–

per la Leistritz AG, da O. Seeling e C. Wencker, Rechtsanwälte;

–

per LH, da S. Lohneis, Rechtsanwalt;

–

per il governo tedesco, da J. Möller e S.K. Costanzo, in qualità di agenti;

–

per il governo rumeno, da E. Gane, in qualità di agente;

–

per il Parlamento europeo, da O. Hrstková Šolcová, P. López-Carceller e B. Schäfer, in qualità di agenti;

–

per il Consiglio dell’Unione europea, da T. Haas e K. Pleśniak, in qualità di agenti;

–

per la Commissione europea, da K. Herrmann, H. Kranenborg e D. Nardi, in qualità di agenti,

1

La domanda di pronuncia pregiudiziale verte sull’interpretazione e sulla validità dell’articolo 38, paragrafo 3, seconda frase, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifica in GU 2018, L 127, pag. 2; in prosieguo: il «RGPD»).

2

Tale domanda è stata presentata nell’ambito di una controversia tra la Leistritz AG e LH, che esercitava le funzioni di responsabile della protezione dei dati all’interno di tale società, relativamente alla risoluzione del suo contratto di lavoro, motivata da una riorganizzazione dei servizi di detta società.

3

I considerando 10 e 97 del RGPD così recitano:

(...)

4

L’articolo 37 del RGPD, intitolato «Designazione del responsabile della protezione dei dati», è così formulato:

«1.   Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

(...)

6.   Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

(...)».

5

L’articolo 38 del RGPD, intitolato «Posizione del responsabile della protezione dei dati», ai suoi paragrafi 3 e 5 dispone quanto segue:

«3.   Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

(...)

5.   Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri».

6

L’articolo 39 del RGPD, intitolato «Compiti del responsabile della protezione dei dati», al suo paragrafo 1, lettera b), prevede quanto segue:

«Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

(...)

(...)».

7

L’articolo 6 del Bundesdatenschutzgesetz (legge federale sulla protezione dei dati), del 20 dicembre 1990 (BGBl. 1990 I, pag. 2954), nel testo vigente dal 25 maggio 2018 al 25 novembre 2019 (BGBl. 2017 I, pag. 2097) (in prosieguo: il «BDSG»), intitolato «Posizione», al suo paragrafo 4 prevede quanto segue:

«La rimozione del/della responsabile della protezione dei dati è consentita solo in applicazione analogica dell’articolo 626 del Bürgerliches Gesetzbuch [(codice civile), nel testo pubblicato il 2 gennaio 2002 (BGBl. 2002 I, pag. 42, e rettifiche in BGBl. 2002 I, pag. 2909, e BGBl. 2003 I, pag. 738)]. Non è ammessa la risoluzione del rapporto di lavoro se non in presenza di fatti tali da consentire all’organismo pubblico una risoluzione per giusta causa senza preavviso. Dopo la cessazione dell’attività in qualità di responsabile della protezione dei dati, la risoluzione del rapporto di lavoro non è consentita per il periodo di un anno, a meno che l’organismo pubblico non sia legittimato alla risoluzione per giusta causa senza preavviso».

8

L’articolo 38 del BDSG, intitolato «Responsabile della protezione dei dati presso organismi non pubblici», così dispone:

«(1)   Ad integrazione dell’articolo 37, paragrafo 1, lettere b) e c), del [RGPD], il titolare del trattamento e il responsabile del trattamento designano un/una responsabile della protezione dei dati, a condizione che essi abbiano alle loro dipendenze, di norma, almeno dieci persone impegnate in modo permanente nel trattamento automatizzato dei dati personali. (...)

(2)   Si applica l’articolo 6, paragrafi 4, 5, seconda frase, e 6, ma il paragrafo 4 solo nel caso di obbligatorietà della designazione di un responsabile della protezione dei dati».

9

L’articolo 134 del codice civile, nel testo pubblicato il 2 gennaio 2002 (in prosieguo: il «codice civile»), dal titolo «Divieto di legge», è così formulato:

«Qualsiasi negozio giuridico in contrasto con un divieto di legge è nullo, ove non sia diversamente stabilito dalla legge».

10

L’articolo 626 del codice civile, intitolato «Risoluzione per giusta causa senza preavviso», prevede quanto segue:

«(1)   Il rapporto di lavoro può essere risolto da ciascuna delle parti del contratto per giusta causa senza osservare un periodo di preavviso, in presenza di fatti in base ai quali non sia ragionevolmente esigibile dalla parte che agisce in risoluzione la continuazione del rapporto di lavoro fino alla scadenza del periodo di preavviso oppure fino alla cessazione prevista di detto rapporto, tenendo conto di tutte le circostanze del singolo caso e valutando gli interessi di entrambe le parti del contratto.

