CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:1022

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Terceira Secção)

21 de dezembro de 2023 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 6.o, n.o 1 — Pressupostos de licitude do tratamento — Artigo 9.o, n.os 1 a 3 — Tratamento de categorias especiais de dados pessoais — Dados relativos à saúde — Apreciação da capacidade de trabalho de um trabalhador — Serviço médico em matéria de seguro de doença que trata de dados relativos à saúde dos seus trabalhadores — Admissibilidade e condições desse tratamento — Artigo 82.o, n.o 1 — Direito de indemnização e responsabilidade — Reparação de um dano imaterial — Função compensatória — Incidência da culpa do responsável pelo tratamento»

No processo C‑667/21,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pelo Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha), por Decisão de 26 de agosto de 2021, que deu entrada no Tribunal de Justiça em 8 de novembro de 2021, no processo

contra

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

O TRIBUNAL DE JUSTIÇA (Terceira Secção),

composto por: K. Jürimäe, presidente de secção, N. Piçarra, M. Safjan, N. Jääskinen (relator) e M. Gavalec, juízes,

advogado‑geral: M. Campos Sánchez‑Bordona,

secretário: A. Calot Escobar,

vistos os autos,

vistas as observações apresentadas:

– em representação de ZQ, por E. Daun, Rechtsanwalt,

– em representação do Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, por M. Wehner, Rechtsanwalt,

– em representação da Irlanda, por M. Browne, Chief State Solicitor, A. Joyce e M. Lane, na qualidade de agentes, assistidos por D. Fennelly, BL,

– em representação do Governo Italiano, por G. Palmieri, na qualidade de agente, assistida por M. Russo, avvocato dello Stato,

– em representação da Comissão Europeia, por A. Bouchagiar, M. Heller e H. Kranenborg, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 25 de maio de 2023,

profere o presente

Acórdão

1 O pedido de decisão prejudicial tem por objeto a interpretação do artigo 9.^o, n.^o 1, n.^o 2, alínea h), e n.^o 3, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»), lido em conjugação com o artigo 6.^o, n.^o 1, deste regulamento, bem como a interpretação do seu artigo 82.^o, n.^o 1.

2 Este pedido foi apresentado no âmbito de um litígio que opõe ZQ ao seu empregador, o Medizinischer Dienst der Krankenversicherung Nordrhein (Serviço Médico do Seguro de Doença da Renânia do Norte, Alemanha) (a seguir «MDK Nordrhein»), a respeito da indemnização pelo dano que o primeiro alega ter sofrido devido a um tratamento de dados relativos à sua saúde efetuado ilicitamente pelo segundo.

Quadro jurídico

Direito da União

3 Os considerandos 4 a 8, 10, 35, 51 a 53, 75 e 146 do RGPD têm a seguinte redação:

«(4) O tratamento dos dados pessoais deverá ser concebido para servir as pessoas. O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. O presente regulamento respeita todos os direitos fundamentais e observa as liberdade e os princípios reconhecidos na [Carta dos Direitos Fundamentais da União Europeia], consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, […] a proteção dos dados pessoais, […]

(5) A integração económica e social resultante do funcionamento do mercado interno provocou um aumento significativo dos fluxos transfronteiriços de dados pessoais. O intercâmbio de dados entre intervenientes públicos e privados, incluindo as pessoas singulares, as associações e as empresas, intensificou‑se na União Europeia. As autoridades nacionais dos Estados‑Membros são chamadas, por força do direito da União, a colaborar e a trocar dados pessoais entre si, a fim de poderem desempenhar as suas funções ou executar funções por conta de uma autoridade de outro Estado‑Membro.

(6) A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais. A recolha e a partilha de dados pessoais registaram um aumento significativo. As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades. As pessoas singulares disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global. As novas tecnologias transformaram a economia e a vida social e deverão contribuir para facilitar a livre circulação de dados pessoais na União e a sua transferência para países terceiros e organizações internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais.

(7) Esta evolução exige um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas.

(8) Caso o presente regulamento preveja especificações ou restrições das suas regras pelo direito de um Estado‑Membro, estes podem incorporar elementos do presente regulamento no respetivo direito nacional, na medida do necessário para manter a coerência e tornar as disposições nacionais compreensíveis para as pessoas a quem se aplicam.

[…]

(10) A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados‑Membros. […] O presente regulamento também dá aos Estados‑Membros margem de manobra para especificarem as suas regras, inclusive em matéria de tratamento de categorias especiais de dados pessoais (“dados sensíveis”). […]

[…]

(35) Deverão ser considerados dados pessoais relativos à saúde todos os dados relativos ao estado de saúde de um titular de dados que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro. […]

[…]

(51) Merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais. […] Para além dos requisitos específicos para este tipo de tratamento, os princípios gerais e outras disposições do presente regulamento deverão ser aplicáveis, em especial no que se refere às condições para o tratamento lícito. Deverão ser previstas de forma explícita derrogações à proibição geral de tratamento de categorias especiais de dados pessoais, por exemplo, se o titular dos dados der o seu consentimento expresso ou para ter em conta necessidades específicas […]

(52) As derrogações à proibição de tratamento de categorias especiais de dados pessoais deverão ser igualmente permitidas quando estiverem previstas no direito da União ou dos Estados‑Membros e sujeitas a salvaguardas adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, caso tal seja do interesse público, nomeadamente o tratamento de dados pessoais em matéria de direito laboral, de direito de proteção social, incluindo as pensões, e para fins de segurança, monitorização e alerta em matéria de saúde, prevenção ou controlo de doenças transmissíveis e outras ameaças graves para a saúde. Essas derrogações poderão ser previstas por motivos sanitários, incluindo de saúde pública e de gestão de serviços de saúde, designadamente para assegurar a qualidade e a eficiência em termos de custos dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de saúde, ou para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. […]

(53) As categorias especiais de dados pessoais que merecem uma proteção mais elevada só deverão ser objeto de tratamento para fins relacionados com a saúde quando tal for necessário para atingir os objetivos no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gestão dos serviços e sistemas de saúde ou de ação social, incluindo o tratamento por parte da administração e das autoridades sanitárias centrais nacionais desses dados para efeitos de controlo da qualidade, informação de gestão e supervisão geral a nível nacional e local do sistema de saúde ou de ação social, assegurando a continuidade dos cuidados de saúde ou de ação social […]. Por conseguinte, o presente regulamento deverá estabelecer condições harmonizadas para o tratamento de categorias especiais de dados pessoais relativos à saúde, tendo em conta necessidades específicas, designadamente quando o tratamento desses dados for efetuado para determinadas finalidades ligadas à saúde por pessoas sujeitas a uma obrigação legal de sigilo profissional. O direito da União ou dos Estados‑Membros deverá prever medidas específicas e adequadas com vista à defesa dos direitos fundamentais e dos dados pessoais das pessoas singulares. Os Estados‑Membros deverão ser autorizados a manter ou introduzir outras condições, incluindo limitações, no que diz respeito ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde. […]

[…]

(75) O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial quando o tratamento possa dar origem à discriminação, à usurpação ou roubo da identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a quaisquer outros prejuízos importantes de natureza económica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo sobre os respetivos dados pessoais; quando forem tratados […] dados relativos à saúde […]; quando forem avaliados aspetos de natureza pessoal, em particular análises ou previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à saúde, […] a fim de definir ou fazer uso de perfis; […]

[…]

(146) O responsável pelo tratamento ou o subcontratante deverão reparar quaisquer danos de que alguém possa ser vítima em virtude de um tratamento que viole o presente regulamento. O responsável pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o dano não lhe é de modo algum imputável. O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento. Tal não prejudica os pedidos de indemnização por danos provocados pela violação de outras regras do direito da União ou dos Estados‑Membros. Os tratamentos que violem o presente regulamento abrangem igualmente os que violem os atos delegados e de execução adotados nos termos do presente regulamento e o direito dos Estados‑Membros que dê execução a regras do presente regulamento. Os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido. […]»

4 Incluído no capítulo I deste regulamento, relativo às «[d]isposições gerais», o artigo 2.^o, sob a epígrafe «Âmbito de aplicação material», prevê, no seu n.^o 1:

«O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.»

