CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:710

CONCLUSIONI DELL’AVVOCATO GENERALE

M. CAMPOS SÁNCHEZ-BORDONA

presentate il 22 settembre 2022 (1)

Causa C‑34/21

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

con l’intervento di:

Minister des Hessischen Kultusministeriums als Dienststellenleiter

[domanda di pronuncia pregiudiziale proposta dal Verwaltungsgericht Frankfurt am Main (Tribunale amministrativo di Francoforte sul Meno, Germania)]

«Questione pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – Trattamento dei dati nell’ambito dei rapporti di lavoro – Articolo 88, paragrafo 1 – Norma più specifica – Requisiti dell’articolo 88, paragrafo 2 – Sistema scolastico regionale – Didattica in streaming tramite videoconferenza – Mancanza di consenso esplicito dei docenti»

1. Nella controversia all’origine della presente domanda di pronuncia pregiudiziale, si chiarisce, in sostanza, se gli insegnanti al servizio di un ministero del Land dell’Assia (Germania) debbano prestare il consenso alla diffusione delle loro lezioni tramite videoconferenza o se, in mancanza di consenso, il trattamento dei loro dati personali (2) possa essere giustificato da un obiettivo legittimo contemplato dal regolamento (UE) 2016/679 (3).

2. Il rinvio pregiudiziale offre alla Corte la possibilità di pronunciarsi per la prima volta, se non erro, sull’articolo 88 del RGPD. Ai sensi di tale disposizione, gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro.

I. Contesto normativo

A. Diritto dell’Unione. RGPD

3. I seguenti considerando sono formulati come segue:

«(...)

(8) Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale.

(...)

(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. Per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento. (...)

(...)

(45) È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri sia basato sul diritto dell’Unione o di uno Stato membro. Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il trattamento è necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri. Dovrebbe altresì spettare al diritto dell’Unione o degli Stati membri stabilire la finalità del trattamento. Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del presente regolamento che presiedono alla liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali, le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e corretto. (...)

(...)

(155) Il diritto degli Stati membri o i contratti collettivi, ivi compresi gli “accordi aziendali”, possono prevedere norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per quanto riguarda le condizioni alle quali i dati personali nei rapporti di lavoro possono essere trattati sulla base del consenso del dipendente, per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

(...)».

4. L’articolo 5 («Principi applicabili al trattamento di dati personali») prevede quanto segue:

«1. I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

5. L’articolo 6 («Liceità del trattamento») del RGPD così dispone:

«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

(...)

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

a) dal diritto dell’Unione; o

b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:

a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;

b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;

c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;

d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;

e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione».

6. L’articolo 88 («Trattamento dei dati nell’ambito dei rapporti di lavoro») prevede quanto segue:

«1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro il 25 maggio 2018 e comunica senza ritardo ogni successiva modifica».

B. Diritto nazionale

1. Hessisches Datenschutz- und Informationsfreiheitsgesetz (4)

7. L’articolo 23 stabilisce quanto segue:

«(1) I dati personali dei dipendenti possono essere trattati nell’ambito del rapporto di lavoro qualora ciò sia necessario ai fini della decisione sulla costituzione del rapporto di lavoro o, successivamente ad essa, della sua esecuzione, cessazione o risoluzione, nonché dell’attuazione di misure interne di pianificazione, di organizzazione, di sicurezza sociale e in materia di personale. Tale disposizione si applica anche all’esercizio o all’adempimento dei diritti e degli obblighi di rappresentanza degli interessi dei dipendenti stabiliti dalla legge o da contratti collettivi, da accordi aziendali o relativi al pubblico impiego (accordi collettivi).

(...)

(4) Il trattamento dei dati personali, comprese le categorie speciali di dati personali dei dipendenti, ai fini del rapporto di lavoro, è consentito sulla base degli accordi collettivi. Al riguardo, le parti contraenti sono tenute ad osservare l’articolo 88, paragrafo 2, del [RGPD].

(5) Il titolare del trattamento deve adottare misure appropriate per garantire il rispetto, in particolare, dei principi applicabili al trattamento dei dati personali stabiliti all’articolo 5 del [RGPD].

(...)

(8) Sono considerati dipendenti, ai sensi della presente legge:

(...)

7. i dipendenti pubblici soggetti allo Hessisches Beamtengesetz ^[(5)^], i magistrati del Land, nonché le persone che esercitano una funzione pubblica.

(...)».

2. Hessisches Beamtengesetz

8. L’articolo 86, paragrafo 4, recita quanto segue:

«Il datore di lavoro può raccogliere dati personali relativi a candidati, dipendenti pubblici ed ex dipendenti pubblici solo nella misura in cui ciò sia necessario ai fini della costituzione, l’esecuzione, la cessazione o la risoluzione del rapporto di servizio oppure per l’attuazione di misure di organizzazione, in materia di personale e di sicurezza sociale, in particolare anche ai fini della pianificazione e dell’impiego del personale, oppure nella misura in cui ciò sia consentito dalla legge o da un accordo relativo al pubblico impiego (...)».

II. Fatti, procedimento e questioni pregiudiziali

9. Il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), il quale ha originariamente sollevato la domanda di pronuncia pregiudiziale di cui trattasi, non ha fornito una descrizione dettagliata né dei fatti della controversia né delle disposizioni ivi impugnate (6) e nemmeno delle vicende del procedimento, concentrandosi piuttosto sull’esposizione dei propri dubbi in merito agli aspetti giuridici.

