L'art. 88 GDPR deve essere interpretato nel senso che una normativa nazionale non può costituire una 'norma più specifica' ai sensi del suo paragrafo 1 qualora non soddisfi le condizioni di cui al paragrafo 2. L'applicazione delle disposizioni nazionali adottate per garantire la tutela dei diritti e delle libertà dei lavoratori con riguardo al trattamento dei loro dati personali nell'ambito dei rapporti di lavoro deve essere disapplicata qualora tali disposizioni non siano conformi alle condizioni e ai limiti di cui all'art. 88, paragrafi 1 e 2, a meno che tali disposizioni non costituiscano una base giuridica di cui all'art. 6 paragrafo 3 GDPR conforme ai requisiti ivi stabiliti (la Corte si è così pronunciata nella controversia promossa da alcuni insegnanti tedeschi avevano contestato le norme nazionali sulla didattica a distanza - DAD durante il COVID, sostenendo che dovesse essere tutelata anche la loro privacy oltre a quella degli alunni, chiedendo loro il consenso alla diretta streaming).
Fatto
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull'interpretazione dell'articolo 88, paragrafi 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
2 Tale domanda è stata presentata nell'ambito di una controversia tra lo Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (Consiglio principale di rappresentanza del personale docente presso il Ministero della Cultura del Land dell'Assia, Germania) e il Minister des Hessischen Kultusministeriums (Ministro della Cultura del Land dell'Assia, Germania) in merito alla legalità di un sistema di diffusione in diretta delle lezioni tramite videoconferenza attuato nelle scuole del Land dell'Assia (Germania) senza prevedere il previo consenso degli insegnanti interessati.
Contesto normativo
Diritto dell'Unione
Direttiva 95/46/CE
3 La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31) è stata abrogata, con effetto a decorrere dal 25 maggio 2018, dal RGPD. L'articolo 3 di tale direttiva, intitolato «Campo d'applicazione», era così formulato:
«1. Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.
2. Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali:
- effettuati per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato [UE, nella versione anteriore al Trattato di Lisbona] e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
(...)».
RGPD
4 I considerando da 8 a 10, 13, 16, 45 e 155 del RGPD così recitano:
«(8) Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale.
(9) Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva [95/46] non ha impedito la frammentazione dell'applicazione della protezione dei dati personali nel territorio dell'Unione [europea], né ha eliminato l'incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all'interno dell'Unione. Tali differenze possono pertanto costituire un freno all'esercizio delle attività economiche su scala dell'Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell'Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell'attuare e applicare la direttiva [95/46].
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un'applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione. Per quanto riguarda il trattamento dei dati personali per l'adempimento di un obbligo legale, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l'applicazione delle norme del presente regolamento. In combinato disposto con la legislazione generale e orizzontale in materia di protezione dei dati che attua la direttiva [95/46] gli Stati membri dispongono di varie leggi settoriali in settori che richiedono disposizioni più specifiche. Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali ("dati sensibili"). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.
(...)
(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l'Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici (...), offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un controllo coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. Per il buon funzionamento del mercato interno è necessario che la libera circolazione dei dati personali all'interno dell'Unione non sia limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. (...)
(...)
(16) Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati personali riferite ad attività che non rientrano nell'ambito di applicazione del diritto dell'Unione, quali le attività riguardanti la sicurezza nazionale. Il presente regolamento non si applica al trattamento dei dati personali effettuato dagli Stati membri nell'esercizio di attività relative alla politica estera e di sicurezza comune dell'Unione.
(...)
(45) È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri sia basato sul diritto dell'Unione o di uno Stato membro. Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire la finalità del trattamento. Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del presente regolamento che presiedono alla liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali, le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e corretto. (...)
(...)
(155) Il diritto degli Stati membri o i contratti collettivi, ivi compresi gli "accordi aziendali", possono prevedere norme specifiche per il trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, in particolare per quanto riguarda le condizioni alle quali i dati personali nei rapporti di lavoro possono essere trattati sulla base del consenso del dipendente, per finalità di assunzione, esecuzione del contratto di lavoro, compreso l'adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, e ai fini dell'esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro».
5 L'articolo 1 del RGPD, intitolato «Oggetto e finalità», così dispone:
«1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
3. La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».
6 L'articolo 2 del suddetto regolamento, intitolato «Ambito di applicazione materiale», ai paragrafi 1 e 2 prevede quanto segue:
«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
2. Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;
b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE;
c) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico;
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse».
7 L'articolo 4 del menzionato regolamento, intitolato «Definizioni», è così formulato:
«Ai fini del presente regolamento s'intende per:
1) "dato personale" qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) "trattamento" qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
(...)».
8 L'articolo 5 del RGPD, intitolato «Principi applicabili al trattamento di dati personali», prevede quanto segue:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceità, correttezza e trasparenza");
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali ("limitazione della finalità");
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ("minimizzazione dei dati");
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati ("esattezza");
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato ("limitazione della conservazione");
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ("integrità e riservatezza").
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo ("responsabilizzazione")».
9 L'articolo 6 del suddetto regolamento, intitolato «Liceità del trattamento», ai paragrafi 1 e 3 così dispone:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
(...)
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti.
2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l'applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell'Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito».
10 Contenuto nel capo IX del RGPD, intitolato «Disposizioni relative a specifiche situazioni di trattamento», l'articolo 88 di quest'ultimo, relativo al «[t]rattamento dei dati nell'ambito dei rapporti di lavoro», prevede quanto segue:
«1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l'adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell'esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.
2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro.
3. Ogni Stato membro notifica alla Commissione [europea] le disposizioni di legge adottate ai sensi del paragrafo 1 entro il 25 maggio 2018 e comunica senza ritardo ogni successiva modifica».
