800 561720
La Corte di Giustizia dell’Unione Europea (CGUE) è stata chiamata ad esprimersi in merito all’utilizzo di accordi con le rappresentanze aziendali come condizione alla base del trattamento – e del trasferimento – di dati personali nel contesto lavorativo. La pronuncia della Corte fornisce importanti chiarimenti in merito all'interpretazione dell'articolo 88 del GDPR e al margine di discrezionalità spettante alla contrattazione collettiva. Quali controlli avrebbe dovuto svolgere un DPO nel caso oggetto della sentenza?
Il caso trattato
Il caso esaminato dalla Corte, nella sentenza C-65/23, riguarda la raccolta ed il trasferimento di dati, effettuato da una società tedesca verso la capogruppo statunitense, sulla base di un accordo interno aziendale.
In particolare, in seguito all’introduzione di un nuovo software per la gestione del personale, noto come «Workday», la società tedesca si è trovata a dover trasmettere informazioni personali dei propri dipendenti verso i server della capogruppo, ubicati negli Stati Uniti. In tale contesto, la società aveva stipulato un accordo con le rappresentanze aziendali, al fine di:
- limitare l’utilizzo del software, durante la fase di sperimentazione, in modo da vietare l’impiego dello stesso, sin da subito, per la gestione delle risorse umane e per la valutazione dei lavoratori;
- circoscrivere le categorie di dati personali che sarebbero state trasferite verso i server statunitensi.
Il procedimento giudiziale
Un dipendente, rilevato che la società aveva trasmesso informazioni personali ulteriori rispetto a quelle convenute all’interno dell’accordo aziendale (quali, ad esempio, recapiti privati, dettagli del contratto e della retribuzione, numeri di previdenza sociale ed identificazione fiscale, cittadinanza e stato civile), presentava quindi ricorso dinanzi al tribunale territoriale competente, lamentando l’illiceità di tale trattamento.
Secondo il ricorrente, inoltre, l’utilizzo di dati fittizi sarebbe stato sufficiente in relazione alla finalità perseguita (ovvero sperimentare l’utilizzo del software Workday nella fase di test iniziale).
Il rinvio alla CGUE
Nel contesto del procedimento, il giudice rilevava la presenza di diverse questioni meritevoli dell’interpretazione della CGUE. Nello specifico, il giudice del rinvio si interrogava rispetto al margine di discrezionalità della contrattazione collettiva e degli accordi con le rappresentanze aziendali, ovvero fino a che punto questi potessero specificare o prevedere condizioni differenziate rispetto a quanto previsto dal GDPR.
I dubbi riguardavano, quindi, l’interpretazione dell’articolo 88, par. 1 e 2 del GDPR.
Articolo 88
Trattamento dei dati nell'ambito dei rapporti di lavoro
1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l'adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell'esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.
2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro.
Pertanto, il giudice rinviava alla Corte le seguenti questioni.
- se normative nazionali più specifiche, compresi i contratti collettivi, predisposte ai sensi del paragrafo 1 dell'articolo 88 debbano garantire il rispetto del solo paragrafo 2 o anche delle altre disposizioni del GDPR;
- in caso di risposta affermativa alla prima questione, se le parti di un accordo aziendale, essendo molto vicine alla vita dell’impresa, godono, nella valutazione della necessità del trattamento dei dati, di un certo margine discrezionale che può essere sottoposto solo in misura limitata al controllo giurisdizionale.
In merito all’interpretazione dell’articolo 88
Rispetto alla prima questione, la Corte riconosce che la formulazione dell’articolo 88 non fornisce indicazioni esplicite il merito a quali requisiti normativi gli Stati membri debbano rispettare nel definire norme più specifiche.
Ciò premesso, risulta evidente, tuttavia, che la facoltà concessa agli Stati dall’articolo in esame non dovrebbe pregiudicare il contenuto e gli obiettivi del GDPR. Per nessuna ragione, quindi, l’articolo 88 dovrebbe essere interpretato al fine di eludere gli obblighi in capo a titolari e responsabili del trattamento dei dati.
Nel caso in esame, la società aveva fondato il trasferimento dei dati di natura personale e particolare dei dipendenti sulla base dell’accordo collettivo stipulato con le rappresentanze aziendali, ignorando, peraltro, il rispetto dei principi fondamentali del GDPR, fra cui la minimizzazione dei dati.
La Corte ha quindi chiarito che qualsiasi trattamento di dati personali deve rispettare gli obblighi risultanti dalle disposizioni dei Capi II e III del GDPR, fra cui, in particolare: i principi del Regolamento e le condizioni di liceità del trattamento di dati personali e particolari.
