Quando un DPO può essere rimosso dall’incarico? Lo chiarisce la Corte di Giustizia dell’UE

Articolo header

Con la sentenza del 22 giugno 2022, la Corte di Giustizia UE si è pronunciata in merito alla causa C-534/20 tra un Data Protection Officer e il suo datore di lavoro. La pronuncia della Corte sul licenziamento impugnato risulta particolarmente interessante, in quanto chiarisce il disposto dell’art. 38, paragrafo 3, del GDPR al fine di determinare il margine di azione delle legislazioni nazionali nel subordinare la risoluzione del rapporto di lavoro tra titolare e DPO ad ulteriori condizioni, come, ad esempio, la “giusta causa”.


Con la sentenza del 22 giugno 2022, la Corte di Giustizia UE si è pronunciata in merito alla causa C-534/20 tra un Data Protection Officer e il suo datore di lavoro. La questione oggetto di controversia riguardava il licenziamento di un DPO interno, a seguito di una ristrutturazione organizzativa della società per cui aveva assunto l’incarico. La pronuncia della Corte sul licenziamento impugnato risulta particolarmente interessante, in quanto chiarisce il disposto dell’art. 38, paragrafo 3, del GDPR, secondo il quale “Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti”, al fine di determinare il margine di azione delle legislazioni nazionali nel subordinare la risoluzione del rapporto di lavoro tra titolare e DPO ad ulteriori condizioni, come, ad esempio, la “giusta causa”.


I fatti preliminari alla Sentenza

In data 13 luglio 2018 la Società Leistritz aveva comunicato alla dipendente LH la cessazione del rapporto di lavoro esistente, a seguito di una “ristrutturazione interna” in base alla quale si era deciso che il servizio di DPO, insieme all’attività di consulenza legale, sarebbe stato esternalizzato. 

LH impugnava quindi il licenziamento, contestando la validità dello stesso ai sensi del GDPR e della legislazione tedesca (art. 6, paragrafo 4, della legge federale tedesca sulla protezione dei dati), per carenza di una “giusta causa”. In primo grado, i giudici dichiaravano illegittimo il licenziamento, dando ragione a LH nel ritenere che il provvedimento di ristrutturazione descritto dalla Leistritz non costituisse una siffatta giusta causa. 

La Società Leistritz ricorreva pertanto al Giudice del rinvio, che, confermando la nullità del licenziamento dal punto di vista del diritto tedesco, rilevava tuttavia dei dubbi in merito al disposto del GDPR e alla facoltà, in capo agli Stati membri, di sottoporre il licenziamento di un DPO a condizioni più rigorose di quelle previste dal diritto dell’Unione. L’applicabilità della normativa tedesca e quindi del criterio aggiuntivo della giusta causa, infatti, dipendevano dall’interpretazione dell’art. 38 del GDPR: qualora questo non consentisse agli Stati membri di subordinare il licenziamento ad ulteriori condizioni, lo stesso sarebbe stato valido ed il ricorso della Leistritz da accogliere.

Il Bundesarbeitsgericht (Corte Federale del lavoro), decideva, pertanto, di sospendere il procedimento e di sottoporre la questione alla Corte di Giustizia dell’UE (CGUE).


Le disposizioni oggetto di dibattito

Per comprendere al meglio la decisione della CGUE, è bene fare una breve premessa normativa. L’articolo 38 del GDPR, intitolato “Posizione del responsabile della protezione dei dati”, al paragrafo 3 dispone quanto segue:

“Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.

La normativa nazionale citata dalla LH (la legge federale sulla protezione dei dati, Bundesdatenschutzgesetz o, per semplicità, “BSDG”), all’art. 6, paragrafo 4, prevede:

“La rimozione del/della responsabile della protezione dei dati è consentita solo in applicazione analogica dell’articolo 626 del Bürgerliches Gesetzbuch (codice civile), […">. Non è ammessa la risoluzione del rapporto di lavoro se non in presenza di fatti tali da consentire all’organismo pubblico una risoluzione per giusta causa senza preavviso. Dopo la cessazione dell’attività in qualità di responsabile della protezione dei dati, la risoluzione del rapporto di lavoro non è consentita per il periodo di un anno, a meno che l’organismo pubblico non sia legittimato alla risoluzione per giusta causa senza preavviso”. L’articolo 626 del codice civile, intitolato “Risoluzione per giusta causa senza preavviso”, stabilisce che “Il rapporto di lavoro può essere risolto da ciascuna delle parti del contratto per giusta causa senza osservare un periodo di preavviso, in presenza di fatti in base ai quali non sia ragionevolmente esigibile dalla parte che agisce in risoluzione la continuazione del rapporto di lavoro fino alla scadenza del periodo di preavviso oppure fino alla cessazione prevista di detto rapporto, tenendo conto di tutte le circostanze del singolo caso e valutando gli interessi di entrambe le parti del contratto”.

Si fa presente che l’art. 6 non è il solo a imporre condizioni aggiuntive all’applicazione del GDPR: anche l’art. 38 del BSDG, intitolato “Responsabile della protezione dei dati presso organismi non pubblici”, prevede, ad integrazione dell’art. 37 del Regolamento Europeo, che “il titolare del trattamento e il responsabile del trattamento designano un/una responsabile della protezione dei dati, a condizione che essi abbiano alle loro dipendenze, di norma, almeno dieci persone impegnate in modo permanente nel trattamento automatizzato dei dati personali”.


La questione pregiudiziale

Tornando al caso in esame, la Corte federale del lavoro decideva quindi di sottoporre tre questioni pregiudiziali alla Corte di Giustizia dell’UE. La prima, nonché la principale, riguardava l’interpretazione dell’art. 38, paragrafo 3, del GDPR e se lo stesso consentisse o meno ad uno stato membro di emanare leggi che impongono condizioni più rigorose per il licenziamento del Data Protection Officer. Nello specifico, il titolare o il responsabile del trattamento può legittimamente licenziare il proprio DPO interno, suo dipendente, solo per giusta causa, anche se il licenziamento non è connesso all’esercizio dei compiti di quest’ultimo responsabile?

Per rispondere a tale questione, la CGUE osserva la necessità di effettuare un’attività interpretativa delle disposizioni del GDPR, in quanto l’art. 38, paragrafo 3, del Regolamento europeo non specifica cosa si debba intendere per “rimosso”, “penalizzato” e per “l’adempimento dei suoi compiti”. Per svolgere tale attività di interpretazione, “occorre tener conto non solo dei termini di tale disposizione secondo il loro significato abituale nel linguaggio corrente, ma anche del suo contesto e degli obiettivi perseguiti dalla normativa di cui fa parte”. Inoltre, la CGUE sottolinea come l’art. 38 si applichi ai rapporti tra il responsabile della protezione dei dati e il titolare del trattamento o il responsabile del trattamento, indipendentemente dalla natura del rapporto di lavoro che lega il DPO a questi ultimi (che sia un rapporto di dipendenza o che si basi su un contratto di servizi concluso con questi ultimi).


La decisione della Corte

Fatte le dovute premesse, la Corte giunge all’analisi dell’art. 38, paragrafo 3, seconda frase, del GDPR, il quale determina un limite che consiste nel vietare il licenziamento del responsabile della protezione dei dati per un motivo relativo all’adempimento dei suoi compiti, come previsti e definiti nell’art. 39 dello stesso Regolamento. L’articolo in esame mira quindi a preservare l’indipendenza funzionale del DPO, tutelando lo stesso contro qualsiasi decisione che ponga fine alle sue funzioni, che gli faccia subire uno svantaggio o che possa costituire una penalizzazione o sanzione. 

Per contro, la Corte chiarisce che tale disposizione non persegue lo scopo di disciplinare i rapporti di lavoro tra il datore di lavoro, titolare o responsabile del trattamento dei dati, ed i suoi dipendenti: tali rapporti, infatti, fanno parte della politica sociale, di competenza concorrente tra Stati e legislazione comunitaria (la Corte rinvia alle norme del TFUE che regolano la competenza concorrente). Secondo la giurisprudenza della Corte, le prescrizioni minime dell’UE in materia di politica sociale, non ostano a che uno Stato membro possa prevedere ulteriori misure, compatibili con i trattati, in grado di garantire una maggiore protezione.