Diritto tedesco
11 L'articolo 26, paragrafo 1, del Bundesdatenschutzgesetz (legge federale sulla protezione dei dati), del 30 giugno 2017 (BGBl. 2017 I, pag. 2097), così dispone:
«I dati personali dei dipendenti possono essere trattati nell'ambito del rapporto di lavoro qualora ciò sia necessario ai fini della decisione sulla costituzione del rapporto di lavoro o, successivamente ad essa, della sua esecuzione, cessazione o risoluzione, o per l'esercizio dei diritti o il rispetto degli obblighi rispettivamente connessi alla rappresentanza degli interessi dei dipendenti stabiliti dalla legge o da contratti collettivi, da accordi aziendali o relativi al pubblico impiego (accordi collettivi). (...)».
12 Ai sensi dell'articolo 23 dello Hessisches Datenschutz- und Informationsfreiheitsgesetz (legge sulla protezione dei dati e sulla libertà di informazione del Land dell'Assia), del 3 maggio 2018 (in prosieguo: lo «HDSIG»):
«1. I dati personali dei dipendenti possono essere trattati nell'ambito del rapporto di lavoro qualora ciò sia necessario ai fini della decisione sulla costituzione del rapporto di lavoro o, successivamente ad essa, della sua esecuzione, cessazione o risoluzione, nonché dell'attuazione di misure interne di pianificazione, di organizzazione, di sicurezza sociale e in materia di personale. (...)
2. Quando il trattamento dei dati personali dei dipendenti è effettuato sulla base di un consenso, per valutare se il consenso sia stato prestato liberamente occorre tener conto, in particolare, della dipendenza del dipendente dal rapporto di lavoro nonché delle circostanze in cui il consenso è stato prestato. Il carattere libero del consenso può ritenersi accertato in particolare se esiste, per il dipendente, un vantaggio giuridico o economico, o se il datore di lavoro e il dipendente hanno interessi convergenti. Il consenso deve essere prestato per iscritto, a meno che non sia richiesta una forma diversa in base a circostanze specifiche. Il datore di lavoro è tenuto a informare il dipendente per iscritto della finalità del trattamento dei dati e del suo diritto di revocare il proprio consenso, come previsto dall'articolo 7, paragrafo 3, del [RGPD].
3. In deroga all'articolo 9, paragrafo 1, del [RGPD], il trattamento relativo a categorie particolari di dati personali ai sensi dell'articolo 9, paragrafo 1, del [RGPD] è autorizzato ai fini del rapporto di lavoro qualora sia necessario per l'esercizio di diritti o per il rispetto di obblighi giuridici derivanti dal diritto del lavoro, dal diritto della sicurezza sociale e della protezione sociale, e non vi sia motivo di ritenere che prevalga l'interesse legittimo dell'interessato a escludere il trattamento. Il paragrafo 2 si applica anche al consenso al trattamento di categorie particolari di dati personali. A tale riguardo, il consenso deve fare espresso riferimento a tali dati. (...)
4. Il trattamento dei dati personali, comprese le categorie particolari di dati personali dei dipendenti, ai fini del rapporto di lavoro, è consentito sulla base degli accordi collettivi. Al riguardo, le parti contraenti sono tenute ad osservare l'articolo 88, paragrafo 2, del [RGPD].
5. Il titolare del trattamento deve adottare misure appropriate per garantire il rispetto, in particolare, dei principi applicabili al trattamento dei dati personali stabiliti all'articolo 5 del [RGPD].
(...)
7. I paragrafi da 1 a 6 si applicano anche quando i dati personali, comprese le categorie particolari di dati personali, dei dipendenti sono trattati senza che essi siano contenuti o destinati a essere contenuti in un archivio. Le disposizioni dello Hessisches Beamtengesetz [(HBG) (Statuto del personale del Land dell'Assia), del 21 giugno 2018 (in prosieguo: lo "HBG")] applicabili ai fascicoli del personale si applicano mutatis mutandis ai lavoratori del settore pubblico, fatta salva disposizione contraria prevista nel contratto collettivo.
8. Sono considerati dipendenti, ai sensi della presente legge:
1) i lavoratori, compresi i lavoratori interinali nel rapporto con l'utilizzatore;
(...)
7) i dipendenti pubblici soggetti allo [HBG], i magistrati del Land, nonché le persone che esercitano una funzione pubblica.
(...)».
13 L'articolo 86, paragrafo 4, dello HBG così dispone:
«Il datore di lavoro può raccogliere dati personali relativi a candidati, dipendenti pubblici ed ex dipendenti pubblici solo nella misura in cui ciò sia necessario ai fini della costituzione, dell'esecuzione, della cessazione o della risoluzione del rapporto di servizio oppure per l'attuazione di misure di organizzazione, in materia di personale e di sicurezza sociale, in particolare anche ai fini della pianificazione e dell'impiego del personale, oppure nella misura in cui ciò sia consentito dalla legge o da un accordo relativo al pubblico impiego. (...)».
Procedimento principale e questioni pregiudiziali
14 Come risulta dal fascicolo sottoposto alla Corte, con due atti adottati nel 2020, il Ministro della Cultura del Land dell'Assia ha stabilito il quadro giuridico e organizzativo dell'insegnamento scolastico durante il periodo di pandemia di COVID-19. Tale quadro prevedeva, in particolare, la possibilità per gli alunni che non potevano essere presenti in classe di assistere in diretta alle lezioni tramite videoconferenza. Al fine di salvaguardare i diritti degli alunni in materia di protezione dei dati personali, è stato stabilito che la connessione al servizio di videoconferenza sarebbe stata autorizzata solo con il consenso degli alunni stessi o, nel caso dei minori, dei loro genitori. Per contro, non è stato previsto che gli insegnanti interessati esprimessero il loro consenso alla partecipazione a tale servizio.
15 Il Consiglio principale di rappresentanza del personale docente presso il Ministero della Cultura del Land dell'Assia ha presentato un ricorso dinanzi al Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania) lamentando che la diffusione in diretta delle lezioni tramite videoconferenza non fosse subordinata alla condizione del consenso degli insegnanti interessati.