5 O artigo 4.^o do referido regulamento, sob a epígrafe «Definições», dispõe:

«Para efeitos do presente regulamento, entende‑se por:

1) “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); […]

2) “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados […]

[…]

7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; […]

[…]

15) “Dados relativos à saúde”, dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

[…]»

6 O capítulo II do RGPD, relativo aos «[p]rincípios» estabelecidos por este último, inclui os artigos 5.^o a 11.^o do mesmo.

7 O artigo 5.^o deste regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», prevê:

«1. Os dados pessoais são:

a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);

[…]

f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (“integridade e confidencialidade”);

2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.^o 1 e tem de poder comprová‑lo (“responsabilidade”).»

8 O artigo 6.^o do referido regulamento, sob a epígrafe «Licitude do tratamento», dispõe, no seu n.^o 1:

«O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré‑contratuais a pedido do titular dos dados;

c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d) O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.»

9 O artigo 9.^o do mesmo regulamento, sob a epígrafe «Tratamento de categorias especiais de dados pessoais», tem a seguinte redação:

«1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

2. O disposto no n.^o 1 não se aplica se se verificar um dos seguintes casos:

[…]

b) Se o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União ou dos Estados‑Membros ou ainda por uma convenção coletiva nos termos do direito dos Estados‑Membros que preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados;

[…]

h) Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito da União ou dos Estados‑Membros ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no n.^o 3;

[…]

3. Os dados pessoais referidos no n.^o 1 podem ser tratados para os fins referidos no n.^o 2, alínea h), se os dados forem tratados por ou sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União ou dos Estados‑Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou dos Estados‑Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes.

4. Os Estados‑Membros podem manter ou impor novas condições, incluindo limitações, no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde.»

10 O capítulo IV do RGPD, sob a epígrafe «Responsável pelo tratamento e subcontratante», inclui os artigos 24.^o a 43.^o do mesmo.

11 Incluído na secção 1 deste capítulo, sob a epígrafe «Obrigações gerais», o artigo 24.^o deste regulamento, sob a epígrafe «Responsabilidade do responsável pelo tratamento», prevê, no seu n.^o 1:

«Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.»

12 Incluído na secção 2 do referido capítulo, sob a epígrafe «Segurança dos dados pessoais», o artigo 32.^o do referido regulamento, sob a epígrafe «Segurança do tratamento», dispõe, no seu n.^o 1:

«Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:

a) A pseudonimização e a cifragem dos dados pessoais;

b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;

[…]»

13 O capítulo VIII do RGPD, sob a epígrafe «Vias de recurso, responsabilidade e sanções», contém os artigos 77.^o a 84.^o deste regulamento.

14 Nos termos do artigo 82.^o do referido regulamento, sob a epígrafe «Direito de indemnização e responsabilidade»:

«1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

2. Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. […]

3. O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.^o 2, se provar que não é de modo algum responsável pelo evento que deu origem aos danos.

[…]»

15 O artigo 83.^o do RGPD, sob a epígrafe «Condições gerais para a aplicação de coimas», prevê:

«1. Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.^os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.

2. […] Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

a) A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos;

b) O caráter intencional ou negligente da infração;

[…]

d) O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizativas por eles implementadas nos termos dos artigos 25.^o e 32.^o;

[…]

k) Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração.

3. Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

[…]»

16 O artigo 84.^o deste regulamento, sob a epígrafe «Sanções», dispõe, no seu n.^o 1:

«Os Estados‑Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, nomeadamente às violações que não são sujeitas a coimas nos termos do artigo 83.^o, e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.»

Direito alemão

17 Nos termos do § 275, n.^o 1, do Sozialgesetzbuch, Fünftes Buch (Código da Segurança Social, Livro V), na sua versão aplicável ao litígio no processo principal, as caixas de seguro de doença obrigatório são obrigadas a pedir a um Medizinischer Dienst (serviço médico) que as assista, em especial, a realizar uma peritagem destinada a dissipar as dúvidas sobre a incapacidade para o trabalho de um segurado, nos casos previstos na lei ou quando a doença deste o exija.

18 O § 278, n.^o 1, deste código prevê que esse serviço médico seja instituído em cada um dos Länder sob a forma de organismo de direito público.

Litígio no processo principal e questões prejudiciais

19 O MDK Nordrhein é um organismo de direito público que, enquanto serviço médico de caixas de seguro de doença, tem por missão legal, designadamente, elaborar relatórios médicos destinados a dissipar dúvidas relativas à incapacidade para o trabalho de pessoas seguradas nas caixas de seguro obrigatório de doença da sua área de jurisdição, incluindo relatórios relativos aos seus trabalhadores.

20 Nesse caso, só os membros de uma unidade especial, denominada «unidade caso especial», estão autorizados a tratar de dados designados «sociais» desse trabalhador, utilizando um domínio restrito do sistema informático desse organismo, e a aceder aos arquivos digitais, após o encerramento do processo de avaliação pericial. Uma nota de serviço interno relativa a esses casos prevê, nomeadamente, que um número restrito de agentes autorizados, entre os quais certos agentes do serviço informático, tem acesso aos referidos dados.

21 O demandante no processo principal trabalhou no serviço informático do MDK Nordrhein, antes de ser colocado em situação de incapacidade para o trabalho por razões médicas. No final do semestre durante o qual este organismo, enquanto entidade patronal, o continuou a remunerar, a caixa do seguro de doença obrigatório em que estava inscrito começou a pagar‑lhe o subsídio de doença.

22 Esta caixa pediu então ao MDK Nordrhein que elaborasse um relatório relativo à incapacidade para o trabalho do demandante no processo principal. Um médico que exercia na «unidade caso especial» do MDK Nordrhein elaborou o relatório, designadamente, obtendo informações junto do médico assistente do demandante no processo principal. Quando este último foi informado pelo seu médico assistente, contactou uma das suas colegas do serviço informático e pediu‑lhe que tirasse e, em seguida, lhe enviasse fotografias do relatório pericial que figurava nos arquivos digitais do MDK Nordrhein.

23 Considerando que dados relativos à sua saúde tinham, assim, sido objeto de um tratamento ilícito pelo seu empregador, o demandante no processo principal pediu ao empregador que lhe pagasse uma indemnização no montante de 20 000 euros, o que o MDK Nordrhein recusou.