(2)   La risoluzione può aver luogo solo entro due settimane. Il termine inizia a decorrere dal momento in cui la parte avente diritto alla risoluzione viene a conoscenza dei fatti rilevanti ai fini di detta risoluzione (...)».

11

La Leistritz è una società di diritto privato, tenuta a designare un responsabile della protezione dei dati in forza del diritto tedesco. LH ha ivi svolto le funzioni di «capo del servizio affari legali» dal 15 gennaio 2018 e di responsabile della protezione dei dati dal 1o febbraio 2018.

12

Con una lettera del 13 luglio 2018 la Leistritz ha licenziato LH con preavviso, con decorrenza dal 15 agosto 2018, facendo valere un provvedimento di ristrutturazione di tale società, nel cui ambito l’attività interna di consulenza legale e il servizio di protezione dei dati venivano esternalizzati.

13

I giudici di merito, investiti da LH della contestazione della validità del suo licenziamento, hanno deciso che tale licenziamento fosse invalido, dal momento che, conformemente al combinato disposto dell’articolo 38, paragrafo 2, e dell’articolo 6, paragrafo 4, seconda frase, del BDSG, LH, in ragione della sua qualità di responsabile della protezione dei dati, poteva essere licenziata esclusivamente senza preavviso per giusta causa. Orbene, il provvedimento di ristrutturazione descritto dalla Leistritz non costituirebbe una siffatta causa.

14

Il giudice del rinvio, investito del ricorso per Revision proposto dalla Leistritz, rileva che, dal punto di vista del diritto tedesco, il licenziamento di LH è nullo, in applicazione di tali disposizioni e dell’articolo 134 del codice civile. Esso osserva, tuttavia, che l’applicabilità dell’articolo 38, paragrafo 2, e dell’articolo 6, paragrafo 4, seconda frase, del BDSG dipende dalla questione se il diritto dell’Unione e, in particolare, l’articolo 38, paragrafo 3, seconda frase, del RGPD autorizzino una normativa di uno Stato membro che subordini il licenziamento di un responsabile della protezione dei dati a condizioni più rigorose di quelle previste dal diritto dell’Unione. In caso di risposta negativa, esso sarebbe tenuto ad accogliere il ricorso per Revision.

15

Il giudice del rinvio precisa che i suoi dubbi sono dovuti, in particolare, all’esistenza di una divergenza nella dottrina nazionale. Da un lato, l’opinione maggioritaria riterrebbe che la tutela speciale contro il licenziamento prevista dal combinato disposto dell’articolo 38, paragrafo 2, e dell’articolo 6, paragrafo 4, seconda frase, del BDSG costituisca una norma sostanziale di diritto del lavoro rispetto alla quale l’Unione non ha competenza legislativa, sicché dette disposizioni non sarebbero contrarie all’articolo 38, paragrafo 3, seconda frase, del RGPD. D’altro lato, secondo i sostenitori dell’opinione minoritaria, i collegamenti tra tale tutela e la funzione di responsabile della protezione dei dati confliggerebbero con il diritto dell’Unione e creerebbero una pressione economica rispetto al mantenimento in servizio, a titolo permanente, del responsabile della protezione dei dati, una volta che lo stesso sia stato designato.

16

In tali circostanze, il Bundesarbeitsgericht (Corte federale del lavoro, Germania) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

17

Con la prima questione il giudice del rinvio chiede, in sostanza, se l’articolo 38, paragrafo 3, seconda frase, del RGPD debba essere interpretato nel senso che esso osta a una normativa nazionale in forza della quale il titolare del trattamento o il responsabile del trattamento può licenziare il responsabile della protezione dei dati che sia suo dipendente solo per giusta causa, anche se il licenziamento non è connesso all’esercizio dei compiti di quest’ultimo responsabile.

18

Come risulta da una giurisprudenza costante, nell’interpretare una disposizione del diritto dell’Unione, occorre tener conto non solo dei termini di tale disposizione secondo il loro significato abituale nel linguaggio corrente, ma anche del suo contesto e degli obiettivi perseguiti dalla normativa di cui fa parte (sentenza del 22 febbraio 2022, Stichting Rookpreventie Jeugd e a., C‑160/20, EU:C:2022:101, punto 29 e giurisprudenza ivi citata).

19

In primo luogo, per quanto riguarda il tenore letterale della disposizione di cui trattasi, si deve ricordare che l’articolo 38, paragrafo 3, del RGPD prevede, nella sua seconda frase, che «[i]l responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti».