16 Il Ministro della Cultura del Land dell'Assia, dal canto suo, ha sostenuto che il trattamento dei dati personali costituito dalla diffusione in diretta delle lezioni tramite videoconferenza rientrava nell'ambito di applicazione dell'articolo 23, paragrafo 1, prima frase, dello HDSIG, cosicché esso poteva essere effettuato senza che fosse richiesto il consenso dell'insegnante interessato.
17 Il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) espone al riguardo che, secondo le intenzioni del legislatore del Land dell'Assia, l'articolo 23 dello HDSIG e l'articolo 86 dello HBG rientrano nella categoria delle «norme più specifiche» che gli Stati membri possono prevedere, conformemente all'articolo 88, paragrafo 1, del RGPD, per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro. Tuttavia, tale giudice nutre dubbi quanto alla compatibilità dell'articolo 23, paragrafo 1, prima frase, dello HDSIG e dell'articolo 86, paragrafo 4, dello HBG con i requisiti di cui all'articolo 88, paragrafo 2, del RGPD.
18 Infatti, in primo luogo, l'articolo 23, paragrafo 1, prima frase, dello HDSIG e l'articolo 86, paragrafo 4, dello HBG si fonderebbero sulla «necessità» quale base giuridica del trattamento dei dati dei dipendenti. Orbene, da un lato, l'inserimento nella legge del principio di «necessità» non costituirebbe una norma che specifica i requisiti di cui all'articolo 88, paragrafo 2, del RGPD, dal momento che il trattamento di dati necessario nell'ambito di un rapporto di lavoro sarebbe già disciplinato dall'articolo 6, paragrafo 1, primo comma, lettera b), del RGPD.
19 Dall'altro lato, l'articolo 23, paragrafo 1, prima frase, dello HDSIG si applicherebbe, al di là del rapporto contrattuale propriamente detto, ad ogni trattamento di dati dei dipendenti. Orbene, dall'articolo 6, paragrafo 1, primo comma, lettera f), del RGPD discenderebbe che, nel caso di un trattamento di dati personali eccedente il trattamento strettamente necessario nell'ambito del contratto di lavoro, occorrerebbe bilanciare i diritti e le libertà fondamentali dell'interessato, nella fattispecie i dipendenti e i pubblici impiegati, con l'interesse legittimo perseguito dal responsabile del trattamento, nella fattispecie il datore di lavoro. Poiché l'articolo 23, paragrafo 1, prima frase, dello HDSIG non prevedrebbe un siffatto bilanciamento, tale disposizione non potrebbe essere considerata come una norma settoriale specifica dopo l'entrata in vigore del RGPD.
20 In secondo luogo, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) considera che il mero riferimento di cui all'articolo 23, paragrafo 5, dello HDSIG, secondo cui il titolare del trattamento deve rispettare, in particolare, i principi enunciati all'articolo 5 del RGPD, non soddisfa i requisiti di cui all'articolo 88, paragrafo 2, del medesimo regolamento. Infatti, quest'ultima disposizione richiederebbe che le disposizioni normative appropriate e specifiche da essa previste siano adottate a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro, e non costituirebbe un mero principio in più di cui l'interprete di una norma nazionale deve tener conto. Il destinatario dell'articolo 88, paragrafo 2, del RGPD non sarebbe l'interprete.
21 In tali circostanze, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l'articolo 88, paragrafo 1, del [RGPD] debba essere interpretato nel senso che una norma di legge, al fine di costituire una norma più specifica volta a garantire la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, ai sensi dell'articolo 88, paragrafo 1, del [RGPD] debba soddisfare i relativi requisiti stabiliti dallo stesso articolo 88, paragrafo 2.
2) Se una norma nazionale, pur essendo manifestamente non conforme ai requisiti stabiliti dall'articolo 88, paragrafo 2, del [RGPD] possa comunque continuare ad essere applicata».
22 Con comunicazione pervenuta alla cancelleria della Corte il 30 novembre 2021, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha informato la Corte che, a causa di modifiche della normativa nazionale che disciplina la competenza territoriale dei giudici amministrativi del Land dell'Assia a decorrere dal 1º dicembre 2021, il procedimento principale era stato trasferito al Verwaltungsgericht Frankfurt am Main (Tribunale amministrativo di Francoforte sul Meno, Germania). Con comunicazione pervenuta alla cancelleria della Corte il 21 febbraio 2022, quest'ultimo giudice ha confermato tale trasferimento e ha indicato alla Corte il nuovo numero di ruolo assegnato al procedimento principale.
Sulla ricevibilità della domanda di pronuncia pregiudiziale
23 Nelle sue osservazioni scritte, il governo tedesco ha sostenuto che la domanda di pronuncia pregiudiziale era irricevibile in quanto le questioni pregiudiziali non erano pertinenti ai fini della soluzione della controversia principale. Infatti, la risposta della Corte non sarebbe utile al giudice del rinvio nel caso in cui il trattamento dei dati fosse autorizzato a causa del consenso dell'insegnante. Orbene, il giudice del rinvio non spiegherebbe le ragioni per cui non terrebbe conto di una siffatta eventualità.
24 Interrogato su tale punto all'udienza dinanzi alla Corte, il governo tedesco ha tuttavia riconosciuto che le questioni pregiudiziali erano pertinenti quando il consenso dell'insegnante non poteva essere ottenuto.
25 A tale riguardo, occorre ricordare che, secondo una giurisprudenza costante, le questioni relative all'interpretazione del diritto dell'Unione poste dal giudice nazionale nel quadro normativo e fattuale che questi definisce sotto la propria responsabilità, e di cui non spetta alla Corte verificare l'esattezza, beneficiano di una presunzione di rilevanza. La Corte può rifiutare di pronunciarsi su una domanda di pronuncia pregiudiziale sollevata da un giudice nazionale solo quando risulta manifestamente che l'interpretazione del diritto dell'Unione richiesta non ha alcuna relazione con la realtà effettiva o con l'oggetto del procedimento principale, quando il problema è di natura ipotetica oppure quando la Corte non dispone degli elementi di fatto e di diritto necessari per fornire una risposta utile alle questioni che le vengono sottoposte (sentenza del 1° agosto 2022, Vyriausioji tarnybines etikos komisija, C-184/20, EU:C:2022:601, punto 48 e giurisprudenza ivi citata).