24 Em seguida, o demandante no processo principal intentou uma ação no Arbeitsgericht Düsseldorf (Tribunal do Trabalho de Dusseldórfia, Alemanha) com vista a obter, com base no artigo 82.^o, n.^o 1, do RGPD e em disposições do direito alemão, a condenação do MDK Nordrhein no pagamento de uma indemnização pelos danos que alega ter sofrido devido ao tratamento de dados pessoais assim efetuado. Alegou essencialmente, por um lado, que o relatório em causa devia ter sido realizado por outro serviço médico para evitar que os seus colegas tivessem acesso a dados relativos à sua saúde e, por outro, que as medidas de segurança do arquivo relativo a esse relatório eram insuficientes. Sustentou também que esse tratamento constituía uma violação das regras de direito que protegem esses dados, o que lhe causou danos morais e materiais.

25 Em sua defesa, o MDK Nordrhein sustentou, a título principal, que a recolha e a conservação dos dados relativos à saúde do demandante no processo principal tinham sido efetuadas em conformidade com as disposições relativas à proteção desses dados.

26 Tendo sido julgado improcedente o seu pedido em primeira instância, o demandante no processo principal interpôs recurso para o Landesarbeitsgericht Düsseldorf (Tribunal Superior do Trabalho de Dusseldórfia, Alemanha), que também negou provimento ao seu recurso. Interpôs então recurso de «Revision» para o Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha), que é o órgão jurisdicional de reenvio no presente processo.

27 Este último órgão jurisdicional parte da premissa de que, no litígio no processo principal, o relatório elaborado pelo MDK Nordrhein, enquanto serviço médico, constitui um «[t]ratamento» de «[d]ados pessoais» e, mais especificamente, de «[d]ados relativos à saúde», na aceção do artigo 4.^o, pontos 1, 2 e 15, do RGPD, pelo que esta operação está abrangida pelo âmbito de aplicação material deste regulamento, conforme definido no seu artigo 2.^o, n.^o 1. Além disso, considera que o MDK Nordrhein é o «[r]esponsável pelo tratamento» em causa, na aceção do artigo 4.^o, ponto 7, do referido regulamento.

28 As suas dúvidas têm por objeto, em primeiro lugar, a interpretação de várias disposições do artigo 9.^o do RGPD, relativo aos tratamentos que incidem sobre categorias especiais de dados pessoais, nomeadamente tendo em conta o facto de o tratamento em causa no processo principal ter sido realizado por um organismo que é também o empregador do titular dos dados, conforme definido no artigo 4.^o, ponto 1, deste regulamento.

29 Antes de mais, o órgão jurisdicional de reenvio duvida de que o tratamento de dados relativos à saúde em causa no processo principal possa estar abrangido por uma das exceções previstas no n.^o 2 do artigo 9.^o do RGPD. Segundo este órgão jurisdicional, apenas as exceções que figuram nas alíneas b) e h) desse n.^o 2 são pertinentes no caso em apreço. No entanto, exclui desde logo a aplicação da exceção prevista nesta alínea b) no caso em apreço, com o fundamento de que o tratamento em causa no processo principal não era necessário para efeitos dos direitos e das obrigações do responsável pelo tratamento, na sua qualidade de empregador do titular dos dados. Com efeito, esse tratamento foi iniciado por outro organismo, que pediu ao MDK Nordrhein que procedesse a um controlo na sua qualidade de serviço médico. Em contrapartida, embora o órgão jurisdicional de reenvio esteja inclinado a não aplicar a derrogação prevista nessa alínea h), uma vez que lhe parece que só um tratamento efetuado por um «terceiro neutro» deve ser abrangido por essa derrogação e que um organismo não se pode basear na sua «dupla função» de empregador e de serviço médico para afastar a proibição desse tratamento, o órgão jurisdicional de reenvio não se revela categórico a este respeito.

30 Em seguida, na hipótese de o tratamento de dados relativos à saúde ser autorizado em tais circunstâncias ao abrigo do artigo 9.^o, n.^o 2, alínea h), do RGPD, o órgão jurisdicional de reenvio interroga‑se sobre as regras de proteção dos dados relativos à saúde que devem ser respeitadas neste contexto. Na sua opinião, o regulamento implica que não é suficiente que o responsável pelo tratamento cumpra os requisitos estabelecidos no artigo 9.^o, n.^o 3, do regulamento. Este responsável deve também garantir que nenhum dos colegas do titular dos dados possa ter acesso aos dados relativos ao estado de saúde deste último.

31 Por último, ainda na mesma hipótese, esse órgão jurisdicional pretende saber se pelo menos um dos requisitos previstos no artigo 6.^o, n.^o 1, do RGPD deve, além disso, estar preenchido para que esse tratamento seja lícito. Em seu entender, deve ser esse o caso e, no âmbito do litígio no processo principal, apenas as alíneas c) e e) deste artigo 6.^o, n.^o 1, primeiro parágrafo, podem a priori ser pertinentes. No entanto, estas duas alíneas c) e e) não devem ser aplicadas, visto que o tratamento em causa não é «necessário», na aceção dessas disposições, uma vez que poderia facilmente ser efetuado por um serviço médico diferente do MDK Nordrhein.

32 Em segundo lugar, na hipótese de se verificar uma violação do RGPD no caso em apreço, o órgão jurisdicional de reenvio interroga‑se sobre a eventual indemnização devida ao demandante no processo principal por força do artigo 82.^o deste regulamento.

33 Por um lado, pretende saber se a regra prevista no artigo 82.^o, n.^o 1, do RGPD tem caráter dissuasivo ou punitivo, além da sua função de reparação, e, sendo caso disso, se o referido caráter deve ser tido em conta na fixação do montante da indemnização por danos morais, nomeadamente à luz dos princípios da efetividade, da proporcionalidade e da equivalência consagrados noutros domínios do direito da União.

34 Por outro lado, este órgão jurisdicional tende a considerar que o responsável pelo tratamento pode ser responsabilizado com base no referido artigo 82.^o, n.^o 1, sem necessidade de demonstrar a existência de culpa. No entanto, tendo dúvidas, principalmente à luz das regras de direito alemão, interroga‑se sobre se é necessário verificar se a violação do RGPD em causa é imputável ao responsável pelo tratamento devido a um ato intencional ou a uma negligência da sua parte e se a gravidade da eventual culpa deve influenciar a indemnização concedida a título de reparação de um dano imaterial.

35 Nestas condições, o Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) Deve o artigo 9.^o, n.^o 2, alínea h), do [RGPD] ser interpretado no sentido de que o serviço médico de uma caixa de seguro de doença está proibido de tratar os dados pessoais relativos à saúde de um dos seus trabalhadores, necessários à avaliação da capacidade de trabalho desse trabalhador?

2) Caso o Tribunal de Justiça responda negativamente à primeira questão, com a consequência de que, em aplicação do artigo 9.^o, n.^o 2, alínea h), do RGPD, se verifica uma exceção à proibição de tratamento de dados pessoais relativos à saúde estabelecida no artigo 9.^o, n.^o 1, do RGPD: num caso como o presente, impõe‑se cumprir outros requisitos em matéria de proteção de dados pessoais, além dos previstos no artigo 9.^o, n.^o 3, do RGPD? E, na afirmativa, quais?

3) Caso o Tribunal de Justiça responda negativamente à primeira questão, com a consequência de que, em aplicação do artigo 9.^o, n.^o 2, alínea h), do RGPD, se verifica uma exceção à proibição de tratamento de dados pessoais relativos à saúde estabelecida no artigo 9.^o, n.^o 1, do RGPD: num caso como o presente, a admissibilidade ou licitude do tratamento de dados pessoais relativos à saúde depende, além disso, do preenchimento de pelo menos um dos pressupostos enunciados no artigo 6.^o, n.^o 1, do RGPD?

