Causa C‑534/20

Leistritz AG

contro

LH

(domanda di pronuncia pregiudiziale proposta dal Bundesarbeitsgericht)

Sentenza della Corte (Prima Sezione) del 22 giugno 2022

«Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 38, paragrafo 3, seconda frase – Responsabile della protezione dei dati – Divieto, per un titolare del trattamento o un responsabile del trattamento, di rimuovere o penalizzare un responsabile della protezione dei dati per l’adempimento dei suoi compiti – Base giuridica – Articolo 16 TFUE – Requisito di indipendenza funzionale – Normativa nazionale che vieta il licenziamento di un responsabile della protezione dei dati in assenza di giusta causa»

Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Responsabile della protezione dei dati – Funzione – Divieto, per un titolare del trattamento o un responsabile del trattamento, di rimuovere o penalizzare un responsabile della protezione dei dati per l’adempimento dei suoi compiti – Normativa nazionale che vieta il licenziamento di un responsabile della protezione dei dati in assenza di giusta causa – Licenziamento non connesso all’esercizio dei compiti di tale responsabile – Ammissibilità – Presupposto – Rispetto degli obiettivi previsti da tale regolamento

(Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 38, § 3, 2a frase)

(v. punti 21‑36 e dispositivo)

Sintesi

LH svolge, dal 1o febbraio 2018, la funzione di responsabile della protezione dei dati all’interno della società Leistritz AG. Tale società è tenuta, in forza della normativa tedesca, a designare un responsabile della protezione dei dati. A luglio 2018 la Leistritz ha licenziato LH con preavviso, facendo valere un provvedimento di ristrutturazione delle sue attività in base al quale il servizio di protezione dei dati veniva affidato all’esterno.

Aditi da LH, che contestava la validità del suo licenziamento, i giudici di merito hanno deciso che tale licenziamento fosse invalido. Infatti, conformemente alle disposizioni della normativa federale tedesca, LH, nella sua qualità di responsabile della protezione dei dati, poteva essere licenziata esclusivamente senza preavviso per giusta causa. Orbene, la ristrutturazione delle attività della Leistritz non costituirebbe una siffatta causa.

A seguito del ricorso proposto dalla Leistritz dinanzi al Bundesarbeitsgericht (Corte federale del lavoro, Germania), tale giudice si chiede se il regolamento generale sulla protezione dei dati ( 1 ) autorizzi una normativa di uno Stato membro che assoggetti il licenziamento di un responsabile della protezione dei dati a condizioni più rigorose di quelle previste dal diritto dell’Unione.

Con la sua sentenza la Corte dichiara che l’articolo 38, paragrafo 3, seconda frase, del RGPD ( 2 ) non osta a una normativa nazionale la quale preveda che il titolare del trattamento o il responsabile del trattamento possa licenziare il responsabile della protezione dei dati che sia suo dipendente solo per giusta causa. Tale ragionamento è applicabile anche se il licenziamento non è connesso all’esercizio dei compiti di quest’ultimo responsabile, a condizione che una siffatta normativa non comprometta la realizzazione degli obiettivi del RGPD.

Giudizio della Corte

In primo luogo, la Corte sottolinea che, conformemente al tenore letterale dell’articolo 38, paragrafo 3, seconda frase, del RGPD, il divieto imposto al titolare del trattamento o al responsabile del trattamento di rimuovere o penalizzare il responsabile della protezione dei dati significa che quest’ultimo responsabile deve essere tutelato contro qualsiasi decisione che ponga fine ai suoi compiti, che gli faccia subire uno svantaggio o che costituisca una sanzione. Orbene, un provvedimento di licenziamento del responsabile della protezione dei dati che sia adottato dal suo datore di lavoro e che ponga fine al rapporto di lavoro esistente tra tale responsabile e tale datore di lavoro può costituire una simile decisione. Per quanto riguarda detto rapporto di lavoro, la Corte precisa che l’articolo 38, paragrafo 3, seconda frase, del RGPD si applica tanto al responsabile della protezione dei dati che sia dipendente del titolare del trattamento o del responsabile del trattamento, quanto a colui il quale assolva i suoi compiti in base a un contratto di servizi concluso con questi ultimi. Tale disposizione è, dunque, destinata ad applicarsi ai rapporti tra il responsabile della protezione dei dati e il titolare del trattamento o il responsabile del trattamento, indipendentemente dalla natura del rapporto di lavoro che lega tale responsabile della protezione dei dati a questi ultimi. Inoltre, la medesima disposizione stabilisce un limite che consiste nel vietare il licenziamento del responsabile della protezione dei dati per un motivo relativo all’adempimento dei suoi compiti ( 3 ).