26 Nel caso di specie, dalla decisione di rinvio risulta che le parti nel procedimento principale dissentono sulla questione se l'introduzione della diffusione delle lezioni in diretta tramite sistemi di videoconferenza richieda, oltre al consenso dei genitori per i loro figli o a quello degli alunni maggiorenni, il consenso degli insegnanti interessati, o se, per contro, al trattamento dei dati personali di questi ultimi si applichi l'articolo 23, paragrafo 1, prima frase, dello HDSIG e l'articolo 86, paragrafo 4, dello HBG.
27 Occorre altresì rilevare che il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden), nella sua domanda di pronuncia pregiudiziale, ha dichiarato, da un lato, che il legislatore nazionale ha considerato l'articolo 23 dello HDSIG e l'articolo 86 dello HBG come norme più specifiche ai sensi dell'articolo 88 del RGPD e, dall'altro lato, che l'esito del procedimento principale dipende dal fatto che l'articolo 23, paragrafo 1, prima frase, dello HDSIG e l'articolo 86, paragrafo 4, dello HBG soddisfino i requisiti di cui all'articolo 88 del RGPD, di modo che essi possano costituire norme più specifiche applicabili al trattamento dei dati personali degli insegnanti nell'ambito della diffusione delle lezioni in diretta tramite il sistema di videoconferenza di cui trattasi nel procedimento principale.
28 Tenuto conto delle indicazioni così fornite nella domanda di pronuncia pregiudiziale, l'argomento dedotto dal governo tedesco non è tale da invertire la presunzione di rilevanza di cui beneficiano le questioni sollevate.
29 In tali circostanze, non può ritenersi né che l'interpretazione delle disposizioni del diritto dell'Unione richiesta non abbia manifestamente alcuna relazione con la realtà effettiva o con l'oggetto del procedimento principale, né che il problema sia di natura ipotetica, dal momento che il giudice del rinvio può prendere in considerazione tale interpretazione al fine di risolvere la controversia principale. Infine, la Corte dispone degli elementi di fatto e di diritto necessari per fornire una risposta utile alle questioni pregiudiziali sottopostele.
30 Pertanto, la domanda di pronuncia pregiudiziale è ricevibile.
Sulle questioni pregiudiziali
Osservazioni preliminari
31 Le questioni pregiudiziali vertono sull'interpretazione dell'articolo 88, paragrafi 1 e 2, del RGPD nell'ambito di una controversia relativa al trattamento dei dati personali degli insegnanti in occasione della diffusione in diretta, tramite videoconferenza, delle lezioni di cui essi sono incaricati nel contesto della scuola pubblica.
32 In primo luogo, occorre stabilire se un siffatto trattamento rientri nell'ambito di applicazione ratione materiae del RGPD, tenuto conto del fatto che, ai sensi dell'articolo 2, paragrafo 2, lettera a), di tale regolamento, quest'ultimo non si applica ai trattamenti di dati personali effettuati «per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione» e che, conformemente all'articolo 165, paragrafo 1, TFUE, gli Stati membri sono responsabili del contenuto dell'insegnamento e dell'organizzazione dei loro sistemi di istruzione.
33 A tale riguardo, dalla giurisprudenza della Corte risulta che la definizione dell'ambito di applicazione ratione materiae del RDPG, quale enunciata all'articolo 2, paragrafo 1, è molto ampia e che le eccezioni a tale ambito di applicazione, previste al suo articolo 2, paragrafo 2, devono essere interpretate restrittivamente [v., in tal senso, sentenze del 9 luglio 2020, Land Hessen, C-272/19, EU:C:2020:535, punto 68, nonché del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C-439/19, EU:C:2021:504, punti 61 e 62].
34 Inoltre, l'articolo 2, paragrafo 2, lettera a), del RGPD deve essere letto in combinato disposto con l'articolo 2, paragrafo 2, lettera b), e con il considerando 16, del medesimo, che precisa che detto regolamento non si applica ai trattamenti dei dati personali nell'ambito di «attività che non rientrano nell'ambito di applicazione del diritto dell'Unione, quali le attività riguardanti la sicurezza nazionale» nonché nell'esercizio di «attività relative alla politica estera e di sicurezza comune dell'Unione» [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C-439/19, EU:C:2021:504, punto 63].
35 Ne consegue che l'articolo 2, paragrafo 2, lettere a) e b), del RGPD, che si inserisce parzialmente nel solco dell'articolo 3, paragrafo 2, primo trattino, della direttiva 95/46, non può essere interpretato come avente una portata più ampia di quella dell'eccezione derivante dall'articolo 3, paragrafo 2, primo trattino, della direttiva 95/46, il quale escludeva già dall'ambito di applicazione di tale direttiva, in particolare, i trattamenti di dati personali effettuati nell'ambito di «attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato [UE, nella versione anteriore al trattato di Lisbona] e comunque [i] trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato» [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C-439/19, EU:C:2021:504, punto 64].
36 Nel caso di specie, è pacifico che l'attività relativa all'organizzazione dell'insegnamento nel Land dell'Assia non può essere inserita nella categoria delle attività aventi lo scopo di preservare la sicurezza nazionale, di cui all'articolo 2, paragrafo 2, lettera a), del RGPD.
37 Pertanto, un trattamento dei dati personali degli insegnanti nell'ambito della diffusione in diretta, tramite videoconferenza, delle lezioni da essi tenute nel contesto della scuola pubblica - come quello di cui trattasi nel procedimento principale - rientra nell'ambito di applicazione ratione materiae del RGPD.
38 In secondo luogo, dalla domanda di pronuncia pregiudiziale risulta che gli insegnanti, il cui trattamento dei dati personali è oggetto della controversia principale, rientrano nel servizio pubblico del Land dell'Assia, in quanto dipendenti o pubblici impiegati.