10. Detto giudice si limita a constatare che tra le parti «è controverso se ai fini dell’introduzione della didattica in streaming tramite sistemi di videoconferenza – oltre al consenso dei genitori degli alunni minorenni o degli alunni maggiorenni – occorra anche il consenso del rispettivo insegnante oppure se il trattamento dei dati che tali sistemi comportano ricada nell’articolo 23, paragrafo 1, prima frase, dello HDSIG (...)».

11. In particolare, lo stesso dubita che l’articolo 23, paragrafo 1, prima frase, dello HDSIG costituisca una «norma più specifica» relativa al trattamento dei dati personali dei dipendenti, ai sensi dell’articolo 88, paragrafi 1 e 2, del RGPD. A suo parere, tale disposizione non soddisfa i requisiti di cui all’articolo 88, paragrafo 2, del RGPD, in quanto:

— essa trova nella «necessità» il suo unico fondamento giuridico con riguardo al trattamento dei dati dei dipendenti o dei funzionari;

— qualsiasi trattamento dei dati dei dipendenti che esuli da quello strettamente necessario con riguardo al contratto di lavoro dev’essere soggetto ad una ponderazione degli interessi che vada oltre la semplice necessità, il che non è previsto dalla legge nazionale.

12. Il giudice del rinvio afferma di non condividere la giurisprudenza del Bundesarbeitsgericht (Corte federale del lavoro, Germania) sulla compatibilità dell’equivalente federale dell’articolo 23, paragrafo 1, prima frase, dello HDSIG (7) con l’articolo 88 del RGPD.

13. Il giudice a quo considera, invece, che:

— l’accoglimento del principio di «necessità» nella legislazione nazionale non costituisce una concretizzazione dei requisiti contenuti nell’articolo 88, paragrafo 2, del RGPD;

— nemmeno il richiamo secondo cui il titolare del trattamento è tenuto, in particolare, al rispetto dei principi enunciati dall’articolo 5 del RGPD soddisfa tali requisiti, dal momento che l’articolo 5 non contempla alcuna tutela speciale dei dipendenti;

— il legislatore, pur riconoscendo e prendendo in considerazione, in linea di principio, l’articolo 88, paragrafo 2, del RGPD laddove ne esige il rispetto nei contratti collettivi, ha omesso di riportare ovvero di completare l’elenco di requisiti di cui al paragrafo 2 nella legge stessa o nella relazione illustrativa della pertinente disposizione di legge.

14. Nel presente contesto, il giudice del rinvio ha sottoposto alla Corte di giustizia le seguenti questioni pregiudiziali:

«1) Se l’articolo 88, paragrafo 1, del [RGPD] debba essere interpretato nel senso che una norma di legge, al fine di costituire una norma più specifica volta a garantire la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, ai sensi dell’articolo 88, paragrafo 1, del [RGPD], debba soddisfare i relativi requisiti stabiliti dallo stesso articolo 88, paragrafo 2.

2) Se una norma nazionale, pur essendo manifestamente non conforme ai requisiti stabiliti dall’articolo 88, paragrafo 2, del [RGPD] possa comunque continuare ad essere applicata».

III. Procedimento dinanzi alla Corte di giustizia

15. La domanda di pronuncia pregiudiziale è stata protocollata presso la Corte di giustizia il 20 gennaio 2021.

16. Con effetto dal 1º dicembre 2021, la competenza a risolvere la controversia originaria è stata attribuita (8) al Verwaltungsgericht Frankfurt am Main (Tribunale amministrativo di Francoforte sul Meno, Germania), dinanzi al quale ne è proseguita la trattazione.

17. Sono state presentate osservazioni scritte dai governi tedesco, austriaco e rumeno, oltre che dalla Commissione europea. Tutti, nonché il Consiglio del personale docente, hanno risposto per iscritto alle domande a loro rivolte dalla Corte prima dell’udienza.

18. All’udienza, tenutasi il 30 giugno 2022, sono comparsi il Consiglio del personale docente, il Ministero dell’Istruzione del Land dell’Assia, il governo tedesco e la Commissione.

IV. Valutazione

A. Ricevibilità del rinvio pregiudiziale

19. Il governo tedesco aveva obiettato nelle sue osservazioni scritte che il rinvio pregiudiziale è irricevibile poiché, nel verificare se il trattamento dei dati personali inerente alla diffusione in streaming della didattica tramite videoconferenza ricada nell’articolo 23, paragrafo 1, dello HDSIG, il giudice del rinvio non spiega i motivi che escludono la possibilità che detto trattamento sia autorizzato sulla base del consenso dell’insegnante.

20. Nel corso dell’udienza, il governo tedesco ha, in parte, attenuato tale obiezione riconoscendo che la Corte dovrebbe pronunciarsi (vale a dire che il rinvio sarebbe ricevibile) qualora i docenti non avessero prestato il consenso al trattamento.

21. In ogni caso, il rifiuto della Corte di statuire su una questione pregiudiziale proposta da un giudice nazionale è possibile soltanto qualora appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, qualora la questione abbia natura ipotetica o anche quando la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in modo utile alle questioni che le sono sottoposte (9).

22. Nessuna di queste circostanze ricorre nel presente rinvio pregiudiziale, in cui prevale la presunzione di rilevanza (10). La premessa di fondo è che non tutti gli insegnanti prestano necessariamente il consenso al trattamento dei loro dati personali, cosicché sussiste un interesse a determinare la conformità con il diritto dell’Unione della norma (11) che autorizzerebbe tale trattamento senza il consenso della persona interessata.