4) O artigo 82.^o, n.^o 1, do RGPD tem natureza preventiva especial ou geral e impõe se ter isso em conta na determinação do montante da indemnização pelo dano imaterial a cargo do responsável pelo tratamento ou do subcontratante, com base nesse mesmo artigo 82.^o, n.^o 1, do RGPD?

5) Na determinação do montante da indemnização pelo dano imaterial a pagar com base no artigo 82.^o, n.^o 1, do RGPD, importa atender ao grau de culpa do responsável pelo tratamento ou do subcontratante? Concretamente, pode a inexistência de culpa ou a reduzida intensidade da mesma, por parte do responsável pelo tratamento ou do subcontratante, ser tida em conta a seu favor?»

Quanto às questões prejudiciais

Quanto à primeira questão

36 Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se, tendo em conta a proibição de tratamento de dados relativos à saúde prevista no artigo 9.^o, n.^o 1, do RGPD, o n.^o 2, alínea h), deste artigo deve ser interpretado no sentido de que a exceção que prevê é aplicável às situações nas quais um organismo de controlo médico não trata de dados relativos à saúde de um dos seus trabalhadores na qualidade de empregador, mas de serviço médico, para apreciar a capacidade de trabalho desse trabalhador.

37 Segundo jurisprudência constante, a interpretação de uma disposição do direito da União exige que se tenham em conta não só os seus termos mas também o contexto em que se insere, bem como os objetivos e a finalidade que prossegue o ato de que faz parte. A génese de uma disposição do direito da União pode também revelar elementos pertinentes para a sua interpretação (Acórdão de 16 de março de 2023, Towercast, C‑449/21, EU:C:2023:207, n.^o 31 e jurisprudência referida).

38 Em primeiro lugar, importa recordar que o artigo 9.^o do RGPD diz respeito, como indica a sua epígrafe, ao «[t]ratamento de categorias especiais de dados pessoais», também qualificadas de dados «sensíveis» nos considerandos 10 e 51 deste regulamento.

39 O considerando 51 do RGPD enuncia que merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais.

40 Assim, o artigo 9.^o, n.^o 1, do RGPD estabelece o princípio da proibição dos tratamentos das categorias especiais de dados pessoais que enumera. Entre estas últimas, figuram os «dados relativos à saúde», conforme definidos no artigo 4.^o, ponto 15, deste regulamento, lido à luz do seu considerando 35, que são referidos no presente processo.

41 O Tribunal de Justiça especificou que a finalidade do artigo 9.^o, n.^o 1, do referido regulamento consiste em assegurar uma proteção acrescida contra tratamentos que, em razão da sensibilidade particular de dados que são objeto desses tratamentos, podem constituir uma ingerência particularmente grave nos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais, garantidos pelos artigos 7.^o e 8.^o da Carta dos Direitos Fundamentais [v., neste sentido, Acórdão de 5 de junho de 2023, Comissão/Polónia (Independência e vida privada dos juízes), C‑204/21, EU:C:2023:442, n.^o 345 e jurisprudência referida].

42 O artigo 9.^o, n.^o 2, alíneas a) a j), do RGPD prevê, contudo, uma lista exaustiva de exceções ao princípio da proibição de tratamento desses dados sensíveis.

43 Em especial, o artigo 9.^o, n.^o 2, alínea h), do RGPD autoriza esse tratamento se for «necessário para efeitos [nomeadamente da] avaliação da capacidade de trabalho do empregado […] com base no direito da União ou dos Estados‑Membros ou por força de um contrato com um profissional de saúde». Esta disposição especifica que qualquer tratamento nela baseado deve, além disso, ser especificamente autorizado «sob reserva das condições e garantias previstas no n.^o 3» deste artigo.

44 Resulta do artigo 9.^o, n.^o 2, alínea h), do RGPD, lido em conjugação com o n.^o 3 deste artigo, que a possibilidade de tratamento de dados sensíveis, como os relativos à saúde, é estritamente limitada por uma série de condições cumulativas. Estas últimas são relativas, primeiro, às finalidades enumeradas na referida alínea h) — entre as quais figura a avaliação da capacidade de trabalho de um empregado —, segundo, ao fundamento jurídico desse tratamento — quer se trate do direito da União ou dos Estados‑Membros ou de um contrato com um profissional de saúde, de acordo com a mesma alínea h) — e, por último, terceiro, ao dever de confidencialidade a que estão obrigadas as pessoas habilitadas a efetuar esse tratamento, nos termos desse artigo 9.^o, n.^o 3, devendo essas pessoas estar todas sujeitas a uma obrigação de sigilo em conformidade com esta última disposição.

45 Como o advogado‑geral salientou, em substância, nos n.^os 32 e 33 das suas conclusões, nem a redação do artigo 9.^o, n.^o 2, alínea h), do RGPD nem a história desta disposição fornecem elementos que permitam considerar que a aplicação da derrogação prevista na referida disposição está reservada, conforme sugerido pelo órgão jurisdicional de reenvio, às hipóteses em que o tratamento é realizado por um «terceiro neutro e não pelo empregador» do titular dos dados, conforme definida no artigo 4.^o, ponto 1, deste regulamento.

46 Tendo em conta o parecer do órgão jurisdicional de reenvio segundo o qual, em substância, um organismo não se deve poder basear na sua «dupla função» de empregador do titular dos dados e de serviço médico para escapar ao princípio da proibição de tratamento de dados relativos à saúde, enunciado no artigo 9.^o, n.^o 1, do RGPD, há que especificar que é determinante tomar em consideração a que título o tratamento desses dados é efetuado.

47 Com efeito, embora este artigo 9.^o, n.^o 1, proíba, em princípio, o tratamento de dados relativos à saúde, o n.^o 2 do referido artigo prevê, nas suas alíneas a) a j), dez derrogações que são independentes umas das outras e que devem, por isso, ser apreciadas de forma autónoma. Daqui resulta que o facto de as condições de aplicação de uma das derrogações previstas nesse n.^o 2 não estarem reunidas não obsta a que um responsável pelo tratamento possa invocar outra derrogação mencionada nessa disposição.

48 Decorre do exposto que o artigo 9.^o, n.^o 2, alínea h), do RGPD, lido em conjugação com o n.^o 3 deste artigo, não exclui de modo nenhum a aplicabilidade da exceção enunciada nessa alínea h) a situações em que um organismo de controlo médico trata de dados relativos à saúde de um dos seus trabalhadores na qualidade de serviço médico, e não na qualidade de empregador, a fim de apreciar a capacidade de trabalho desse trabalhador.

49 Em segundo lugar, tal interpretação é corroborada pela tomada em consideração do sistema em que se inscreve o artigo 9.^o, n.^o 2, alínea h), do RGPD, bem como pelos objetivos prosseguidos por este regulamento e por esta disposição.

50 Primeiro, é certo que, na medida em que prevê uma exceção ao princípio da proibição do tratamento de categorias especiais de dados pessoais, o artigo 9.^o, n.^o 2, do RGPD deve ser interpretado de forma restritiva [Acórdão de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social), C‑252/21, EU:C:2023:537, n.^o 76].

51 No entanto, o respeito pelo princípio da proibição enunciado no artigo 9.^o, n.^o 1, do RGPD não pode conduzir à redução do âmbito de aplicação de outra disposição deste regulamento de uma forma que contrarie a redação clara desta última. Ora, a interpretação sugerida, segundo a qual o âmbito de aplicação da exceção prevista neste artigo 9.^o, n.^o 2, alínea h), deve ser limitado às hipóteses em que um «terceiro neutro» trate dados relativos à saúde para efeitos da apreciação da capacidade para o trabalho de um trabalhador, acrescentaria um requisito que não resulta de modo nenhum da redação clara desta última disposição.

