La privacy batte i contratti collettivi. Quando i datori di lavoro (pubblici o privati) e le associazioni sindacali sottoscrivono contratti nazionali o aziendali devono preoccuparsi del fatto che le disposizioni contrattuali rispettino il Gdpr. Nel caso di violazione delle norme sulla protezione dei dati, il contratto collettivo deve essere disapplicato.
Sono questi i principi affermati dalla Corte di giustizia dell’Unione europea (Cgue), nella sentenza del 19 dicembre 2024, resa nella causa C 65/23, la quale è di particolare interesse per gli uffici delle imprese e p.a., che si occupano di personale e relazioni sindacali, le associazioni dei lavoratori e professionisti (avvocati e consulenti del lavoro).
Il perimetro di applicazione dei contratti collettivi - La vicenda portata al vaglio della Corte Ue ha riguardato un’azienda tedesca, alla quale un dipendente ha contestato di aver trattato illegittimamente i dati facendo uso di un software gestionale. In particolare, il dipendente ha contestato al suo datore di lavoro di avere trasferito i dati dei lavoratori in un server negli Stati Uniti, con ciò violando le prescrizioni contenute in un accordo collettivo aziendale. Sulla base di queste motivazioni, il lavoratore ha fatto causa al suo datore di lavoro, chiedendo anche il risarcimento dei danni.
L’azienda si è difesa sostenendo che i trattamenti effettuati si sono mantenuti nel perimetro delle disposizioni del contratto collettivo aziendale.
I giudici tedeschi, incaricati della causa, hanno avuto dubbi sull’esatta interpretazione delle norme del Gdpr applicabili nella vicenda. Al di là, infatti, dell’accertamento della eventuale violazione dei contratti, i giudici della causa di merito si sono posti il problema a monte della rilevanza e applicabilità dell’accordo sindacale aziendale: rispondere sì oppure no a questo quesito è determinante per decidere se ha ragione il lavoratore o l’azienda. In effetti, i contratti collettivi rappresentano la legge speciale che definisce diritti e doveri (di lavoratori e aziende) e si deve capire se tali contratti vanno o no applicati quando si litiga in materia di privacy.
I profili della controversia, come riformulati e decisi dalla Corte Ue, dunque, sono stati due:
1. se il contratto collettivo aziendale
possa essere una idonea fonte della regolamentazione del trattamento dei
dati dei lavoratori e, quindi, della loro privacy e, se sì, con che
limiti;
2. se, in caso di controversie, il giudice possa valutare la
legittimità del contratto collettivo aziendale alla luce delle
disposizioni del Gdpr o se, invece, sia vincolato ad applicare le
disposizioni della contrattazione collettiva.
Si tratta di questioni che hanno rilevanza anche per l’Italia, in quanto il Gdpr si applica direttamente a tutti gli Stati componenti dell’Unione europea.
E le risposte ai quesiti sono di diretto impatto sulla contrattazione collettiva e sono, quindi, oggetto di specifico interesse degli uffici del personale e delle relazioni sindacali delle imprese e delle p.a., delle associazioni sindacali impegnate nelle trattative per rinnovi contrattuali e anche dei consulenti del lavoro e avvocati con riferimento alle attività di consulenza, assistenza e rappresentanza in giudizio di lavoratori e datori di lavoro.
Tra l’altro le risposte ai quesiti sono utilizzabili per risolvere non solo i problemi del trasferimento all’estero dei dati dei lavoratori, ma qualsiasi problema di privacy che possa emergere nel rapporto di lavoro.
Il pomo della discordia: l’articolo 88 del Gdpr - I dubbi dei giudici tedeschi hanno riguardato l’articolo 88 del Gdpr, che ha una particolarità: è una norma con cui il Gdpr rinvia ad altre fonti la disciplina specifica e di dettaglio della privacy dei lavoratori. In particolare, l’articolo 88 Gdpr prevede che gli Stati membri della Ue possono disciplinare questa materia e lo possono fare con legge o tramite contratti collettivi. Leggi e contratti collettivi (firmati da sindacati e datori di lavoro) sono messi sullo stesso piano. Pertanto, anche il contratto collettivo di lavoro è una fonte della disciplina della privacy nei luoghi di lavoro e, quindi, le clausole contrattuali possono dettare specifiche norme sul trattamento dei dati nell'ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell'esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro. Lo stesso articolo 88, al paragrafo 2, aggiunge che le norme nazionali di legge o di contratto collettivo devono tutelare la dignità umana, gli interessi legittimi e i diritti fondamentali dei lavoratori, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo e i sistemi di monitoraggio sul posto di lavoro.
