Il Data Protection Officer interno può essere licenziato se l’azienda decide di esternalizzare la funzione
In data 22 giugno 2022 la Corte di Giustizia UE si è pronunciata nella causa C-534/20 sul rinvio pregiudiziale proposto dal Tribunale del Lavoro federale tedesco nella causa tra un Data Protection Officer e il suo datore di lavoro. La causa davanti al Tribunale del lavoro era sorta in conseguenza del fatto che in data 13 luglio 2018 la Società Leistritz aveva comunicato, con lettera al dipendente (LH) la cessazione a partire dal 18 agosto 2018 del rapporto di lavoro esistente con LH in qualità di DPO interno della Società stessa a seguito di una ristrutturazione interna in base alla quale “l’attività di consulente legale interno e il servizio di protezione dei dati doveva essere esternalizzato”.
(Nella foto: Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Ha guidato l'Autorità dal 2005 al 2012)
LH ha presentato ricorso contestando la validità della cessazione del rapporto di lavoro e ha affermato che la stessa non era valida ai sensi della legislazione tedesca (art.38, paragrafo 2 del GDPR e della sezione 6, paragrafo 4, BSDG, in quanto secondo queste norme il rapporto di lavoro può essere risolto solo per “giusta causa”. I giudici di merito, hanno concordato con LH e hanno dichiarato illegittimo il licenziamento in quanto non è stata trovata alcuna giusta causa nel licenziamento stesso.
La Società ha ricorso contro la decisione della Corte federale del lavoro di prima istanza e sollevando la questione se l’art. 38, paragrafo 3 del GDPR consenta a uno Stato membro di emanare leggi che impongono condizioni più rigorose per il licenziamento del Data Protection Officer.
Il Tribunale federale del lavoro (Bundesarbeitsgericht) ha rinviato alla Corte di Giustizia dell’UE ponendo alcune questioni pregiudiziali fra le quali la più importante e di interesse più generale è la prima che riguarda il quesito se l’art.38, paragrafo 3, seconda frase del GDPR debba essere interpretato nel senso di non ostacolare disposizioni nazionali in virtù delle quali sia (debba essere) dichiarata inammissibile la risoluzione del rapporto di lavoro del DPO da parte del datore di lavoro, indipendentemente dal fatto che il suo contratto sia risolto per l’esecuzione delle sue funzioni”. Seguono poi altre due domande pregiudiziali che tuttavia sussistono solo se la risposta alla prima è positiva.
Nella sostanza, a parte le questioni, molto complesse, legate al diritto tedesco e alla interpretazione delle norme oggetto del rinvio, il tema centrale della questione posta alla Corte di Giustizia UE è se la norma dell’art.38, comma 3 del GDPR, secondo la quale “il responsabile della protezione dati non è rimosso o penalizzato dal titolare del trattamento per l’adeguamento dei propri compiti” consenta o meno alle legislazioni nazionali di subordinare la risoluzione del rapporto di lavoro tra titolare e DPO ad ulteriori condizioni, come a esempio la “giusta causa” prevista sia dal diritto tedesco che da quello italiano o se, invece, qualunque ulteriore causa relativa alla legittimità della risoluzione del rapporto, potendo condurre a una frammentazione del quadro europeo relativo al trattamento del Data Protection Officer, debba considerarsi illegittima per contrasto con la norma del GDPR.
Più precisamente, secondo la Corte di Giustizia UE, il giudice del rinvio chiede “se l’art. 38 , paragrafo 3, seconda frase del GDPR, debba essere interpretato nel senso che esso osta a una normativa nazionale in forza della quale il titolare o il responsabile del trattamento può licenziare il responsabile della protezione dati che sia suo dipendente solo per giusta causa, anche se il licenziamento non è connesso all’esercizio dei compiti di quest’ultimo responsabile”.