39 È dunque necessario stabilire se un siffatto trattamento dei dati personali rientri nell'ambito di applicazione dell'articolo 88 del RGPD, che riguarda «il trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro».
40 A questo proposito, va osservato che il RGPD non definisce i termini «dipendenti» e «rapporti di lavoro», né rinvia al diritto degli Stati membri per definirli. In mancanza di un siffatto rinvio, occorre ricordare che, dalle esigenze inerenti sia all'applicazione uniforme del diritto dell'Unione sia al principio di parità discende che i termini di una disposizione del diritto dell'Unione non contenente alcun rinvio espresso al diritto degli Stati membri al fine di determinare il senso e la portata della disposizione stessa devono di norma ricevere, in tutta l'Unione, un'interpretazione autonoma e uniforme (sentenza del 2 giugno 2022, HK/Danmark e HK/Privat, C-587/20, EU:C:2022:419, punto 25 e giurisprudenza ivi citata).
41 Inoltre, poiché il RGPD non definisce i termini «dipendenti» e «rapporti di lavoro», questi devono essere interpretati conformemente al loro senso abituale nel linguaggio corrente, tenendo conto del contesto nel quale vengono utilizzati e degli obiettivi perseguiti dalla normativa di cui essi fanno parte (sentenza del 2 giugno 2022, HK/Danmark e HK/Privat, C-587/20, EU:C:2022:419, punto 26 e giurisprudenza ivi citata).
42 Orbene, il termine «dipendente» nel suo significato abituale designa una persona che svolge la sua attività nell'ambito di un vincolo di subordinazione con il suo datore di lavoro e quindi sotto il suo controllo (sentenza del 18 marzo 2021, Kuoni Travel, C-578/19, EU:C:2021:213, punto 42).
43 Analogamente, la caratteristica essenziale di un «rapporto di lavoro» è la circostanza che una persona fornisca, per un certo periodo di tempo, a favore di un'altra e sotto la direzione di quest'ultima, prestazioni in contropartita delle quali riceve una retribuzione (sentenza del 15 luglio 2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, punto 49).
44 Dal momento che tale caratteristica è propria dei dipendenti e dei rapporti di lavoro tanto del settore pubblico quanto del settore privato, se ne deve dedurre che i termini «dipendente» e «rapporti di lavoro», intesi nel loro senso abituale, non escludono le persone che esercitano la loro attività professionale nel settore pubblico.
45 Infatti, la portata dell'articolo 88, paragrafo 1, del RGPD non può essere determinata in funzione della natura del vincolo giuridico che lega il dipendente al datore di lavoro. Pertanto, è irrilevante accertare se il lavoratore abbia la qualifica di dipendente o di pubblico impiegato, e se il suo rapporto di lavoro sia disciplinato dal diritto pubblico oppure dal diritto privato, posto che le nozioni giuridiche utilizzate in questo campo variano a seconda delle normative nazionali e non possono perciò fornire alcun criterio valido per un'interpretazione uniforme e autonoma di tale disposizione (v., per analogia, sentenze del 12 febbraio 1974, Sotgiu, 152/73, EU:C:1974:13, punto 5, e del 3 giugno 1986, Commissione/Francia, 307/84, EU:C:1986:222, punto 11).
46 Per quanto riguarda specificamente le persone il cui rapporto di lavoro non è fondato su un contratto di lavoro, come i pubblici impiegati, è vero che l'articolo 88 del RGPD fa riferimento, al suo paragrafo 1, all'«esecuzione del contratto di lavoro». Tuttavia, occorre rilevare, da un lato, che tale riferimento figura tra altre finalità del trattamento dei dati personali nell'ambito dei rapporti di lavoro che possono essere oggetto delle norme più specifiche adottate dagli Stati membri, elencate all'articolo 88, paragrafo 1, del RGPD, e che, in ogni caso, tale elencazione non presenta carattere esaustivo, come testimonia l'avverbio «in particolare» utilizzato in detta disposizione.
47 Dall'altro lato, l'irrilevanza della qualificazione del rapporto giuridico tra il dipendente e l'amministrazione presso cui è impiegato è corroborata dal fatto che la gestione, la pianificazione e l'organizzazione del lavoro, la parità e la diversità sul posto di lavoro, la salute e la sicurezza sul lavoro, la protezione della proprietà del datore di lavoro o del cliente, l'esercizio e il godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché la cessazione del rapporto di lavoro, che sono parimenti elencati in tale articolo 88, paragrafo 1, del RGPD, riguardano tanto l'impiego nel settore privato quanto quello nel settore pubblico.
48 Di conseguenza, dal riferimento all'«esecuzione del contratto di lavoro», di cui all'articolo 88, paragrafo 1, del RGPD, non si può dedurre che l'impiego nel settore pubblico che non è fondato su un contratto di lavoro sia escluso dall'ambito di applicazione di detta disposizione.
49 La stessa conclusione si impone per quanto riguarda la circostanza che l'articolo 88, paragrafo 2, del RGPD menziona, fra i tre elementi ai quali gli Stati membri devono prestare «in particolare» attenzione quando adottano siffatte «norme più specifiche», il trasferimento di dati personali «nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune». Infatti, gli altri due elementi, vale a dire la trasparenza del trattamento e i sistemi di monitoraggio sul posto di lavoro, riguardano tanto l'impiego nel settore privato quanto quello nel settore pubblico, indipendentemente dalla natura del rapporto giuridico che lega il dipendente al datore di lavoro.
50 L'interpretazione derivante dalla formulazione dell'articolo 88 del RGPD è confermata dal contesto in cui tale articolo si inserisce nonché dall'obiettivo perseguito dalla normativa di cui fa parte.
