Licenziamento RPD: sentenza della Corte di Giustizia UE

La figura del RPD, responsabile per la protezione dei dati personali, conosciuta anche con l’acronimo inglese DPO, rappresenta una delle maggiori novità introdotte dal Regolamento generale sulla protezione dei dati, il cosiddetto RGPD, anche se in alcuni ordinamenti dell’UE, come la Germania o l’Austria, era già presente come obbligatoria. 

Il ruolo del RPD

Il RPD ha un ruolo centrale per la gestione della privacy in azienda. Attraverso il suo know how tecnico-giuridico, ha, tra gli altri, il compito di:

-garantire che tutti i trattamenti dei dati siano svolti in conformità al Regolamento

-informare il titolare, il responsabile e, se necessario, i dipendenti sugli obblighi che gravano su di loro e che trovano fonte nel RGDP

-fornire un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento. L’articolo 38 RGPD prevede infatti che tale figura debba essere coinvolta obbligatoriamente dai vertici aziendali in ogni questione che riguarda la protezione dei dati personali senza, tuttavia, dipendere da essi, dovendo salvaguardare la sua indipendenza.

La nomina del RPD

La nomina del RPD può avvenire da parte del titolare del trattamento o del responsabile del trattamento. È obbligatoria solo nei casi in cui:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c)  laddove le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti, su larga scala, di dati sensibili (inclusi i dati relativi allo stato di salute o alla vita sessuale).

L’articolo 38 del RGPD

Data la rilevanza di tale figura nell’economia della disciplina di tutela dei dati personali, il Regolamento prevede all’articolo 38, paragrafo 3, secondo periodo, che “Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”, esplicitando chiaramente che il RPD deve essere tutelato contro qualsiasi decisione che ponga fine ai suoi compiti, che gli faccia subire uno svantaggio o che costituisca una sanzione.
 
Proprio sull’interpretazione di questa disposizione normativa con riferimento a quella nazionale tedesca, si basa la decisione in commento.

I fatti

Il giudizio della Corte trae origine dal licenziamento con preavviso del RPD di una società tedesca, motivato da una riorganizzazione ed esternalizzazione di alcuni servizi della società stessa, tra cui quello del RPD. Il lavoratore chiedeva alla corte di merito di dichiarare l’invalidità del licenziamento poiché irrogato in violazione del combinato disposto dell’articolo 38, paragrafo 3, secondo periodo, del Regolamento UE e dell’articolo 6 del BDSG (legge federale sulla protezione dei dati vigente in Germania), paragrafo 4, il quale prevede che “La rimozione del\della responsabile della protezione dati è consentita solo in applicazione analogica dell’articolo 626 del codice civile (tedesco)”. Tale articolo, intitolato “Risoluzione per giusta causa senza preavviso” statuisce, a sua volta, che “Il rapporto di lavoro può essere risolto da ciascuna delle parti del contratto per giusta causa senza osservare un periodo di preavviso, in presenza di fatti in base ai quali non sia ragionevolmente esigibile dalla parte che agisce in risoluzione la continuazione del rapporto di lavoro fino alla scadenza del periodo di preavviso oppure fino alla cessazione prevista di detto rapporto, tenendo conto di tutte le circostanze del singolo caso e valutando gli interessi di entrambe le parti del contratto”.

La difesa del lavoratore

Su tali ragioni il lavoratore basava le proprie difese, che venivano pienamente accolte dal giudice del merito che dichiarava l’invalidità del licenziamento del RPD poiché irrogato per motivi di ristrutturazione aziendale e non per una giusta causa.
 
La società impugnava il provvedimento dinanzi alla Corte federale del lavoro tedesca, la quale rilevava che, dal punto di vista del diritto tedesco, il licenziamento del RPD è nullo, in applicazione delle disposizioni innanzi citate e dell’articolo 134 del codice civile tedesco, dal titolo “Divieto di legge”, e così formulato “Qualsiasi negozio giuridico in contrasto con un divieto di legge è nullo, ove non sia diversamente stabilito dalla legge”.

