Sì a un controllo giurisdizionale completo da parte del giudice su un contratto collettivo che ha considerato necessario il trattamento dei dati personali

Massima

Qualora un contratto collettivo rientri nell’ambito di applicazione dell’art.88 par.1 del GDPR, il margine di discrezionalità di cui dispongono le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.

Il caso

Tizio, ha presentato domanda di risarcimento del danno morale per aver subito un trattamento illecito di dati personali effettuato dal suo datore di lavoro (una società di diritto tedesco) sulla base di un accordo aziendale.

Inizialmente, la società ha proceduto al trattamento di alcuni dati personali dei propri dipendenti nell’ambito dell’utilizzo di un software denominato «SAP» per fini contabili, e ha concluso, con il suo comitato aziendale, diversi accordi aziendali al riguardo.

Nel corso del 2017, il gruppo della società D, a cui appartiene la convenuta nel procedimento principale, ha introdotto in tutto il gruppo il software «Workday» che opera nel cloud, come sistema unico per la gestione delle informazioni sul personale. In tale contesto, la convenuta nel procedimento principale ha trasferito diversi dati personali dei suoi dipendenti dal software SAP a un server della società madre del gruppo D, situato negli Stati Uniti.

Successivamente la convenuta e il suo comitato aziendale hanno concluso un accordo che stabiliva il divieto per tale software di gestire le risorse umane, in particolare la valutazione di un lavoratore durante la fase di sperimentazione. Le sole categorie di dati che potevano essere trasferite per alimentare il predetto software erano il numero di matricola assegnato al lavoratore all’interno del gruppo D, il suo cognome, il suo nome, il suo numero di telefono, la sua data di entrata in servizio nella società interessata, la data della sua entrata in servizio nel gruppo D, il suo luogo di lavoro, il nome della società interessata, nonché i suoi numeri di telefono e di indirizzo di posta elettronica professionali.

In tale contesto, il ricorrente nel procedimento principale ha presentato delle domande dirette ad ottenere l’accesso a talune informazioni, la cancellazione di dati che lo riguardavano e la concessione di un risarcimento sostenendo, in particolare, che la convenuta nel procedimento principale aveva trasferito, verso il server della società controllante, dati personali che lo riguardavano, alcuni dei quali non erano menzionati nell’accordo aziendale, in particolare, i suoi recapiti privati, i dettagli del suo contratto e della sua retribuzione, i suoi numeri di previdenza sociale e di identificazione fiscale, la sua cittadinanza nonché il suo stato civile. Non avendo ottenuto riscontro adeguato ha presentato un ricorso per cassazione presso il Bundesarbeitsgericht (Corte federale del lavoro, Germania), ovvero il giudice del rinvio.

Per quanto riguarda l’illiceità di tale trattamento, il ricorrente sostiene che questo non era necessario né ai fini del rapporto di lavoro, per il quale la convenuta nel procedimento principale utilizzava il software SAP, né ai fini della sperimentazione del software Workday, poiché l’uso di dati fittizi sarebbe stato sufficiente a tal fine e avrebbe garantito che nessun dato reale fosse reso accessibile all’interno del gruppo D. Dall’altro lato, anche supponendo che l’accordo aziendale potesse costituire una base valida per il trattamento, l’autorizzazione ivi contenuta sarebbe stata oltrepassata, dal momento che la convenuta avrebbe trasmesso dati diversi da quelli previsti dall’accordo. Infine, l’onere di dimostrare che le azioni della convenuta sono conformi al GDPR graverebbe su quest’ultima.

La convenuta obietta che il trattamento in questione rispetta i requisiti del GDPR, che l’onere della prova incombe sul ricorrente e che egli non ha dimostrato né l’esistenza di un danno morale né il nesso di causalità tra un’eventuale violazione di tale regolamento e il danno lamentato.

Il giudice del rinvio ritiene che le operazioni contestate dal ricorrente nel procedimento principale rientrino nell’ambito di applicazione del GDPR.

La questione

Se il trattamento dei dati personali dei dipendenti è disciplinato da un contratto collettivo ci si può discostare dai requisiti derivanti dall’art.88 GDPR?