23. La questione pregiudiziale si riduce, appunto, nello stabilire se la normativa che legittimerebbe il trattamento dei dati personali degli insegnanti, in assenza del loro consenso, soddisfi o meno i requisiti di cui all’articolo 88, paragrafi 1 e 2, del RGPD. Il sufficiente collegamento tra la controversia e le disposizioni del diritto dell’Unione di cui si chiede l’interpretazione è quindi innegabile.

B. Nel merito

1. Osservazioni preliminari

24. Con la sua prima questione, il giudice del rinvio chiede se, affinché una disposizione legislativa costituisca una «norma più specifica», ai sensi dell’articolo 88, paragrafo 1, del RGPD, essa debba soddisfare i requisiti di cui all’articolo 88, paragrafo 2.

25. Dalla lettura dell’articolo 88 del RGPD si evince che le «norme più specifiche» di cui al suo paragrafo 1 devono essere conformi ai requisiti del paragrafo 2.

26. Ai sensi dell’articolo 88, paragrafo 2, del RGPD, «tali norme» (vale a dire, le norme più specifiche di cui al paragrafo 1 e che gli Stati membri possono prevedere) devono includere «misure appropriate e specifiche» a salvaguardia della dignità, degli interessi legittimi e dei diritti fondamentali dei dipendenti. Tali norme devono prestare particolare attenzione alla trasparenza del trattamento, al trasferimento di dati nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese e ai sistemi di monitoraggio sul posto di lavoro.

27. Esiste pertanto un nesso evidente tra i due paragrafi dell’articolo 88 del RGPD: il secondo precisa, in termini imperativi (12), il contenuto delle norme specifiche che gli Stati membri possono adottare, nell’ambito dei rapporti di lavoro, sulla base del primo paragrafo.

28. La risposta a tale questione pregiudiziale, pertanto, non presenta particolari difficoltà: l’articolo 88 del RGPD deve essere interpretato nel senso che una disposizione legislativa che pretenda di costituire un «norma più specifica», ai sensi del suo paragrafo 1, «deve soddisfare i requisiti» – per usare i termini del giudice del rinvio – del paragrafo 2.

29. Non è plausibile che, per giungere a tale deduzione, il giudice a quo avesse bisogno del supporto della Corte. È per questo motivo che il vero significato della prima questione pregiudiziale deve forse essere valutato alla luce della seconda. In quest’ultima, la questione è se una norma nazionale, pur essendo «non conforme ai requisiti stabiliti dall’articolo 88, paragrafo 2» del RGPD (13), possa continuare ad essere applicata.

30. In tale ottica (che è quella della decisione di rinvio), il dibattito si estende alla questione se le disposizioni legislative degli Stati membri adottate ai sensi dell’articolo 88, paragrafo 1, del RGPD, ma che non sono conformi all’articolo 88, paragrafo 2, possano usufruire della tutela di altre norme del RGPD. In particolare, di altre clausole di apertura di tale regolamento, come quella del suo articolo 6, paragrafo 2.

31. L’interconnessione delle due questioni del giudice del rinvio è tale che il governo austriaco e la Commissione sono propensi a risolverle congiuntamente, approccio che condivido e al quale mi atterrò.

2. L’articolo 88 del RGPD e la funzione pubblica docente

32. Il giudice del rinvio parte dal presupposto che, per quanto riguarda le norme interne in materia di protezione dei dati, tra gli insegnanti rappresentati nel Consiglio del personale docente e il Ministero dell’Istruzione del Land dell’Assia vi sia un rapporto di lavoro.

33. Tale presupposto è coerente con lo HDSIG che, nel disciplinare il trattamento dei dati personali dei dipendenti, qualifica come impiegati ai sensi di tale legge i dipendenti pubblici soggetti allo HBG, tra cui i docenti.

34. Dunque, il giudice del rinvio non ha alcun dubbio sull’applicabilità dell’articolo 88 del RGPD ai dipendenti del Land che esercitano la funzione pubblica docente.

35. Nemmeno le parti e gli intervenienti nel rinvio, interrogati su questo punto dalla Corte, hanno messo in discussione tale premessa. Tutti concordano sul fatto che la funzione pubblica docente non esula dall’ambito di applicazione dell’articolo 88 del RGPD.

36. Tale approccio mi sembra valido e può essere utilizzato per analizzare la portata dell’articolo 88 del RGPD, quando allude alla «protezione (...) con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro».

37. Come ha sottolineato il governo tedesco, la categoria dei dipendenti, nel senso più ampio del termine, comprende naturalmente anche i dipendenti pubblici docenti che lavorano per il Land e i cui interessi sono rappresentati dal Consiglio del personale docente.

38. La giurisprudenza della Corte sul rapporto di lavoro (14) e sulla nozione di lavoratori, per quanto riguarda la libera circolazione di questi ultimi e l’inapplicabilità dell’ex articolo 39, paragrafo 4, CE (divenuto articolo 45, paragrafo 4, TFUE) agli impieghi nella pubblica amministrazione, può ispirare, per analogia, la soluzione che propongo.

39. Secondo tale giurisprudenza, che sottolinea l’aspetto funzionale della mansione svolta:

– la nozione di pubblica amministrazione, a tal fine, deve ricevere un’interpretazione e un’applicazione uniformi nell’intera Unione e non può pertanto essere rimessa alla totale discrezionalità degli Stati membri;

– l’articolo 45, paragrafo 4, TFUE riguarda i posti che implicano la partecipazione, diretta o indiretta, all’esercizio dei pubblici poteri ed alle mansioni che hanno ad oggetto la tutela degli interessi generali dello Stato o delle altre collettività pubbliche (15).