52 A este respeito, é irrelevante que, no caso em apreço, na hipótese de o MDK Nordrhein ser proibido de cumprir a sua missão de serviço médico quando se trate de um dos seus trabalhadores, outro organismo de controlo médico o pudesse fazer. Importa sublinhar que esta alternativa, evocada pelo órgão jurisdicional de reenvio, não está necessariamente presente ou é realizável em todos os Estados‑Membros e em todas as situações suscetíveis de serem abrangidas pelo artigo 9.^o, n.^o 2, alínea h), do RGPD. Ora, a interpretação desta disposição não pode ser orientada por considerações baseadas no sistema de saúde de um único Estado‑Membro ou resultantes de circunstâncias próprias do litígio no processo principal.

53 Segundo, a interpretação que figura no n.^o 48 do presente acórdão é conforme com os objetivos do RGPD e com os do artigo 9.^o deste regulamento.

54 Assim, o considerando 4 do RGPD enuncia que o direito à proteção de dados pessoais não é absoluto, uma vez que deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade (v., neste sentido, Acórdão de 22 de junho de 2023, Pankki S, C‑579/21, EU:C:2023:501, n.^o 78). Além disso, o Tribunal de Justiça já sublinhou que os mecanismos que permitem encontrar um justo equilíbrio entre os diferentes direitos e interesses em causa estão inscritos no próprio RGPD (v., neste sentido, Acórdão de 17 de junho de 2021, M.I.C.M., C‑597/19, EU:C:2021:492, n.^o 112).

55 Estas considerações são válidas mesmo quando os dados em causa pertencem às categorias específicas referidas no artigo 9.^o deste regulamento [v., neste sentido, Acórdão de 24 de setembro de 2019, GC e o. (Supressão de referências a dados sensíveis), C‑136/17, EU:C:2019:773, n.^os 57 e 66 a 68], como os dados relativos à saúde.

56 Mais especificamente, resulta do considerando 52 do RGPD que deverão ser permitidas «derrogações à proibição de tratamento [dessas] categorias especiais de dados» «caso tal seja do interesse público, nomeadamente […] em matéria de direito laboral, de direito de proteção social», bem como «por motivos sanitários, […] designadamente para assegurar a qualidade e a eficiência em termos de custos dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de saúde». O considerando 53 deste regulamento enuncia também que deverão ser possíveis tratamentos «para fins relacionados com a saúde» «quando tal for necessário para atingir os objetivos no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gestão dos serviços e sistemas de saúde ou de ação social».

57 Foi nesta perspetiva global e tendo em conta os diversos interesses legítimos em presença que o legislador da União previu, no artigo 9.^o, n.^o 2, alínea h), do RGPD, uma possibilidade de derrogar o princípio da proibição do tratamento de dados relativos à saúde enunciado no n.^o 1 deste artigo, desde que o tratamento em causa cumpra as condições e garantias expressamente impostas por essa alínea h) e pelas outras disposições pertinentes deste regulamento, em especial o n.^o 3 do referido artigo 9.^o, disposições nas quais não figura a exigência de que um serviço médico que trata desses dados nos termos da referida alínea h) seja uma entidade distinta do empregador do titular dos dados.

58 Tendo em conta os fundamentos precedentes, e sem prejuízo das respostas que serão dadas às questões segunda e terceira, há que responder à primeira questão que o artigo 9.^o, n.^o 2, alínea h), do RGPD deve ser interpretado no sentido de que a exceção prevista nesta disposição é aplicável às situações nas quais um organismo de controlo médico não trata de dados relativos à saúde de um dos seus trabalhadores na qualidade de empregador, mas de serviço médico, para apreciar a capacidade de trabalho desse trabalhador, desde que o tratamento em causa cumpra as condições e garantias expressamente impostas por esta alínea h) e pelo n.^o 3 do referido artigo 9.^o

Quanto à segunda questão

59 Segundo o órgão jurisdicional de reenvio, resulta dos considerandos 35, 51, 53 e 75 do RGPD que não basta cumprir os requisitos do seu artigo 9.^o, n.^o 3, numa situação como a que está em causa no processo principal, em que o responsável pelo tratamento também é o empregador da pessoa cuja capacidade de trabalho é avaliada. Este regulamento exige também a exclusão do tratamento de dados relativos à saúde de todos os trabalhadores do responsável pelo tratamento que tenham algum contacto profissional com essa pessoa. Segundo esse órgão jurisdicional, qualquer responsável pelo tratamento que disponha de vários estabelecimentos, como o MDK Nordrhein, deve assegurar que a entidade encarregada do tratamento dos dados relativos à saúde dos trabalhadores desse responsável está sempre sujeita a um estabelecimento diferente daquele em que trabalha o trabalhador em causa. Além disso, a obrigação de sigilo profissional que incumbe aos trabalhadores habilitados a tratar esses dados não impede, de facto, que um colega do titular dos dados possa aceder aos dados que lhe dizem respeito, o que acarretaria riscos de danos, como a ofensa à reputação deste último.

60 Nestas condições, com a sua segunda questão, o órgão jurisdicional de reenvio pretende, em substância, saber se as disposições do RGPD devem ser interpretadas no sentido de que o responsável por um tratamento de dados relativos à saúde, baseado no artigo 9.^o, n.^o 2, alínea h), deste regulamento, é obrigado a garantir que nenhum colega do titular dos dados possa aceder aos dados relativos ao seu estado de saúde.

61 Importa recordar que, por força do artigo 9.^o, n.^o 3, do RGPD, um tratamento que tenha por objeto os dados e que vise as finalidades respetivamente enumeradas no n.^o 1 e no n.^o 2, alínea h), deste artigo 9.^o, no caso em apreço, dados relativos à saúde de um trabalhador para efeitos da avaliação da sua capacidade de trabalho, só pode ser realizado se os dados forem tratados por ou sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União ou dos Estados‑Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes, ou por outra pessoa também sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou dos Estados‑Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes.

62 Quando adotou o artigo 9.^o, n.^o 3, deste regulamento, que remete especificamente para o n.^o 2, alínea h), do mesmo artigo, o legislador da União definiu as medidas específicas de proteção que pretendia impor aos responsáveis por esses tratamentos, que consistem em reservar estes últimos a pessoas sujeitas a uma obrigação de sigilo, nas condições previstas no referido n.^o 3. Por conseguinte, não há necessidade de acrescentar à redação desta última disposição requisitos que não menciona.

63 Daqui resulta, em substância, como salientou o advogado‑geral no n.^o 43 das suas conclusões, que o artigo 9.^o, n.^o 3, do RGPD não pode servir de fundamento a uma medida que garanta que nenhum colega do titular dos dados possa aceder aos dados relativos ao seu estado de saúde.

64 No entanto, há que apreciar se o requisito que garante que nenhum colega do titular dos dados tenha acesso aos dados relativos ao seu estado de saúde pode ser exigido ao responsável por um tratamento de dados de saúde, baseado no artigo 9.^o, n.^o 2, alínea h), do RGPD, com fundamento noutra disposição deste regulamento.