Le soluzioni giuridiche

Il giudice del rinvio ha stabilito che qualora il trattamento dei dati personali dei dipendenti sia disciplinato da un «contratto collettivo» ai sensi dell'articolo 88 del GDPR, tale trattamento non può discostarsi dai requisiti derivanti da tale norma, ma anche dall'articolo 5, dall'articolo 6, paragrafo 1, nonché dall'articolo 9, paragrafi 1 e 2, di tale regolamento, in particolare per quanto riguarda il criterio di necessità del trattamento previsto in tali tre ultime norme.

Nella vicenda analizzata, il giudice si chiede se le parti di un contratto collettivo abbiano un margine di discrezionalità che dovrebbe essere soggetto esclusivamente a un controllo giudiziario limitato per quanto riguarda la valutazione della necessità del trattamento in questione. A tal riguardo la convenuta ha affermato che il ricorrente nel procedimento principale ha contestato non il tenore dell'accordo aziendale applicabile nel caso di specie, bensì un superamento dei limiti di tale accordo da parte del trattamento di dati contestato, cosicché tale controversia non ha ad oggetto una violazione dei requisiti di cui all'articolo 88 del GDPR relativi a un siffatto accordo. Inoltre, tali questioni sarebbero ipotetiche in quanto tenderebbero a consentire al giudice di controllare la liceità di trattamento globalmente, e non unicamente rispetto agli elementi contestati dal ricorrente nel procedimento principale. A tal proposito, una costante giurisprudenza ha statuito che spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni sottoposte alla Corte, le quali godono di una presunzione di rilevanza. Pertanto, quando la questione sollevata riguarda l'interpretazione o la validità di una norma di diritto dell'Unione, la Corte, in linea di principio, è obbligata a statuire, salvo qualora appaia in modo manifesto che l'interpretazione richiesta non ha alcun legame con la realtà effettiva o con l'oggetto del procedimento principale, qualora il problema sia ipotetico, o qualora la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in modo utile a tale questione. Nel caso di specie, le questioni dalla prima alla terza riguardano l'interpretazione di diverse disposizioni di diritto dell'Unione, più precisamente l'articolo 88 del GDPR, in combinato disposto con gli articoli 5, 6 e 9 di quest'ultimo. A tal proposito il giudice del rinvio ritiene che i limiti fissati dall'accordo aziendale applicabile nel caso di specie, da esso qualificati come «contratto collettivo», siano stati superati e che il trattamento di dati personali di cui trattasi nel procedimento principale debba essere esaminato nel suo insieme, in quanto può essere illecito alla luce delle disposizioni tanto del paragrafo 1 quanto del paragrafo 4 dell'articolo 26 del BDSG, il quale fa espresso riferimento all'articolo 88 del GDPR. Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l'articolo 88, paragrafi 1 e 2, del GDPR debba essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro deve avere l'effetto di costringere i suoi destinatari a rispettare non solo i requisiti derivanti dall'articolo 88, paragrafo 2, di detto regolamento, ma anche quelli derivanti dall'articolo 5, dall'articolo 6, paragrafo 1, nonché dall'articolo 9, paragrafi 1 e 2, di quest'ultimo.

A tal riguardo, occorre ricordare che il GDPR mira a garantire un'armonizzazione delle legislazioni nazionali relative alla protezione dei dati personali che è, in linea di principio, completa. Tuttavia, talune disposizioni del regolamento offrono la possibilità agli Stati membri di prevedere norme nazionali supplementari, più rigorose ovvero a carattere derogatorio, che lasciano a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate.

L'articolo 88 del GDPR, relativo al trattamento di dati personali nell'ambito dei rapporti di lavoro, stabilisce le condizioni alle quali gli Stati membri possono prevedere, con legge o tramite contratti collettivi, «norme più specifiche» per assicurare la protezione dei diritti e delle libertà dei dipendenti interessati da un possibile trattamento. Il considerando 155 del regolamento indica, in particolare, che la nozione di «contratto collettivo», ai sensi di tale articolo 88, include gli «accordi aziendali», come quello di cui trattasi nel procedimento principale. Inoltre, gli articoli 5, 6 e 9 enunciano, rispettivamente, i principi relativi al trattamento dei dati personali, le condizioni di liceità di tale trattamento e le norme relative al trattamento di categorie particolari di tali dati.