40. Poiché i dipendenti pubblici docenti non partecipano, in quanto tali, all’esercizio di pubblici poteri in senso stretto, ma forniscono un’attività di natura educativa (16), simile a quella che forniscono ad altri organismi o imprese private, essi possono essere qualificati come «lavoratori» in termini generali e, di conseguenza, nell’ambito della protezione dei dati.

41. Diverso sarebbe il caso, come sottolineato dal governo austriaco, del trattamento diverso di situazioni sostanzialmente equivalenti, come quelle che, da un punto di vista materiale, definiscono la posizione del corpo insegnante nell’ambito del pubblico impiego e in quello del settore privato. Ciò sarebbe tanto più grave in quanto, come ha sostenuto la Commissione, la nozione di servizio pubblico non è armonizzata all’interno dell’Unione, con la conseguenza che, in caso di diversa interpretazione, l’ambito di applicazione dell’articolo 88 del RGPD dipenderebbe dal diritto nazionale.

3. Clausole aperte nel RGPD

42. Come sottolineava l’avvocato generale Bobek nella causa Fashion ID (17), a seguito della sostituzione della direttiva 95/46/CE (18) con il RGPD si è verificato, anzitutto, un mutamento fondamentale quanto alla natura dello strumento normativo che disciplina la tutela delle persone fisiche con riguardo al trattamento dei dati personali.

43. Lo strumento non è più una direttiva (vale a dire una norma che impone un’obbligazione di risultato, lasciando alle autorità nazionali la scelta della forma e dei mezzi), bensì un regolamento. Quest’ultimo, vincolante in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, non consente, in linea di principio e salvo espressa autorizzazione, che le norme nazionali recepiscano (o replichino) il suo contenuto (19).

44. Sebbene il RGPD sia andato oltre l’armonizzazione perseguita dalla direttiva 95/46 (20), il fatto che, in concreto, non c’è settore dell’attività umana in cui non vengono generati dati personali il cui trattamento deve essere protetto (21), ha fatto sì che il legislatore autorizzasse gli Stati membri a:

– integrare alcuni elementi del RGPD nel proprio diritto nazionale laddove lo stesso regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri,

– mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione di talune norme del RGPD (22).

45. Sebbene il RGPD miri ad assicurare un’applicazione coerente e omogenea delle norme di tutela in tutta l’Unione e a rimuovere gli ostacoli alla circolazione dei dati personali all’interno di quest’ultima (23), il legislatore europeo non ha potuto non riconoscere, come ha sottolineato l’avvocato generale Richard de la Tour, che la realtà si è rivelata più complessa: il RGDP non poteva essere preparato, nonostante la sua natura trasversale, per tutte le possibili ramificazioni della protezione dei dati personali in settori come il consumo, la concorrenza o il lavoro (24).

46. Questo spiega perché il RGPD offra agli Stati membri la possibilità di prevedere norme nazionali aggiuntive, più rigorose ovvero a carattere derogatorio. Gli Stati dispongono di un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate («clausole di apertura») (25).

47. La relativa proliferazione di questo tipo di clausole ha pregiudicato la completa armonizzazione della protezione dei dati personali (26). Come ha riconosciuto la Commissione, il fatto che il RGPD imponga agli Stati membri di legiferare in taluni settori, fornendo loro allo stesso tempo la possibilità di specificare le proprie norme in altri settori, ha comportato «un certo grado di frammentazione, dovuto in particolare all’ampio ricorso a clausole di specificazione facoltative» (27).

48. La clausola che qui interessa, in particolare, nella presente causa è quella di cui all’articolo 88, paragrafo 1, del RGPD. Tuttavia, occorre esaminare sommariamente il rapporto di questa con quella di cui all’articolo 6, paragrafo 1, lettere b) ed e), del medesimo regolamento, come è avvenuto in udienza.

a) Articolo 6, paragrafo 2, RGPD

49. Al capo II del RGPD, che stabilisce i «principi» che disciplinano il trattamento dei dati personali e, pertanto, delineano il regime generale del sistema, l’articolo 6 elenca, al paragrafo 1, le condizioni di liceità del trattamento. In particolare, la lettera a) di tale paragrafo fa riferimento al consenso dell’interessato e la lettera b) al fatto che il trattamento sia necessario all’esecuzione di un contratto di cui l’interessato è parte.

50. Dette condizioni si aggiungono a quelle derivanti dai principi enunciati dall’articolo 5 del RGPD in termini generali (28) e specificati dagli articoli da 7 a 11 del RGPD per quanto riguarda il consenso (articolo 7 e, per quanto attiene ai minori, articolo 8), il trattamento di categorie particolari di dati personali (articolo 9) o relativi a condanne penali e reati (articolo 10) e il trattamento che non richiede l’identificazione (articolo 11).

51. A questo insieme di principi e di norme possono aggiungersi «disposizioni più specifiche» introdotte (o mantenute) dagli Stati membri al fine di, ai sensi dell’articolo 6, paragrafo 2, del RGPD, «adeguare l’applicazione delle norme» del RGPD per quanto riguarda due trattamenti specifici, qualora essi siano necessari per:

– l’adempimento di un obbligo legale [articolo 6, paragrafo 1, lettera c)];

– l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri [articolo 6, paragrafo 1, lettera e)] (29).

