Durante la pandemia, il Ministro dell’Istruzione e della Cultura del Land Assia ha stabilito un quadro giuridico per consentire l’istruzione a distanza tramite videochiamate. Secondo questo quadro, gli alunni (o i genitori degli alunni) devono dare il loro consenso al trattamento dei dati personali. Tuttavia, nessuna disposizione simile si applicava agli insegnanti.
Un comitato di insegnanti ha intentato un’azione legale presso il Tribunale amministrativo di Wiesbaden. Secondo il convenuto, la disposizione che consentiva al governo regionale di trattare i dati senza il consenso degli insegnanti era il § 23 della Hessisches Datenschutz- und Informationsfreiheitsgesetz (legge sulla protezione dei dati e sulla libertà di informazione del Land Assia). Questa disposizione stabilirebbe “norme più specifiche” relative ai diritti dei lavoratori in materia di protezione dei dati, in conformità all’articolo 88 del GDPR e in deroga al GDPR stesso.
Tuttavia, il tribunale amministrativo sospettava che il responsabile del trattamento non si sia conformato all’articolo 88, paragrafo 2, del GDPR, poiché quest’ultima disposizione richiede l’adozione di “disposizioni legislative adeguate e specifiche” per tutelare i diritti degli interessati. Il tribunale tedesco si è chiesto se una disposizione nazionale che non soddisfa questo requisito, come il § 23 della legge tedesca sulla protezione dei dati, possa essere considerata un’attuazione legittima dell’articolo 88 del GDPR. Inoltre, il tribunale non era certo della validità di una tale disposizione, nel caso in cui un giudice nazionale la ritenesse in contrasto con l’articolo 88, paragrafo 2, del GDPR.
In primo luogo, la CGUE ha chiarito che l’articolo 88 del GDPR riguardava i fatti oggetto del procedimento principale e più in generale il pubblico impiego, in quanto tale disposizione non è specifica del settore privato. Secondo la CGUE, è l’esistenza di un rapporto di subordinazione tra il lavoratore e il datore di lavoro e non la natura giuridica di tale rapporto a giustificare la clausola aperta prevista dall’articolo 88 del GDPR.
Quando gli Stati membri utilizzano le clausole aperte ai sensi del capo IX del GDPR, non devono compromettere il contenuto e gli obiettivi del regolamento. In particolare, la CGUE ha sostenuto che devono essere soddisfatte tre condizioni per l’utilizzo dell’articolo 88 del GDPR: in primo luogo, la legge nazionale deve avere un contenuto “specifico del settore disciplinato” (in questo caso l’occupazione) e distinto dalle norme generali del GDPR; in secondo luogo, lo scopo deve essere quello di proteggere i diritti e le libertà dei lavoratori; infine, devono essere previste misure adeguate e specifiche ai sensi dell’articolo 88, paragrafo 2, del GDPR. Tali misure non devono limitarsi a ribadire la protezione generale offerta dal GDPR. La CGUE ha sottolineato che tali misure proteggono non solo i diritti dei lavoratori, ma anche la stessa armonizzazione del diritto dell’UE, che sarebbe altrimenti messa a rischio dalle deroghe nazionali. Pertanto, la CGUE ha concluso che una disposizione adottata ai sensi dell’articolo 88, paragrafo 1, del GDPR non può essere considerata una “norma più specifica” se non sono soddisfatte le condizioni sopra menzionate.
Spettava al tribunale tedesco verificare se la legge tedesca fosse conforme ai requisiti di cui all’articolo 88, paragrafi 1 e 2, del GDPR. Tuttavia, a un primo sguardo è sembrato alla CGUE che la legge tedesca si limitasse a ribadire il contenuto del GDPR, senza alcun elemento aggiuntivo. Se così fosse, il tribunale tedesco dovrebbe ignorare la legge alla luce del principio del primato del diritto dell’UE. Nel caso specifico, anche se il tribunale tedesco ritenesse che la legge nazionale non soddisfa i requisiti dell’articolo 88 del GDPR, dovrebbe comunque verificare se l’articolo 6, paragrafo 1, lettere c) o e) – obbligo legale o interesse pubblico – sia applicabile come base giuridica per il trattamento. Questa valutazione deve essere effettuata alla luce dell’articolo 6, paragrafo 3, del GDPR.
Fonte – GDPR Hub