65 A este respeito, importa especificar que a única possibilidade de os Estados‑Membros acrescentarem tal requisito, em relação aos enunciados nos n.^os 2 e 3 do artigo 9.^o do referido regulamento, reside na faculdade que lhes é expressamente conferida pelo n.^o 4 deste artigo de «manter ou impor novas condições, incluindo limitações, no que respeita ao tratamento de […] dados relativos à saúde».

66 No entanto, essas eventuais condições adicionais não resultam das disposições do RGPD por si só, mas, sendo caso disso, de regras de direito nacional que regulam tratamentos deste tipo, regras a respeito das quais este regulamento deixa expressamente uma margem de apreciação aos Estados‑Membros (v., neste sentido, Acórdão de 30 de março de 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, n.^os 51 e 78).

67 Além disso, importa sublinhar que um Estado‑Membro que pretenda fazer uso da faculdade conferida pelo artigo 9.^o, n.^o 4, do referido regulamento deve, em conformidade com o princípio da proporcionalidade, assegurar‑se de que as consequências práticas, nomeadamente de ordem organizacional, económica e médica, geradas pelos requisitos adicionais cujo cumprimento esse Estado pretende impor não são excessivas para os responsáveis por esse tratamento, que não dispõem necessariamente de dimensões ou de recursos técnicos e humanos suficientes para cumprir esses requisitos. Com efeito, estas não podem prejudicar o efeito útil da autorização de tratamento expressamente prevista no artigo 9.^o, n.^o 2, alínea h), do mesmo regulamento e enquadrada no n.^o 3 deste artigo.

68 Por último, importa sublinhar que, por força do artigo 32.^o, n.^o 1, alíneas a) e b), do RGPD, que concretiza os princípios da integridade e da confidencialidade enunciados no artigo 5.^o, n.^o 1, alínea f), deste regulamento, qualquer responsável pelo tratamento de dados pessoais é obrigado a aplicar as medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, em especial, da pseudonimização e da cifragem desses dados, bem como dos meios que permitam garantir, nomeadamente, a confidencialidade e a integridade dos sistemas e dos serviços de tratamento. Ao determinar as modalidades práticas desta obrigação, o responsável pelo tratamento deve, nos termos do artigo 32.^o, n.^o 1, ter em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável para os direitos e liberdades das pessoas singulares.

69 Incumbirá, contudo, ao órgão jurisdicional de reenvio apreciar se o conjunto das medidas técnicas e organizativas aplicadas, no caso em apreço, pelo MDK Nordrhein estão em conformidade com o disposto no artigo 32.^o, n.^o 1, alíneas a) e b), do RGPD.

70 Por conseguinte, há que responder à segunda questão que o artigo 9.^o, n.^o 3, do RGPD deve ser interpretado no sentido de que o responsável por um tratamento de dados relativos à saúde, baseado no artigo 9.^o, n.^o 2, alínea h), deste regulamento, não está obrigado, por força destas disposições, a garantir que nenhum dos colegas do titular dos dados pode aceder aos dados relativos ao seu estado de saúde. No entanto, essa obrigação pode ser imposta ao responsável por esse tratamento quer por força de uma regulamentação adotada por um Estado‑Membro com base no artigo 9.^o, n.^o 4, do referido regulamento, quer ao abrigo dos princípios da integridade e da confidencialidade enunciados no artigo 5.^o, n.^o 1, alínea f), do mesmo regulamento e concretizados no seu artigo 32.^o, n.^o 1, alíneas a) e b).

Quanto à terceira questão

71 Com a sua terceira questão, o órgão jurisdicional de reenvio interroga‑se, em substância, sobre a questão de saber se o artigo 9.^o, n.^o 2, alínea h), e o artigo 6.^o, n.^o 1, do RGPD devem ser interpretados no sentido de que um tratamento de dados relativos à saúde ao abrigo desta primeira disposição deve, para ser lícito, cumprir não apenas os requisitos desta decorrentes, devendo também preencher pelo menos um dos pressupostos de licitude enunciados neste artigo 6.^o, n.^o 1.

72 A este respeito, há que recordar que os artigos 5.^o, 6.^o e 9.^o do RGPD figuram no capítulo II deste regulamento, sob a epígrafe «Princípios», e são relativos, respetivamente, aos princípios relativos ao tratamento de dados pessoais, aos pressupostos de licitude do tratamento e ao tratamento de categorias especiais de dados pessoais.

73 Além disso, importa salientar que o considerando 51 do RGPD indica expressamente que, «[p]ara além dos requisitos específicos» para os tratamentos relativos a dados «especialmente sensíveis», enunciados no artigo 9.^o, n.^os 2 e 3, deste regulamento, sem prejuízo das medidas eventualmente adotadas por um Estado‑Membro com base no n.^o 4 deste artigo, «[o]s princípios gerais e outras disposições do [referido] regulamento deverão [também] ser aplicáveis [a esse tratamento], em especial no que se refere às condições para o tratamento lícito», conforme resultam do artigo 6.^o do mesmo regulamento.

74 Por conseguinte, em conformidade com o artigo 6.^o, n.^o 1, primeiro parágrafo, do RGPD, um tratamento que tenha por objeto dados «especialmente sensíveis», como os relativos à saúde, só é lícito se pelo menos um dos pressupostos enunciados no referido n.^o 1, primeiro parágrafo, alíneas a) a f), estiver preenchido.

75 Ora, o artigo 6.^o, n.^o 1, primeiro parágrafo, do referido regulamento prevê uma lista exaustiva e taxativa dos casos em que um tratamento de dados pessoais pode ser considerado lícito. Assim, para ser considerado legítimo, um tratamento deve ser abrangido por um dos casos previstos nesta disposição [Acórdão de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social), C‑252/21, EU:C:2023:537, n.^o 90 e jurisprudência referida].

76 Por conseguinte, o Tribunal de Justiça declarou reiteradamente que qualquer tratamento de dados pessoais deve ser conforme com os princípios relativos ao tratamento de dados enunciados no artigo 5.^o, n.^o 1, do RGPD e preencher os pressupostos de licitude do tratamento enumerados no artigo 6.^o deste regulamento [Acórdão de 4 de maio de 2023, Bundesrepublik Deutschland (Caixa de correio eletrónico dos tribunais), C‑60/22, EU:C:2023:373, n.^o 57 e jurisprudência referida].

77 Além disso, já foi declarado que, na medida em que os artigos 7.^o a 11.^o do RGPD, que figuram, à semelhança dos seus artigos 5.^o e 6.^o, no capítulo II deste regulamento, têm por objeto precisar o alcance das obrigações que incumbem ao responsável pelo tratamento por força do artigo 5.^o, n.^o 1, alínea a), e do artigo 6.^o, n.^o 1, do referido regulamento, o tratamento de dados pessoais, para ser lícito, deve respeitar também, como resulta da jurisprudência do Tribunal de Justiça, essas outras disposições do referido capítulo que dizem respeito, em substância, ao consentimento, ao tratamento de categorias específicas de dados pessoais de caráter sensível e ao tratamento de dados pessoais relativos às condenações penais e às infrações [Acórdão de 4 de maio de 2023, Bundesrepublik Deutschland (Caixa de correio eletrónico dos tribunais), C‑60/22, EU:C:2023:373, n.^o 58 e jurisprudência referida].

