–

per MK, da J. Zäh, Rechtsanwalt,

–

per la K GmbH, da B. Geck, Rechtsanwältin,

–

per l’Irlanda, da M. Browne, Chief State Solicitor, A. Joyce e M. Tierney, in qualità di agenti, assistiti da D. Fennelly, BL,

–

per il governo italiano, da G. Palmieri, in qualità di agente, assistita da G. Natale, avvocato dello Stato,

–

per la Commissione europea, da A. Bouchagiar, M. Heller e H. Kranenborg, in qualità di agenti,

1

La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 82, paragrafo 1, nonché dell’articolo 88, paragrafi 1 e 2, in combinato disposto con l’articolo 5, l’articolo 6, paragrafo 1, nonché l’articolo 9, paragrafi 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2

Tale domanda è stata presentata nell’ambito di una controversia tra MK, persona fisica, e K GmbH, suo datore di lavoro, in merito al risarcimento del danno morale che tale persona asserisce di aver subito a causa di un trattamento dei suoi dati personali effettuato da tale società sulla base di un accordo aziendale.

3

I considerando 8, 10 e 155 del RGPD sono del seguente tenore:

(...)

(...)

4

L’articolo 4 di tale regolamento, intitolato «Definizioni», dispone quanto segue:

«Ai fini del presente regolamento s’intende per:

(...)

(...)».

5

Il capo II del RGPD, intitolato «Principi», comprende gli articoli da 5 a 11 di quest’ultimo.

6

L’articolo 5 di tale regolamento, intitolato «Principi applicabili al trattamento di dati personali», prevede quanto segue:

«1.   I dati personali sono:

(...)

(...)

2.   Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

7

L’articolo 6 del suddetto regolamento, rubricato «Liceità del trattamento», prevede quanto segue:

«1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

2.   Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

3.   La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

(...) Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. (...)

(...)».

8

L’articolo 9 del medesimo regolamento, intitolato «Trattamento di categorie particolari di dati personali», è del seguente tenore:

«1.   È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2.   Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

(...)».

9

L’articolo 82 di tale regolamento, contenuto nel capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni», a sua volta intitolato «Diritto al risarcimento e responsabilità», al paragrafo 1 prevede quanto segue:

«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

10

L’articolo 88 di tale regolamento, contenuto nel capo IX del RGPD, intitolato «Disposizioni relative a specifiche situazioni di trattamento», è a sua volta intitolato «Trattamento di dati nell’ambito dei rapporti di lavoro», ai paragrafi 1 e 2 prevede quanto segue:

«1.   Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

2.   Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro».

11

L’articolo 99 del RGPD, intitolato «Entrata in vigore e applicazione», è così formulato:

«1.   Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

2.   Esso si applica a decorrere da[l] 25 maggio 2018».

12

L’articolo 26, ai suoi paragrafi 1 e 4, del Bundesdatenschutzgesetz (legge federale sulla protezione dei dati), del 30 giugno 2017 (BGBl. 2017 I, pag. 2097, in prosieguo: il «BDSG»), intitolato «Trattamento dei dati ai fini del rapporto di lavoro», così dispone:

«(1)   I dati personali dei dipendenti possono essere trattati nell’ambito del rapporto di lavoro qualora ciò sia necessario ai fini della decisione sulla costituzione del rapporto di lavoro o, successivamente ad essa, della sua esecuzione, cessazione o risoluzione, o per l’esercizio dei diritti o il rispetto degli obblighi rispettivamente connessi alla rappresentanza degli interessi dei dipendenti stabiliti dalla legge o da contratti collettivi, da accordi aziendali o relativi al pubblico impiego (accordi collettivi). (...)

(...)

(4)   Il trattamento dei dati personali, comprese le categorie particolari di dati personali dei dipendenti, ai fini del rapporto di lavoro, è consentito sulla base degli accordi collettivi. Al riguardo, le parti contraenti sono tenute ad osservare l’articolo 88, paragrafo 2, del [RGPD]».