Nell’affrontare la questione così posta la CGUE ricorda innanzitutto che secondo giurisprudenza costante le norme del diritto europeo vanno interpretate tenendo conto anche del contesto e degli obiettivi della normativa di cui fa parte”.
Ciò precisato, la Corte UE osserva anche che il GDPR non specifica cosa si debba intendere per “rimosso”, “penalizzato” e per “l’adempimento dei suoi compiti”, tutte espressioni ricomprese nell’art. 38, paragrafo 3 del GDPR.
Ciò posto, dice la Corte di Giustizia UE, richiamandosi anche ai paragrafi 24 e 26 del parere espresso dall’Avvocato generale Jean Richard de la Tour, il responsabile (DPO) “deve essere tutelato contro qualsiasi decisione che ponga fine ai suoi compiti, che gli faccia subire uno svantaggio o che costituisca sanzione”. Ed è evidente, continua la Corte, che “Può costituire una siffatta decisione un provvedimento di licenziamento del responsabile di protezione dati che sia adottato dal suo datore di lavoro e ponga fine al rapporto di lavoro esistente tra tale responsabile e tale datore di lavoro, nonché conseguentemente anche alla funzione di responsabile della protezione dei dati all’interno dell’impresa interessata”. Sotto un altro profilo va sottolineato anche che l’art.38 del GDPR “è destinato ad applicarsi tra il responsabile della protezione dei dati e il titolare o il responsabile del trattamento indipendentemente dalla natura del rapporto di lavoro che lega tale responsabile della protezione dei dati a questi ultimi”.
Centrale è però, per la CGUE, il fatto che l’art.38 del GDPR vieta il licenziamento del DPO per un motivo relativo all’adempimento dei suoi compiti e cioè “il controllo dell’osservanza delle disposizioni dell’Unione o degli Stati membri in materia di protezione dei dati nonché delle politiche del titolare e del responsabile dei trattamenti”.
A queste considerazioni va poi aggiunto, sempre secondo la Corte UE, che l’obiettivo dell’art.38, paragrafo 3, seconda frase, è che “i responsabili della protezione dati, dipendenti o meno dal titolare o dal responsabile, dovrebbero poter adempiere alle loro funzioni in maniera indipendente”.
Del resto, continua la Corte, “l’obiettivo di garantire l’indipendenza funzionale del responsabile della protezione dati….emerge altresì dal medesimo art.38, paragrafo 3, frasi prima e terza, il quale stabilisce che tale responsabile non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti ….”. “Pertanto - continua la Corte - si deve considerare che l’art. 38, paragrafo 3, seconda frase del GDPR, tutelando il DPO contro qualunque decisione che ponga fine alle sue funzioni, gli faccia subire uno svantaggio o costituisca una sanzione, qualora una siffatta decisione sia connessa all’adempimento dei suoi compiti miri essenzialmente a preservare l’indipendenza funzionale del responsabile della protezione dei dati e pertanto a garantire l’efficacia delle disposizioni del GDPR. Tale disposizione non persegue, per contro, lo scopo di disciplinare in via generale i rapporti di lavoro tra il titolare o il responsabile del trattamento e i suoi dipendenti”. Precisa infatti la Corte che i rapporti di lavoro tra DPO e titolari o responsabili dei trattamenti di dati fanno parte della politica sociale che non spetta solo alla UE disciplinare giacché questa materia è di competenza concorrente tra Stati e UE.
Ne consegue dunque, sempre secondo la Corte, che “ciascun Stato membro è libero nell’esercizio della competenza da esso conservata, di adottare disposizioni particolari più protettive in materia di licenziamento del responsabile della protezione dati, a condizione che tali disposizioni siano compatibili col diritto dell’Unione e, in particolare, con le disposizioni del GDPR, segnatamente l’art. 38, paragrafo 3, seconda frase”.