78 Daqui resulta, em especial, que, na medida em que o artigo 9.^o, n.^o 2, alínea h), do RGPD tem por objeto especificar o alcance das obrigações que incumbem ao responsável pelo tratamento por força do artigo 5.^o, n.^o 1, alínea a), e do artigo 6.^o, n.^o 1, deste regulamento, um tratamento de dados relativos à saúde que se baseia nesta primeira disposição deve cumprir, para ser lícito, simultaneamente os requisitos que dela decorrem como as obrigações resultantes destas duas últimas disposições e, em especial, preencher pelo menos um dos pressupostos de licitude enunciados nesse artigo 6.^o, n.^o 1.

79 Atendendo às considerações precedentes, há que responder à terceira questão que o artigo 9.^o, n.^o 2, alínea h), e o artigo 6.^o, n.^o 1, do RGPD devem ser interpretados no sentido de que um tratamento de dados relativos à saúde ao abrigo desta primeira disposição deve, para ser lícito, cumprir não apenas os requisitos desta decorrentes, devendo também preencher pelo menos um dos pressupostos de licitude enunciados neste artigo 6.^o, n.^o 1.

Quanto à quarta questão

80 Com a sua quarta questão, o órgão jurisdicional de reenvio pretende saber, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que o direito de indemnização previsto nesta disposição desempenha não só uma função compensatória mas também uma função dissuasiva ou punitiva e, em caso afirmativo, se esta última deve eventualmente ser tida em conta na fixação do montante da indemnização concedida a título de reparação de um dano imaterial com base nesta disposição.

81 Importa recordar que o artigo 82.^o, n.^o 1, do RGPD enuncia que «[q]ualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos».

82 O Tribunal de Justiça interpretou esta disposição no sentido de que a simples violação do RGPD não basta para conferir um direito de indemnização, depois de ter salientado, nomeadamente, que a existência de um «dano» ou de um «dano» que foi «sofrido» constitui um dos requisitos do direito de indemnização previsto nesse artigo 82.^o, n.^o 1, bem como a existência de uma violação deste regulamento e de um nexo de causalidade entre esse dano e essa violação, uma vez que estes três requisitos são cumulativos [v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 32 e 42].

83 Além disso, o Tribunal de Justiça declarou que, uma vez que o RGPD não contém nenhuma disposição que tenha por objeto definir as regras relativas à avaliação da indemnização devida a título do direito de indemnização consagrado no artigo 82.^o deste regulamento, os juízes nacionais devem, para o efeito, aplicar, por força do princípio da autonomia processual, as normas internas de cada Estado‑Membro relativas ao alcance da indemnização pecuniária, desde que sejam respeitados os princípios da equivalência e da efetividade do direito da União, conforme definidos pela jurisprudência constante do Tribunal de Justiça [v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 53, 54 e 59].

84 Neste contexto e tendo em conta o considerando 146, sexto período, do RGPD, segundo o qual este instrumento visa assegurar que os titulares dos dados são «integral e efetivamente indemnizados pelos danos que tenham sofrido», o Tribunal de Justiça salientou que, tendo em conta a função compensatória do direito de indemnização previsto no artigo 82.^o deste regulamento, uma indemnização pecuniária assente nesta disposição deve ser considerada «integral e [efetiva]», se permitir compensar integralmente o dano concretamente sofrido por violação deste regulamento, sem que seja necessário, para efeitos dessa compensação integral, impor o pagamento de uma indemnização de natureza punitiva [v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 57 e 58].

85 A este respeito, importa sublinhar que o artigo 82.^o do RGPD não reveste uma função punitiva, mas sim compensatória, contrariamente a outras disposições deste regulamento que figuram também no seu capítulo VIII, a saber, os seus artigos 83.^o e 84.^o, que, por seu turno, têm essencialmente uma finalidade punitiva, uma vez que permitem, respetivamente, aplicar coimas e outras sanções. A articulação entre as regras enunciadas no referido artigo 82.^o e as enunciadas nos referidos artigos 83.^o e 84.^o demonstra que existe uma diferença entre estas duas categorias de disposições, mas também uma complementaridade, em termos de incentivo ao respeito do RGPD, observando‑se que o direito de qualquer pessoa a pedir a indemnização de um dano reforça o caráter operacional das regras de proteção previstas neste regulamento e é suscetível de desencorajar a reiteração de comportamentos ilícitos [v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 38 e 40].

86 Uma vez que o direito de indemnização previsto no artigo 82.^o, n.^o 1, do RGPD não desempenha uma função dissuasiva, ou mesmo punitiva, conforme prevista pelo órgão jurisdicional de reenvio, a gravidade da violação deste regulamento que causou o dano em causa não pode influenciar o montante da indemnização concedida ao abrigo desta disposição, mesmo quando não se trata de um dano patrimonial mas imaterial. Daqui resulta que esse montante não pode ser fixado num nível que exceda a compensação completa desse prejuízo.

87 Por conseguinte, há que responder à quarta questão que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que o direito de indemnização previsto nesta disposição cumpre uma função compensatória, na medida em que uma indemnização pecuniária baseada na referida disposição deve permitir compensar integralmente o dano concretamente sofrido devido à violação deste regulamento, e não uma função dissuasiva ou punitiva.

Quanto à quinta questão

88 Resulta dos elementos transmitidos pelo órgão jurisdicional de reenvio, em resposta a um pedido de esclarecimentos que lhe foi dirigido em conformidade com o artigo 101.^o do Regulamento de Processo do Tribunal de Justiça, que a quinta questão visa determinar, por um lado, se a existência e/ou a prova de culpa são requisitos exigidos para que possa haver responsabilidade do responsável pelo tratamento ou do subcontratante e, por outro, qual a repercussão do grau da culpa do responsável pelo tratamento ou do subcontratante na avaliação concreta das indemnizações a pagar em reparação dos danos imateriais sofridos.

89 Tendo em conta esta resposta do órgão jurisdicional de reenvio, há que entender a quinta questão no sentido de que visa, em substância, saber, por um lado, se o artigo 82.^o do RGPD deve ser interpretado no sentido de que a responsabilidade do responsável pelo tratamento está sujeita à existência de culpa e, por outro, se a gravidade dessa culpa deve ser tida em conta na fixação do montante da indemnização concedida a título de reparação de um dano imaterial com base nesta disposição.

90 No que respeita à primeira parte desta questão, importa observar que, como foi recordado no n.^o 82 do presente acórdão, o artigo 82.^o, n.^o 1, do RGPD subordina o direito de indemnização à reunião de três elementos, a saber, a existência de uma violação deste regulamento, a existência de um dano sofrido e a existência de um nexo de causalidade entre essa violação e esse dano.

91 O artigo 82.^o, n.^o 2, do RGPD dispõe, por sua vez, que qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole este regulamento. Ora, a redação desta disposição em algumas das suas versões linguísticas, nomeadamente a versão alemã que é a língua no presente processo, não permite determinar com certeza se a violação em questão deve ser imputável ao responsável pelo tratamento para que possa ser considerado responsável.

92 A este respeito, resulta de uma análise das diferentes versões linguísticas do primeiro período do artigo 82.^o, n.^o 2, do RGPD que se presume que o responsável pelo tratamento participou no tratamento que constitui a violação visada neste regulamento. Com efeito, enquanto as versões em língua alemã, francesa ou finlandesa são formuladas de forma aberta, um certo número de outras versões linguísticas revela‑se mais preciso e utilizam um determinante demonstrativo para a terceira ocorrência do termo «tratamento», ou para a terceira referência a esse termo, pelo que é claro que esta terceira ocorrência ou referência remete para a mesma operação que a segunda ocorrência desse termo. É o caso das versões em língua espanhola, estónia, grega, italiana e romena.