13

Il ricorrente nel procedimento principale è impiegato dalla convenuta nel procedimento principale, una società di diritto tedesco, e presiede il comitato aziendale costituito presso tale società.

14

Inizialmente, detta società ha proceduto al trattamento di taluni dati personali dei suoi dipendenti nell’ambito dell’utilizzo di un software denominato «SAP» (in prosieguo: il «software SAP»), in particolare a fini contabili, e ha concluso, con il suo comitato aziendale, diversi accordi aziendali al riguardo.

15

Nel corso del 2017, il gruppo di società D, a cui appartiene la convenuta nel procedimento principale (in prosieguo: il «gruppo D»), ha introdotto in tutto il gruppo il software noto come «Workday» (in prosieguo: il «software Workday»), che opera nel cloud, come sistema unico per la gestione delle informazioni sul personale. In tale contesto, la convenuta nel procedimento principale ha trasferito diversi dati personali dei suoi dipendenti dal software SAP a un server della società madre del gruppo D, situato negli Stati Uniti.

16

Il 3 luglio 2017 la convenuta nella causa principale e il suo comitato aziendale hanno concluso un accordo che stabiliva una tolleranza quanto all’introduzione del software Workday (in prosieguo: l’«accordo aziendale che stabilisce una tolleranza»), che vietava, in particolare, che tale software fosse utilizzato a fini di gestione delle risorse umane, come la valutazione di un lavoratore, durante la fase di sperimentazione. Secondo l’allegato 2 di tale accordo, le sole categorie di dati che potevano essere trasferite per alimentare il software Workday erano il numero di matricola assegnato al lavoratore all’interno del gruppo D, il suo cognome, il suo nome, il suo numero di telefono, la sua data di entrata in servizio nella società interessata, la data della sua entrata in servizio nel gruppo D, il suo luogo di lavoro, il nome della società interessata, nonché i suoi numeri di telefono e di indirizzo di posta elettronica professionali. Gli effetti di tale accordo sono stati prorogati fino all’entrata in vigore di un accordo aziendale definitivo, concluso il 23 gennaio 2019.

17

In tale contesto, il ricorrente nel procedimento principale ha presentato, dinanzi all’Arbeitsgericht (Tribunale del lavoro, Germania) e successivamente dinanzi al Landesarbeitsgericht (Tribunale superiore del lavoro del Land, Germania) territorialmente competenti, domande dirette ad ottenere l’accesso a talune informazioni, la cancellazione di dati che lo riguardavano e la concessione di un risarcimento. Tale ricorrente ha sostenuto, in particolare, che la convenuta nel procedimento principale aveva trasferito, verso il server della società controllante, dati personali che lo riguardavano, alcuni dei quali non erano menzionati nell’accordo aziendale che stabiliva una tolleranza, in particolare, i suoi recapiti privati, i dettagli del suo contratto e della sua retribuzione, i suoi numeri di previdenza sociale e di identificazione fiscale, la sua cittadinanza nonché il suo stato civile.

18

Non avendo ottenuto una completa soddisfazione, la ricorrente nel procedimento principale ha presentato un ricorso per cassazione (Revision) presso il Bundesarbeitsgericht (Corte federale del lavoro, Germania), che è il giudice del rinvio. È ancora pendente la domanda di tale ricorrente diretta al risarcimento, sulla base del RGPD, del danno morale che egli avrebbe subito a causa di un trattamento illecito dei suoi dati personali mediante il software Workday, durante il periodo compreso tra il primo giorno in cui tale regolamento è divenuto applicabile, ossia il 25 maggio 2018, fino alla fine del primo trimestre del 2019.

