El TJUE dictamina que las disposiciones contenidas en un Convenio colectivo quedan sujetas a control jurisdiccional en relación al cumplimiento de las previsiones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los datos, y si el órgano judicial comprueba que las previsiones convencionales no respetan las condiciones y los límites establecidos por el RGPD, deberá fallar en el sentido de dejarlas inaplicadas.
Cuando el Reglamento comunitario se refiere a las «normas más específicas» que los Estados miembros pueden adoptar en sus respectivos ordenamientos jurídicos internos, debe entenderse que esta expresión de «normas más específicas» engloba no solo las disposiciones legislativas, sino también a los Convenios colectivos, que deben cumplir todas las exigencias del Reglamento; de un lado, la exigencia general de garantizar un elevado nivel de protección de los derechos y libertades de los interesados a quienes concierna ese tratamiento, y de otro, la particular exigencia de atender al criterio de la necesidad del tratamiento de los datos personales.
Aunque se dota a las partes de un Convenio colectivo de un margen de apreciación equivalente al que se reconoce a los Estados miembros a la hora de diseñar las normas sobre protección de datos personales de los trabajadores, este margen no puede llevarse al extremo de minimizar o incluso anular las garantías mínimas de protección de las libertades y los derechos fundamentales de los trabajadores por lo que respecta al tratamiento de sus datos personales en el ámbito laboral.
El Tribunal reconoce que con carácter general, las partes de un convenio colectivo suelen estar preparadas para evaluar si un tratamiento de datos reviste un carácter necesario en un marco profesional concreto, - porque se entiende que poseen amplios conocimientos sobre las necesidades propias del ámbito del empleo y del sector de actividad de que se trate-, pero es posible que por razones económicas o de conveniencia, puedan menoscabar indebidamente el objetivo del RGPD consistente en garantizar la protección, a un elevado nivel, de las libertades y los derechos fundamentales de los trabajadores en lo que respecta al tratamiento de sus datos personales, y por ello, privar de la posibilidad de control judicial en cuanto al carácter necesario del tratamiento de datos personales, no sería compatible con el RGPD.
Precisa el TJUE que este control jurisdiccional debe tener por objeto la comprobación del carácter «necesario» del tratamiento de los datos, y en concreto, se veta a los negociadores del Convenio colectivo de la posibilidad de introducir normas que lleven a aplicar de manera menos estricta, o incluso a descartar, esta exigencia de necesidad.