52. Questo «adeguamento», aggiunge la disposizione, consisterà nel determinare «con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto», anche per le «altre specifiche situazioni di trattamento di cui al capo IX».

53. Quest’ultima espressione della disposizione non è chiara come sarebbe auspicabile, poiché non è facile dedurre se con essa si consente – ripeto, per i trattamenti di cui alle lettere c) ed e) dell’articolo 6, paragrafo 1 – la regolamentazione di situazioni specifiche diverse da quelle già contemplate nel capo IX o se queste ultime siano le uniche per le quali il RGPD ammetta quei due trattamenti.

b) Articolo 88, paragrafo 1, del RGPD

54. In ogni caso, ripeto, la clausola di apertura che qui interessa, poiché è quella su cui si concentra il giudice del rinvio, è quella di cui all’articolo 88, paragrafo 1, del RGPD. Ricordo che, secondo il suo tenore letterale, gli Stati membri possono prevedere, con legge o tramite contratti collettivi, «norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro».

55. Il trattamento di tali dati personali può essere effettuato, in particolare, per finalità di:

– assunzione, esecuzione del contratto di lavoro (30), gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente;

– esercizio e godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro: e

– cessazione del rapporto di lavoro.

56. L’autorizzazione ad adottare tali disposizioni ha un certo effetto «disarmonizzante». Le norme nazionali autorizzate dall’articolo 88, paragrafo 1, del RGPD possono comportare, per uno o più Stati membri, l’introduzione di differenze rispetto al regime generale del RGPD che vanno oltre la semplice funzione di «adeguamento» consentita dall’articolo 6, paragrafo 2, del RGPD:

– l’articolo 6, paragrafo 2, del RGPD autorizza gli Stati membri ad adeguare l’applicazione di talune disposizioni del RGPD stesso;

– l’articolo 88, paragrafo 1, del RGPD, di contro, consente agli Stati membri di prevedere norme più specifiche di garanzia. Si tratta pertanto di un’attività di creazione normativa di maggiore intensità, che non si verifica quando si tratta soltanto di adeguare o di recepire l’applicazione delle disposizioni del RGPD il cui contenuto e la cui portata devono essere considerati definitivi (31).

4. Articolo 23 dello HDSIG in relazione con il RGPD

57. In conformità con l’articolo 88, paragrafo 3, del RGPD, la Repubblica federale di Germania ha notificato alla Commissione che, tra le disposizioni di legge adottate dal suddetto Stato membro ai sensi dell’articolo 88, paragrafo 1, del RGPD, figurava l’articolo 23 dello HDSIG.

58. A mio giudizio, che coincide su questo punto con quello del giudice del rinvio e della Commissione, l’articolo 23 dello HDSIG non soddisfa la condizione di «prevedere norme più specifiche» per la protezione dei diritti inerenti al trattamento dei dati personali nell’ambito dei rapporti di lavoro, come raccomanda l’articolo 88, paragrafo 1, del RGPD.

59. Sia l’articolo 23, paragrafo 1, prima frase, dello HDSIG sia l’articolo 86, paragrafo 4, prima frase, dello HBG si limitano a prescrivere che i dati personali dei dipendenti e dei funzionari possono essere trattati nell’ambito del rapporto di lavoro qualora ciò sia «necessario» per uno di questi fini:

– ai fini della decisione sulla costituzione di detto rapporto o, una volta costituito, ai fini della sua esecuzione, cessazione o risoluzione; o

– ai fini dell’attuazione di misure interne di pianificazione e di organizzazione o in materia di personale o di sicurezza sociale.

60. In verità, entrambe le norme subordinano il trattamento dei dati personali dei dipendenti alla sola circostanza che esso sia necessario a determinati fini.

61. Non si tratta pertanto di una previsione molto diversa da quella di cui all’articolo 6, paragrafo 1, lettera b), del RGPD («il trattamento è lecito solo se e nella misura in cui (...) è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso») (32).

62. L’articolo 23 dello HDSIG ribadirebbe, pertanto, una condizione già richiesta dall’articolo 6, paragrafo 1, lettera b), del RGPD per la liceità generale del trattamento. Non aggiungerebbe invece alcuna norma specifica a tutela dei diritti coinvolti nel contesto del trattamento dei dati personali nell’ambito dei rapporti di lavoro (33).

63. Lo stesso risultato si otterrebbe se l’attività didattica in questione rientrasse nel campo di applicazione dell’articolo 6, paragrafo 1, lettera e), del RGPD (vale a dire, se il trattamento in questione fosse necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) (34).

64. Nell’ipotesi delle lettere c) ed e), l’articolo 6, paragrafo 2, del RGPD consente agli Stati membri, come ho già rilevato, il mantenimento o l’introduzione di «disposizioni più specifiche (...) determinando con maggiore precisione requisiti specifici per il trattamento (...)».

65. Insisto sul fatto che l’articolo 23 dello HDSIG non costituisce una «disposizione più specifica», ma si limita a consentire il trattamento dei dati dei dipendenti qualora ciò sia necessario. Non arriva a specificare le condizioni e i termini di tale eventuale trattamento.

66. Il governo tedesco sostiene, contrariamente a questa posizione, che sarebbe «impossibile e irrealistico» riflettere dettagliatamente le tipologie di trattamento dei dati nel contesto lavorativo. A suo avviso, dovrebbe essere sufficiente una disposizione legislativa sulla quale si basino, se del caso, i trattamenti che non richiedono una base giuridica più specifica (35).