20

Anzitutto, occorre rilevare che il RGPD non definisce i termini «rimosso», «penalizzato» e «per l’adempimento dei propri compiti», che compaiono in tale articolo 38, paragrafo 3, seconda frase.

21

Ciò posto, sotto un primo profilo, conformemente al significato di tali termini nel linguaggio corrente, il divieto imposto al titolare del trattamento o al responsabile del trattamento di rimuovere o penalizzare il responsabile della protezione dei dati significa, come rilevato in sostanza dall’avvocato generale ai paragrafi 24 e 26 delle sue conclusioni, che tale responsabile deve essere tutelato contro qualsiasi decisione che ponga fine ai suoi compiti, che gli faccia subire uno svantaggio o che costituisca una sanzione.

22

A tale riguardo, può costituire una siffatta decisione un provvedimento di licenziamento del responsabile della protezione dei dati che sia adottata dal suo datore di lavoro e che ponga fine al rapporto di lavoro esistente tra tale responsabile e tale datore di lavoro nonché, conseguentemente, anche alla funzione di responsabile della protezione dei dati all’interno dell’impresa interessata.

23

Sotto un secondo profilo, si deve constatare che l’articolo 38, paragrafo 3, seconda frase, del RGPD si applica indistintamente tanto al responsabile della protezione dei dati che sia dipendente del titolare del trattamento o del responsabile del trattamento, quanto a colui il quale assolva i suoi compiti in base a un contratto di servizi concluso con questi ultimi, in conformità all’articolo 37, paragrafo 6, del RGPD.

24

Ne consegue che l’articolo 38, paragrafo 3, seconda frase, del RGPD è destinato ad applicarsi ai rapporti tra il responsabile della protezione dei dati e il titolare del trattamento o il responsabile del trattamento, indipendentemente dalla natura del rapporto di lavoro che lega tale responsabile della protezione dei dati a questi ultimi.

25

Sotto un terzo profilo, occorre rilevare che tale disposizione stabilisce un limite che consiste, come sottolineato in sostanza dall’avvocato generale al paragrafo 29 delle sue conclusioni, nel vietare il licenziamento del responsabile della protezione dei dati per un motivo relativo all’adempimento dei suoi compiti, i quali comprendono in particolare, in forza dell’articolo 39, paragrafo 1, lettera b), del RGPD, il controllo dell’osservanza delle disposizioni dell’Unione o degli Stati membri in materia di protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali.

26

In secondo luogo, per quanto riguarda l’obiettivo perseguito dall’articolo 38, paragrafo 3, seconda frase, del RGPD, occorre sottolineare, sotto un primo profilo, che il considerando 97 di quest’ultimo prevede che i responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente. A questo proposito, una simile indipendenza deve necessariamente consentire loro di adempiere a tali compiti conformemente all’obiettivo del RGPD, il quale mira in particolare, come emerge dal suo considerando 10, ad assicurare un livello elevato di protezione delle persone fisiche all’interno dell’Unione e, a tal fine, ad assicurare un’applicazione coerente e omogenea delle norme a protezione delle libertà e dei diritti fondamentali di tali persone con riguardo al trattamento dei dati personali in tutta l’Unione (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 207 e giurisprudenza ivi citata).

27

Sotto un secondo profilo, l’obiettivo di garantire l’indipendenza funzionale del responsabile della protezione dei dati, quale risulta dall’articolo 38, paragrafo 3, seconda frase, del RGPD, emerge altresì dal medesimo articolo 38, paragrafo 3, frasi prima e terza, il quale stabilisce che tale responsabile non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti e riferisca direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento, nonché dal citato articolo 38, paragrafo 5, il quale prevede, relativamente all’esecuzione in parola, che detto responsabile della protezione dei dati è tenuto al segreto o alla riservatezza.

28

Pertanto, si deve considerare che l’articolo 38, paragrafo 3, seconda frase, del RGPD, tutelando il responsabile della protezione dei dati contro qualsiasi decisione che ponga fine alle sue funzioni, gli faccia subire uno svantaggio o costituisca una sanzione, qualora una siffatta decisione sia connessa all’adempimento dei suoi compiti, miri essenzialmente a preservare l’indipendenza funzionale del responsabile della protezione dei dati e, pertanto, a garantire l’efficacia delle disposizioni del RGPD. Tale disposizione non persegue, per contro, lo scopo di disciplinare in via generale i rapporti di lavoro tra il titolare del trattamento o il responsabile del trattamento e i suoi dipendenti, i quali possono essere interessati solo in modo accessorio, nella misura strettamente necessaria alla realizzazione di tali obiettivi.

