La Corte di Giustizia della UE riafferma il primato del GDPR nei rapporti di lavoro: invalidi gli accordi aziendali che autorizzano trattamenti eccedenti o trasferimenti illeciti verso Paesi terzi).

La Corte di giustizia dell’Unione europea (sentenza nella causa C‑65/23), ha affrontato un tema di particolare rilievo in materia di protezione dei dati personali nel contesto del rapporto di lavoro, pronunciandosi sui limiti di liceità del trattamento nell’ambito di un accordo sindacale aziendale e sulle condizioni di validità del trasferimento internazionale dei dati dei dipendenti. La vicenda origina da un contenzioso instaurato da un dipendente di una società tedesca, il quale aveva contestato il trasferimento dei propri dati personali da un sistema gestionale SAP a un’infrastruttura cloud esterna, localizzata negli Stati Uniti, nell’ambito di un progetto pilota finalizzato all’implementazione del software Workday. Il trasferimento era avvenuto in fase di test e in violazione di quanto espressamente stabilito in un accordo sindacale che aveva circoscritto le categorie di dati personali legittimamente trasferibili a un numero limitato di attributi identificativi, escludendo qualsiasi elemento afferente alla retribuzione, alla fiscalità, allo stato civile o alla nazionalità.

Investita della questione pregiudiziale dal Bundesarbeitsgericht, la Corte di giustizia ha ribadito con fermezza che l’articolo 88, paragrafo 1, del Regolamento (UE) 2016/679 (GDPR), che consente agli Stati membri di adottare disposizioni più specifiche in materia di trattamento dei dati nel contesto del lavoro, non legittima in alcun modo una deroga ai principi generali di liceità, necessità e proporzionalità fissati dagli articoli 5, 6 e 9 del Regolamento. Le normative nazionali o gli accordi collettivi, anche laddove formalmente adottati e condivisi tra datore di lavoro e rappresentanze dei lavoratori, devono in ogni caso rispettare integralmente i principi sostanziali del GDPR. Non è pertanto sufficiente che un trattamento sia conforme a una previsione pattizia per ritenere validamente assolto l’onere di conformità, dovendosi invece verificare in concreto che le finalità perseguite, le categorie di dati trattati, le modalità e le basi giuridiche siano pienamente compatibili con il quadro normativo europeo.

La Corte ha chiarito che, anche in presenza di un accordo collettivo, spetta all’autorità giurisdizionale nazionale esercitare un controllo pieno e autonomo sulla legittimità del trattamento, non essendo ammissibile un approccio deferente o meramente formale. Il giudice nazionale deve verificare che le disposizioni pattizie rispettino le garanzie sostanziali e procedurali previste dal GDPR, in particolare per quanto riguarda il rispetto dei principi di minimizzazione, limitazione della finalità, esattezza dei dati e integrità del trattamento. È stato altresì escluso che la semplice esigenza tecnica o organizzativa, come quella di testare un nuovo software, possa costituire base legittima per estendere il trattamento a dati eccedenti rispetto a quelli strettamente necessari.