51 Il RGPD, come risulta dal suo articolo 1, paragrafo 1, letto alla luce, segnatamente, dei suoi considerando 9, 10 e 13, mira ad assicurare un'armonizzazione delle normative nazionali relative alla protezione dei dati personali che sia, in linea di principio, completa. Tuttavia, talune disposizioni di detto regolamento offrono la possibilità agli Stati membri di prevedere norme nazionali supplementari, più rigorose ovvero a carattere derogatorio, e lasciano a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate («clausole di apertura») (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, punto 57).
52 L'articolo 88 del RGPD, che fa parte del capo IX di tale regolamento, intitolato «Disposizioni relative a specifiche situazioni di trattamento», costituisce una siffatta clausola di apertura, poiché conferisce agli Stati membri la facoltà di adottare «norme più specifiche» per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro.
53 Le particolarità del trattamento dei dati personali nell'ambito dei rapporti di lavoro e, di conseguenza, la facoltà conferita agli Stati membri dall'articolo 88, paragrafo 1, del RGPD si spiegano in particolare con l'esistenza di un vincolo di subordinazione tra il dipendente e il datore di lavoro e non con la natura del vincolo giuridico che lega il primo al secondo.
54 Inoltre, ai sensi dell'articolo 1, paragrafo 2, del RGPD, in combinato disposto con il considerando 10 di quest'ultimo, tale regolamento mira, in particolare, a garantire un livello elevato di protezione delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali, diritto riconosciuto anche dall'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e strettamente connesso al diritto al rispetto della vita privata, sancito all'articolo 7 della stessa (v., in tal senso, sentenza del 1° agosto 2022, Vyriausioji tarnybines etikos komisija, C-184/20, EU:C:2022:601, punto 61).
55 Orbene, è conforme a tale obiettivo un'interpretazione ampia dell'articolo 88, paragrafo 1, del RGPD, secondo la quale le «norme più specifiche» che gli Stati membri possono prevedere per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro possono riguardare tutti i dipendenti, indipendentemente dalla natura del rapporto giuridico che li lega al loro datore di lavoro.
56 In tali circostanze, un trattamento dei dati personali degli insegnanti in occasione della diffusione in diretta, tramite videoconferenza, delle lezioni da essi tenute nel contesto della scuola pubblica - come quello di cui trattasi nel procedimento principale - rientra nell'ambito di applicazione ratione materiae e ratione personae dell'articolo 88 del RGPD.
Sulla prima questione
57 Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l'articolo 88 del RGPD debba essere interpretato nel senso che, per poter essere qualificata come norma più specifica ai sensi del paragrafo 1 di tale articolo, una norma giuridica deve soddisfare le condizioni poste dal paragrafo 2 di detto articolo.
58 Come rilevato al punto 52 della presente sentenza, gli Stati membri hanno la facoltà e non l'obbligo di adottare siffatte norme, potendo queste ultime essere previste per legge o tramite contratti collettivi.
59 Inoltre, gli Stati membri, allorché esercitano la facoltà ad essi conferita da una clausola di apertura del RGPD, devono avvalersi del loro margine di discrezionalità alle condizioni ed entro i limiti stabiliti dalle disposizioni di tale regolamento e devono dunque legiferare in modo da non pregiudicare il contenuto e gli obiettivi di detto regolamento (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, punto 60).
60 Per stabilire le condizioni e i limiti a cui sono soggette le norme alle quali si riferisce l'articolo 88, paragrafi 1 e 2, del RGPD e, di conseguenza, valutare il margine di discrezionalità lasciato agli Stati membri da tali disposizioni si deve ricordare che, secondo giurisprudenza costante, l'interpretazione di una disposizione del diritto dell'Unione richiede di tener conto non soltanto della sua formulazione, ma anche del contesto in cui essa si inserisce nonché degli obiettivi e della finalità che l'atto di cui essa fa parte persegue (sentenza del 15 marzo 2022, Autorité des marchés financiers, C-302/20, EU:C:2022:190, punto 63).
61 Quanto alla formulazione dell'articolo 88, paragrafo 1, del RGPD risulta, anzitutto, dall'uso dei termini «più specifiche» che le norme contemplate da tale disposizione devono avere un contenuto normativo proprio del settore regolamentato e distinto dalle norme generali di tale regolamento.
62 Inoltre, come rilevato al punto 52 della presente sentenza, l'obiettivo delle norme adottate sulla base di tale disposizione consiste nel proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell'ambito dei rapporti di lavoro.
63 Infine, dalle diverse finalità per le quali il trattamento dei dati personali può essere effettuato, quali enunciate all'articolo 88, paragrafo 1, del RGPD, deriva che le «norme più specifiche» che esso contempla possono riferirsi a un gran numero di trattamenti connessi a un rapporto di lavoro, in modo da coprire l'insieme delle finalità per le quali il trattamento di dati personali può essere effettuato nell'ambito di un rapporto di lavoro. Inoltre, poiché l'enunciazione di tali finalità non è esaustiva, come rilevato al punto 46 della presente sentenza, gli Stati membri dispongono di un margine di discrezionalità quanto ai trattamenti così assoggettati a tali norme più specifiche.
64 L'articolo 88 del RGPD prevede, al paragrafo 2, che le norme adottate sulla base del paragrafo 1 includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro.
65 Dalla formulazione dell'articolo 88 del RGPD risulta quindi che il paragrafo 2 di tale articolo circoscrive il margine di discrezionalità degli Stati membri che intendono adottare «norme più specifiche» ai sensi del paragrafo 1 del suddetto articolo. Pertanto, da un lato, tali norme non possono limitarsi a ribadire le disposizioni di detto regolamento e devono essere volte alla protezione dei diritti e delle libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell'ambito dei rapporti di lavoro e contenere misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati.
66 Dall'altro lato, un'attenzione particolare deve essere prestata per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro.
67 Quanto al contesto in cui si inserisce l'articolo 88 del RGPD, occorre rilevare, in primo luogo, che tale disposizione deve essere interpretata alla luce del considerando 8 di detto regolamento, secondo il quale, ove tale regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del medesimo regolamento nel proprio diritto nazionale.