29

Tale interpretazione è corroborata, in terzo luogo, dal contesto in cui si inserisce detta disposizione e, in particolare, dalla base giuridica sul cui fondamento il legislatore dell’Unione ha adottato il RGPD.

30

Infatti, dal preambolo del RGPD emerge che quest’ultimo è stato adottato sulla base dell’articolo 16 TFUE, il cui paragrafo 2 prevede, in particolare, che il Parlamento europeo e il Consiglio dell’Unione europea, deliberando secondo la procedura legislativa ordinaria, stabiliscono, da un lato, le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell’Unione, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, e, d’altro lato, le norme relative alla libera circolazione di tali dati.

31

Per contro, eccettuata la tutela specifica del responsabile della protezione dei dati prevista all’articolo 38, paragrafo 3, seconda frase, del RGPD, la fissazione di norme relative alla tutela contro il licenziamento del responsabile della protezione dei dati che sia dipendente del titolare del trattamento o del responsabile del trattamento non rientra né nell’ambito della protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, né in quello della libera circolazione di tali dati, bensì nel settore della politica sociale.

32

A tale riguardo, si deve ricordare, da un lato, che in forza dell’articolo 4, paragrafo 2, lettera b), TFUE, l’Unione e gli Stati membri hanno, nel settore della politica sociale, per quanto riguarda gli aspetti definiti nel Trattato FUE, competenza concorrente ai sensi dell’articolo 2, paragrafo 2, TFUE. Dall’altro lato, e come precisato dall’articolo 153, paragrafo 1, lettera d), TFUE, l’Unione sostiene e completa l’azione degli Stati membri nel settore della protezione dei lavoratori in caso di risoluzione del contratto di lavoro (v., per analogia, sentenza del 19 novembre 2019, TSN e AKT, C‑609/17 e C‑610/17, EU:C:2019:981, punto 47).

33

Ciò posto, come risulta dall’articolo 153, paragrafo 2, lettera b), TFUE, è mediante direttive che il Parlamento e il Consiglio possono adottare prescrizioni minime a tal riguardo e, secondo la giurisprudenza della Corte e alla luce dell’articolo 153, paragrafo 4, TFUE, siffatte prescrizioni minime non ostano a che uno Stato membro mantenga o stabilisca misure, compatibili con i trattati, che prevedano una maggiore protezione (v., in tal senso, sentenza del 19 novembre 2019, TSN e AKT, C‑609/17 e C‑610/17, EU:C:2019:981, punto 48).

34

Ne consegue che, come sottolineato in sostanza dall’avvocato generale al paragrafo 44 delle sue conclusioni, ciascuno Stato membro è libero, nell’esercizio della competenza da esso conservata, di adottare disposizioni particolari più protettive in materia di licenziamento del responsabile della protezione dei dati, a condizione che tali disposizioni siano compatibili con il diritto dell’Unione e, in particolare, con le disposizioni del RGPD, segnatamente con il suo articolo 38, paragrafo 3, seconda frase.

35

In particolare, come rilevato dall’avvocato generale ai paragrafi 50 e 51 delle sue conclusioni, una simile protezione rafforzata non può compromettere la realizzazione degli obiettivi del RGPD. Orbene, ciò si verificherebbe se essa impedisse qualsiasi licenziamento, da parte del titolare del trattamento o del responsabile del trattamento, del responsabile della protezione dei dati che non possieda più le qualità professionali richieste per assolvere i suoi compiti o che non li svolga in conformità alle disposizioni del RGPD.

36

Alla luce delle considerazioni che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 38, paragrafo 3, seconda frase, del RGPD deve essere interpretato nel senso che esso non osta a una normativa nazionale in forza della quale il titolare del trattamento o il responsabile del trattamento può licenziare il responsabile della protezione dei dati che sia suo dipendente solo per giusta causa, anche se il licenziamento non è connesso all’esercizio dei compiti di quest’ultimo responsabile, a condizione che una siffatta normativa non comprometta la realizzazione degli obiettivi del RGPD.

37

Alla luce della risposta fornita alla prima questione, non occorre rispondere alle questioni seconda e terza.

38

Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Prima Sezione) dichiara:

L’articolo 38, paragrafo 3, seconda frase, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che esso non osta a una normativa nazionale in forza della quale il titolare del trattamento o il responsabile del trattamento può licenziare il responsabile della protezione dei dati che sia suo dipendente solo per giusta causa, anche se il licenziamento non è connesso all’esercizio dei compiti di quest’ultimo responsabile, a condizione che una siffatta normativa non comprometta la realizzazione degli obiettivi di tale regolamento.