Accordi aziendali e GDPR
06/10/2025
Stampa la pagina
La Corte si è pronunciata nell’ambito di una controversia che trae origine dalla introduzione da parte di una multinazionale tedesca, di un “cloud software” di gruppo denominato “Workday” volto a gestire i dati relativi al personale dipendente, il quale aveva comportato di fatto il trasferimento di un importante mole di dati personali dei suoi dipendenti in un server di proprietà della società holding, situato negli Stati Uniti.
A fronte della introduzione di Workday, era stato altresì stipulato un accordo tra la società e il comitato aziendale interno alla stessa, volto a regolamentare i trattamenti di dati eseguiti tramite tale software. Tale accordo prevedeva, in concreto, che “Workday” avrebbe potuto consentire il solo trattamento di specifiche categorie di dati, tra cui i dati anagrafici, il numero di matricola, i suoi dati di contatto aziendali, il periodo di servizio e il luogo e la sede di lavoro.
In tale contesto, un lavoratore dipendente in forza alla società tedesca del gruppo ha citato in giudizio la propria datrice di lavoro, denunciando l’avvenuto trasferimento dalla società controllata a quella controllante di dati diversi e non necessari rispetto a quelli previsti dall’accordo aziendale stipulato (tra i quali i suoi recapiti privati, i dettagli del suo contratto e della sua retribuzione, i numeri di previdenza sociale e di identificazione fiscale, la sua cittadinanza e il suo stato civile), nonché richiedendo la cancellazione dei dati trasferiti illegittimamente e il risarcimento del danno occorso.
La Corte di Giustizia, chiamata a pronunciarsi sul tema, ha dettato principi rilevanti, stabilendo che le parti di un contratto collettivo (o, nel caso di specie, di un accordo aziendale) non dispongono di un margine di discrezionalità che consente loro di applicare in modo meno restrittivo, o addirittura escludere, il requisito di necessità del trattamento previsto dal GDPR. Ne consegue che, indipendentemente dal contenuto del contratto nazionale o dell’accordo aziendale, i trattamenti di dati dei dipendenti devono comunque essere eseguiti nel rispetto dei principi base del GDPR, che non possono essere in alcun modo derogati, neppure in forza di tali accordi.
Tale pronuncia costituisce quindi un punto di riferimento importante per le imprese che intendano introdurre strumenti tecnologici, procedure e regole specifiche per il trattamento dei dati personali dei propri dipendenti. Pur riconoscendo che le parti di un contratto collettivo (o di un accordo aziendale) sono in una posizione privilegiata per valutare se un trattamento di dati sia necessario in un contesto lavorativo, le stesse parti non possono infatti scendere a compromessi che pregiudichino il livello di protezione dei diritti e delle libertà fondamentali dei dipendenti in relazione al trattamento dei loro dati personali.