67. A quanto precede è sufficiente replicare che, per quanto difficile possa essere il compito, l’articolo 88, paragrafo 3, del RGPD è tassativo nel prevedere che gli Stati membri notificano alla Commissione «le disposizioni di legge adottate ai sensi del paragrafo 1» dello stesso articolo, vale a dire non le disposizioni (di base) sulle quali si basano quelle che prevedono norme più specifiche, ma appunto queste ultime. La notifica deve essere effettuata in modo individuale ed esplicito (36).

68. In definitiva, la funzione dell’articolo 23 dello HDSIG è reiterare la facoltà già conferita dall’articolo 88, paragrafo 1, del RGPD o, in altri termini, aprire la porta che consente la successiva introduzione (o mantenimento) di norme più specifiche.

69. Oltre al fatto che esso non prevede, di per sé, «norme più specifiche» ai sensi dell’articolo 88, paragrafo 1, del RGPD, l’articolo 23 dello HDSIG non contiene neppure «misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati».

70. Omettendo tale genere di misure, l’articolo 23 dello HDSIG non rispetta la condizione prevista all’articolo 88, paragrafo 2, del RGPD affinché sia ammissibile la legislazione di differenziazione degli Stati membri nell’ambito dei rapporti di lavoro.

71. Poiché il rinvio pregiudiziale si limita all’esame delle disposizioni legislative e non dei contratti collettivi, non mi soffermerò su questi ultimi (37), bensì solo sulle prime.

72. Per quanto riguarda tali disposizioni, il legislatore nazionale non può limitarsi, come fa l’articolo 23, paragrafo 5, dello HDSIG, a prevedere che il titolare del trattamento dei dati adotti misure appropriate per garantire «il rispetto dei principi applicabili al trattamento dei dati personali stabiliti all’articolo 5» del RGPD. Tale previsione è ridondante, dal momento che ogni trattamento dei dati deve conformarsi, in linea di principio e come minimo, alle condizioni di cui all’articolo 5 del RGPD.

73. L’articolo 88, paragrafo 2, del RGPD è dedicato all’istituzione di misure che garantiscano, in materia di salvaguardia, la dovuta corrispondenza con la specificità delle misure adottate ai sensi dell’articolo 88, paragrafo 1, del RGPD. Si vuole, in definitiva, che la specificità autorizzata da quest’ultima disposizione corrisponda adeguatamente, se del caso, alla pertinente specificità delle sue garanzie.

74. Se si ammettesse che l’articolo 23 dello HDSIG contenga una normativa specifica ai sensi dell’articolo 88, paragrafo 1, del RGPD, si tratterebbe di reiterare, per quanto riguarda le garanzie richieste dal paragrafo 2 di quest’ultimo articolo, quelle che, in linea generale, prevede l’articolo 5 del RGPD. In definitiva, l’equilibrio necessario tra la specificità delle norme autorizzate dal paragrafo 1 e la specificità delle misure di «salvaguardia» richieste dal paragrafo 2, entrambi paragrafi dell’articolo 88 del RGPD, sarebbe infranto.

75. In conclusione, ritengo che l’articolo 23 dello HDSIG non possa trovare una base nell’articolo 88 del RGDP. Da un lato, in quanto non prevede norme più specifiche; dall’altro, in quanto si limita a reiterare le garanzie generali dell’articolo 5 del RGPD.

5. L’articolo 23 dello HDSIG è comunque applicabile?

76. Rimane ancora da verificare se, nonostante quanto precede, l’articolo 23 dello HDSIG possa trovare applicazione nell’ordinamento giuridico nazionale. Questo sembra essere, come ho sottolineato in precedenza, ciò che, in definitiva, interessa al giudice del rinvio.

77. Si chiede di chiarire se le norme adottate dagli Stati membri ai sensi della clausola di apertura di cui all’articolo 88, paragrafo 1, del RGPD che non soddisfano i requisiti del suo articolo 88, paragrafo 2, possano essere applicate ai sensi di altre disposizioni del RGPD.

78. La risposta, la cui premessa è che l’articolo 23 dello HDSIG non contiene nessuna «norma più specifica» ai sensi dell’articolo 88 del RGPD (38), può svilupparsi in due sensi:

– l’articolo 23 dello HDSIG diviene irrilevante, o superfluo, nella misura in cui non prevede, in senso stretto, disposizioni specifiche che garantiscano il diritto dei dipendenti alla protezione dei loro dati personali nell’ambito dei rapporti di lavoro;

– in detto ambito (rapporti di lavoro), dovranno essere applicate, in via diretta e principale, le disposizioni del regime comune del RGPD.

79. Altra cosa è il fatto che, come sostenuto dai governi austriaco e rumeno, oltre che dalla Commissione, e come è stato riconosciuto da tutti in udienza, nulla osta a che uno Stato membro applichi altre disposizioni del RGPD oppure, sulla base dell’articolo 6, paragrafo 2, di detto regolamento, norme nazionali che disciplinino il trattamento dei dati dei dipendenti in termini che contribuiscano ad «adeguare l’applicazione» del RGPD.

V. Conclusione

80. Alla luce di quanto precede, suggerisco alla Corte di giustizia di rispondere al Verwaltungsgericht Frankfurt am Main (Tribunale amministrativo di Francoforte sul Meno, Germania) come segue:

«L’articolo 88, paragrafi 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:

Una disposizione legislativa adottata da uno Stato membro costituisce una norma più specifica volta a garantire la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro solo se soddisfa i requisiti imposti dall’articolo 88, paragrafo 2, del regolamento 2016/679.

