GDPR, collective bargaining and data transfer abroad

Journal title GIORNALE DI DIRITTO DEL LAVORO E DI RELAZIONI INDUSTRIALI
Author/s Barbara de Mozzi
Publishing Year 2025 Issue 2025/187
Language Italian Pages 22 P. 538-559 File size 177 KB
DOI 10.3280/GDL2025-187009
DOI is like a bar code for intellectual property: to have more infomation click here

Below, you can see the article first page

If you want to buy this article in PDF format, you can do it, following the instructions to buy download credits

Article preview

FrancoAngeli is member of Publishers International Linking Association, Inc (PILA), a not-for-profit association which run the CrossRef service enabling links to and from online scholarly content.

The article examines the judgment of the Court of Justice of the European Union of 19 December 2024, C-65/23, concerning the protection of workers’ personal data, with particular reference to Article 88 GDPR and the role of collective bargaining in regulating data processing in the employment context. After reconstructing the procedural background, the analysis focuses on the limits to the ability of national laws and collective agreements to introduce derogatory or merely duplicative provisions in relation to the Regulation, reiterating the need to comply with the principles set out in Articles 5, 6 and 9 GDPR. The paper explores the broad scope of judicial review over compliance with these principles, with the consequence of non-application in case of incompatibility. It then addresses the issue of data transfers to third countries, paying particular attention to the Schrems saga, alternative safeguard mechanisms, and the recent EU-US Data Privacy Framework, highlighting the continuing uncertainties and the potential impact of the “European Data Strategy”.

Keywords: Protection of persons about the processing of personal data; Regulation (EU) 2016/679; Article 88(1) and (2).