Ne consegue che “ciascuno Stato membro è libero, nell’esercizio della competenza da esso conservata, di adottare disposizioni particolari più protettive in materia di licenziamento del responsabile della protezione dei dati, a condizione che tali disposizioni siano compatibili con il diritto dell’Unione e, in particolare, con le disposizioni del GDPR, segnatamente con il suo articolo 38, paragrafo 3, seconda frase”.

La Corte conclude, quindi, dichiarando che l’art. 38, paragrafo 3, seconda frase del GDPR “deve essere interpretato nel senso che esso non osta a una normativa nazionale in forza della quale il titolare del trattamento o il responsabile del trattamento può licenziare il responsabile della protezione dei dati che sia suo dipendente solo per giusta causa, anche se il licenziamento non è connesso all’esercizio dei compiti di quest’ultimo responsabile, a condizione che una siffatta normativa non comprometta la realizzazione degli obiettivi di tale regolamento”.


Considerazioni finali

Dalla sentenza della Corte si devono trarre alcune utili considerazioni: 

  • In primo luogo, la CGUE ricorda, in più passaggi, come le disposizioni del GDPR e, in particolare quelle sul DPO, debbano essere interpretate e applicate tenendo conto degli obiettivi generali del Regolamento, che riguardano sia la tutela dei dati personali che la libera circolazione dei dati;
  • Allo stesso modo deve essere valutata anche la normativa interna agli Stati membri, la quale non deve costituire un ostacolo alle prescrizioni del GDPR o rischiare di compromettere la realizzazione degli obiettivi perseguiti dal Regolamento;
  • Nulla osta che, alle condizioni di cui al punto precedente, gli Stati membri introducano disposizioni di dettaglio, che comportino o consentano l’interruzione del rapporto tra titolare o Responsabile del trattamento dei dati ed il relativo DPO solo per giusta causa.

Già il WP29, nelle linee guida sui responsabili della protezione dei dati (WP243), come emendate ed adottate in data 5 aprile 2017, statuiva che, a garanzia dell’indipendenza del DPO, concorrevano due elementi in particolare: 

  1. Le “tutele previste contro l’ingiusto licenziamento”. Forme di tutela sancite dalle norme di giuslavoro applicate all’interno dei vari Stati membri;
  2. Il contratto stipulato con il DPO, il quale contribuisce a determinare il grado di autonomia del professionista, nell’esecuzione delle mansioni a questi assegnate dal Regolamento europeo. Il GDPR, infatti, non specifica le modalità e la tempistica riferite alla cessazione del rapporto di lavoro del DPO o alla sua sostituzione.


Il contratto di servizi

Proprio il contratto di servizi riveste un ruolo fondamentale nel tutelare il professionista sin dall’instaurazione del rapporto, in quanto costituisce un mezzo per evitare, in via preventiva:

  • L’insorgere di conflitti di interessi; 
  • Controversie di qualsiasi genere, ad esempio, su: requisiti e competenze; posizione; compiti e funzioni; ripartizione dei compiti; termini per l’espletamento dei compiti affidati; risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e personale; supporto e formazione; risoluzione del rapporto e rimozione / revoca dell’incarico. 

ASSO DPO si pone l’obiettivo di sostenere l’attività dei DPO, anche attraverso la condivisione, il confronto e lo scambio di informazioni e conoscenze fra associati. Scopo dell’Associazione è proprio quello di sviluppare soluzioni condivise ai problemi applicativi posti dalla normativa in materia di Privacy e, in particolare, ai problemi connessi all’operatività della funzione nelle aziende e negli enti, eventualmente anche mediante l’elaborazione di “standard” e “best practices”. Associarsi porta diversi vantaggi ai professionisti: eventi organizzati (fra cui il Congresso annuale); convenzioni su misura; corsi di formazione; nonché l’erogazione dell’attestato di qualità e di qualificazione professionale dei servizi prestati. 


Ti invitiamo, pertanto, a valutare l’adesione all’Associazione.

Se invece vuoi solo rimanere aggiornato sulle ultime news, iscriviti alla nostra newsletter.


Fonte:

La sentenza della CGUE - causa C-534/20: 

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:62020CJ0534&from=EN


Altre news