68 In secondo luogo, occorre ricordare che i capi II e III del RGPD enunciano, rispettivamente, i principi che disciplinano il trattamento dei dati personali e i diritti dell'interessato che devono essere rispettati in qualsiasi trattamento di dati personali [sentenza del 24 febbraio 2022, Valsts ienemumu dienests (Trattamento di dati personali a fini fiscali), C-175/20, EU:C:2022:124, punto 50].
69 In particolare, ogni trattamento di dati personali deve, da un lato, essere conforme ai principi relativi al trattamento dei dati elencati all'articolo 5 del RGPD e, dall'altro, rispondere a uno dei principi relativi alla liceità del trattamento dati elencati all'articolo 6 di detto regolamento [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C-439/19, EU:C:2021:504, punto 96 e giurisprudenza ivi citata].
70 Per quanto riguarda i principi relativi alla liceità del trattamento, l'articolo 6 del RGPD prevede un elenco esaustivo e tassativo dei casi nei quali un trattamento dei dati personali può essere considerato lecito. Pertanto, per poter essere considerato lecito, un trattamento deve rientrare in uno dei casi previsti da detto articolo 6 [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C-439/19, EU:C:2021:504, punto 99 e giurisprudenza ivi citata].
71 Ne consegue che, sebbene, nell'esercizio della facoltà loro concessa da una clausola di apertura del RGPD, gli Stati membri possano, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi di tale regolamento nel proprio diritto nazionale, le «norme più specifiche» adottate sulla base dell'articolo 88, paragrafo 1, del suddetto regolamento non possono limitarsi a ribadire le condizioni di liceità del trattamento dei dati personali nonché i principi di tale trattamento, enunciati, rispettivamente, all'articolo 6 e all'articolo 5 del medesimo regolamento, o a rinviare a tali condizioni e principi.
72 L'interpretazione secondo la quale il margine di discrezionalità degli Stati membri al momento dell'adozione delle norme sulla base del paragrafo 1 dell'articolo 88 del RGPD è limitato dal paragrafo 2 di tale articolo è conforme all'obiettivo di tale regolamento, ricordato al punto 51 della presente sentenza, consistente nel garantire un'armonizzazione delle legislazioni nazionali relative alla protezione dei dati personali che sia, in linea di principio, completa.
73 Infatti, come rilevato sostanzialmente dall'avvocato generale ai paragrafi 56, 70 e 73 delle sue conclusioni, la possibilità per gli Stati membri di adottare «norme più specifiche» sulla base dell'articolo 88, paragrafo 1, del RGPD può dar luogo a una mancanza di armonizzazione nell'ambito di applicazione di dette norme. Orbene, le condizioni imposte dall'articolo 88, paragrafo 2, di tale regolamento rispecchiano i limiti della differenziazione accettata da detto regolamento, nel senso che siffatta mancanza di armonizzazione può essere ammessa solo qualora le differenze che permangono siano accompagnate da garanzie specifiche ed appropriate intese a proteggere i diritti e le libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell'ambito dei rapporti di lavoro.
74 Di conseguenza, per poter essere qualificata come «norma più specifica» ai sensi del paragrafo 1 dell'articolo 88 del RGPD, una norma giuridica deve soddisfare le condizioni poste dal paragrafo 2 di detto articolo. Oltre ad avere un contenuto normativo proprio al settore regolamentato e distinto dalle norme generali di detto regolamento, tali norme più specifiche devono essere volte alla protezione dei diritti e delle libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell'ambito dei rapporti di lavoro e contenere misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati. Un'attenzione particolare deve essere prestata per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro.
75 Alla luce di tutte le suesposte considerazioni, occorre rispondere alla prima questione dichiarando che l'articolo 88 del RGPD deve essere interpretato nel senso che una normativa nazionale non può costituire una «norma più specifica», ai sensi del paragrafo 1 di tale articolo, nel caso in cui essa non soddisfi le condizioni di cui al paragrafo 2 di detto articolo.
Sulla seconda questione
76 Con la sua seconda questione, il giudice del rinvio si interroga, in sostanza, sulle conseguenze che occorre trarre da una constatazione di incompatibilità con le condizioni e i limiti previsti all'articolo 88, paragrafi 1 e 2, del RGPD di disposizioni nazionali adottate per garantire la protezione dei diritti e delle libertà per quanto riguarda il trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro.
77 A questo proposito, si deve ricordare che, ai sensi dell'articolo 288, secondo comma, TFUE, un regolamento è obbligatorio in tutti i suoi elementi ed è direttamente applicabile in ciascuno degli Stati membri, cosicché le sue disposizioni non necessitano, in linea di principio, di alcuna misura di applicazione degli Stati membri (sentenza del 15 giugno 2021, Facebook Ireland e a., C-645/19, EU:C:2021:483, punto 109).
78 Tuttavia, come ricordato al punto 51 della presente sentenza, talune clausole di apertura previste dal RGPD consentono agli Stati membri di prevedere norme nazionali supplementari, più rigorose ovvero a carattere derogatorio, e lasciano a questi ultimi un margine di discrezionalità su come le disposizioni di cui trattasi possono essere attuate.
79 Come rilevato al punto 59 della presente sentenza, gli Stati membri, allorché esercitano la facoltà ad essi conferita da una clausola di apertura del RGPD, devono avvalersi del loro margine di discrezionalità alle condizioni ed entro i limiti stabiliti dalle disposizioni di tale regolamento e devono dunque legiferare in modo da non pregiudicare il contenuto e gli obiettivi di detto regolamento.
80 Spetta al giudice del rinvio, l'unico competente a interpretare il diritto nazionale, valutare se le disposizioni di cui trattasi nel procedimento principale rispettino le condizioni e i limiti stabiliti dall'articolo 88 del RGPD, come riassunti al punto 74 della presente sentenza.