19

Per quanto riguarda l’illiceità di tale trattamento, il ricorrente nel procedimento principale fa valere, da un lato, che esso non era necessario né ai fini del rapporto di lavoro, per il quale la convenuta nel procedimento principale utilizzava allora il software SAP, né ai fini della sperimentazione del software Workday, poiché l’uso di dati fittizi sarebbe stato sufficiente a tal fine e avrebbe garantito che nessun dato reale fosse reso accessibile all’interno del gruppo D. Dall’altro, anche supponendo che l’accordo aziendale che stabilisce una tolleranza potesse costituire una base valida per detto trattamento, l’autorizzazione ivi contenuta sarebbe stata oltrepassata, dal momento che detta convenuta avrebbe trasmesso dati diversi da quelli previsti dall’allegato 2 di tale accordo. Infine, l’onere di dimostrare che le azioni di detta convenuta sono conformi al RGPD graverebbe su quest’ultima.

20

La convenuta nel procedimento principale obietta che il trattamento di cui trattasi rispetta i requisiti del RGPD, che l’onere della prova incombe al ricorrente nel procedimento principale e che esso non ha dimostrato né l’esistenza di un danno morale né il nesso di causalità tra un’eventuale violazione di tale regolamento e il danno lamentato.

21

Il giudice del rinvio ritiene che le operazioni contestate dal ricorrente nel procedimento principale rientrino nell’ambito di applicazione ratione materiae del RGPD, in quanto esse costituiscono un «trattamento» di «dati personali» di tale «interessato», ai sensi dell’articolo 4, punti 1 e 2, di tale regolamento. Inoltre, esso indica che la convenuta nel procedimento principale ha la qualità di «responsabile del trattamento», ai sensi dell’articolo 4, punto 7, di detto regolamento. Per quanto riguarda l’ambito di applicazione temporale di quest’ultimo, essa sottolinea che il trattamento è certamente iniziato prima della data in cui tale strumento è divenuto applicabile, ma che esso è tuttavia continuato successivamente a quest’ultima, a causa di diverse proroghe degli effetti iniziali dell’accordo aziendale che stabilisce una tolleranza.

22

In tale contesto, il giudice del rinvio si pone, in primo luogo, la questione se una norma nazionale che disciplina i trattamenti di dati personali ai fini dei rapporti di lavoro che prevede, sostanzialmente, che un siffatto trattamento opera sulla base di contratti collettivi sia lecita fatto salvo il rispetto dell’articolo 88, paragrafo 2, del RGPD, come l’articolo 26, paragrafo 4, del BDSG, è compatibile con tale regolamento o se, a tal fine, il trattamento interessato debba anche essere conforme alle altre disposizioni dello stesso. Tale giudice propende a stimare che qualora il trattamento dei dati personali dei dipendenti sia disciplinato da un «contratto collettivo» ai sensi dell’articolo 88 del RGPD, tale trattamento non può discostarsi dai requisiti derivanti non solo da tale articolo 88, ma anche dall’articolo 5, dell’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, di tale regolamento, in particolare per quanto riguarda il criterio di necessità del trattamento previsto in tali tre ultimi articoli.

23

In secondo luogo, in caso di risposta affermativa alla sua prima domanda, detto giudice si chiede se le parti di un siffatto contratto collettivo abbiano un margine di discrezionalità che dovrebbe essere soggetto solo a un controllo giudiziario limitato per quanto riguarda la valutazione della necessità del trattamento in questione, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, del RGPD. A suo avviso, tale tesi può trovare sostegno nell’argomento secondo cui tali parti sarebbero molto vicine alla vita dell’impresa e sarebbero generalmente giunte ad un giusto equilibrio tra gli interessi in gioco. Tuttavia, la giurisprudenza della Corte relativa ad altri atti del diritto dell’Unione, in particolare le sentenze del 7 febbraio 1991, Nimz (C‑184/89, EU:C:1991:50), e del 20 marzo 2003, Kutz-Bauer (C‑187/00, EU:C:2003:168), lascerebbe piuttosto ritenere che le disposizioni di un contratto collettivo rientrante nell’ambito di applicazione di tale diritto non possano essere contrarie a quest’ultimo e che, se necessario, occorra disapplicare siffatte disposizioni.

24

In terzo luogo, in caso di risposta affermativa alla seconda questione, il giudice del rinvio desidera conoscere i criteri di valutazione ai quali esso dovrebbe, se del caso, limitare il suo controllo giurisdizionale.