In conseguenza dei ragionamenti svolti, la Corte conclude che “occorre rispondere alla prima questione dichiarando che l’art. 38, paragrafo 3, seconda frase del GDPR deve essere interpretato nel senso che esso non osta a una normativa nazionale in forza della quale il titolare del trattamento e il responsabile del trattamento possono licenziare il responsabile della protezione dei dati che sia un loro dipendente solo per giusta causa, anche se il licenziamento non è connesso all’esercizio dei compiti di quest’ultimo responsabile, a condizione che una siffatta normativa non comprometta la realizzazione degli obbiettivi del GDPR”.
Al termine della decisione qui esaminata e in base ai ragionamenti svolti, la CGUE conclude dichiarando:
“L’articolo 38, paragrafo 3, seconda frase del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, deve essere interpretato nel senso che esso non osta a una normativa nazionale in forza della quale il titolare o il responsabile del trattamento può licenziare il responsabile della protezione dei dati che sia suo dipendente solo per giusta causa, anche se il licenziamento non è connesso all’esercizio dei compiti di quest’ultimo responsabile, a condizione che una siffatta normativa non comprometta la realizzazione degli obbiettivi di tale regolamento”.
È ora di trarre dalla decisione della Corte gli insegnamenti essenziali.
Tali insegnamenti possono essere individuati nei seguenti punti fermi:
1) Anche le norme relative al DPO devono essere lette e interpretate tenendo conto che lo scopo essenziale del GDPR è garantire un mercato interno uniforme anche rispetto al trattamento dei dati personali, ivi compresa ovviamente, e innanzitutto, la tutela del diritto fondamentale delle persone fisiche al controllo sui dati personali che li riguardano;
2) Anche la normativa relativa al DPO va letta, interpretata e applicata tenendo conto degli obiettivi generali del GDPR, che riguardano sia la tutela dei dati personali che la libera circolazione dei dati ed è in questa luce che deve essere valutata anche la normativa europea e quella interna agli Stati relativa al DPO;
3) Per quanto riguarda i rapporti di lavoro tra il DPO e i titolari o i responsabili dei trattamenti di dati, la materia è essenzialmente relativa alle politiche sociali che, a loro volta, sono materia concorrente tra UE e Stati membri;
4) Nulla nel GDPR ostacola normative nazionali che configurino il rapporto tra Data Protection Officer e titolari o responsabili dei trattamenti dei dati come rapporti interni di dipendenza, o come rapporti esterni di servizio, fermo restando comunque che le rispettive discipline devono comunque esser armonizzabili col GDPR e dunque non costituire ostacolo alle prescrizioni contenute nell’art. 38 del GDPR relative alla figura del DPO;
5) Consegue da tutto questo che, ovviamente, discipline statali che comportino o consentano l’interruzione del rapporto tra Titolari o Responsabili dei trattamenti dati e i relativi DPO solo per giusta causa non sono in contrasto col GDPR, così come non lo sono altre norme specifiche relative alla risoluzione del rapporto, fermo restando che potrà e dovrà essere valutato caso per caso se queste eventuali norme statali interne possano, per il loro contenuto, compromettere la realizzazione degli obiettivi del GDPR, e dunque possano metterne in pericolo la coerenza e uniformità di applicazione.
Così letta e considerata la decisione della Corte di Giustizia UE appare non solo condivisibile ma anche utilmente chiarificatrice nel ridefinire meglio i confini tra legislazione europea e legislazione statale interna in materia di rapporti tra titolari e responsabili dei trattamenti e DPO.
Merita considerare, in particolare, la insistenza che la Corte UE dedica a sottolineare sempre che il GDPR e in generale la legislazione europea riguardano non solo la tutela dei dati personali ma anche quella della libera circolazione dei dati, cosicché anche la legislazione statale interna in materia di rapporti tra DPO e titolari e responsabili dei trattamenti dei dati dovrà sempre essere valutata assicurandosi che non ponga ostacoli o diminuisca la tutela della libertà di circolazione dei dati nell’ambito dell’Unione.