Secondo una giurisprudenza costante, i termini di una disposizione del diritto dell'Unione che non contenga alcun rinvio espresso al diritto degli Stati membri al fine di determinare il suo significato e la sua portata, devono di norma dar luogo, in tutta l'Unione, ad un'interpretazione autonoma e uniforme, da effettuarsi tenendo conto, segnatamente, dei termini di tale disposizione, degli obiettivi che essa persegue e del contesto in cui si inserisce. In primo luogo, dalla formulazione dell'articolo 88 del GDPR emerge che il paragrafo 1 richiede che le «norme più specifiche» autorizzate da tale disposizione abbiano un contenuto normativo preciso per l'area regolamentata e distinto dalle norme generali di tale regolamento, mentre il paragrafo 2 delimita, conformemente all'obiettivo di armonizzazione perseguito da detto regolamento, il margine di discrezionalità degli Stati membri che intendono adottare una normativa nazionale sulla base di tale paragrafo 1. In secondo luogo, per quanto riguarda gli obiettivi dell'articolo 88 del GDPR, la Corte ha dichiarato che tale articolo costituisce una «clausola di salvaguardia» e che la facoltà conferita agli Stati membri dal paragrafo 1 di quest'ultimo, tenuto conto delle particolarità di un siffatto trattamento, si spiega in particolare con l'esistenza di un vincolo di subordinazione tra il lavoratore dipendente e il datore di lavoro. Orbene, le condizioni imposte dall'articolo 88, paragrafo 2, del regolamento rispecchiano i limiti della differenziazione accettata da tale normativa, nel senso che la mancanza di armonizzazione può essere ammessa solo qualora le differenze che permangono siano accompagnate da garanzie specifiche ed appropriate intese a proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell'ambito dei rapporti di lavoro.

Inoltre, la Corte ha sottolineato che, quando gli Stati membri esercitano la facoltà concessagli dall'articolo 88 del GDPR, devono utilizzare il loro potere discrezionale alle condizioni e nei limiti prescritti dalle disposizioni di tale regolamento e devono quindi legiferare in modo da non pregiudicarne il contenuto e gli obiettivi, poiché esso ha lo scopo di garantire un livello elevato di protezione dei diritti e delle libertà degli interessati da un trattamento di tale tipo, come risulta dal considerando 10. Pertanto, l'obiettivo delle norme adottate da uno Stato membro sulla base dell'articolo 88 consiste nel proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali.

Ne consegue che occorre interpretare l'articolo 88, paragrafi 1 e 2, del GDPR nel senso che, anche qualora gli Stati membri si basino su tale norma per introdurre, nei loro rispettivi ordinamenti giuridici interni, «norme più specifiche», mediante una legge o mediante contratti collettivi, devono essere soddisfatti i requisiti derivanti dalle altre disposizioni specificamente considerate dalla presente questione, ossia l'articolo 5, l'articolo 6, paragrafo 1, nonché l'articolo 9, paragrafi 1 e 2, di tale regolamento. Ciò vale, in particolare, per il rispetto del criterio di necessità del trattamento previsto da tali disposizioni, in merito al quale il giudice del rinvio si interroga maggiormente.

Pertanto, nell'ipotesi in cui il diritto di uno Stato membro contenga «norme più specifiche», ai sensi dell'articolo 88, paragrafo 1, del GDPR, i trattamenti di dati personali disciplinati da tali norme devono rispettare non solo le condizioni poste ai paragrafi 1 e 2 di tale articolo, ma anche quelle stabilite agli articoli 5, 6 e 9 di tale regolamento, come interpretate dalla giurisprudenza della Corte. Sulla base di ciò occorre rispondere alla prima questione dichiarando che l'articolo 88, paragrafi 1 e 2, del GDPR deve essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro deve avere l'effetto di vincolare i suoi destinatari a rispettare non solo i requisiti derivanti dall'articolo 88 del regolamento, ma anche quelli che discendono dall'articolo 5, 6, paragrafo 1, nonché dall'articolo 9, paragrafi 1 e 2, dello stesso. Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l'articolo 88, paragrafo 1, del GDPR debba essere interpretato nel senso che, qualora un contratto collettivo rientri nell'ambito di applicazione di tale disposizione, il margine di discrezionalità di cui disporrebbero le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali avrebbe l'effetto di impedire al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.