  1. Abraha H.H. (2022). A pragmatic compromise? The role of Article 88 GDPR in upholding privacy in the workplace. IDPL, 12(4): 297 ss.
  2. Abraha H.H. (2024). Article 88 GDPR and the Interplay between EU and Member State Employee Data Protection Rules. MLR: 484 ss.
  3. Busacca A. (2024). Trasferimento dei dati personali UEUSA novità e criticità del data privacy framework. 18.12.2024. Testo disponibile al sito: www.federalismi.it (consultato il 20.9.2025).
  4. Calderini B. (2024). Geopolitica e flussi transfrontalieri dei dati: gli sviluppi dopo Schrems, Testo disponibile al sito: Www.agendadigitale.eu/sicurezza/geopoliticaeflussitransfrontalierideidatiglisviluppidoposchremsii/ (consultato il 20.9.2025).
  5. Califano L. (2018). Principi e contenuti del Regolamento UE 2016/679 in materia di protezione dei dati personali. In: Scaffardi L. (a cura di), I “profili” del diritto. Regole, rischi e opportunità nell’era digitale. Torino: Giappichelli, 1 ss.
  6. Capriotti P. (2025). Un nuovo tassello nell’interpretazione dell’art. 88 GDPR: lo spazio della contrattazione collettiva nella definizione delle “norme più specifiche” per il trattamento Dei dati personali dei lavoratori. DRI: 597 ss.
  7. Cataudella A. (1991). Riservatezza (diritto alla), Enc. giur. Treccani, XXIII. Roma: 2 ss. Ciucciovino S. (2021). Comm. sub art. 88. In: D’Orazio R., Finocchiaro G., Pollicino O.,
  8. Resta G. (a cura di), Codice della privacy e Data Protection. Milano: Giuffrè Francis Levebvre, 947 ss.
  9. Corti M. (2023). Potere di controllo e nuove tecnologie. Il ruolo dei partner sociali. LLI, n. 9. de Mozzi B. (2022). Il ruolo delle Binding Corporate Rules: eteronomia e autonomia individuale nel diritto europeo ed extraeuropeo. In: Pisani C., Proia G., Topo A. (a cura di), Privacy e lavoro. La circolazione dei dati personali e i controlli nel rapporto di lavoro. Milano: Giuffrè, 140 ss.
  10. D’Antona M. (1990). Diritto sindacale in trasformazione. In: Id., Letture di diritto sindacale. Napoli: Jovene.
  11. Dagnino E. (2023). Modifiche agli obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati. In: Dagnino E., Garofalo C., Picco G., Rausei P. (a cura di), Commentario al d.l. 5 maggio 2023, n. 48, c.d. “decreto lavoro”. Bergamo: Adapt University Press, 59 ss.
  12. Grandi M. (2004). In difesa della rappresentanza sindacale. DLRI: 645 ss.
  13. Hendrickx F., Mangan D., Gramano E. (a cura di) (2023). Privacy@work. A European and Comparative Perspective. Kluwer Law International.
  14. Hoffman D.A. (2021). Schrems II and TikTok: Two Sides of the Same Coin. NCJLT, 22(4): 1 ss.
  15. Malgieri G. (2021). Sub art. 5. In: D’Orazio R., Finocchiaro G., Pollicino O., Resta G. (a cura di), Codice della privacy e Data Protection. Milano: Giuffrè Francis Lefebvre, 177 ss.
  16. Malizia M. (2025). La privacy del lavoratore. In: Carinci F., Pizzoferrato A., Diritto del lavoro dell’Unione europea. Torino: Giappichelli, 348 ss.
  17. Maresca A. (2016). Controlli tecnologici e tutele del lavoratore nel nuovo art. 4 dello Statuto dei lavoratori. RIDL, I: 513 ss.
  18. Molé M. (2024). Surveiller et punir: Amazon Francia e la sanzione del Garante dei dati per la sorveglianza “intrusiva e pressante” dei suoi magazzinieri. DRI: 552 ss.
  19. Pisanu N. (2025). Altolà a Facebook dal Garante privacy irlandese: così si apre il vaso di Pandora. Testo disponibile al sito: www.cybersecurity360.it/ (consultato il 20.9.2025).
  20. Poletti D. (2021). Sub art. 6. In: D’Orazio R., Finocchiaro G., Pollicino O., Resta G. (a cura di), Codice della privacy e Data Protection. Milano: Giuffrè Francis Lefebvre, 192 ss.
  21. Ricci A. (2024). Introduzione al regolamento europeo sull’accesso equo ai dati e sul loro utilizzo. NLDCC: 799 ss.
  22. Riccio G.M. (2022). Commento all’art. 45 GDPR. In: Riccio G.M, Scorza G., Belisario E. (a cura di), GDPR e Normativa Privacy. Commentario. II ed. Milano: Wolters Kluwer Italia. Sartori A. (2020). Il controllo tecnologico sui lavoratori. La nuova disciplina italiana tra vincoli sovranazionali e modelli comparati. Torino: Giappichelli.
  23. Sciaudone R. (a cura di) (2023). Commentario al codice della privacy. Pisa: Pacini giuridica. Sitzia A. (2018). Il decreto legislativo di attuazione del Regolamento Privacy (n. 101 del 2018): profili giuslavoristici. LDE, n. 2.
  24. Thiene A. (2021). Sub art. 9. In: D’Orazio R., Finocchiaro G., Pollicino O., Resta G. (a cura di), Codice della privacy e Data Protection. Milano: Giuffrè Francis Lefebvre, 240 ss.
  25. Topo A., Tardivo D. (2022). Hard law e soft law nel diritto dell’Unione europea in materia di trattamento dei dati personali e di tutela della riservatezza del lavoratore. In: Pisani C., Proia G., Topo A. (a cura di), Privacy e lavoro. La circolazione dei dati personali e i controlli nel rapporto di lavoro. Milano: Giuffrè, 75 ss.
  26. Zenovich Z. (2015). Intorno alla decisione nel caso Schrems: la sovranità digitale e il governo internazionale delle reti di telecomunicazione. DII: 683 ss.

Barbara de Mozzi, GDPR, contrattazione collettiva e trasferimento di dati all’estero in "GIORNALE DI DIRITTO DEL LAVORO E DI RELAZIONI INDUSTRIALI " 187/2025, pp 538-559, DOI: 10.3280/GDL2025-187009