Qualora detta disposizione legislativa non soddisfi i requisiti imposti dall’articolo 88, paragrafo 2, del regolamento 2016/679, essa è applicabile, se del caso, solo se può essere legittimata da altre disposizioni di detto regolamento o dalle norme nazionali di adeguamento di cui al suo articolo 6, paragrafo 2».

1 Lingua originale: lo spagnolo.

2 È pacifico che con tale modalità di diffusione si trasmettono dati personali oggetto di trattamento.

3 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

4 Legge del Land dell’Assia sulla protezione dei dati e la libertà di informazione del 3 maggio 2018 (GVBl. I, pag. 82; in prosieguo: lo «HDSIG»).

5 Statuto del personale del Land dell’Assia, del 27 maggio 2013 (GVBl, pag. 218; in prosieguo: lo «HBG»).

6 In risposta ai quesiti della Corte di giustizia, il Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (Consiglio principale di rappresentanza del personale docente presso il Ministero dell’Istruzione del Land dell’Assia; in prosieguo: il «Consiglio del personale docente») ha spiegato che il suo ricorso, presentato il 2 dicembre 2020, era diretto contro due delibere di detto Ministero che, rispettivamente, contenevano le indicazioni relative «alle condizioni organizzative e giuridiche per l’avvio dell’anno scolastico 2020-2021» (del 23 luglio 2020) e «all’utilizzo dei supporti digitali nell’ambito della vita scolastica» (del 20 agosto 2020). Aggiunge che, con quest’ultimo provvedimento, il Ministero non riteneva necessario il consenso degli insegnanti per la diffusione dei loro corsi, tramite videoconferenza in streaming, agli alunni esonerati dal frequentare le lezioni, poiché tra le competenze attribuite alla dirigenza dell’istituto scolastico figuravano quelle relative all’organizzazione dei corsi. Secondo il Ministero, il trattamento dei dati necessari a tal fine poteva essere disciplinato dall’articolo 23 dello HDSIG.

7 L’articolo 26, paragrafo 1, prima frase, del Bundesdatenschutzgesetz (legge federale sulla protezione dei dati) corrisponde all’articolo 23, paragrafo 1, prima frase, dello HDSIG.

8 Il 29 novembre 2021, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha informato la Corte di giustizia che, a causa delle modifiche della normativa interna in materia di competenza territoriale, dichiarava la propria incompetenza a favore del Verwaltungsgericht Frankfurt am Main (Tribunale amministrativo di Francoforte sul Meno). Quest’ultimo, con lettera protocollata il 21 febbraio 2022, ha comunicato alla Corte di giustizia il nuovo numero di ruolo della controversia, lasciando intendere di assumere come propria la domanda di pronuncia pregiudiziale.

9 Sentenza del 27 settembre 2017, Puškár (C‑73/16, EU:C:2017:725), punto 50.

10 Sentenza del 29 giugno 2017, Popławski (C‑579/15, EU:C:2017:503), punto 16 e giurisprudenza ivi citata.

11 Secondo il giudice del rinvio, se l’articolo 23, paragrafo 1, prima frase, dello HDSIG e l’articolo 86, paragrafo 4, dello HBG non costituissero la base giuridica per il trattamento dei dati nei sistemi di videoconferenza, occorrerebbe crearla con un «Dienstvereinbarung» (accordo di servizio) tra le parti del procedimento (punto 25 della decisione di rinvio).

12 «[Tali] norme includono (…)».

13 Vale a dire, una norma nazionale che si dichiara essere emanata ai sensi dell’articolo 88, paragrafo 1, del RGPD, in quanto solo a questa tipologia di norme sono applicabili le condizioni di cui al paragrafo 2.

14 Secondo la giurisprudenza della Corte, «la caratteristica essenziale del rapporto di lavoro è la circostanza che una persona fornisca, per un certo periodo di tempo, a favore di un’altra e sotto la direzione di quest’ultima, prestazioni in contropartita delle quali riceve una retribuzione» [sentenza del 15 luglio 2021, Ministrstvo za obrambo, (C‑742/19, EU:C:2021:597), punto 49 e giurisprudenza ivi citata].

15 V. sentenza del 30 settembre 2003, Colegio de Oficiales de la Marina Mercante Española (C‑405/01, EU:C:2003:515), punti 38 e 39, con riferimento alla corrispondente disposizione del Trattato CE.

16 V., per quanto riguarda il rapporto tra le attività didattiche e l’esercizio dei pubblici poteri, sentenza del 15 marzo 1988, Commissione/Grecia (147/86, EU:C:1988:150).

17 Conclusioni presentate il 19 dicembre 2018 (C‑40/17, EU:C:2018:1039), paragrafo 47.

18 Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

19 La Corte ha sottolineato, sin da subito, che ammettere una siffatta possibilità creerebbe un «equivoco, per quanto riguarda sia la natura giuridica delle norme da applicarsi sia il momento della loro entrata in vigore» [sentenza del 7 febbraio 1973, Commissione/Italia (39/72, EU:C:1973:13), punto 17] e potrebbe ostacolare l’efficacia diretta del regolamento e nascondere agli amministrati la natura comunitaria di questa norma giuridica [sentenza del 10 ottobre 1973, Variola (34/73, EU:C:1973:101), punti 10 e 11].

20 V., in tal senso, sentenza del 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596), punto 96.

21 Ricordo che si tratta di un diritto fondamentale sancito dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea.

22 Ciò è quanto espressamente enunciato dal considerando 10 del RGPD.

23 V., per tutte, sentenza del 28 aprile 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), punto 52.

24 Conclusioni dell’avvocato generale Richard de la Tour nella causa Meta Platforms Ireland (C‑319/20, EU:C:2021:979), paragrafo 51.

