I contratti collettivi nazionali, decentrati o aziendali del settore pubblico o privato non possono contenere disposizioni in violazione della privacy dei lavoratori
Il principio è affermato dalla Corte di giustizia dell’Unione europea (Cgue), nella sentenza del 19 dicembre 2024, resa nella causa C 65/23 che chiarisce e precisa che in caso di violazione delle norme sulla protezione dei dati, il contratto collettivo deve essere disapplicato.
La vicenda giunta al vaglio della Corte Ue ha riguardato un’azienda tedesca, alla quale un dipendente ha contestato di aver trattato illegittimamente i dati facendo uso di un software gestionale. In particolare, il dipendente ha contestato al suo datore di lavoro di avere trasferito i dati dei lavoratori in un server negli Stati Uniti, con ciò violando le prescrizioni contenute in un accordo collettivo aziendale. Sulla base di queste motivazioni, il lavoratore ha fatto causa al suo datore di lavoro, chiedendo anche il risarcimento dei danni.
L’azienda si è difesa sostenendo che i trattamenti effettuati si sono mantenuti nel perimetro delle disposizioni del contratto collettivo aziendale quale lex specialis che definisce diritti e doveri (di lavoratori e aziende).
Il fulcro della problematica verte sull’interpretazione dell’articolo 88 del Gdpr che rinvia ad altre fonti la disciplina specifica e di dettaglio della privacy dei lavoratori prevedendo che gli Stati membri della Ue possono disciplinare questa materia e lo possono fare con legge o tramite contratti collettivi. Leggi e contratti collettivi (firmati da sindacati e datori di lavoro) sono messi sullo stesso piano. Pertanto, anche il contratto collettivo di lavoro è una fonte della disciplina della privacy nei luoghi di lavoro e, quindi, le clausole contrattuali possono dettare specifiche norme sul trattamento dei dati nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro. Lo stesso articolo 88, al paragrafo 2, aggiunge che le norme nazionali di legge o di contratto collettivo devono tutelare la dignità umana, gli interessi legittimi e i diritti fondamentali dei lavoratori, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo e i sistemi di monitoraggio sul posto di lavoro.
Al riguardo la Corte Ue, con la decisione che ci occupa, ha interpretato l’articolo 88 del Gdpr nel senso che una disposizione, anche di contratto collettivo, avente a oggetto il trattamento di dati personali nei rapporti di lavoro deve rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2 del Gdpr, ma anche quelli che discendono da altre norme del Gdpr, come l’articolo 5 (principi del trattamento) e dagli articoli 6 e 9 (condizioni di liceità del trattamento).
Di conseguenza il giudice nazionale, cui è devoluta una controversia in materia di privacy dei lavoratori, deve disapplicare il contratto di lavoro quando in contrasto con il Gdpr.
L’articolo 88 Gdpr, dunque, non è una delega in bianco alle parti contrattuali nel senso che il margine di discrezionalità concesso dall’articolo 88 citato non può giustificare compromessi, di natura economica o di convenienza, che potrebbero diminuire la privacy dei lavoratori.
Proprio, per questo, i giudici del lavoro, se si convincono che il contratto collettivo non è in linea con il Gdpr, sono tenuti a disapplicare le norme del contratto stesso.
Si tratta di questioni che hanno rilevanza anche per l’Italia, in quanto il Gdpr si applica direttamente a tutti gli Stati componenti dell’Unione europea.
E le determinazioni della Corte Europea sono state definite “di diretto impatto sulla contrattazione collettiva e sono, quindi, oggetto di specifico interesse degli uffici del personale e delle relazioni sindacali delle imprese e delle p.a., delle associazioni sindacali impegnate nelle trattative per rinnovi contrattuali e anche dei consulenti del lavoro e avvocati con riferimento alle attività di consulenza, assistenza e rappresentanza in giudizio di lavoratori e datori di lavoro, nonché utilizzabili per risolvere qualsiasi problema di privacy che possa emergere nel rapporto di lavoro”.
“Le ricadute pratiche della sentenza della Cgue riguardano, innanzi tutto, la contrattazione. Le delegazioni trattanti devono essere consapevoli che le clausole contrattuali, specialmente quelle di natura normativa (diritti e doveri dei lavoratori, prescrizioni disciplinari, informative ai sindacati, ecc.), devono rispettare il Gdpr (proporzione, minimizzazione, finalità, correttezza, ecc.).