Per quanto concerne, in secondo luogo, l’obiettivo perseguito dall’articolo 38, paragrafo 3, seconda frase, del RGPD, tale regolamento ( 4 ) prevede che i responsabili della protezione dei dati, che siano dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente, conformemente all’obiettivo del RGPD ( 5 ). Così, l’obiettivo di garantire l’indipendenza funzionale del responsabile della protezione dei dati ( 6 ) presuppone che quest’ultimo non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti, che riferisca direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento e che sia tenuto al segreto o alla riservatezza. Pertanto, l’articolo 38, paragrafo 3, seconda frase, del RGPD mira a preservare l’indipendenza del responsabile della protezione dei dati, nella misura in cui tale disposizione lo tutela contro qualsiasi decisione connessa alle sue funzioni che ponga fine a queste ultime, gli faccia subire uno svantaggio o costituisca una sanzione. Tuttavia, tale disposizione non mira a disciplinare in via generale i rapporti di lavoro tra il titolare del trattamento o il responsabile del trattamento e i suoi dipendenti.

Per quanto riguarda, in terzo e ultimo luogo, il contesto in cui si inserisce l’articolo 38, paragrafo 3, seconda frase, del RGPD, la Corte precisa che, eccettuata la tutela specifica del responsabile della protezione dei dati prevista in tale disposizione, la protezione contro il licenziamento del responsabile della protezione dei dati che sia dipendente del titolare del trattamento o del responsabile del trattamento non rientra nell’ambito delle norme che possono essere adottate sulla base del RGPD ( 7 ), bensì nel settore della politica sociale. Orbene, l’Unione e gli Stati membri hanno competenza concorrente ( 8 ) in tale settore. Infatti, l’Unione sostiene e completa l’azione degli Stati membri nel settore della protezione dei lavoratori in caso di risoluzione del contratto di lavoro, adottando prescrizioni minime a tal riguardo. Pertanto, ciascuno Stato membro è libero, nell’esercizio della propria competenza, di prevedere disposizioni particolari più protettive in materia di licenziamento del responsabile della protezione dei dati, a condizione che tali disposizioni siano compatibili con le disposizioni del RGPD. In particolare, una simile protezione rafforzata non può compromettere la realizzazione degli obiettivi del RGPD. Orbene, ciò si verificherebbe se essa impedisse qualsiasi licenziamento, da parte del titolare del trattamento o del responsabile del trattamento, del responsabile della protezione dei dati che non possieda più le qualità professionali richieste per assolvere i suoi compiti o che non li svolga in conformità alle disposizioni del RGPD.

( 1 ) V., in particolare, l’articolo 38, paragrafo 3, seconda frase, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

( 2 ) Ai sensi dell’articolo 38, paragrafo 3, seconda frase, del RGPD, il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti.

( 3 ) Ai sensi dell’articolo 39, paragrafo 1, lettera b), del RGPD, tali compiti comprendono, in particolare, il controllo dell’osservanza delle disposizioni dell’Unione o degli Stati membri in materia di protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali.

( 4 ) E, in particolare, il considerando 97 del RGPD.

( 5 ) Il RGPD, come emerge dal suo considerando 10, mira in particolare ad assicurare un livello elevato di protezione delle persone fisiche all’interno dell’Unione.

( 6 ) Come risultante dall’articolo 38, paragrafo 3, frasi prima, seconda e terza, nonché dall’articolo 38, paragrafo 5, del RGPD.

( 7 ) L’articolo 16, paragrafo 2, TFUE, base giuridica del RGPD, consente l’adozione di norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e alla loro libera circolazione.

( 8 ) In forza dell’articolo 4, paragrafo 2, lettera b), TFUE.