ADAPT – Scuola di alta formazione sulle relazioni industriali e di lavoro
Per iscriverti al Bollettino ADAPT clicca qui
Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it
Bollettino ADAPT 11 luglio 2022, n. 27
Con sentenza del 22 giugno 2022, relativa alla causa n. 534\20, la Corte di Giustizia dell’Unione Europea, Sezione I, si è pronunciata, a seguito di rinvio pregiudiziale, sull’interpretazione e sulla validità dell’art. 38, paragrafo 3, seconda frase, del Regolamento UE 2016\679 (RGPD) rispetto ad una normativa nazionale (nella specie, quella tedesca) più protettiva in materia di licenziamento del responsabile per la protezione dei dati personali (di seguito RPD) rispetto a quella europea.
È preliminarmente opportuno precisare che la figura del RPD, conosciuta anche con l’acronimo inglese DPO, rappresenta una delle maggiori novità introdotte dal RGPD, anche se in alcuni ordinamenti dell’Unione europea, come la Germania o l’Austria, era già presente come obbligatoria. Il RPD ha un ruolo centrale per la gestione della privacy in azienda poiché, attraverso il suo know how tecnico-giuridico, ha, tra gli altri, il compito di garantire che tuti i trattamenti dei dati siano svolti in conformità al Regolamento, nonché di informare il titolare, il responsabile, e se necessario, i dipendenti sugli obblighi su di loro gravanti e che trovano fonte nel RGDP, oltre che il compito di fornire un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento. L’art. 38 RGPD prevede infatti che tale figura debba essere coinvolta obbligatoriamente dai vertici aziendali in ogni questione che riguarda la protezione dei dati personali senza, tuttavia, dipendere da essi, dovendo salvaguardare la sua indipendenza.
La nomina del RPD, che può avvenire da parte del titolare del trattamento o del responsabile del trattamento, è obbligatoria solo nei casi in cui: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) laddove le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti, su larga scala, di dati sensibili (inclusi i dati relativi allo stato di salute o alla vita sessuale).
Data la rilevanza di tale figura nell’economia della disciplina di tutela dei dati personali, il Regolamento prevede all’art. 38, paragrafo 3, secondo periodo, che “Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”, esplicitando chiaramente che il RPD deve essere tutelato contro qualsiasi decisione che ponga fine ai suoi compiti, che gli faccia subire uno svantaggio o che costituisca una sanzione.
Proprio sull’interpretazione di questa disposizione normativa con riferimento a quella nazionale tedesca, si basa la decisione in commento.
In particolare, il giudizio trae origine dal licenziamento con preavviso del RPD di una società tedesca, motivato da una riorganizzazione ed esternalizzazione di alcuni servizi della società stessa, tra cui quello del RPD. Il lavoratore chiedeva alla corte di merito di dichiarare l’invalidità del licenziamento poiché irrogato in violazione del combinato disposto dell’art. 38, paragrafo 3, secondo periodo, del Regolamento UE e dell’art. 6 del BDSG (legge federale sulla protezione dei dati vigente in Germania), paragrafo 4, il quale prevede che “La rimozione del\della responsabile della protezione dati è consentita solo in applicazione analogica dell’art. 626 del codice civile (tedesco)”. Tale articolo, intitolato “Risoluzione per giusta causa senza preavviso” statuisce, a sua volta, che “Il rapporto di lavoro può essere risolto da ciascuna delle parti del contratto per giusta causa senza osservare un periodo di preavviso, in presenza di fatti in base ai quali non sia ragionevolmente esigibile dalla parte che agisce in risoluzione la continuazione del rapporto di lavoro fino alla scadenza del periodo di preavviso oppure fino alla cessazione prevista di detto rapporto, tenendo conto di tutte le circostanze del singolo caso e valutando gli interessi di entrambe le parti del contratto”.
Su tali ragioni il lavoratore basava le proprie difese, che venivano pienamente accolte dal giudice del merito che dichiarava l’invalidità del licenziamento del RPD poiché irrogato per motivi di ristrutturazione aziendale e non per una giusta causa.
La società impugnava il provvedimento dinanzi alla Corte federale del lavoro tedesca, la quale rilevava che, dal punto di vista del diritto tedesco, il licenziamento del RPD è nullo, in applicazione delle disposizioni innanzi citate e dell’articolo 134 del codice civile tedesco, dal titolo “Divieto di legge”, e così formulato “Qualsiasi negozio giuridico in contrasto con un divieto di legge è nullo, ove non sia diversamente stabilito dalla legge”.