25 Sentenza del 28 aprile 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), punto 57: «talune disposizioni di detto regolamento [RGPD] offrono la possibilità agli Stati membri di prevedere norme nazionali supplementari, più rigorose ovvero a carattere derogatorio, che lasciano a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate (“clausole di apertura”)».

26 V., in generale, Zöll O., in Taeger J./Gabel D. (a cura di), Kommentar DSGVO-BDSG, 3ª ed., Fachmedien Recht und Wirtschaft, dfv Mediengruppe, Francoforte sul Meno, 2019, art. 88, punto 2.

27 «La protezione dei dati come pilastro dell’autonomia dei cittadini e dell’approccio dell’UE alla transizione digitale: due anni di applicazione del regolamento generale sulla protezione dei dati», Comunicazione della Commissione al Parlamento europeo e al Consiglio, COM(2020) 264 final, pag. 8. Le clausole di specificazione facoltativa da parte degli Stati membri sono in totale 15, come risulta dall’allegato del documento di lavoro dei servizi della Commissione che accompagna detta comunicazione [SWD (2020) 115 final].

28 Liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza; responsabilizzazione.

29 A mio avviso, la «necessità» contemplata da tale disposizione ha a che fare con le condizioni inerenti all’adempimento, in condizioni normali, degli obblighi stabiliti dalla legge da essa menzionati. Una questione del tutto diversa è la «necessità» che, in circostanze straordinarie, può giustificare il ricorso alla legislazione d’emergenza o speciale.

30 Esso comprende «l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi».

31 Come rilevato dal governo tedesco nelle sue risposte scritte ai quesiti della Corte di giustizia, la genesi dell’articolo 6, paragrafi 2 e 3, nonché dell’articolo 88 del RGPD dimostra che l’«autonomia» di quest’ultima disposizione rispetto alla prima risponde all’esplicita volontà di disciplinare la protezione dei dati dei dipendenti trattandoli come un «caso particolare».

32 Secondo il giudice del rinvio, tale disposizione sarebbe quella applicabile nell’ambito di un rapporto di lavoro come quello oggetto della controversia.

33 La necessità di disporre i mezzi per un sistema di didattica a distanza nel corso della pandemia ha indotto il legislatore dell’Assia ad adottare gli articoli 83, lettera a), e 83, lettera b), dello Hessisches Schulgesetz (Legge sull’insegnamento del Land dell’Assia), che impongono di acquisire il consenso degli insegnanti nell’ambito delle applicazioni digitali e delle videoconferenze. Ciò è stato messo in evidenza dal Ministero dell’Istruzione nel corso dell’udienza, che in tale modo è sembrato ammettere, implicitamente, che la normativa fino ad allora vigente non forniva la corretta copertura per tale regime didattico. Poiché una siffatta modifica legislativa non era in vigore al momento in cui è stata sollevata la questione pregiudiziale, il giudice del rinvio non interroga la Corte su di essa, né spetta adesso a quest’ultima pronunciarsi sulla sua conformità con il RGPD.

34 Secondo il governo tedesco, gli insegnanti svolgono un compito di interesse pubblico ai sensi dell’articolo 6, paragrafo 1, lettera e), del RGPD, sebbene nella didattica in streaming siano coinvolti altri dati che, come quelli degli alunni, non rientrano in tale disposizione.

35 Punto 28 delle osservazioni scritte del governo tedesco. In udienza, detto governo non ha esitato a qualificare la disposizione di legge in questione come «generale».

36 Mentre le disposizioni specifiche nazionali cui fa riferimento l’articolo 6, paragrafo 2, del RGPD non sono soggette all’obbligo di notifica, quelle di cui all’articolo 88, paragrafo 1, del RGPD devono essere portate all’attenzione dell’Unione e di tutti gli Stati membri tramite la Commissione. La presente dualità di regime si spiega con l’effetto «disarmonizzante», al quale mi riferivo in precedenza, inerente alle norme nazionali di cui all’articolo 88, paragrafo 1, del RGPD. Il loro impatto è tanto maggiore in quanto va oltre il semplice «adeguamento» ai fini dell’«applicazione delle norme» del RGPD ai sensi dell’articolo 6, paragrafo 2, del RGPD.

37 L’articolo 23, paragrafo 4, dello HDSIG consente il trattamento dei dati personali dei dipendenti sulla base degli accordi collettivi, imponendo in tale contesto alle parti contraenti di osservare l’articolo 88, paragrafo 2, del RGPD. Il legislatore tedesco prende in considerazione, pertanto, la possibilità offertagli dall’articolo 88, paragrafo 1, del RGPD per quanto riguarda i contratti collettivi. Anche questi ultimi devono rispettare, come riconosciuto dallo HDSIG, l’imperativo di cui all’articolo 88, paragrafo 2, del RGPD quanto alla previsione di misure appropriate e specifiche di garanzia.

38 Lo stesso varrebbe per l’articolo 79 a del Betriebsverfassungsgesetz (Legge sull’organizzazione aziendale, BGBl. I, pag. 2518), in vigore successivamente al rinvio pregiudiziale, invocato dal governo tedesco nella sua risposta ai quesiti della Corte; tale disposizione si limita ad imporre ai comitati aziendali il rispetto delle disposizioni relative alla protezione dei dati, ivi compreso lo stesso RGPD.