25

Infine, le questioni dalla quarta alla sesta inizialmente sollevate da questo tribunale, prima di essere ritirate dallo stesso, riguardavano, in sostanza, il diritto al risarcimento del danno morale ai sensi dell’articolo 82, paragrafo 1, del RGPD.

26

In tale contesto, il Bundesarbeitsgericht (Corte federale del lavoro) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

27

Con decisione del Presidente della Corte del 24 gennaio 2024, le sentenze del 4 maggio 2023, Österreichische Post (danno morale legato al trattamento dei dati personali) (C‑300/21, EU:C:2023:370), del 14 dicembre 2023, Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:986), del 14 dicembre 2023, Gemeinde Ummendorf (C‑456/22, EU:C:2023:988), del 21 dicembre 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022), e del 25 gennaio 2024, MediaMarktSaturn (C‑687/21, EU:C:2024:72), sono state notificate al giudice del rinvio, affinché quest’ultimo potesse dichiarare se, alla luce di tali sentenze, intendesse mantenere il suo rinvio pregiudiziale, in particolare per quanto riguarda le questioni dalla quarta alla sesta.

28

Con decisione del presidente della Corte del 15 marzo 2024, il procedimento è stato sospeso, ai sensi dell’articolo 55, paragrafo 1, lettera b), del regolamento di procedura della Corte, fino alla ricezione della risposta al quesito così posto.

29

Con comunicazione scritta pervenuta alla Corte l’8 maggio 2024, il giudice del rinvio ha informato quest’ultima che ritirava le sue questioni dalla quarta alla sesta, ma manteneva le questioni dalla prima alla terza.

30

La convenuta nella causa principale sostiene che le questioni dalla prima alla terza sono irricevibili, in quanto non pertinenti ai fini della soluzione della controversia di cui è investito il giudice del rinvio. In sostanza, essa afferma che il ricorrente nel procedimento principale contesta non il tenore dell’accordo aziendale applicabile nel caso di specie, bensì un superamento dei limiti di tale accordo da parte del trattamento di dati contestato, cosicché tale controversia non ha ad oggetto una violazione dei requisiti di cui all’articolo 88 del RGPD relativi a un siffatto accordo. Inoltre, tali questioni sarebbero ipotetiche in quanto tenderebbero a consentire a detto giudice di controllare la liceità di tale trattamento globalmente, e non unicamente rispetto agli elementi contestati dal ricorrente nel procedimento principale.

31

A tal proposito, secondo una costante giurisprudenza, spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni sottoposte alla Corte, le quali godono di una presunzione di rilevanza. Pertanto, quando la questione sollevata riguarda l’interpretazione o la validità di una norma di diritto dell’Unione, la Corte, in linea di principio, è obbligata a statuire, salvo qualora appaia in modo manifesto che l’interpretazione richiesta non ha alcun legame con la realtà effettiva o con l’oggetto del procedimento principale, qualora il problema sia ipotetico, o qualora la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in modo utile a tale questione (sentenza del 20 giugno 2024Scalable Capital, C‑182/22 e C‑189/22, EU:C:2024:531, punto 18 e giurisprudenza ivi citata).

32

Nel caso di specie, le questioni dalla prima alla terza riguardano l’interpretazione di diverse disposizioni di diritto dell’Unione, più precisamente l’articolo 88 del RGPD, in combinato disposto con gli articoli 5, 6 e 9 di quest’ultimo. Inoltre, il giudice del rinvio ritiene che i limiti fissati dall’accordo aziendale applicabile nel caso di specie, da esso qualificati come «contratto collettivo» ai sensi di tale regolamento, siano stati superati e che il trattamento di dati personali di cui trattasi nel procedimento principale debba essere esaminato nel suo insieme, in quanto può essere illecito alla luce delle disposizioni tanto del paragrafo 1 quanto del paragrafo 4 dell’articolo 26 del BDSG, il quale fa espresso riferimento all’articolo 88 del RGPD.