Tuttavia, il giudice del rinvio si ritrovava dinanzi ad un dubbio interpretativo che poteva sostanzialmente cambiare l’esito del giudizio. Si chiedeva, in particolare, se effettivamente il diritto dell’Unione e, nel caso di specie, l’articolo 38, paragrafo 3, seconda frase, del RGPD, consentisse l’ingresso di una normativa di uno Stato membro più tutelante in tema di licenziamento per il PRD, prevedendo condizioni più rigorose di quelle previste per il diritto dell’Unione. In caso contrario, esso avrebbe dovuto accogliere il ricorso per revisione proposto dalla società.
Dinanzi a questi dubbi interpretativi, il giudice del rinvio, sospeso il procedimento, lo rimetteva alla Corte di giustizia dell’Unione Europea la quale era chiamata a statuire, principalmente, se “l’articolo 38, paragrafo 3, seconda frase, del RGPD debba essere interpretato nel senso che osta ad una disposizione nazionale, quale l’articolo 38, paragrafi 1 e 2, in combinato disposto con l’articolo 6, paragrafo 4, seconda frase, del BDSG, che dichiari inammissibile la risoluzione ordinaria del rapporto di lavoro del responsabile della protezione dei dati da parte del titolare del trattamento, suo datore di lavoro, indipendentemente dal fatto che la risoluzione avvenga per motivi inerenti all’adempimento dei suoi compiti.
La Corte rileva innanzitutto che la ratio dell’art. 38, paragrafo 3, seconda frase, del RGPD è quella di tutelare il RPD contro qualsiasi decisione che ponga fine alle sue funzioni, che gli faccia subire uno svantaggio o costituisca una sanzione, qualora una siffatta decisione sia connessa all’adempimento dei suoi compiti. Ciò al fine di preservare l’indipendenza funzionale di tale figura e, di conseguenza, garantire l’efficacia delle disposizioni del Regolamento.
In secondo luogo, evidenzia come la fissazione di norme relative alla tutela contro il licenziamento del RPD non rientri nell’ambito della protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, né in quello della libera circolazione di tali dati, bensì nel settore della politica sociale, in cui Unione Europea e Stati membri hanno competenza concorrente ai sensi dell’art. 2, paragrafo 2, TFUE. Ne consegue che, uno Stato membro può stabilire misure, purché compatibili con i trattati, che prevedano una maggiore tutela e protezione rispetto alle prescrizioni minime previste dall’Unione.
Pertanto. conclude la Corte, che ciascuno Stato membro è libero, nell’esercizio della competenza ad esso riservata, di adottare disposizioni particolari più protettive in materia di licenziamento del RPD, a condizione che tali disposizioni siano compatibili con il diritto dell’Unione Europea e, in particolare, con le disposizioni del RGPD, segnatamente con il suo art. 38, paragrafo 3, seconda frase, e sempre a condizione che una normativa statale non comprometta la realizzazione degli obiettivi del Regolamento.
Pertanto, l’art. 38, par. 3, secondo periodo, del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che non osta ad una normativa nazionale ai sensi della quale il datore di lavoro di un responsabile della protezione dei dati può licenziare quest’ultimo solo per giusta causa, anche se il licenziamento non è connesso con l’adempimento dei compiti di tale responsabile.
Detto principio, valevole per tutti gli Stati membri, trova ingresso anche nel diritto interno italiano e deve essere interpretato e applicato dal giudice nazionale tenuto conto della disciplina in materia di licenziamento. Nel nostro ordinamento, tuttavia, diversamente da quanto previsto in Germania, la figura del RPD non è soggetta a particolari previsioni di legge sul fronte lavoristico né, tantomeno, a disposizioni particolari più protettive in materia di licenziamento. Da ciò deriva che, fermo restando il divieto di rimuovere il RPD per l’adempimento dei propri compiti, lo stesso potrà essere licenziato per giusta causa o giustificato motivo – e quindi anche per motivi di ristrutturazione aziendale – come tutti gli altri lavoratori.
Probabilmente, il legislatore italiano dovrebbe prevedere delle forme di tutela maggiori per il RPD, adeguandosi agli standard di tutela previsti dagli altri ordinamenti degli Stati membri, al fine di garantire a tale figura una reale indipendenza ed estraneità anche dalle vicende aziendali, anche considerando che tale posizione può essere svolta tanto nell’ambito del lavoro subordinato, con applicazione delle tutele in materia di licenziamento, quanto in regime di lavoro autonomo.
Graziana Ligorio
Scuola di dottorato in Apprendimento e innovazione nei contesti sociali e di lavoro
ADAPT, Università degli Studi di Siena
@LigorioGraziana
