Data protection e CCNL: le disposizioni del contratto collettivo che violano le norme sulla protezione dei dati personali dovrebbero essere disapplicate

Con la sentenza del 19 dicembre 2024, causa C‑65/23, la Corte di Giustizia dell’Unione Europea ha stabilito che (i) le disposizioni dei contratti collettivi nazionali di lavoro devono rispettare le norme in materia di protezione dei dati personali e che (ii) “qualora il giudice nazionale adito giungesse alla conclusione, all’esito del suo controllo, che alcune disposizioni del contratto collettivo […] non rispettano le condizioni e i limiti prescritti dal GDPR, sarebbe tenuto a non applicare tali disposizioni […]”.

La vicenda

La vicenda trae origine da un ricorso presentato da un lavoratore tedesco, il quale sosteneva che la società, sua datrice di lavoro, trattasse illegittimamente i suoi dati personali. Nello specifico, la società utilizzava un software SAP per finalità contabili e i dati in esso inseriti venivano trasferiti all’interno di un server situato negli Stati Uniti d’America. La società si difendeva affermando che il trattamento di dati personali effettuato fosse legittimo in quanto conforme alle disposizioni del contratto collettivo nazionale applicato in azienda.

Il lavoratore adiva quindi i giudici nazionali territorialmente competenti presentando domande dirette a ottenere: (i) l’accesso ai suoi dati personali; (ii) la cancellazione di dati che lo riguardavano nonché (iii) il riconoscimento di un risarcimento.

I giudici nazionali tedeschi chiamati a decidere sul caso di specie hanno sollevato delle questioni sulla portata dell’applicabilità dell’art. 88 del GDPR. L’art. 88 del GDPR prevede che “gli Stati Membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, […]”.

I contratti collettivi possono dunque determinare le regole sul trattamento dei dati anche derogando le disposizioni del GDPR o devono rispettarle integralmente?

Con la pronuncia in commento, la Corte di Giustizia ha chiarito che, quando le disposizioni di un CCNL disciplinano il trattamento dei dati personali nei luoghi di lavoro, le stesse devono rispettare i principi fondamentali del GDPR. L’effetto deve essere quello di vincolare i suoi destinatari (datori di lavoro e associazioni sindacali) a garantire il rispetto dei principi di liceità, correttezza e trasparenza del trattamento, dei requisiti per un consenso lecito e delle norme sul trattamento di categorie particolari di dati personali.

Ciò comporta che se un giudice dovesse accertare che le disposizioni di un contratto collettivo che disciplinano uno o più trattamenti di dati personali nei luoghi di lavoro violano le condizioni e i limiti prescritti dalla normativa di settore applicabile, allora sarebbe tenuto a disapplicare le disposizioni non conformi senza che il margine di discrezionalità di cui dispongono le parti di tale contratto nel determinare il carattere «necessario» di un trattamento di dati personali impedisca all’autorità giudiziale di esercitare un controllo giurisdizionale completo al riguardo.

Altri insights correlati:

• Garante privacy: no al controllo delle presenze tramite riconoscimento facciale e no al monitoraggio delle attività dei lavoratori
• Criticità emergenti in ambito giuslavoristico e privacy: le sfide per le aziende italiane (Global Legal Chronicle Italia, 19 novembre 2024)