Per quanto riguarda la portata del controllo giurisdizionale che può essere esercitato nei confronti di siffatte norme specifiche, la Corte ha dichiarato che spetta al giudice nazionale adito, il solo competente a interpretare il diritto nazionale, valutare se dette norme rispettino effettivamente le condizioni e i limiti prescritti, in particolare, dall'articolo 88 del GDPR. Conformemente al principio del primato del diritto dell'Unione, nel caso in cui tale giudice giunga alla constatazione che le disposizioni nazionali di cui trattasi non rispettano tali condizioni e limiti, esso è tenuto a disapplicare dette disposizioni. In assenza di norme più specifiche che rispettino le condizioni e i limiti stabiliti dall'articolo 88 del GDPR, il trattamento di dati personali nell'ambito dei rapporti di lavoro è direttamente disciplinato dalle disposizioni del regolamento.

Tali considerazioni valgono anche per le parti di un contratto collettivo di cui all'articolo 88 del GDPR, come quello di cui trattasi nel procedimento principale. Infatti, come rilevato dalla Commissione europea nelle sue osservazioni scritte, le parti di un contratto collettivo devono poter disporre di un margine di discrezionalità equivalente, in particolare per quanto riguarda i suoi limiti, a quello riconosciuto agli Stati membri, dal momento che le «norme più specifiche» di cui al paragrafo 1 di tale articolo 88 possono risultare da contratti collettivi. Il considerando 155 del GDPR indica altresì che siffatte norme possono essere previste dal diritto degli Stati membri o da contratti collettivi, compresi gli «accordi aziendali».

Occorre poi precisare che un siffatto controllo giurisdizionale deve, più specificamente mirare alla verifica del carattere «necessario» del trattamento di tali dati, ai sensi degli articoli 5,6 e 9 del GDPR. In altri termini, l'articolo 88 non può essere interpretato nel senso che le parti di un contratto collettivo dispongono di un margine di discrezionalità che consentirebbe loro di introdurre «norme più specifiche» che portano ad applicare in modo meno restrittivo, o addirittura ad escludere, detto requisito di necessità.

Alla luce dei motivi che precedono, i giudici hanno risposto alla seconda questione dichiarando che l'articolo 88, paragrafo 1, del GDPR deve essere interpretato nel senso che, qualora un contratto collettivo rientri nell'ambito di applicazione di tale disposizione, il margine di discrezionalità di cui dispongono le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell'articolo 5, dell'articolo 6, paragrafo 1, nonché dell'articolo 9, paragrafi 1 e 2, di tale regolamento, non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.

Osservazioni

Nel trattamento di dati personali per scopi di lavoro devono essere garantiti il rispetto della vita privata e la protezione dei dati personali al fine di consentire il libero sviluppo della personalità del dipendente ed opportunità di rapporti personali e sociali sul luogo di lavoro.

I datori di lavoro devono ridurre al minimo il trattamento di dati personali, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso (principio della limitazione delle finalità).

Le Organizzazioni e i loro lavoratori sia nel settore pubblico sia in quello privato devono avere consapevolezza del fatto che molteplici attività svolte normalmente nel contesto dei rapporti di lavoro comportano il trattamento di dati personali relativi ai lavoratori, e talora di dati personali sensibili. In effetti, i datori di lavoro raccolgono dati personali dei rispettivi dipendenti per numerosi e diversi scopi, fin dall’inizio del rapporto di lavoro o persino precedentemente ad esso.

Le Organizzazioni devono, inoltre, mettere a punto idonee misure per garantire il rispetto concreto dei principi e degli obblighi connessi al trattamento di dati per scopi di lavoro. Su richiesta dell’Autorità garante, i datori di lavoro devono essere in grado di dimostrare l’osservanza di tali principi e obblighi (principio di accountability). Le misure in questione devono essere adattate alla quantità e tipologia dei dati oggetto di trattamento ed alla natura delle attività intraprese, e devono tenere conto anche delle implicazioni potenziali per i diritti e le libertà fondamentali dei dipendenti.