Se così stanno le cose, i giudici tedeschi si sono posti due domande:
- la prima è se il contratto collettivo,
in forza del rinvio contenuto nell’articolo 88 citato, abbia mano
libera o se, invece, anche i contratti collettivi siano soggetti e
debbano rispettare tutto il Gdpr (e, quindi, non solo le generiche
previsioni del secondo paragrafo dell’articolo 88);
- la seconda è se il giudice possa, comunque, valutare il contenuto del contratto collettivo alla luce di tutto il Gdpr.
Gli orientamenti della Corte Ue - La prima risposta interpreta l’articolo 88 del Gdpr nel senso che una disposizione, anche di contratto collettivo, avente a oggetto il trattamento di dati personali nei rapporti di lavoro deve rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2 del Gdpr, ma anche quelli che discendono da altre norme del Gdpr, come l’articolo 5 (principi del trattamento) e dagli articoli 6 e 9 (condizioni di liceità del trattamento).
La seconda risposta della sentenza della Corte Ue abilita i giudici nazionali, cui è devoluta una controversia in materia di privacy dei lavoratori, a un ampio e vasto controllo giurisdizionale sulle previsioni contrattuali. Il giudice del lavoro potrebbe, quindi, passare al vaglio il contratto di lavoro e bocciarlo in quanto in contrasto con il Gdpr.
Le due risposte hanno un comune obiettivo: assoggettare all’intero Gdpr la contrattazione collettiva, che è fonte del diritto nei rapporti di lavoro.
È vero, riporta la sentenza in esame, che sindacati e datori di lavoro sono in genere nella posizione migliore per valutare se un trattamento di dati sia necessario nello specifico contesto lavorativo: e questo porta a dare spazio a una certa discrezionalità di sindacati e datori di lavoro quando scrivono i contratti. Tuttavia, l’articolo 88 Gdpr non è una delega in bianco alle parti contrattuali: il margine di discrezionalità concesso dall’articolo 88 citato non deve portare a giustificare compromessi, di natura economica o di convenienza, che potrebbero diminuire la privacy dei lavoratori. Altrimenti detto, nei contratti collettivi non si possono e non si devono compensare diritti di privacy con aumenti in busta paga.
Proprio, per questo, i giudici del lavoro, se si convincono che il contratto collettivo non è in linea con il Gdpr, sono tenuti a disapplicare le norme del contratto stesso.
Gli effetti sui contratti - Le ricadute pratiche della sentenza della Cgue riguardano, innanzi tutto, la contrattazione. Le delegazioni trattanti devono essere consapevoli che le clausole contrattuali, specialmente quelle di natura normativa (diritti e doveri dei lavoratori, prescrizioni disciplinari, informative ai sindacati, ecc.), devono rispettare il Gdpr (proporzione, minimizzazione, finalità, correttezza, ecc.). Questo porta a considerare opportuno, se non necessario, che ci sia una consulenza privacy, anche dei Dpo (responsabili della protezione dei dati), sia dei datori di lavoro sia dei sindacati, sugli articoli dei contratti collettivi, che riguardano il trattamento dei dati.
In secondo luogo, i professionisti (avvocati, consulenti del lavoro, ecc.), che assistono il datore di lavoro o i lavoratori, nell’esaminare i casi concreti, devono confrontare le norme dei contratti collettivi con il Gdpr, il quale prevale sulla disciplina contrattuale. Questo, per esempio, significa che un lavoratore potrebbe avviare una causa se ritiene che il contratto collettivo, anche se firmato dalle organizzazioni sindacali, abbia violato la sua privacy. Infine, dalla sentenza della Cgue deriva che sia il Garante della privacy sia il giudice devono disapplicare il contratto collettivo se in violazione del Gdpr e, pertanto, rispettivamente sanzionare il datore di lavoro e dargli torto in un processo, applicando direttamente le norme del regolamento 2016/679.
Fonte: Italia Oggi – di Antonio Ciccia Messina
Altri articoli