33

La domanda di pronuncia pregiudiziale è pertanto ricevibile.

34

Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 88, paragrafi 1 e 2, del RGPD debba essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di costringere i suoi destinatari a rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2, di detto regolamento, ma anche quelli derivanti dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, di quest’ultimo.

35

A tal riguardo, occorre ricordare che il RGPD mira a garantire un’armonizzazione delle legislazioni nazionali relative alla protezione dei dati personali che è, in linea di principio, completa. Tuttavia, talune disposizioni di detto regolamento offrono la possibilità agli Stati membri di prevedere norme nazionali supplementari, più rigorose ovvero a carattere derogatorio, che lasciano a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate («clausole di apertura») (v., in tal senso, sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, punto 51 e giurisprudenza ivi citata).

36

L’articolo 88 del RGPD, relativo al trattamento di dati personali nell’ambito dei rapporti di lavoro, stabilisce le condizioni alle quali gli Stati membri possono prevedere, con legge o tramite contratti collettivi, «norme più specifiche» per assicurare la protezione dei diritti e delle libertà dei dipendenti interessati da un siffatto trattamento. Il considerando 155 di tale regolamento indica, in particolare, che la nozione di «contratto collettivo», ai sensi di tale articolo 88, include gli «accordi aziendali», come quello di cui trattasi nel procedimento principale. Inoltre, gli articoli 5, 6 e 9 di detto regolamento enunciano, rispettivamente, i principi relativi al trattamento dei dati personali, le condizioni di liceità di tale trattamento e norme relative al trattamento di categorie particolari di tali dati.

37

Secondo una giurisprudenza costante, i termini di una disposizione del diritto dell’Unione che, al pari degli articoli 24 e 88 del RGPD, non contenga alcun rinvio espresso al diritto degli Stati membri al fine di determinare il suo significato e la sua portata, devono di norma dar luogo, in tutta l’Unione, ad un’interpretazione autonoma e uniforme, da effettuarsi tenendo conto, segnatamente, dei termini di tale disposizione, degli obiettivi che essa persegue e del contesto in cui si inserisce (v., per analogia, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punto 23 e giurisprudenza ivi citata).

38

In primo luogo, dalla formulazione dell’articolo 88 del RGPD emerge che il suo paragrafo 1 richiede che le «norme più specifiche» autorizzate da tale disposizione abbiano un contenuto normativo specifico per l’area regolamentata e distinto dalle norme generali di tale regolamento, mentre il suo paragrafo 2 delimita, conformemente all’obiettivo di armonizzazione perseguito da detto regolamento, il margine di discrezionalità degli Stati membri che intendono adottare una normativa nazionale sulla base di tale paragrafo 1 (v., in tal senso, sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, punti 61, 65, 72 e 75).

39

Per contro, tale formulazione non fornisce indicazioni esplicite quanto alla questione se le «norme più specifiche» che gli Stati membri hanno quindi la possibilità di adottare debbano tendere al rispetto unicamente dei requisiti di cui all’articolo 88, paragrafo 2, del RGPD o anche di quelli di altre disposizioni di tale regolamento, cosicché i trattamenti di dati personali realizzati in applicazione di tali norme dovrebbero essere, inoltre, conformi a queste ultime disposizioni.

40

In secondo luogo, per quanto riguarda gli obiettivi dell’articolo 88 del RGPD, la Corte ha già dichiarato che tale articolo costituisce una «clausola di salvaguardia» e che la facoltà conferita agli Stati membri dal paragrafo 1 di quest’ultimo, tenuto conto delle particolarità di un siffatto trattamento, si spiega in particolare con l’esistenza di un vincolo di subordinazione tra il lavoratore dipendente e il datore di lavoro. Orbene, le condizioni imposte dall’articolo 88, paragrafo 2, di tale regolamento rispecchiano i limiti della differenziazione accettata da detto regolamento, nel senso che siffatta mancanza di armonizzazione può essere ammessa solo qualora le differenze che permangono siano accompagnate da garanzie specifiche ed appropriate intese a proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell’ambito dei rapporti di lavoro (v., in tal senso, sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, punti 52, 53 e 73).