93 O artigo 82.^o, n.^o 3, do RGPD vem especificar, nesta perspetiva, que o responsável pelo tratamento fica isento de responsabilidade, nos termos do n.^o 2 deste artigo 82.^o, se provar que o facto que causou o dano não lhe é imputável.

94 Resulta, assim, de uma análise conjugada destas diferentes disposições do artigo 82.^o do RGPD que este artigo prevê um regime de responsabilidade por culpa no qual o ónus da prova não recai sobre a pessoa que sofreu um dano, mas sobre o responsável pelo tratamento.

95 Tal interpretação é corroborada pelo contexto em que se insere este artigo 82.^o, bem como pelos objetivos prosseguidos pelo legislador da União por meio do RGPD.

96 A este respeito, primeiro, resulta da redação dos artigos 24.^o e 32.^o do RGPD que estas disposições se limitam a impor ao responsável pelo tratamento que adote medidas técnicas e organizativas destinadas a evitar, na medida do possível, qualquer violação de dados pessoais. A adequação de tais medidas deve ser avaliada de forma concreta, examinando se essas medidas foram aplicadas pelo responsável pelo tratamento, tendo em conta os diferentes critérios previstos nos referidos artigos e as necessidades de proteção dos dados especificamente inerentes ao tratamento em causa, bem como os riscos induzidos por este último (v., neste sentido, Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^o 30).

97 Ora, tal obrigação seria posta em causa se o responsável pelo tratamento estivesse, em seguida, obrigado a reparar qualquer dano causado por um tratamento efetuado em violação do RGPD.

98 Segundo, no que respeita aos objetivos do RGPD, resulta dos considerandos 4 a 8 deste regulamento que este visa estabelecer um equilíbrio entre os interesses dos responsáveis pelo tratamento de dados pessoais e os direitos das pessoas cujos dados são tratados. O objetivo pretendido é permitir o desenvolvimento da economia digital, garantindo simultaneamente um elevado nível de proteção dos titulares dos dados. Assim, é visada uma ponderação dos interesses do responsável pelo tratamento e das pessoas cujos dados pessoais são tratados. Ora, um mecanismo de responsabilidade por culpa acompanhado de uma inversão do ónus da prova, como prevê o artigo 82.^o do RGPD, permite concretamente assegurar esse equilíbrio.

99 Por um lado, como observou o advogado‑geral, em substância, no n.^o 93 das suas conclusões, não é conforme com o objetivo dessa proteção elevada optar por uma interpretação segundo a qual os titulares dos dados que tenham sofrido um dano devido a uma violação do RGPD devem, no âmbito de uma ação de indemnização baseada no artigo 82.^o deste, suportar o ónus de provar não só a existência dessa violação e do dano que para eles resultou mas também a existência de culpa do responsável pelo tratamento deliberadamente ou por negligência, ou mesmo a gravidade dessa culpa, mesmo que o referido artigo 82.^o não formule tais exigências (v., por analogia, Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^o 56).

100 Por outro lado, um regime de responsabilidade objetiva não asseguraria a realização do objetivo de segurança jurídica visado pelo legislador, como resulta do considerando 7 do RGPD.

101 No que respeita à segunda parte da quinta questão, relativa à fixação do montante da indemnização eventualmente devida por força do artigo 82.^o do RGPD, importa recordar que, como foi sublinhado no n.^o 83 do presente acórdão, para efeitos da avaliação dessas indemnizações, os juízes nacionais devem aplicar as regras internas de cada Estado‑Membro relativas ao âmbito da indemnização pecuniária, desde que sejam respeitados os princípios da equivalência e da efetividade do direito da União, conforme definidos pela jurisprudência constante do Tribunal de Justiça.

102 Importa especificar que, tendo em conta a sua função compensatória, o artigo 82.^o do RGPD não exige que a gravidade da violação deste regulamento, que se presume que o responsável pelo tratamento cometeu, seja tida em conta na fixação do montante da indemnização por danos imateriais atribuída com base nesta disposição, mas exige que esse montante seja fixado de modo que compense integralmente o prejuízo concretamente sofrido devido à violação do referido regulamento, como resulta dos n.^os 84 e 87 do presente acórdão.

103 Por conseguinte, há que responder à quinta questão que o artigo 82.^o do RGPD deve ser interpretado no sentido de que, por um lado, a responsabilidade do responsável pelo tratamento está subordinada à existência de culpa, a qual se presume a menos que este último prove que o facto que provocou o dano não lhe é de modo nenhum imputável, e, por outro, este artigo 82.^o não exige que a gravidade dessa culpa seja tida em conta quando da fixação do montante da indemnização concedida a título de reparação de um dano imaterial ao abrigo desta disposição.

Quanto às despesas

104 Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara:

1) O artigo 9.^o, n.^o 2, alínea h), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que:

a exceção prevista nesta disposição é aplicável às situações nas quais um organismo de controlo médico não trata de dados relativos à saúde de um dos seus trabalhadores na qualidade de empregador, mas de serviço médico, para apreciar a capacidade de trabalho desse trabalhador, desde que o tratamento em causa cumpra as condições e garantias expressamente impostas por esta alínea h) e pelo n.^o 3 do referido artigo 9.^o

2) O artigo 9.^o, n.^o 3, do Regulamento 2016/679

deve ser interpretado no sentido de que:

o responsável por um tratamento de dados relativos à saúde, ao abrigo do artigo 9.^o, n.^o 2, alínea h), deste regulamento, não está obrigado, por força destas disposições, a garantir que nenhum dos colegas do titular dos dados pode aceder aos dados relativos ao seu estado de saúde. No entanto, essa obrigação pode ser imposta ao responsável por esse tratamento quer por força de uma regulamentação adotada por um Estado‑Membro ao abrigo do artigo 9.^o, n.^o 4, do referido regulamento, quer ao abrigo dos princípios da integridade e da confidencialidade enunciados no artigo 5.^o, n.^o 1, alínea f), do mesmo regulamento e concretizados no seu artigo 32.^o, n.^o 1, alíneas a) e b).

3) O artigo 9.^o, n.^o 2, alínea h), e o artigo 6.^o, n.^o 1, do Regulamento 2016/679

devem ser interpretados no sentido de que:

um tratamento de dados relativos à saúde ao abrigo desta primeira disposição deve, para ser lícito, cumprir não apenas os requisitos desta decorrentes, devendo também preencher pelo menos um dos pressupostos de licitude enunciados neste artigo 6.^o, n.^o 1.

4) O artigo 82.^o, n.^o 1, do Regulamento 2016/679

deve ser interpretado no sentido de que:

o direito de indemnização previsto nesta disposição cumpre uma função compensatória, na medida em que uma indemnização pecuniária baseada na referida disposição deve permitir compensar integralmente o dano concretamente sofrido devido à violação deste regulamento, e não uma função dissuasiva ou punitiva.

5) O artigo 82.^o do Regulamento 2016/679

deve ser interpretado no sentido de que:

por um lado, a responsabilidade do responsável pelo tratamento está subordinada à existência de culpa, a qual se presume a menos que este último prove que o facto que provocou o dano não lhe é de modo nenhum imputável, e, por outro, este artigo 82.^o não exige que a gravidade dessa culpa seja tida em conta quando da fixação do montante da indemnização concedida a título de reparação de um dano imaterial ao abrigo desta disposição.

Assinaturas

* Língua do processo: alemão.