81 Tuttavia, come rilevato dall'avvocato generale ai paragrafi da 60 a 62 delle sue conclusioni, disposizioni quali l'articolo 23, paragrafo 1, dello HDSIG e l'articolo 86, paragrafo 4, dello HBG, che subordinano il trattamento dei dati personali dei dipendenti alla condizione che tale trattamento sia necessario per talune finalità connesse all'esecuzione di un rapporto di lavoro, sembrano ribadire la condizione di liceità generale del trattamento già enunciata all'articolo 6, paragrafo 1, primo comma, lettera b), del RGPD, senza aggiungere una norma più specifica ai sensi dell'articolo 88, paragrafo 1, di tale regolamento. Infatti, siffatte disposizioni non sembrano avere un contenuto normativo proprio al settore regolamentato e distinto dalle norme generali del suddetto regolamento.
82 Nel caso in cui il giudice del rinvio giungesse alla conclusione che le disposizioni di cui al procedimento principale non rispettano le condizioni e i limiti stabiliti dall'articolo 88 del RGPD, esso sarebbe tenuto, in linea di principio, a disapplicare dette disposizioni.
83 Infatti, in virtù del principio del primato del diritto dell'Unione, le disposizioni dei Trattati e gli atti delle istituzioni direttamente applicabili hanno l'effetto, nei loro rapporti con il diritto interno degli Stati membri, di rendere ipso iure inapplicabile, per il fatto stesso della loro entrata in vigore, qualsiasi disposizione contrastante della legislazione nazionale (sentenze del 9 marzo 1978, Simmenthal, 106/77, EU:C:1978:49, punto 17; del 19 giugno 1990, Factortame e a., C-213/89, EU:C:1990:257, punto 18, nonché del 4 febbraio 2016, Ince, C-336/14, EU:C:2016:72, punto 52).
84 Pertanto, in assenza di norme più specifiche che rispettino le condizioni e i limiti stabiliti dall'articolo 88 del RGPD, il trattamento di dati personali nell'ambito dei rapporti di lavoro, tanto nel settore privato quanto nel settore pubblico, è direttamente disciplinato dalle disposizioni di detto regolamento.
85 A tale riguardo, occorre rilevare che possono applicarsi a un trattamento di dati personali come quello di cui trattasi nel procedimento principale le lettere c) ed e) dell'articolo 6, paragrafo 1, primo comma, del RGPD, in forza delle quali il trattamento di dati personali è lecito qualora esso sia necessario, rispettivamente, per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
86 L'articolo 6, paragrafo 3, del RGPD stabilisce, da un lato, per quanto riguarda le due ipotesi di liceità previste, rispettivamente, alle lettere c) ed e) dell'articolo 6, paragrafo 1, primo comma, del medesimo regolamento, che il trattamento deve essere fondato sul diritto dell'Unione o sul diritto dello Stato membro cui è soggetto il responsabile del trattamento, e aggiunge, dall'altro lato, che la finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al suddetto paragrafo 1, primo comma, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento [v., in tal senso, sentenza dell'8 dicembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalità del trattamento di dati personali - Indagine penale), C-180/21, EU:C:2022:967, punto 95].
87 Occorre ricordare che la Corte ha dichiarato che il trattamento lecito di dati personali da parte dei titolari del trattamento sulla base dell'articolo 6, paragrafo 1, primo comma, lettera e), del RGPD presuppone non solo che si possa ritenere che questi ultimi svolgano un compito di interesse pubblico, ma anche che i trattamenti di dati personali per l'esecuzione di un siffatto compito si fondino su una base giuridica prevista all'articolo 6, paragrafo 3, di tale regolamento (v., in tal senso, sentenza del 20 ottobre 2022, Koalitsia «Demokratichna Bulgaria - Obedinenie», C-306/21, EU:C:2022:813, punto 52).
88 Di conseguenza, qualora il giudice del rinvio constati che le disposizioni nazionali relative al trattamento dei dati personali nell'ambito dei rapporti di lavoro non rispettano le condizioni e i limiti stabiliti dall'articolo 88, paragrafi 1 e 2, del RGPD, esso deve ulteriormente verificare se dette disposizioni costituiscano una base giuridica ai sensi dell'articolo 6, paragrafo 3, di tale regolamento, in combinato disposto con il suo considerando 45, che rispetti i requisiti previsti dal suddetto regolamento. In caso affermativo, l'applicazione delle disposizioni nazionali non deve essere esclusa.
89 Alla luce di quanto precede, occorre rispondere alla seconda questione pregiudiziale dichiarando che l'articolo 88, paragrafi 1 e 2, del RGPD deve essere interpretato nel senso che l'applicazione di disposizioni nazionali adottate per garantire la protezione dei diritti e delle libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell'ambito dei rapporti di lavoro deve essere esclusa qualora tali disposizioni non rispettino le condizioni e i limiti stabiliti da tale articolo 88, paragrafi 1 e 2, a meno che dette disposizioni costituiscano una base giuridica ai sensi dell'articolo 6, paragrafo 3, di tale regolamento che rispetti i requisiti previsti da quest'ultimo.
Sulle spese
90 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
PQM
Per questi motivi, la Corte (Prima Sezione) dichiara:
1) L'articolo 88 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
deve essere interpretato nel senso che:
una normativa nazionale non può costituire una «norma più specifica», ai sensi del paragrafo 1 di tale articolo, nel caso in cui essa non soddisfi le condizioni di cui al paragrafo 2 di detto articolo.
2) L'articolo 88, paragrafi 1 e 2, del regolamento 2016/679
deve essere interpretato nel senso che:
l'applicazione di disposizioni nazionali adottate per garantire la protezione dei diritti e delle libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell'ambito dei rapporti di lavoro deve essere esclusa qualora tali disposizioni non rispettino le condizioni e i limiti stabiliti da tale articolo 88, paragrafi 1 e 2, a meno che dette disposizioni costituiscano una base giuridica ai sensi dell'articolo 6, paragrafo 3, di tale regolamento che rispetti i requisiti previsti da quest'ultimo.