I dubbi interpretativi

Tuttavia, il giudice del rinvio si ritrovava dinanzi ad un dubbio interpretativo che poteva sostanzialmente cambiare l’esito del giudizio. Si chiedeva, in particolare, se effettivamente il diritto dell’Unione e, nel caso di specie, l’articolo 38, paragrafo 3, seconda frase, del RGPD, consentisse l’ingresso di una normativa di uno Stato membro più tutelante in tema di licenziamento per il PRD, prevedendo condizioni più rigorose di quelle previste per il diritto dell’Unione. In caso contrario, esso avrebbe dovuto accogliere il ricorso per revisione proposto dalla società.

La rimessione alla Corte di giustizia UE

Dinanzi a questi dubbi interpretativi, il giudice del rinvio, sospeso il procedimento, lo rimetteva alla Corte di giustizia dell’Unione Europea la quale era chiamata a statuire, principalmente, se “l’articolo 38, paragrafo 3, seconda frase, del RGPD debba essere interpretato nel senso che osta ad una disposizione nazionale, quale l’articolo 38, paragrafi 1 e 2, in combinato disposto con l’articolo 6, paragrafo 4, seconda frase, del BDSG, che dichiari inammissibile la risoluzione ordinaria del rapporto di lavoro del responsabile della protezione dei dati da parte del titolare del trattamento, suo datore di lavoro, indipendentemente dal fatto che la risoluzione avvenga per motivi inerenti all’adempimento dei suoi compiti.

I rilievi della Corte

La Corte rileva innanzitutto che la ratio dell’articolo 38, paragrafo 3, seconda frase, del RGPD è quella di tutelare il RPD contro qualsiasi decisione che ponga fine alle sue funzioni, che gli faccia subire uno svantaggio o costituisca una sanzione, qualora una siffatta decisione sia connessa all’adempimento dei suoi compiti. Ciò al fine di preservare l’indipendenza funzionale di tale figura e, di conseguenza, garantire l’efficacia delle disposizioni del Regolamento.
 
In secondo luogo, evidenzia come la fissazione di norme relative alla tutela contro il licenziamento del RPD non rientri nell’ambito della protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, né in quello della libera circolazione di tali dati, bensì nel settore della politica sociale, in cui Unione Europea e Stati membri hanno competenza concorrente ai sensi dell’articolo 2, paragrafo 2, TFUE. 

Ne consegue che, uno Stato membro può stabilire misure, purché compatibili con i trattati, che prevedano una maggiore tutela e protezione rispetto alle prescrizioni minime previste dall’Unione.

Le conclusioni della Corte

Pertanto conclude la Corte, che ciascuno Stato membro è libero, nell’esercizio della competenza ad esso riservata, di adottare disposizioni particolari più protettive in materia di licenziamento del RPD, a condizione che tali disposizioni siano compatibili con il diritto dell’Unione Europea e, in particolare, con le disposizioni del RGPD, segnatamente con il suo articolo 38, paragrafo 3, seconda frase, e sempre a condizione che una normativa statale non comprometta la realizzazione degli obiettivi del Regolamento.
 
Pertanto, l’articolo 38, paragrafo 3, secondo periodo, del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che non osta ad una normativa nazionale ai sensi della quale il datore di lavoro di un responsabile della protezione dei dati può licenziare quest’ultimo solo per giusta causa, anche se il licenziamento non è connesso con l’adempimento dei compiti di tale responsabile.

Il diritto italiano

Detto principio, valevole per tutti gli Stati membri, trova ingresso anche nel diritto interno italiano e deve essere interpretato e applicato dal giudice nazionale tenuto conto della disciplina in materia di licenziamento. Nel nostro ordinamento, tuttavia, diversamente da quanto previsto in Germania, la figura del RPD non è soggetta a particolari previsioni di legge sul fronte lavoristico né, tantomeno, a disposizioni particolari più protettive in materia di licenziamento. Da ciò deriva che, fermo restando il divieto di rimuovere il RPD per l’adempimento dei propri compiti, lo stesso potrà essere licenziato per giusta causa o giustificato motivo – e quindi anche per motivi di ristrutturazione aziendale – come tutti gli altri lavoratori.

Credit by ADAPT