41

Inoltre, la Corte ha sottolineato che, quando gli Stati membri esercitano la facoltà loro concessa dall’articolo 88 del RGPD, devono utilizzare il loro potere discrezionale alle condizioni e nei limiti prescritti dalle disposizioni di tale regolamento e devono quindi legiferare in modo da non pregiudicare il contenuto e gli obiettivi di detto regolamento, il quale ha segnatamente lo scopo di garantire un livello elevato di protezione dei diritti e delle libertà degli interessati da un siffatto trattamento, come risulta dal suo considerando 10. Pertanto, l’obiettivo delle norme adottate da uno Stato membro sulla base di tale articolo 88 consiste nel proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali (v., in tal senso, sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, punti 54, 59, 62 e 74).

42

Tuttavia, per evitare di compromettere tutte queste finalità, e più in particolare quella di garantire un elevato livello di protezione dei dipendenti nel caso in cui i loro dati personali siano trattati nell’ambito di un rapporto di lavoro, l’articolo 88 del RGPD non può essere interpretato nel senso che le «norme più specifiche» che gli Stati membri sono autorizzati ad adottare ai sensi di tale articolo possano avere l’oggetto o l’effetto di eludere gli obblighi del responsabile del trattamento, o anche dell’incaricato del trattamento, derivanti da altre disposizioni di tale regolamento.

43

Ne consegue che occorre interpretare l’articolo 88, paragrafi 1 e 2, del RGPD nel senso che, anche qualora gli Stati membri si basino su tale articolo per introdurre, nei loro rispettivi ordinamenti giuridici interni, «norme più specifiche», mediante una legge o mediante contratti collettivi, devono parimenti essere soddisfatti i requisiti derivanti dalle altre disposizioni specificamente considerate dalla presente questione, ossia l’articolo 5, l’articolo 6, paragrafo 1, nonché l’articolo 9, paragrafi 1 e 2, di tale regolamento. Ciò vale, in particolare, per il rispetto del criterio di necessità del trattamento previsto da tali disposizioni, in merito al quale il giudice del rinvio si interroga più in particolare.

44

In terzo luogo, il contesto in cui si inserisce l’articolo 88 del RGPD corrobora tale interpretazione.

45

Infatti, l’articolo 88 del RGPD figura al capo IX di quest’ultimo, intitolato «Disposizioni relative a specifiche situazioni di trattamento», mentre gli articoli 5, 6 e 9 di tale regolamento sono contenuti nel capo II di quest’ultimo, intitolato «Principi», il quale ha quindi una portata più generale. Inoltre, dalla formulazione di tale articolo 6, che fa esplicito riferimento, ai suoi paragrafi 2 e 3, alle disposizioni di tale capo IX, risulta chiaramente che le condizioni di liceità previste da detto articolo 6 sono vincolanti anche nell’ambito delle «specifiche situazioni» disciplinate dalle disposizioni di detto capo IX.

46

Inoltre, secondo costante giurisprudenza, qualsiasi trattamento di dati personali deve rispettare i principi che disciplinano il trattamento di tali dati nonché i diritti dell’interessato enunciati, rispettivamente, ai capi II e III del RGPD. In particolare, deve essere conforme ai principi relativi al trattamento di tali dati enunciati all’articolo 5 di tale regolamento e soddisfare le condizioni di liceità elencate all’articolo 6 del medesimo regolamento [v., in tal senso, sentenze del2 marzo 2023, Norra Stockholm Bygg,C‑268/21, EU:C:2023:145, punto 43, e dell’11 luglio 2024, Meta Platforms Ireland (Azione rappresentativa), C‑757/22, EU:C:2024:598, punto 49 e giurisprudenza ivi citata].

