In tema di rapporti di lavoro, spesso il legislatore subordina determinate scelte o variazioni dei modelli organizzativi imprenditoriali ad un previo confronto con le rappresentanze sindacali.
Che sia a livello nazionale o a livello aziendale, dal confronto sindacale spesso si giunge ad un Accordo che regolamenta determinati aspetti del rapporto di lavoro, anche legati alla privacy e riservatezza dei lavoratori.
Ci si chiede allora se questo Accordo possa introdurre «norme più specifiche» volte ad applicare in modo meno restrittivo, o addirittura ad escludere, determinati principi previsti dal GDPR,
Ecco la risposta fornita dalla Corte di giustizia…
Indice
Il caso esaminato dalla Corte
Una società capo-gruppo ha implementato in tutta l’organizzazione un software chiamato Workday, che funziona nel cloud, come sistema unico per la gestione delle informazioni sul personale.
L’azienda appartenente al gruppo, che è poi stata convenuta in giudizio, voleva contribuire a realizzare i test di funzionalità del software Workday presso la sua sede in Germania. Nel rispetto della legislazione nazionale, l’azienda in questione ha quindi concordato con le proprie rappresentanze sindacali una fase di sperimentazione per la sua introduzione all’interno dell’azienda.
Durante questa fase, alcuni dati dei lavoratori sono stati trasferiti al di fuori dell’Europa, verso i server della società madre del gruppo negli Stati Uniti.
In particolare, i dati trasferiti includevano: il numero di matricola del lavoratore, il suo cognome, nome, numero di telefono, data di entrata in servizio nella società, luogo di lavoro, nome della società, nonché i suoi numeri di telefono e indirizzo e-mail-professionali.
Un dipendente della società tedesca, ritenendo irrilevante l’intesa raggiunta con le rappresentanze sindacali, ricorre allora giudizialmente nei confronti del proprio datore di lavoro, accusandolo di aver violato il GDPR poiché il trasferimento dei dati, e in generale l’intero trattamento, non era necessario né ai fini del rapporto di lavoro, né ai fini della sperimentazione del software Workday dal momento che l’uso di dati fittizi sarebbe stato sufficiente a garantirne lo svolgimento
Il quadro normativo
Il GDPR, all’articolo 88, paragrafi 1 e 2, permette a tutti gli Stati membri di introdurre, nei loro rispettivi ordinamenti giuridici interni, «norme più specifiche», mediante una legge o mediante contratti collettivi (anche aziendali), per la disciplina del trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro.
Evidentemente, come si evince dalla pronuncia della Corte di giustizia, nella legislazione tedesca esiste una disposizione che consente a contratti collettivi di disciplinare aspetti rilevanti in merito alla protezione dei dati appartenenti a lavoratori e lavoratrici.
D’altro canto, siccome anche l’Italia ha adottato disposizioni di questo tipo, risulta fondamentale capirne gli aspetti essenziali, traendo spunto e applicando il nuovo orientamento della Corte di Giustizia rispetto alla normativa applicabile nel nostro Paese.
La disciplina Italiana
Nell’ordinamento italiano, le disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento sono contenute all’interno degli articoli:
a) 113 del Codice privacy il quale richiama il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice).
b) 114 del Codice privacy il quale richiama il rispetto delle procedure di garanzia che impongono al datore di lavoro di stipulare (o quanto meno tentare di stipulare) un Accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali per l’installazione di dispositivi dai quali derivi “anche la possibilità di controllo a distanza” dell’attività dei dipendenti (art. 4, legge 20 maggio 1970, n. 300).
Come chiarito dal Garante privacy:
Gli artt. 113 e 114 del Codice sono infatti considerati, nell’ordinamento italiano, disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento, la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione determina, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del Regolamento, anche il possibile insorgere di responsabilità sul piano penale (cfr. art. 171 del Codice)
La disposizione nel concreto
Quindi, per istallare ad esempio un impianto di videosorveglianza, il datore di lavoro/titolare del trattamento dovrà rispettare le procedure di cui all’art. 4, legge 20 maggio 1970, n. 300, intavolando una trattativa con le rappresentanze sindacali in azienda e stipulando un Accordo che disciplini le caratteristiche essenziali del trattamento dei dati personali effettuato tramite l’impianto (Vedi anche Videosorveglianza e controllo datoriale: ecco le regole da rispettare).
La stessa Corte di Giustizia, all’interno della sentenza qui esaminata, ci ricorda che:
I contratti collettivi, ivi compresi gli “accordi aziendali”, possono prevedere norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per quanto riguarda le condizioni alle quali i dati personali nei rapporti di lavoro possono essere trattati sulla base del consenso del dipendente, per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro»
Ma non si è limitata a ribadire solo questo….
Conclusioni della Corte
La Corte chiarisce espressamente che i contratti collettivi di cui all’articolo 88 del GDPR, possono sì prevedere “norme più specifiche”, ma che devono essere comunque conformi ai principi fondamentali previsti dal Regolamento, non potendo prevedere norme che consentano ai titolari del trattamento/datori di lavoro di esonerarsi dal rispetto degli stessi.
Non solo, al fine di rendere tale disposizione effettiva, la Corte ammette che il giudice nazionale possa sindacare sulla conformità o meno di questi Accordi collettivi rispetto ai principi previsti nel GDPR, prevedendo che:
Il controllo giurisdizionale esercitato su un siffatto contratto, al pari di quello relativo a una norma di diritto nazionale adottata ai sensi di tale disposizione (Art. 88 GDPR), deve poter vertere senza alcuna restrizione sul rispetto di tutte le condizioni e i limiti prescritti dalle disposizioni di tale Regolamento per il trattamento di dati personali.
In conclusione, quindi, la Corte di Giustizia ha chiarito che anche i contenuti dei contratti collettivi, nonostante siano ammessi per prevedere disposizioni più specifiche in materia di protezione dei dati con riferimento ai rapporti di lavoro, devono comunque rispettare gli obblighi e i principi che discendono dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, del GDPR.
LESSON LEARNED
Il caso esaminato dalla Corte di Giustizia ci permette di ribadire quanto sia importante, per il datore di lavoro/titolare del trattamento, verificare la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a), e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori, poiché il solo fatto di aver raggiunto un’intesa con le rappresentanze sindacali non è sufficiente a rendere lecito un trattamento di dati ai sensi del GDPR.
È importante tenere a mente i principi previsti dal Regolamento in tutte le fasi delle trattative, dal momento che l’unico modo di evitare sanzioni e richieste di risarcimenti danni è far si che l’Accordo finale preveda norme comunque conformi ai principi espressi all’interno del Regolamento Europeo.