Sul margine di discrezionalità degli accordi sindacali
L’articolo 88 del Regolamento lascia agli Stati membri e alle parti di un contratto collettivo un certo margine di discrezionalità nel definire condizioni più specifiche rispetto a quanto disposto dal GDPR.
Ciononostante, secondo la Corte, la portata del controllo giurisdizionale esercitato nei confronti di siffatti accordi non deve subire restrizioni, in quanto mirato esclusivamente sulla verifica del rispetto di condizioni e limiti prescritti dalle disposizioni del GDPR.
Pertanto, il margine di discrezionalità di cui dispongono le parti nel determinare il carattere “necessario” di un trattamento di dati personali, non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.
Le regole del GDPR non si negoziano
La pronuncia della Corte ricorda a tutti i titolari e responsabili del trattamento che il contenuto e gli obiettivi del GDPR non possono essere aggirati da disposizioni nazionali, o da accordi derivanti dalla contrattazione collettiva, volte a semplificare o eludere gli obblighi previsti a tutela dei diritti e delle libertà fondamentali delle persone.
Nel caso della sentenza, la società avrebbe dovuto:
- valutare la necessità e la proporzionalità dei dati trattati sulla base dei principi fondamentali del GDPR, applicando, in particolare la data minimization e la privacy by default;
- usare, pertanto, dati fittizi in ambienti di test / prove tecniche, invece dei dati reali;
- valutare il rispetto delle basi giuridiche previste dall'articolo 6 del GDPR, invece che fare affidamento sull’accordo collettivo;
- valutare la presenza di una delle deroghe che legittimano il trattamento delle categorie di dati particolari, ai sensi dell'articolo 9 del GDPR, invece che fare affidamento sull’accordo collettivo;
- valutare le condizioni che legittimano il trasferimento dei dati al di fuori dello Spazio Economico Europeo, nonché la presenza di adeguate garanzie volte a tutelare gli interessati coinvolti.
I controlli da non trascurare
In conclusione, la sentenza della CGUE rappresenta un promemoria importante per tutti i DPO. Il piano dei controlli svolti dai Responsabili della Protezione dei Dati, a sorveglianza dell’osservanza del GDPR da parte dei titolari del trattamento dei dati, dovrebbe includere anche:
- verifiche mirate ad approfondire i processi posti in essere da determinate aree aziendali (ad esempio, “Controlli sui trattamenti svolti per la finalità di gestione del personale, sui trasferimenti infra-gruppo effettuati per tale finalità e sui relativi flussi informativi, mediante lo svolgimento di attività di audit ed interviste ai responsabili dell’ufficio Risorse Umane”);
- verifiche sul rispetto dei principi di privacy by design e di privacy by default e sulle misure implementate dal titolare per garantirne il rispetto (quali procedure / policy dedicate e formazione specifica);
- verifiche sul rispetto delle condizioni di cui al Capo V del GDPR (trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali), comprensive di controlli sugli eventuali accordi infragruppo predisposti e sulle garanzie poste alla base dei trasferimenti extra SEE effettuati;
- in caso di gruppi di imprese, verifiche relative ai flussi di dati personali, alle condizioni di legittimità dei trattamenti effettuati, ai mezzi impiegati per la trasmissione dei dati, alle misure di sicurezza implementate;
- verifiche relative alla presenza di una valutazione dei rischi privacy e di altra documentazione utile a dimostrare che la conformità e la sicurezza sono elementi cardine di ogni trattamento svolto dal titolare;
- verifiche relative all’elaborazione di documenti quali DPIA e TIA, in caso di trattamenti ad alto rischio, rientranti nell’articolo 35 del GDPR o tali da necessitare una valutazione sull’impatto dei trasferimenti effettuati.
Chiaramente si tratta di un elenco esemplificativo e non esaustivo, che rappresenta, però, uno spunto operativo volto ad incoraggiare tutti i DPO ad approfondire sempre di più i controlli svolti. Con la digitalizzazione ed il consolidamento sul mercato dei sistemi di Intelligenza Artificiale si prospettano per i DPO, ormai quotidianamente, nuove sfide. Per tale ragione, è fondamentale non fermarsi in superficie, portare i controlli sempre più in profondità e restare informati.
Ti ricordiamo che il 30 settembre 2025 si terrà l’undicesimo Congresso annuale dell’Associazione, clicca qui per ulteriori informazioni.