47

Per quanto riguarda più specificamente il rapporto tra l’articolo 88 del RGPD e altre disposizioni di tale regolamento, la Corte ha rilevato, segnatamente alla luce del considerando 8 di quest’ultimo, che, nonostante l’eventuale esistenza di «norme più specifiche» adottate dagli Stati membri sulla base dell’articolo 88, paragrafo 1, di detto regolamento, qualsiasi trattamento di dati personali deve rispettare gli obblighi risultanti dalle disposizioni dei capi II e III del medesimo regolamento nonché, in particolare, dagli articoli 5 e 6 di quest’ultimo (v., in tal senso, sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, punti da 67 a 71).

48

Analogamente, gli obblighi derivanti dall’articolo 9 del RGPD devono essere rispettati in occasione di qualsiasi trattamento di dati personali rientrante nell’ambito di applicazione di tale regolamento, anche in presenza di «norme più specifiche» adottate in forza dell’articolo 88, paragrafo 1, di quest’ultimo. Infatti, tale articolo 9, che disciplina il trattamento delle categorie particolari di dati da esso elencate, figura nel capo II di detto regolamento, al pari dei suoi articoli 5 e 6, i cui requisiti sono peraltro cumulabili con quelli derivanti da detto articolo 9 (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti 73, da 77 a 79). Siffatta interpretazione contrasterebbe, per di più, con la finalità di tale stesso articolo 9, consistente nel garantire una protezione maggiore nei confronti di trattamenti che, a causa della natura particolarmente sensibile dei dati che ne sono oggetto, possono costituire un’ingerenza particolarmente grave nei diritti fondamentali delle persone interessate (v., in tal senso, sentenza del 4 ottobre 2024, Lindenapotheke,C‑21/23, EU:C:2024:846, punto 89 e giurisprudenza ivi citata).

49

Pertanto, nell’ipotesi in cui il diritto di uno Stato membro contenga «norme più specifiche», ai sensi dell’articolo 88, paragrafo 1, del RGPD, i trattamenti di dati personali disciplinati da tali norme devono rispettare non solo le condizioni poste ai paragrafi 1 e 2 di tale articolo, ma anche quelle stabilite agli articoli 5, 6 e 9 di tale regolamento, come interpretate dalla giurisprudenza della Corte.

50

Alla luce dei motivi che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 88, paragrafi 1 e 2, del RGPD deve essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di vincolare i suoi destinatari a rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2, di tale regolamento, ma anche quelli che discendono dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, dello stesso.

51

Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 88, paragrafo 1, del RGPD debba essere interpretato nel senso che, qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui disporrebbero le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento, avrebbe l’effetto di impedire al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.

52

Innanzitutto, è importante ricordare che, come sottolineato nel paragrafo 41 della presente sentenza, gli Stati membri che esercitano l’opzione concessa loro dall’articolo 88 del RGPD devono utilizzare il loro margine di discrezionalità alle condizioni ed entro i limiti prescritti dalle disposizioni di tale regolamento e quindi garantire che le «norme più specifiche» che inseriscono nel loro ordinamento giuridico interno non compromettano il contenuto e gli obiettivi di tale regolamento. Tali norme devono mirare, in particolare, a garantire un livello elevato di tutela delle libertà e dei diritti fondamentali dei lavoratori con riguardo al trattamento dei loro dati personali nell’ambito dei rapporti di lavoro.

53

Per quanto riguarda la portata del controllo giurisdizionale che può essere esercitato nei confronti di siffatte norme specifiche, la Corte ha già dichiarato che spetta al giudice nazionale adito, il solo competente a interpretare il diritto nazionale, valutare se dette norme rispettino effettivamente le condizioni e i limiti prescritti, in particolare, dall’articolo 88 del RGPD. Conformemente al principio del primato del diritto dell’Unione, nel caso in cui detto giudice giunga alla constatazione che le disposizioni nazionali di cui trattasi non rispettano tali condizioni e limiti, esso è tenuto a disapplicare dette disposizioni. In assenza di norme più specifiche che rispettino le condizioni e i limiti stabiliti dall’articolo 88 del RGPD, il trattamento di dati personali nell’ambito dei rapporti di lavoro è direttamente disciplinato dalle disposizioni di detto regolamento (v., in tal senso, sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, punti 80, da 82 a 84 e 89).

