quale il giudice del rinvio chiedeva a cosa possa essere limitato, in un caso del genere, il controllo giurisdizionale.
Di conseguenza, la Corte ha statuito che:
“L’articolo 88, paragrafi 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di vincolare i suoi destinatari a rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2 di tale regolamento, ma anche quelli che discendono dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, dello stesso.
L’articolo 88, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui dispongono le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento, non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 88 GDPR, intitolato “Trattamento dei dati nell’ambito dei rapporti di lavoro”, ai paragrafi 1-2 dispone: “… Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.
Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro…”.
[3] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, dispone: “… I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)…”.
[4] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, al paragrafo 1 dispone: “… Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti…”.
[5] L’articolo 9 GDPR, intitolato “Trattamento di categorie particolari di dati personali”, ai paragrafi 1-2 dispone: “… È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato…”.
[6] CGUE 30.03.2023, Causa C‑34/21, Hauptpersonalrat der Lehrerinnen und Lehrer, punti 61-65 e 72-75.
[7] CGUE 30.03.2023, Causa C‑34/21, Hauptpersonalrat der Lehrerinnen und Lehrer, punti 80-89.