A tal riguardo la disciplina giuslavoristica rappresenta l’insieme delle regole di riferimento quando si affronta il tema dei controlli del datore di lavoro sulla strumentazione aziendale in dotazione al lavoratore. L’altro aspetto fondamentale è infatti la tutela della sua riservatezza in quanto persona fisica, la quale si affianca alla garanzia dei diritti in quanto lavoratore. A tal proposito, intervengono in prima battuta i principi in materia di privacy previsti dall’art. 5 del Regolamento europeo. In particolare, eventuali controlli da parte del datore di lavoro devono essere leciti, corretti e trasparenti (principi di liceità, correttezza e trasparenza), posti in essere per finalità determinate e limitati a quanto strettamente necessario per il conseguimento delle stesse (principi di limitazione delle finalità e minimizzazione).

Tuttavia, anche in presenza di un trattamento in astratto rispettoso dei suddetti principi, vi sono altri requisiti che vengono richiesti dalla legge per la validità del trattamento e l’utilizzabilità dei dati trattati, tra cui la corretta informazione ai dipendenti prevista dall’art. 4, comma 3, St. Lav. e dagli artt. 12, 13 e 14 GDPR. L’informativa al lavoratore può naturalmente variare in base al genere ed alla complessità delle attività svolte, alle dimensioni aziendali o agli strumenti utilizzati o destinatari del controllo.

Una casistica molto importante è poi quella relativa alla posta elettronica in dotazione al dipendente. In questo caso, è chiaro che l’e-mail e il computer aziendali possano essere qualificati come strumenti di lavoro. Proprio per questo motivo, occorre premettere che la casella di posta elettronica messa a disposizione dall’azienda non è privata, nella misura in cui questa deve essere utilizzata per lo svolgimento della prestazione lavorativa e non per esigenze personali. Ciononostante, anche in questo contesto ci sono regole da rispettare ed accorgimenti da adottare.  

Innanzi tutto, come previsto dalle Linee guida del Garante per posta elettronica e internet del 2007 il datore di lavoro deve informare preventivamente i lavoratori in modo chiaro sulle modalità di utilizzo della posta elettronica e su eventuali controlli da lui effettuati. Questo è quindi il punto di partenza fondamentale, tanto nel caso di e-mail non individualizzate - ad esempio, info@azienda.it - sia in quello delle mail che contengano nome e cognome del lavoratore assegnatario.

Ad ogni modo, nell’informativa e nella policy aziendale, il datore può riservarsi di controllare il corretto utilizzo degli strumenti di lavoro. Nell’esercizio di tale prerogativa, come specificato dalle Linee guida del Garante, deve rispettare la libertà e la dignità dei lavoratori, in particolare per ciò che attiene al divieto di installare "apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, tra cui sono certamente comprese strumentazioni hardware e software mirate al controllo dell’utente di un sistema di comunicazione elettronica”.

Altra problematica legata alla posta elettronica aziendale è quella della conservazione del contenuto della stessa. A chiarire la questione è intervenuto più volte il Garante. Nel Provvedimento n. 547 del 2016, l’Autorità ha ritenuto non conforme ai principi di necessità, pertinenza e non eccedenza la conservazione per dieci anni su server aziendali sia dei dati esterni che dei contenuti delle comunicazioni elettroniche. Soluzione analoga è stata adottata in un altro Provvedimento, il n. 214 del 2020, nel quale il Garante ha ritenuto eccessiva anche “la sistematica conservazione sul server aziendale per tre anni, di tutte le e-mail inviate e ricevute dagli account aziendali (...) nonché la sistematica conservazione per 12 mesi di tutte le email presenti sull’account, in costanza del rapporto di lavoro, in vista di futuri possibili contenziosi (…)”. Sarebbe inoltre eccessiva anche la conservazione per sei mesi del contenuto della casella affidata all’ex dipendente in relazione ad ipotetici casi di illeciti - o sospetto di commissione di illeciti - compiuti dal lavoratore.