54

Tali considerazioni valgono anche per le parti di un contratto collettivo di cui all’articolo 88 del RGPD, come quello di cui trattasi nel procedimento principale. Infatti, come rilevato in sostanza dalla Commissione europea nelle sue osservazioni scritte, le parti di un contratto collettivo devono poter disporre di un margine di discrezionalità equivalente, in particolare per quanto riguarda i suoi limiti, a quello riconosciuto agli Stati membri, dal momento che le «norme più specifiche» di cui al paragrafo 1 di tale articolo 88 possono segnatamente risultare da contratti collettivi. Il considerando 155 di tale regolamento indica altresì che siffatte norme possono essere previste dal diritto degli Stati membri o da contratti collettivi, compresi gli «accordi aziendali».

55

Pertanto, nonostante il margine di discrezionalità che l’articolo 88 del RGPD lascia alle parti di un contratto collettivo, il controllo giurisdizionale esercitato su un siffatto contratto, al pari di quello relativo a una norma di diritto nazionale adottata ai sensi di tale disposizione, deve poter vertere senza alcuna restrizione sul rispetto di tutte le condizioni e i limiti prescritti dalle disposizioni di tale regolamento per il trattamento di dati personali.

56

Occorre poi precisare che un siffatto controllo giurisdizionale deve, più specificamente, mirare alla verifica del carattere «necessario» del trattamento di tali dati, ai sensi degli articoli 5, 6 e 9 del RGPD. In altri termini, l’articolo 88 di quest’ultimo non può essere interpretato nel senso che le parti di un contratto collettivo dispongono di un margine di discrezionalità che consentirebbe loro di introdurre «norme più specifiche» che portano ad applicare in modo meno restrittivo, o addirittura ad escludere, detto requisito di necessità.

57

È vero che, come hanno osservato in sostanza il giudice del rinvio e l’Irlanda, le parti di un contratto collettivo sono in genere nella posizione migliore per valutare se un trattamento di dati sia necessario in un contesto professionale concreto, poiché tali parti possiedono abitualmente ampie conoscenze quanto alle esigenze specifiche del settore del lavoro e del settore di attività interessato. Tuttavia, tale processo di valutazione non deve indurre le parti a scendere a compromessi, di natura economica o di convenienza, che potrebbero pregiudicare indebitamente l’obiettivo del RGPD di garantire un elevato livello di protezione dei diritti e delle libertà fondamentali dei dipendenti in relazione al trattamento dei loro dati personali.

58

Di conseguenza, un’interpretazione dell’articolo 88 del RGPD secondo la quale i giudici nazionali non potrebbero esercitare un controllo giurisdizionale completo su un contratto collettivo, in particolare per verificare se le giustificazioni addotte dalle parti di tale contratto stabiliscano il carattere necessario del trattamento dei dati personali che ne deriva, non sarebbe compatibile con tale regolamento, tenuto conto dell’obiettivo di protezione ricordato nel punto precedente della presente sentenza.

59

Infine, va sottolineato che, qualora il giudice nazionale adito giungesse alla conclusione, all’esito del suo controllo, che alcune disposizioni del contratto collettivo in questione non rispettano le condizioni e i limiti prescritti dal RGPD, sarebbe tenuto a non applicare tali disposizioni, in conformità alla giurisprudenza citata nel punto 53 della presente sentenza.

60

Alla luce dei motivi che precedono, occorre rispondere alla seconda questione dichiarando che l’articolo 88, paragrafo 1, del RGPD deve essere interpretato nel senso che, qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui dispongono le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento, non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.

61

Alla luce della risposta fornita alla seconda questione, non occorre rispondere alla terza questione.

62

Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Ottava Sezione) dichiara: