CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:433

CONCLUSIONI DELL’AVVOCATO GENERALE

M. CAMPOS SÁNCHEZ-BORDONA

presentate il 25 maggio 2023 (1)

Causa C‑667/21

contro

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts

[domanda di pronuncia pregiudiziale proposta dal Bundesarbeitsgericht (Corte federale del lavoro, Germania)]

«Rinvio pregiudiziale – Protezione dei dati personali – Dati personali relativi alla salute – Valutazione della capacità lavorativa di un dipendente – Servizio di controllo medico di una cassa malattia – Trattamento dei dati personali relativi alla salute dei dipendenti – Diritto al risarcimento del danno – Incidenza del grado di colpa»

1. Il presente rinvio pregiudiziale verte sull’interpretazione del regolamento (UE) 2016/679 (2) in relazione a: a) il trattamento dei dati personali relativi alla salute; e b) il risarcimento del danno subito a causa di una (presunta) violazione dello stesso RGPD.

2. Sebbene la Corte si sia già pronunciata sulle disposizioni del RGPD (3) che riguardano tali questioni, quelle sollevate nell’ambito del presente rinvio pregiudiziale sono inedite, ad eccezione della quarta (4).

I. Contesto normativo

A. Diritto dell’Unione. RGPD

3. Ai fini della presente controversia sono rilevanti i considerando 4, 10, 35, da 51 a 54 e 146 contenuti nel preambolo del RGPD.

4. Ai sensi dell’articolo 9 («Trattamento di categorie particolari di dati personali»):

«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

(…)

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

(…)

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

(…)

3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute».

5. L’articolo 82 («Diritto al risarcimento e responsabilità») stabilisce quanto segue:

«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

(…)

3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

(…)».

B. Diritto nazionale. Sozialgesetzbuch Fünftes Buch (5)

6. Ai sensi dell’articolo 278, paragrafo 1, prima frase, in ciascuno dei Land è istituito un servizio medico (6) delle casse malattia quale organismo di diritto pubblico (7). Una delle sue funzioni, assegnate per legge, è quella di redigere perizie finalizzate a fugare eventuali dubbi in merito all’inabilità al lavoro degli assicurati.

7. A norma dell’articolo 275, paragrafo 1, prima frase, punto 3, lettera b), a fronte di un’inabilità al lavoro di un assicurato attestata mediante certificato medico, le KV sono tenute, in specifici casi, a chiedere al MDK corrispondente una perizia finalizzata a fugare eventuali dubbi in merito all’inabilità al lavoro.

II. Fatti, procedimento e questioni pregiudiziali

8. Dal 1991 ZQ lavorava alle dipendenze del MDK di Nordrhein (Germania) quale amministratore di sistema del reparto IT, nonché quale operatore di help desk.

9. Il MDK redige perizie sull’inabilità al lavoro degli assicurati alle KV. Tra queste perizie vi sono anche quelle relative alla salute dei lavoratori dello stesso MDK.

10. Il trattamento dei dati è soggetto, tra l’altro, alle seguenti regole, contenute in un manuale interno (8):

– i «dati sociali» dei dipendenti non possono essere raccolti e conservati sul luogo di lavoro. Inoltre, tali dati, generati quando una KV incarica di una perizia il MDK, non devono essere confusi con i dati dei dipendenti trattati nel contesto del rapporto di lavoro o di servizio;

– le richieste di perizie riguardanti i dipendenti del MDK sono classificate come «casi particolari» e trattate esclusivamente da una specifica unità organizzativa (9);

– una volta redatta la perizia su un dipendente del MDK, sia la relativa documentazione che la perizia sono depositate nell’archivio elettronico del MDK stesso. L’imputazione dei documenti a singole persone è possibile soltanto attraverso una particolare chiave, previa legittimazione all’accesso, oggetto di un controllo tecnico.

11. Dopo l’archiviazione, i dipendenti del «reparto IT» dell’unità organizzativa «Casi particolari» possono avere accesso, nel rispetto dell’obbligo di segretezza previsto dalla legge, alle perizie redatte sulla base di una richiesta concernente i dipendenti del MDK.

12. Dal 22 novembre 2017, ZQ era ininterrottamente inabile al lavoro a causa di malattia.

13. A partire dal 24 maggio 2018 (10), ZQ percepiva un’indennità di malattia, erogata dalla KV presso la quale è assicurato. Il 6 giugno 2018, quest’ultima incaricava il MDK di redigere una perizia finalizzata a fugare ogni dubbio in merito all’inabilità al lavoro di ZQ.

14. Il MDK assumeva l’incarico, che assegnava all’unità «Casi particolari». Il 22 giugno 2018, un medico di quell’unità, impiegato presso il MDK, redigeva una perizia che conteneva la diagnosi di ZQ. Ai fini della predisposizione della perizia, aveva avuto un colloquio telefonico con il medico curante di ZQ, da cui aveva acquisito una serie di informazioni.

15. Il MDK aveva archiviato la perizia nel sistema elettronico.

16. ZQ veniva a sapere dal proprio medico curante della telefonata compiuta dal medico del MDK.

17. Il 1° agosto 2018, ZQ contattava una collega del reparto IT del MDK chiedendole se fosse stata archiviata una perizia su di lui. A seguito di una ricerca in archivio, la collega rispondeva in senso affermativo. Su richiesta di ZQ, fotografava la perizia e inviava le immagini a quest’ultimo.

18. Il 15 agosto 2018, ZQ chiedeva al MDK il pagamento di un risarcimento pari a EUR 20 000,00, a cui non veniva dato seguito, sulla base dell’articolo 82 del RGPD.

19. Il 17 ottobre 2018, ZQ proponeva ricorso dinanzi all’Arbeitsgericht Düsseldorf (Tribunale del lavoro, Düsseldorf, Germania). In tale procedimento, chiedeva altresì, un risarcimento nella misura del mancato guadagno (11).

20. In attesa del procedimento giudiziale, il MDK licenziava ZQ.

21. Le domande di ZQ sono state respinte sia in primo grado che in appello (12).

22. ZQ ha presentato ricorso dinanzi al Bundesarbeitsgericht (Corte federale del lavoro, Germania), che sottopone alla Corte le seguenti questioni:

«1) Se l’articolo 9, paragrafo 2, lettera h), del [RGPD] debba essere interpretato nel senso che è fatto divieto a un Servizio medico di una cassa malattia di trattare dati relativi alla salute di un suo dipendente che costituiscono una condizione per valutare l’idoneità al lavoro di detto dipendente.

2) Qualora la Corte dovesse rispondere in senso negativo alla prima questione, con la conseguenza che potrebbe trovare applicazione, a norma dell’articolo 9, paragrafo 2, lettera h), del RGPD, una deroga al divieto di trattamento dei dati relativi alla salute previsto nell’articolo 9, paragrafo 1, del regolamento de quo: se, in una fattispecie come quella in esame, oltre ai criteri stabiliti nell’articolo 9, paragrafo 3, del RGPD, debbano essere rispettati altri requisiti in materia di riservatezza dei dati e, se del caso, quali.

3) Qualora la Corte dovesse rispondere in senso negativo alla prima questione, con la conseguenza che potrebbe trovare applicazione, a norma dell’articolo 9, paragrafo 2, lettera h), del RGPD, una deroga al divieto di trattamento dei dati relativi alla salute previsto nell’articolo 9, paragrafo 1, del regolamento de quo: se, in una fattispecie come quella in esame, l’ammissibilità e la liceità del trattamento di dati relativi alla salute dipenda altresì dal soddisfacimento, quantomeno, di una delle condizioni indicate nell’articolo 6, paragrafo 1, del RGPD.

4) Se l’articolo 82, paragrafo 1, del RGPD abbia carattere preventivo speciale o generale e se tale circostanza debba essere presa in considerazione, a carico del titolare del trattamento o del responsabile del trattamento, nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base del succitato articolo.

5) Se, nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base dell’articolo 82, paragrafo 1, del RGPD, rilevi il grado di colpa del titolare del trattamento o del responsabile del trattamento. In particolare, se il fatto che il titolare del trattamento o il responsabile del trattamento abbiano agito senza colpa o con colpa lieve possa essere preso in considerazione a loro favore».

III. Procedimento dinanzi alla Corte di giustizia

23. La domanda di pronuncia pregiudiziale è pervenuta presso la cancelleria della Corte l’8 novembre 2021.

24. Hanno presentato osservazioni scritte ZQ, il MDK, i governi irlandese e italiano, nonché la Commissione europea.

25. Non è stato ritenuto necessario lo svolgimento di un’udienza.

26. Su indicazione della Corte, nelle presenti conclusioni non verrà trattata la quarta questione pregiudiziale (13).

IV. Valutazione

A. Sulla prima questione pregiudiziale

27. Il giudice del rinvio chiede se l’articolo 9, paragrafo 2, lettera h), del RGPD vieti a un MDK di trattare dati relativi alla salute di uno dei propri dipendenti che costituiscono una condizione per valutare l’idoneità al lavoro di detto dipendente. Mette dunque in discussione la liceità del trattamento sulla base del soggetto che lo effettua (14).

28. L’articolo 9 del RGPD disciplina categorie particolari di dati, come quelli relativi alla salute della persona. Esso stabilisce un divieto generale di trattamento dei dati «sensibili» (paragrafo 1) ed elenca in modo tassativo le circostanze in cui il divieto generale non si applica (paragrafo 2).

29. In particolare, il paragrafo 2, lettera h), dell’articolo 9 del RGPD include la deroga (al divieto generale) relativa al trattamento di dati personali «per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale».

30. A mio avviso, tale disposizione fornisce una copertura sufficiente all’azione del MDK, oggetto della controversia (15). È irrilevante che il titolare del trattamento sia, allo stesso tempo, il datore di lavoro dell’interessato, in quanto il MDK non agisce in tale sua qualità di datore di lavoro, ma come servizio medico di una KV a cui l’interessato era assicurato (16).

31. Non vedo alcun fondamento per interpretare l’articolo 9, paragrafo 2, lettera h), del RGPD nel senso che esso vieti a un servizio medico di trattare i dati sulla salute dei propri dipendenti per la finalità indicata in tale lettera. I consueti criteri ermeneutici conducono piuttosto alla soluzione opposta (inesistenza di tale divieto).

32. Da un punto di vista letterale, l’articolo 9, paragrafo 2, lettera h), del RGPD non prevede alcuna esclusione in tal senso, né impone come condizione per il trattamento che il titolare del trattamento sia un «terzo neutrale» (17).

33. Neppure gli antecedenti legislativi e l’evoluzione della disposizione rivelano un divieto come quello evocato nella prima questione pregiudiziale, né l’intenzione di includerlo (18).

34. La finalità delle norme del RGPD sul trattamento dei dati relativi alla salute consiste, come dichiarato dalla Corte (19), nel concedere una protezione rafforzata agli interessati, a causa della natura particolarmente sensibile di tali dati rispetto ai diritti fondamentali coinvolti. È al servizio di tale obiettivo che viene introdotto il divieto generale di cui all’articolo 9, paragrafo 1, del RGPD, che non è tuttavia assoluto (20).

35. In questo settore, come in altri relativi al trattamento dei dati personali, la scelta del legislatore, una volta stabilito il divieto generale, è stata:

– introdurre deroghe, sotto forma di un elenco di situazioni concrete, che possono essere raggruppate (approssimativamente) in quelle in cui l’interessato stesso autorizza il trattamento o ne trae vantaggio, e quelle in cui vi sono interessi prevalenti rispetto a quelli di ciascun individuo;

– corredare un certo tipo di trattamento di garanzie specifiche, superiori rispetto a quelle che si applicano al resto dei dati personali «non sensibili» e che si aggiungono ad esse (21);

– autorizzare gli Stati membri a introdurre ulteriori condizioni, e persino limitazioni, al trattamento dei dati personali. Così, per quanto riguarda i dati relativi alla salute (articolo 9, paragrafo 4, del RGPD e considerando 53, alla fine) o i dati dei dipendenti nell’ambito dei rapporti di lavoro (articolo 88 del RGPD) (22).

36. Ebbene, in astratto, nulla impedirebbe di includere tra le precauzioni specifiche a cui ho appena fatto riferimento quella di vietare a un MDK di trattare dati relativi alla salute dei propri dipendenti. Non mi sembra, tuttavia, che questa opzione (che il legislatore europeo non ha scelto) sia indispensabile per preservare l’obiettivo sopra indicato.

37. Ritengo pertanto che il divieto da cui scaturisce la domanda del giudice del rinvio non sia la conseguenza inesorabile di un’interpretazione teleologica dell’articolo 9, paragrafo 2, lettera h), del RGPD.

38. Né ritengo che un’interpretazione sistematica della disposizione possa condurre a una soluzione diversa, dal momento che:

– supponendo, a fini dialettici, che sia corretto intendere l’articolo 9, paragrafo 2, lettera b), del RGPD come l’unica base che consente a un datore di lavoro di trattare i dati sanitari dei suoi dipendenti (23), ciò non inciderebbe sulla possibilità che lo stesso ente, non già in qualità di datore di lavoro, ma in quanto servizio medico che assume l’incarico da una KV, effettui il trattamento ai sensi di un’altra deroga dello stesso articolo 9, paragrafo 2 (24);

– l’articolo 9, paragrafo 3, del RGPD stabilisce le condizioni imposte a chi tratta dati personali relativi alla salute. L’articolo 9, paragrafo 2, lettera h), rinvia espressamente all’articolo 9, paragrafo 3; dal punto di vista soggettivo, il trattamento non è subordinato a nessun’altra condizione (25).

39. In definitiva, propongo di rispondere in senso negativo (ossia che il divieto controverso non esiste nel RGPD) alla prima questione pregiudiziale, il che consente di affrontare la questione successiva.

B. Sulla seconda questione pregiudiziale

40. Qualora (come suggerisco) la risposta alla prima questione pregiudiziale dovesse essere negativa, il giudice del rinvio chiede se «in una fattispecie come quella in esame, oltre ai criteri stabiliti nell’articolo 9, paragrafo 3, del RGPD, [esistano] altri requisiti in materia di riservatezza dei dati e, se del caso, quali».

41. La risposta, in termini generali, non dovrebbe dare adito a grandi problemi. (26). La Corte di giustizia ha dichiarato che ogni trattamento di dati personali deve essere conforme ai principi dell’articolo 5 del RGPD e a una delle condizioni di liceità dell’articolo 6 dello stesso. (27)

42. Secondo il giudice del rinvio, il rispetto dell’obbligo di segretezza (articolo 9, paragrafo 3, del RGPD) non sarebbe sufficiente a proteggere i dati in circostanze come quelle del caso di specie. Esso propone altre misure integrative che, a suo avviso, sarebbero le uniche adatte a tale scopo (28).

43. Ritengo che, in quanto tale, l’articolo 9, paragrafo 3, del RGPD non possa fungere da fondamento per tali misure ulteriori. La sua chiara formulazione (che si limita a delineare una disposizione già contenuta nella direttiva 95/46) (29) non fornisce sostegno a proposte come quella del giudice del rinvio.

44. Tali proposte potrebbero, al contrario, rientrare nell’ambito di applicazione dell’articolo 9, paragrafo 4, del RGPD. Ai sensi di tale disposizione, gli Stati membri hanno la facoltà di imporre «ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati (…) relativi alla salute» (30). Tuttavia, dalla decisione di rinvio non risulta che ciò sia avvenuto in Germania.

45. Ciò premesso, e per le ragioni che ho esposto in precedenza, il trattamento dei dati personali relativi alla salute deve essere soggetto, tra gli altri principi, a quello enunciato all’articolo 5, paragrafo 1, lettera f), del RGPD e agli obblighi che ne derivano, che sono specificati nel capo IV del RGPD.

46. Il titolare del trattamento (31) deve inoltre adottare misure tecniche e organizzative adeguate, intese a garantire che uno specifico trattamento sia conforme al RGPD. Questo è quanto afferma in generale l’articolo 24, paragrafo 1, del regolamento.

47. In particolare, l’articolo 32, paragrafo 1, del RGPD impone al titolare del trattamento di mettere in atto «misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio» cui sarebbero soggetti i dati personali in questione.

48. Applicando tali norme al caso di specie, la qualità di datore di lavoro del MDK nei confronti di ZQ impone al primo un obbligo di diligenza superiore alla norma nel trattamento dei dati relativi alla salute da esso posseduti, poiché anche i rischi sono maggiori (32).

49. Il MDK non nega questo fatto. Quando, su richiesta di una KV alla quale il suo dipendente è affiliato, elabora perizie al fine di fugare i dubbi quanto alla sua (in)idoneità al lavoro, esso attua un insieme di misure ad hoc, tecniche e organizzative, previste per rendere conforme al RGPD il trattamento dei dati personali relativi alla salute (33).

50. La valutazione di tali misure spetta al giudice del rinvio, che può decidere, dopo la sua valutazione, che le misure adottate non erano sufficienti. Tuttavia, ciò non consente di dedurre dall’articolo 9 del RGPD un obbligo per gli MDK di respingere d’ufficio tutte le richieste di perizia medica (riguardante i propri dipendenti) proveniente dalle KV (34).

C. Sulla terza questione pregiudiziale

51. Supponendo una risposta negativa alla prima questione pregiudiziale, con la terza questione il giudice del rinvio chiede se la deroga al divieto di trattamento dei dati relativi alla salute «dipenda altresì dal soddisfacimento, quantomeno, di una delle condizioni indicate nell’articolo 6, paragrafo 1, del RGPD».

52. Per rispondere a tale quesito, occorre analizzare il rapporto tra l’articolo 9, paragrafo 2, del RGPD e l’articolo 6 di quest’ultimo, relativo alla liceità del trattamento. La necessità di rispettare quest’ultimo articolo in tutti i trattamenti di dati figura in sentenze della Corte, che ho citato in precedenza (35).

53. In particolare, quella pronunciata nella causa C‑439/19 (36) ha interpretato l’articolo 10 del RGPD in relazione a un’altra categoria di dati personali sensibili (quelli relativi alle condanne penali e a reati) (37), dichiarando che l’articolo 6 del RGPD si applica cumulativamente all’articolo 10.

54. Occorre chiedersi se possa applicarsi lo stesso postulato ai dati personali di cui all’articolo 9 del RGPD.

55. Gli articoli 9 e 10 del RGPD hanno una diversa struttura. L’articolo 10 contiene un rinvio esplicito all’articolo 6, paragrafo 1, del RGPD stesso che non figura all’articolo 9.

56. Non è possibile nemmeno confrontare il contenuto dell’articolo 9, paragrafo 2, e quello dell’articolo 10 del RGPD: l’articolo 10 si limita a indicare una restrizione soggettiva al trattamento, mentre l’articolo 9, paragrafo 2, stabilisce le finalità (o le circostanze) che la giustificano, come l’articolo 6, paragrafo 1.

57. Infatti, il parallelismo tra l’articolo 6, paragrafo 1, e l’articolo 9, paragrafo 2, del RGPD è tale che, a una prima lettura, sembrerebbe che le circostanze elencate da quest’ultimo siano specificazioni delle condizioni di cui al primo: le precisano, rendendole al contempo più onerose.

58. La storia e l’evoluzione dell’articolo 9 del RGPD rimettono tuttavia in discussione l’assunto secondo il quale il rapporto tra quest’ultimo e l’articolo 6 si spiegherebbe in termini di «legge speciale» e «legge generale».

59. È opinione comune che questa interpretazione sia stata effettivamente sostenuta dalle delegazioni di alcuni Stati membri (38). Tuttavia, i documenti relativi alla negoziazione sull’articolo 9 non rivelano disaccordi sul rinvio all’articolo 6 (39), bensì sulla portata di tale rinvio (solo al paragrafo 1 o anche ad altri paragrafi?) (40). Alla fine, è stato soppresso il riferimento dell’articolo 9 all’articolo 6 (41) e si è deciso di mantenere nel preambolo un paragrafo simile all’attuale considerando 51 del RGPD (42).

60. L’idea del cumulo, o della complementarietà, tra le due disposizioni è condivisa dal Comitato europeo per la protezione dei dati (43) ed è stata sostenuta dal cosiddetto Gruppo «articolo 29» (44) in relazione all’articolo 8 della direttiva 95/46 (45). Tuttavia, non si tratta di un’interpretazione indiscussa in dottrina, né in altre sedi rilevanti (46).

61. Prendendo in considerazione le diverse lettere dell’articolo 9, paragrafo 2, del RGPD, tendo a ritenere che il rapporto tra tale disposizione e l’articolo 6 non consenta, in realtà, una risposta unica. Infatti:

– deroghe al divieto di trattamento come quelle di cui all’articolo 9, paragrafo 2, lettere a), c), g) e i) (47), presentano una correlazione immediata con una base giuridica specifica di cui all’articolo 6, paragrafo 1, del RGPD e la assorbono;

– lo stesso non avviene per le altre deroghe elencate all’articolo 9, paragrafo 2, del RGPD, che richiedono invece una giustificazione ulteriore a norma dell’articolo 6, paragrafo 1. A mio parere, questo è il caso dell’articolo 9, paragrafo 2, lettera h), su cui verte la presente questione pregiudiziale.

62. Ritengo pertanto che, per rendere lecito il trattamento dei dati sensibili autorizzato dall’articolo 9, paragrafo 2, lettera h), del RGPD, occorra ricercare quale delle condizioni elencate all’articolo 6, paragrafo 1, lo legittimi in ciascun caso.

63. Il giudice del rinvio non mette in discussione questa affermazione: piuttosto, sulla base di tale premessa, la sua tesi è incentrata sull’esclusione che il trattamento effettuato dal MDK trovi giustificazione nell’articolo 6 (48).

64. Prima facie, non mi sembra che vi sia un ordine di precedenza tra le basi giuridiche previste dalla disposizione. Un’ulteriore analisi potrebbe rivelare la necessità di fare delle precisazioni (49). Ritengo, tuttavia, che una tale analisi andrebbe oltre quanto necessario per rispondere al presente rinvio pregiudiziale (50).

65. In definitiva, la risposta alla terza questione pregiudiziale dovrebbe indicare al giudice del rinvio che la deroga al divieto di trattare dati relativi alla salute richiede che sia soddisfatta almeno una delle condizioni enunciate all’articolo 6, paragrafo 1, del RGPD.

D. Sulla quinta questione pregiudiziale

66. Il giudice del rinvio chiede se «nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base dell’articolo 82, paragrafo 1, del RGPD, rilevi il grado di colpa del titolare del trattamento o del responsabile del trattamento» e in particolare, se «il fatto che il titolare del trattamento o il responsabile del trattamento abbiano agito senza colpa o con colpa lieve possa essere preso in considerazione a loro favore».

67. La questione presuppone che vi sia stata una violazione del RGPD (51), commessa dal soggetto che appare il titolare del trattamento dei dati, e chiede se, nel determinare l’ammontare del risarcimento del danno derivante da tale violazione, rilevi il grado di colpa di quest’ultimo. Secondo il giudice del rinvio, non è certo che l’assenza di colpa o la colpa lieve del responsabile possano essere qualificate come esimenti.

68. Presa alla lettera, la questione si concentra sulla quantificazione del risarcimento. Le spiegazioni che la accompagnano hanno tuttavia generato una certa confusione, in quanto non era chiaro se si riferissero alla colpa come condizione di imputazione della responsabilità o come fattore di graduazione dell’importo del risarcimento.

69. Invitato dalla Corte di giustizia a chiarire tale ambiguità, il giudice del rinvio ha affermato che la questione riguardava entrambi gli aspetti, senza fornire ulteriori dettagli sul loro collegamento con la controversia oggetto del procedimento principale.

70. Alla luce di tale risposta, intendo rispondere alle questioni sollevate dal giudice del rinvio dopo aver affrontato (anche) quelle sollevate dal MDK in merito all’eventuale concorso dell’interessato nella causazione del danno (52). La mia esposizione si svilupperà in tre fasi:

– nella prima, affronterò il criterio di imputazione della responsabilità prevista all’articolo 82 del RGPD;

– nella seconda, analizzerò il possibile impatto della consultazione dei dati personali da parte di un dipendente del titolare del trattamento (53). Un elemento specifico ed essenziale di questa fattispecie è che il dipendente ha effettuato la ricerca su richiesta dell’interessato;

– nella terza, mi pronuncerò sulla ripercussione che il grado di gravità della colpa del titolare del trattamento può avere sulla valutazione concreta del danno morale risarcibile.

1. Presupposto della responsabilità civile di cui all’articolo 82 del RGPD

71. Il giudice del rinvio ritiene che l’articolo 82, paragrafo 1, del RGPD non subordini la responsabilità civile (del gestore (54) del trattamento) all’esistenza o alla prova del dolo o della colpa. Aggiunge che il paragrafo 3 dello stesso articolo non suffraga alcun’altra soluzione.

72. Ammetto che non è chiaro quale modello di responsabilità civile abbia accolto il RGPD e che, a priori, siano possibili diverse interpretazioni (55). Il giudice del rinvio ne adotta una fra queste: a mio parere, quella corretta.

73. La lettura dell’articolo 82, paragrafo 1, del RGPD nel senso che esso istituisce un regime di responsabilità civile estraneo alla colpa del gestore del trattamento è, a mio avviso, conforme al suo tenore letterale, che trova un sostegno immediato nei lavori preparatori e, soprattutto, favorisce la finalità della norma. Ciò è accettabile alla luce di altri paragrafi della disposizione, nonché del sistema considerato nel suo complesso.

a) Argomento letterale

74. La posizione sostenuta dal giudice del rinvio è coerente con il testo dell’articolo 82, paragrafo 1, del RGPD. Letteralmente, il diritto a essere risarcito dal titolare del trattamento è collegato, puramente, ai danni subiti a causa di una violazione dello stesso RGPD.

75. I restanti paragrafi dell’articolo 82 non indicano nessun’altra risposta (56). In particolare, non oserei dedurre un requisito di colpa sulla base del termine «imputabile» dell’articolo 82, paragrafo 3. Il termine appare solo in alcune versioni linguistiche del RGPD; altre, al contrario, ricorrono a «responsabile». Nella versione tedesca, né l’articolo 82 né il preambolo includono il termine tecnico appropriato per l’imputazione a titolo di colpa («Verschulden») (57).

76. Confrontando le diverse disposizioni del RGPD, si evidenzia che la terminologia utilizzata non è sempre univoca, cosicché occorre usare molta prudenza nel trarre conseguenze dal suo tenore letterale. Nella versione inglese, ad esempio, il termine «responsible» è utilizzato in molteplici significati (58).

77. La mancanza di riferimenti al dolo o alla colpa del titolare del trattamento nell’articolo 82 del RGPD contrasta con i riferimenti all’articolo 83 relativi alle sanzioni amministrative pecuniarie: «Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso», si tiene debito conto del carattere doloso o colposo della violazione del RGPD (59).

78. Sebbene la divergenza tra testi indebolisca la rilevanza del criterio ermeneutico letterale, essa corrobora quantomeno la tesi che né il dolo né la colpa figurano all’articolo 82 del RGPD e che tale assenza è deliberata e non attribuibile a disattenzione del legislatore.

b) Lavori preparatori

79. La discussione sul criterio di imputazione della responsabilità infine accolto nel RGPD è offuscata dal contesto nel quale essa ha avuto luogo in seno al Consiglio, nel quadro della fattispecie della pluralità di operatori del trattamento.

80. Tale discussione si è mescolata con considerazioni procedurali, senza rispettare un apparato concettuale che permetta di distinguere tra il ruolo della colpa come criterio di imputazione della responsabilità, da un lato, e quello dell’assenza di colpa ai fini dell’esenzione da tale medesima responsabilità, a livello di nesso causale, dall’altro.

81. Tuttavia, ritengo che i lavori preparatori depongano a favore di una comprensione dell’articolo 82, paragrafo 1, del RGPD, in cui la responsabilità civile non dipende dalla colpa del titolare del trattamento.

82. La proposta della Commissione seguiva la direttiva 95/46 e non menzionava la colpa. I documenti del Consiglio fanno riferimento alla responsabilità prevista come «strict liability» (60).

83. Un emendamento proposto dalla Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento avrebbe dotato l’articolo 82 (allora 77), paragrafo 1, di un contenuto in cui la responsabilità è connessa al dolo o alla colpa (61). Non ha avuto esito positivo (62).

84. In Consiglio, la discussione sull’articolo 77 e sul criterio di imputazione è sorta in connessione con l’attribuzione e la ripartizione della responsabilità nel caso in cui più persone intervengono nella stessa operazione di trattamento. In questo contesto, la Presidenza ha proposto di scegliere tra due opzioni (63):

– secondo la prima (64), tutti i gestori o responsabili del trattamento sono considerati giuridicamente responsabili nei confronti dell’interessato per l’intero danno (65), in caso di violazione di obblighi ad essi incombenti in forza del RGPD (66). La loro partecipazione nella causazione del danno, anche se minima, consente all’interessato di richiedere l’intero importo del risarcimento; nel caso di più partecipanti, a ciascuno di essi (67). Tuttavia, ognuno si libera se dimostra di non essere affatto responsabile («responsible») del danno («0% responsibility»); questa opzione sarebbe stata inserita in un paragrafo 3 dell’articolo. Il modello è descritto come «closer (but certainly not equal to) to the “liability follows fault principle”» (68);

– la seconda opzione avrebbe comportato per il gestore del trattamento l’obbligo ineludibile di risarcire l’intero danno all’interessato, in una sorta di responsabilità assoluta, non essendo prevista alcuna esenzione (69). Il reclamo dell’interessato nei confronti del responsabile del trattamento avrebbe avuto natura solo subordinata (70). Non era prevista alcuna esenzione nemmeno per quest’ultimo.

85. Il testo di compromesso presentato dalla Presidenza per essere approvato come orientamento generale (71) segue la prima opzione, pur rafforzando l’eccezionalità dell’esonero e la difficoltà della relativa prova mediante la formulazione dell’articolo 77, paragrafo 3: «(…) if it [il titolare/responsabile del trattamento] proves that it is not in any way responsible (…)» (72). Questa formulazione corrisponde a quella dell’articolo infine adottato.

86. In definitiva, l’analisi dell’iter legislativo che ha portato al testo finale del RGPD depone a favore del fatto che la responsabilità di cui al suo articolo 82, paragrafo 1, non sia collegata alla colpa del gestore del trattamento.

c) Finalità

87. Il RGPD istituisce un sistema inteso ad assicurare un livello elevato di protezione delle persone fisiche rimuovendo nel contempo gli ostacoli alla circolazione dei dati personali (73). In tale sistema, il suo articolo 82 assolve una finalità risarcitoria, fermo restando che esso ha anche, in via secondaria, una funzione di dissuasione o di prevenzione di comportamenti non conformi alle sue prescrizioni (74).

88. Garantire il risarcimento è un obiettivo di per sé: ciò si deduce dall’importanza attribuitagli dal legislatore e che emerge dalla semplice lettura del testo. Secondo il RGPD, ottenere un risarcimento, qualora si sia verificato un danno, è un diritto dell’interessato; la nozione di danno deve essere interpretata in senso lato; e il risarcimento deve essere totale ed effettivo.

89. Il risarcimento è connesso alla volontà di rafforzare la fiducia dei cittadini nell’ambiente digitale, obiettivo di portata generale enunciato dal RGPD nel suo considerando 7. Assicurare alla persona interessata che, in linea di principio, non dovrà sopportare, senza poter fare nulla, i danni derivanti da un trattamento illecito dei suoi dati serve a promuovere tale fiducia: il suo patrimonio è salvo e, in sede processuale, il suo reclamo è più semplice.

90. È coerente con tale approccio il fatto che l’articolo 82, paragrafo 1, del RGPD non associ l’obbligo di risarcimento alla violazione di un dovere di diligenza. Tale obbligo è affidato, per decisione del legislatore, a colui che nel rapporto riveste una determinata posizione di guardiano o garante, e proprio per questo semplice fatto.

91. Si potrebbe quindi affermare che, per il RGPD, ciò che rileva è la situazione della vittima che subisce il danno derivante dalla violazione, mentre nessuna norma le impone l’obbligo di sopportarlo.

92. Per la vittima è indifferente che nella causazione del danno vi sia stata o meno colpa dell’autore: l’elemento determinante è che il gestore del trattamento abbia causato alla vittima il danno, materiale o morale, conseguente alla violazione del RGPD dallo stesso commessa.

93. Gli obiettivi sopra descritti sono più facilmente conseguibili in un modello che tende a far sì che il danno comprovato:

– sia risarcito in ogni caso (a meno che non vi sia un motivo di esenzione, che sarà eccezionale) e

– dia luogo a una riparazione (relativamente) facile da ottenere, non solo perché la colpa del titolare del trattamento non deve essere provata, ma anche perché, in presenza di una violazione e di un danno associato ad essa, l’imputazione non dipende da alcun grado di colpa.

94. Nel contesto dell’adattamento alla rivoluzione digitale (75), questa soluzione mi sembra coerente. I rapidi sviluppi tecnologici richiedono che, nelle più comuni attività di trattamento dei dati svolte online, l’assenza di dolo o colpa non impedisca il risarcimento di danni che altrimenti rimarrebbero non risarciti.

d) Sistema

95. L’interpretazione da me proposta è più conforme all’impianto sistematico del RGPD. Ciò è confermato nei seguenti termini, all’interno dell’articolo 82, dal paragrafo 3: l’esenzione è applicabile se «[i]l titolare del trattamento o il responsabile del trattamento (…) dimostra che l’evento dannoso non gli è in alcun modo imputabile».

96. In tale formulazione spicca l’espressione «in alcun modo», la quale suggerisce che il modello non è quello della colpa (neanche della colpa lievissima) con inversione dell’onere della prova.

97. Ritenere che il risarcimento non dipenda dalla colpa del titolare del trattamento conferisce all’articolo 82 un significato specifico all’interno del capo VIII e, in definitiva, del RGPD nel suo complesso.

98. Il legislatore europeo parte dal presupposto che il trattamento dei dati personali può essere fonte di rischio. Spetta agli operatori del trattamento valutare tali rischi e adottare e aggiornare le misure appropriate per prevenire e ridurre al minimo i rischi rilevati (76).

99. È stato sostenuto che un modello di responsabilità civile basato sulla colpa promuove la diligenza e quindi la protezione dai rischi, mentre il modello alternativo, che non tiene conto delle modalità della condotta dell’autore, scoraggerebbe la prudenza da parte di quest’ultimo (perché, se c’è un danno, dovrà comunque risarcirlo).

100. Ritengo che tale risultato (77) sia accettabile nel RGPD. L’articolo 82 è inserito in una struttura normativa complessa, con strumenti di diritto pubblico e privato intesi alla protezione dei dati personali. Nell’ambito di tale struttura, la colpa (e il dolo) rilevano ai fini delle sanzioni amministrative. Non vedo la necessità di ritenerli rilevanti anche ai fini della responsabilità civile (78), il che pregiudicherebbe gli obiettivi dell’articolo 82 e, inoltre, sminuirebbe in concreto l’attrattiva del rimedio che esso prevede.

2. Effetto dell’intervento dell’interessato

101. I quesiti relativi alla necessità della colpa da parte del titolare del trattamento sono connessi, nella presente causa, alle conseguenze che possono derivare dall’intervento dell’interessato (79).

102. Per una migliore comprensione di quanto segue, occorre chiarire che le circostanze della controversia sono state considerate da due prospettive:

– nella prima, il trattamento dei dati personali di ZQ da parte del MDK costituisce una violazione del RGPD (dei suoi articoli 9 o 6). La violazione causa di per sé un danno (80);

– nella seconda, il descritto trattamento dei dati non costituisce una violazione del RGPD o non causa danni. Essi deriverebbero dalla consultazione dei dati da parte di uno specifico dipendente del MDK su richiesta dell’interessato (81).

103. Ritengo, in ogni caso, che, come sembra ritenere il giudice del rinvio (82), per determinare l’eventuale incidenza del comportamento dell’interessato nella commissione dell’atto illecito che ha causato il danno, sia necessario far riferimento all’articolo 82, paragrafo 3.

104. La disposizione non elenca, neppure a titolo esemplificativo, motivi specifici di esenzione dalla responsabilità. Non lo fa nemmeno il considerando 146 (83).

105. Sotto questo profilo, il RGPD sembra discostarsi dalla direttiva 95/46, il cui articolo 23, paragrafo 2, conteneva una norma simile (84) all’attuale articolo 82, paragrafo 3, del RGPD: il considerando 55 della direttiva 95/46 proponeva, come esempi di motivi di esenzione, la responsabilità della persona interessata o la forza maggiore (85), che non figurano nel RGPD.

106. Dai lavori preparatori del RGPD non risulta, salvo errore da parte mia, che vi fosse discussione su questi due esempi, che figuravano effettivamente nella proposta della Commissione (86) e che il Parlamento ha mantenuto (87).

107. La loro soppressione e la comparsa della locuzione avverbiale «in alcun modo» avvengono nel contesto del dibattito summenzionato su come regolamentare la responsabilità per i trattamenti con più gestori o responsabili del trattamento (88).

108. Dalla documentazione disponibile (89) risulta che, nella formulazione finale, il gestore del trattamento beneficia dell’esenzione se dimostra di non essere affatto responsabile («responsible») del danno («0% responsibility»). Lo stesso vale per il responsabile del trattamento (90).

109. Sulla base di quanto precede, non ritengo che la scomparsa dei due esempi dal preambolo, parallelamente all’aggiunta di «in alcun modo» nel medesimo preambolo e nell’articolo 82, paragrafo 3, del RGPD, abbia come conseguenza (o come scopo) l’esclusione dell’attività dell’interessato dalle cause di esenzione dalla responsabilità (91).

110. Sembra piuttosto che l’attività dell’interessato sia ancora idonea a provocare, a seconda dei casi, un’interruzione dell’imprescindibile nesso tra l’«evento» (l’articolo 82, paragrafo 3, del RGPD usa questo termine) e la qualità di autore del responsabile. Sottolineare la natura limitata della clausola di esonero non impedisce che un determinato atto dell’interessato possa di per sé innescare il danno e determinare quindi l’esenzione del gestore del trattamento dalla responsabilità.

111. L’interpretazione sistematica depone per la presa in considerazione, nel contesto della responsabilità per danni, dell’intervento della persona interessata nella causazione del danno. Nel sistema del RGPD, i singoli compartecipano alla protezione dei propri dati, e a tal fine sono conferiti loro degli strumenti che, di per sé, sono diritti.

112. Sotto il profilo teleologico, ritengo che il RGPD intenda conferire una protezione elevata, ma non sino al punto di obbligare il responsabile a risarcire anche i danni derivanti da eventi o azioni imputabili all’interessato (92).

3. Calcolo del risarcimento. Incidenza del grado di colpa del responsabile del danno

113. Il giudice del rinvio ha confermato che la quinta questione pregiudiziale abbraccia la questione se il grado di colpa del titolare del trattamento influisca sul calcolo del risarcimento. Più precisamente, se l’assenza di colpa o la colpa lieve del responsabile possa essere presa in considerazione a suo favore.

114. L’articolo 82 del RGPD è certamente laconico, o del tutto silente, su aspetti chiave del risarcimento che inciderebbero sul calcolo del suo importo. Esso non fornisce alcuna indicazione all’interprete in merito agli elementi che lo compongono (93), ai criteri per stimare (tradurre in quantità) tali elementi (94), o ai fattori che possono incidere sul suo importo (95).

115. Ciononostante, ritengo che il RGPD conferisca all’interessato un diritto al risarcimento il cui importo è determinato in funzione del danno effettivamente subito. Una volta stabilita la cifra che risarcisce oggettivamente tale danno, essa non va modificata in funzione della maggiore o minore colpa del titolare del trattamento.

116. A sostegno della mia tesi, rinvio, mutatis mutandis, a quanto ho esposto a proposito dell’attribuzione della responsabilità al gestore del trattamento, indipendentemente dalla sua colpa, nel sistema dell’articolo 82 del RGPD. Dal punto di vista della vittima, il cui patrimonio (materiale e immateriale) deve rimanere indenne dopo il verificarsi del danno, il risarcimento dello stesso deve essere effettuato senza collegarlo alla colpa del gestore del trattamento, indipendentemente dal livello di gravità di questa (96).

117. Ritengo che si possa giungere alla stessa soluzione osservando che l’articolo 82 del RGPD (i cui lavori preparatori non forniscono alcun indizio in un senso o nell’altro) (97) si differenzia da altri strumenti del diritto dell’Unione, che distinguono espressamente in base alla circostanza che l’intervento nella violazione sia stato «consapevole» o meno, quando si tratta di fissare l’importo del risarcimento per la responsabilità civile (98).

118. A mio avviso, questa valutazione è suffragata da due ulteriori argomenti:

– l’articolo 83 del RGPD tiene conto della colpa (e del dolo) dell’autore della violazione nel graduare l’importo della sanzione pecuniaria (99). Il legislatore avrebbe potuto adottare lo stesso criterio per il calcolo della responsabilità civile, ma non lo ha fatto;

– il RGPD insiste sul fatto che il risarcimento deve essere pieno ed effettivo (100) (considerando 146 e articolo 82, paragrafo 4, per quanto riguarda il caso di più titolari o responsabili del trattamento coinvolti nella stessa operazione di trattamento) (101). A mio avviso, l’aggettivo «pieno» si oppone alla determinazione al ribasso dell’importo del risarcimento sulla base del minor grado di colpa del titolare del trattamento (102).

V. Conclusione

119. Alla luce delle considerazioni che precedono, propongo di rispondere al Bundesarbeitsgericht (Corte federale del lavoro, Germania) nei seguenti termini:

«L’articolo 9, paragrafo 2, lettera h), e paragrafo 3, nonché l’articolo 82, paragrafi 1 e 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

devono essere interpretati nel senso che:

non vietano a un Servizio medico di una cassa malattia di trattare dati relativi alla salute di un suo dipendente che costituiscono una condizione per valutare la sua capacità lavorativa;

consentono una deroga al divieto di trattamento dei dati personali relativi alla salute, qualora tale trattamento sia necessario ai fini della valutazione della capacità lavorativa del dipendente, sia soggetto ai principi dell’articolo 5 e a una delle condizioni di liceità di cui all’articolo 6 del regolamento 2016/679;

il grado di colpa del titolare del trattamento o del responsabile del trattamento non è rilevante per il prodursi della responsabilità dell’uno o dell’altro, né per quantificare l’importo dei danni immateriali da risarcire ai sensi dell’articolo 82, paragrafo 1, del regolamento 2016/679;

l’intervento dell’interessato nell’evento da cui sorge l’obbligazione risarcitoria può determinare, a seconda dei casi, l’esonero da responsabilità del titolare o del responsabile del trattamento previsto dall’articolo 82, paragrafo 3, del regolamento 2016/679».

1 Lingua originale: lo spagnolo.

2 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

3 E sull’articolo 8 della direttiva 95/46/CEE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), antecedente diretto dell’articolo 9 del RGPD.

4 La quarta questione è sostanzialmente identica alla prima questione nella causa C‑300/21, Österreichische Post (Danno morale inerente al trattamento di dati personali), nella quale ho presentato le mie conclusioni il 6 ottobre 2022 (EU:C:2022:756) (in prosieguo: le «conclusioni nella causa C‑300/21») e nella quale si è pronunciata la Corte con sentenza del 4 maggio 2023 (EU:C:2023:370).

5 Codice della sicurezza sociale, libro quinto.

6 Medizinischer Dienst der Krankenversicherung (in prosieguo: il «MDK»).

7 Krankenversicherung (in prosieguo: la «KV»).

8 «Nota sulla protezione dei dati sociali dei dipendenti [del MDK] e dei loro familiari», riassunto nell’ordinanza di rinvio, punti 6 e seguenti.

9 Nel sistema di trattamento informatico dei dati utilizzato internamente dal MDK è stata creata un’unità organizzativa virtuale denominata «Casi particolari», cui hanno accesso soltanto i dipendenti di tale unità.

10 A conclusione del periodo di mantenimento della retribuzione da parte del MDK (fissato ex lege).

11 A suo parere, in mancanza delle violazioni delle disposizioni sulla protezione dei dati personali, egli avrebbe potuto riprendere la propria attività da dicembre 2018.

12 ArbG Düsseldorf, Urteil vom 22.02.2019 - 4 Ca 6116/18, e LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19, rispettivamente.

13 Per quanto riguarda il suo contenuto, rinvio alla sentenza del 4 maggio 2023, Österreichische Post (Danno morale inerente al trattamento di dati personali) (C‑300/21, EU:C:2023:370).

14 Quanto segue non pregiudica la risposta alla terza questione pregiudiziale.

15 Ritengo preferibile utilizzare questa disposizione anziché l’articolo 9, paragrafo 2, lettera b), del RGPD. Non risulta che il trattamento fosse necessario (né per il MDK in quanto datore di lavoro, né per ZQ in quanto dipendente) per assolvere obblighi o esercitare diritti nell’ambito del rapporto di lavoro.

16 Un trattamento di dati sensibili in qualità di datore di lavoro (vale a dire per finalità connesse al rapporto di lavoro) sarebbe lecito solo se conforme alle condizioni stabilite dal RGPD per il trattamento dei dati per una finalità diversa da quella per cui sono stati raccolti.

17 Punto 22 dell’ordinanza di rinvio. Il RGPD richiede tuttavia il rispetto di altre caratteristiche, come previsto dall’articolo 9, paragrafo 3, dello stesso: sulla sua portata, infra, paragrafo 40 e seguenti.

18 L’articolo 9 del RGPD trova il suo antecedente nell’articolo 8 della direttiva 95/46. Nella proposta della Commissione [Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) COM(2012) 11 final, del 25 gennaio 2012; in prosieguo: la «proposta della Commissione»)], il trattamento dei dati personali relativi alla salute era disciplinato dall’articolo 81, che prevedeva giustificazioni e indicava che esso doveva essere effettuato in conformità al diritto dell’Unione o degli Stati membri. Sarebbe spettato a questi ultimi fornire le garanzie necessarie per tutelare i diritti legittimi della persona interessata. Il contenuto dell’articolo 81 è stato incorporato nell’articolo 9, paragrafo 2, lettera h), e paragrafo 4, come risulta dal documento n. 14270/14, della Presidenza del Consiglio al gruppo «Protezione dei dati» del 16 ottobre 2014.

19 Sentenza del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili) (C‑136/17, EU:C:2019:773), punto 44: «[i] requisiti specifici (…) rispetto ai trattamenti riguardanti le categorie specifiche di dati [hanno come] finalità (…) garantire una maggiore protezione contro trattamenti del genere i quali, a causa della natura particolarmente sensibile di tali dati, possono costituire, come risulta anche dal considerando 33 della direttiva [95/46] e dal considerando 51 del regolamento, un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta».

20 Il diritto fondamentale alla protezione dei dati personali non prevale automaticamente su qualsiasi altro, anche quando sono in gioco le categorie particolari di cui all’articolo 9, paragrafo 1, del RGPD: sentenza del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili) (C‑136/17, EU:C:2019:773), punti da 66 a68.

21 Articolo 9, paragrafo 3, del RGPD.

22 L’articolo 88 del RGPD autorizza gli Stati membri ad adottare norme «più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro». Sulla sua interpretazione, rinvio alla sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer (C‑34/21, EU:C:2023:270).

23 Questo sembra essere il punto di vista del giudice del rinvio. Da parte mia, rinvio alla nota 15 di cui sopra.

24 Concordo con la Commissione nel sostenere che «il secondo comma [dell’articolo 9 del RGPD] non prevede una gerarchia particolare o un eventuale rapporto di dipendenza tra le deroghe, che coesistono su un piano di parità» (punto 13 delle sue osservazioni scritte).

25 Non è richiesto, come avveniva nella direttiva 95/46, che il trattamento sia «effettuato da un professionista in campo sanitario soggetto al segreto professionale (…) o da un’altra persona egualmente soggetta a un obbligo di segreto equivalente» (corsivo aggiunto). Si richiede, tuttavia, che esso sia effettuato da persone soggette all’obbligo di segretezza.

26 Riferendosi a dati «particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali», il considerando 51 del RGPD dispone che «[o]ltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito».

27 Sentenze del 16 gennaio 2019, Deutsche Post (C‑496/17, EU:C:2019:26), punto 57, e quelle ivi citate. Per quanto riguarda i dati sensibili, si possono citare le sentenze del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili) (C‑136/17, EU:C:2019:773), punto 64; e del 22 giugno 2021, Latvijas Republikas Saeima (Punti per le infrazioni al codice della strada) (C‑439/19, EU:C:2021:504), punti 96, 99, 100 e 102.

28 Decisione di rinvio, punti da 25 a 27. Fa riferimento alla creazione di due cellule «Casi particolari» indipendenti e di unità informatiche distinte quando sono in gioco perizie su dipendenti dei servizi informatici (come ZQ). L’obiettivo finale sarebbe che nessun dipendente MDK abbia di fatto accesso ai dati sanitari di un collega o possa essere a conoscenza dell’esistenza di un controllo sulla capacità lavorativa di quest’ultimo.

29 Articolo 8, paragrafo 3. Come ho già esposto, nel RGPD è stata ampliata la cerchia delle persone autorizzate ad effettuare il trattamento.

30 Il paragrafo 4 è stato introdotto nell’articolo 9 del RGPD a seguito di una proposta della Germania: documento n. 6834/15, dalla Presidenza al Consiglio, del 9 marzo 2015.

31 Il giudice del rinvio qualifica in tal modo il MDK (punto 16 della decisione di rinvio). Di seguito, pertanto, non menzionerò il responsabile del trattamento, salvo che non sia opportuno in qualche momento. In linea di principio, le considerazioni fatte per il primo potranno essere estese al secondo.

32 Il giudice del rinvio teme, in particolare, che la violazione della sicurezza, qualora si verificasse, porterebbe i colleghi di ZQ a conoscere il suo stato di salute, il che potrebbe determinare speculazioni sulla sua produttività. Aggiunge che le informazioni sulla mera esistenza di una perizia medica relativa all’inabilità al lavoro sono informazioni sensibili, nella misura in cui possono suggerire la possibilità di una simulazione di tale inabilità (paragrafo 26 della decisione di rinvio).

33 V. il precedente paragrafo 10.

34 Punto 27 della decisione di rinvio.

35 V. la precedente nota 27. Sul rapporto tra l’articolo 6 e l’articolo 9 del RGPD, v. anche la causa C‑252/21, Meta Platforms e a. (Condizioni generali di utilizzo di una rete sociale). Le conclusioni dell’avvocato generale Rantos risalgono al 20 settembre 2022 (C‑252/21, EU:C:2022:704).

36 Sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (EU:C:2021:504), punti 96, 99, 100 e 102.

37 Il testo dell’articolo 10 del RGPD era contenuto nell’articolo 8 della direttiva 95/46. Quest’ultimo riuniva tutte le categorie particolari di dati, pur differenziando il trattamento da quelli relativi a reati, condanne penali o misure di sicurezza, che trattava al paragrafo 5. La separazione formale operata dal RGPD non è dovuta a un cambiamento nella convinzione che i dati personali relativi a condanne penali o reati siano «sensibili».

38 Documento n. 17072/4/14 Rev. 4, Consiglio al Comitato dei rappresentanti permanenti, del 4 marzo 2015, nota 60.

39 Relativo, come nella versione finale, alla liceità del trattamento.

40 Documento n. 17072/4/14 Rev. 4, Consiglio al Comitato dei rappresentanti permanenti, del 4 marzo 2015, articolo 9, paragrafo 2 [«Paragraph 1 shall not apply if one of the following applies and Article 6(1) is complied with (…)» e nota 60.

41 A partire dal documento n. 6834/15, Presidenza al Consiglio, del 9 marzo 2015.

42 Il che non ha certamente dissipato i dubbi di tutte le delegazioni. V., ad esempio, il documento n. 7466/15, Presidenza alle delegazioni, del 26 marzo 2015, nota 38.

43 Linee-guida 03/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19, aprile 2020, par. 15.

44 «Advice paper on special categories of data», Ares(2011)444105 - 20/04/2011, pag. 5.

45 È anche l’opinione espressa pubblicamente dalla Commissione: Minutes of the second meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, tenutosi il 10 ottobre 2016, pag. 2; e Minutes of the meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, tenutosi il 20 febbraio 2018, pag. 2.

46 L’opinione favorevole al cumulo o alla complementarità è sostenuta, ad esempio, da T. Petri, «Art. 9», in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, marg. 26, il quale riconosce, tuttavia, che tale opinione non è unanime. La soluzione opposta è suggerita nel Manuale sul diritto europeo in materia di protezione dei dati dell’Agenzia dell’Unione europea per i diritti fondamentali, 2018, epigrafe 4.1.1.

47 Rispettivamente, consenso esplicito dell’interessato, trattamento necessario per tutelare un interesse vitale di una persona fisica che si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso, e trattamento necessario per motivi di interesse pubblico.

48 Punti 30 e 31 della decisione di rinvio.

49 Ad esempio, se il consenso dell’interessato, come base giuridica che accompagna l’autorizzazione prevista dall’articolo 9, paragrafo 2, lettera h), debba essere il consenso esplicito richiesto dall’articolo stesso, o se sia sufficiente quello di cui all’articolo 6, paragrafo 1, lettera a).

50 Questione diversa, più circoscritta, è se, alla luce dei ragionamenti del giudice del rinvio in merito all’articolo 6, paragrafo 1, occorra chiarire il significato delle condizioni da esso stabilite, in particolare quelle corrispondenti alle lettere c) ed e). A questo proposito, rinvio alla giurisprudenza della Corte: in relazione alle disposizioni della direttiva 95/46, sentenze del 16 dicembre 2008, Huber (C‑524/06, EU:C:2008:724), punto 62; e del 30 maggio 2013, Worten (C‑342/12, EU:C:2013:355), punto 37; in relazione al RGPD, sentenza del 1° agosto 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), punti 66 e segg.

51 Il giudice del rinvio si mostra propenso a constatare una violazione degli articoli 9 e 6 del RGPD, derivante dal trattamento effettuato dal MDK. Al punto 32 della decisione di rinvio, esso afferma che la violazione comporta, di per sé, un diritto al risarcimento; al punto 33, insiste sulla conversione automatica della violazione in un danno («[l]a violazione del RGPD comporta di per sé un danno morale che dà diritto al risarcimento»). Per le ragioni che ho esposto nelle mie conclusioni nella causa C‑300/21, non condivido questa opinione.

52 Punti da 78 a 80 delle osservazioni del MDK. Secondo quest’ultimo, è l’interessato stesso che, omettendo di chiedere il fascicolo e di esercitare nei suoi confronti il suo diritto di accesso, conformemente all’articolo 15 del RGPD, ma facendo ricorso all’intervento di un collega della sua unità, provocando la consultazione dei dati controversi, si è procurato il danno da sé. Nello stesso senso, la sentenza pronunciata in appello LAG Dusseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19], punto 4.3.4.3.

53 Il dipendente, addetto allo stesso reparto dell’interessato, ha avuto accesso ai dati al di fuori dei casi per i quali era autorizzato, vale a dire per finalità diverse dall’esecuzione della prestazione lavorativa prevista dal suo contratto.

54 In prosieguo, utilizzerò il termine «gestore» in modo intercambiabile quale sinonimo di «titolare».

55 A parte coloro che sostengono che si tratta di un aspetto non regolamentato, le opinioni divergono tra i sostenitori di un sistema di responsabilità oggettiva e quelli di una responsabilità per colpa con inversione dell’onere della prova. In realtà, come in altri regimi di responsabilità (civile) settoriale, non ritengo che il RGPD sia pienamente conforme all’uno o all’altro dei due paradigmi teorici principali, le cui frontiere non sono neppure troppo precise. A causa della sua formulazione, esso si presta a essere incardinato in entrambi, con sfumature che, alla fine, confondono i modelli: nel primo, in virtù dell’alto livello di diligenza che si dovrebbe dimostrare al fine di evitare l’imputazione; nel secondo, a causa dell’introduzione di giudizi di diligenza/negligenza nei casi di esonero, o nell’accertamento della violazione, a seconda della natura della norma in questione.

56 Anche il paragrafo 2, che può essere letto come l’inverso del paragrafo 1 in quanto considera la responsabilità dal lato degli obbligati, non menziona alcun requisito di colpa.

57 Nella versione spagnola, il termine «imputable» [imputabile] figura, per contro, all’articolo 47, paragrafo 2, lettera f), del RGPD, il quale, a proposito delle informazioni alle quali esso subordina l’adozione di norme vincolanti d’impresa, fa riferimento all’esonero da responsabilità all’interno di gruppi di imprese stabiliti all’interno e all’esterno dell’Unione. La versione tedesca utilizza una perifrasi («dem betreffenden Mitglied nicht zur Last gelegt werden kann»).

58 V. gli articoli 82, paragrafo 3, 68, paragrafo 4, o 75, paragrafo 6.

59 Articolo 83, paragrafo 2, lettera b), e paragrafo 3. Sulla sua interpretazione mi sono pronunciato nelle mie conclusioni nella causa C‑807/21, Deutsche Wohnen (EU:C:2023:360).

60 Tra gli altri, documento n. 17831/13, Presidenza del Consiglio al gruppo «Protezione dei dati» del 16 dicembre 2013, nota 542.

61 Emendamento n. 2819, proposto da S. Ilchev, Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), documento PE501.927v04-00, Amendments (9): «Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence». Il corsivo è mio.

62 V. il testo che accompagna la risoluzione legislativa del 12 marzo 2014 sulla proposta della Commissione (GU 2017, C 378, pag. 399).

63 Documento n. 9083/15, Presidenza ai membri GAI del gruppo «Protezione dei dati» del 27 maggio 2015. La differenza tra le opzioni ruota attorno all’articolo 77, paragrafi da 3 a 6. Il paragrafo 1, che stabilisce il principio della responsabilità del titolare del trattamento o del responsabile del trattamento, e il paragrafo 2, che definisce l’ambito oggettivo della responsabilità di entrambi, circoscrivendo quella del responsabile del trattamento, coincidevano.

64 Loc. cit., punto 5.

65 «(…) each non-compliant controller and/or processor involved in the processing are held liable for the entire amount of the damage».

66 O, nel caso del responsabile del trattamento, qualora abbia violato le istruzioni impartite dal titolare conformemente al RGPD.

67 Con possibilità di ulteriore regresso: articolo 77, paragrafo 6, nella prima opzione.

68 Documento n. 9083/15, Presidenza ai membri GAI del gruppo «Protezione dei dati» del 27 maggio 2015, punto 7. La delegazione del Regno Unito aveva espressamente formulato una responsabilità per colpa. Alla luce delle sue argomentazioni, alle altre delegazioni è stato posto un quesito in tal senso (documento n. 7722/15, Presidenza al gruppo «Protezione dei dati», 13 aprile 2015, paragrafi 10 e 11). L’opzione infine proposta sembra ricalcare il compromesso indicato dalla delegazione tedesca (documento n. 8150/1/15 Rev 1 del 6 maggio 2015), che distingueva due sfere: quella della relazione fra il titolare/responsabile del trattamento e l’interessato e quella della relazione fra il titolare e il responsabile del trattamento, e per questi ultimi ha sostenuto l’imputazione basata sul dolo o sulla colpa: «liability follows fault, meaning that a party is only liable if he/she has intentionally or negligently acted contrary to his duties laid down in this Regulation». Nei confronti dell’interessato, l’assenza di negligenza consente l’esonero dalla responsabilità.

69 Loc. cit, punto 6, che finisce come segue: «In other words, the mere fact that an entity was involved in a non-compliant processing operation which caused damage suffices for it to be held liable for the full amount of damages».

70 Articolo 77, paragrafo 4a, secondo questa opzione: «If a data subject is not able to bring a claim for compensation against the controller (…)».

71 Documento n. 9565/15, Presidenza al Consiglio, dell’11 giugno 2015.

72 Il corsivo è mio. Parallelamente a questa aggiunta, sono stati eliminati gli esempi di motivi di esenzione di cui al considerando 18: v. infra, paragrafi 104 e segg.

73 Considerando 10 del RGPD.

74 Rinvio alle mie conclusioni della causa C‑300/21. Come ho sottolineato in quella sede, il legislatore vuole incoraggiare l’applicazione a livello privatistico delle norme sulla protezione dei dati personali. A tal fine, il capo VIII del RGPD ha messo a disposizione dell’interessato alcuni strumenti. Il risarcimento conseguente alla responsabilità civile è uno di questi, ma è privo di funzioni punitive.

75 Questo è uno degli argomenti avanzati nella proposta della Commissione in favore del superamento della direttiva 95/46.

76 Considerando 77 e seguenti del RGPD.

77 Che occorre precisare: la responsabilità svolge una funzione preventiva, in quanto incide sulla decisione dell’operatore in merito al livello di attività da svolgere. L’interpretazione che propongo consente di collegare l’articolo 82 del RGPD ai principi del trattamento quali la limitazione della finalità, la minimizzazione dei dati e l’esattezza [articolo 5, paragrafo 1, lettere b), c) e d), del RGPD].

78 Rendendo la colpa il criterio di imputazione.

79 V. la precedente nota 52.

80 Tesi del giudice del rinvio (v. la precedente nota 51). A suo avviso, la partecipazione dell’interessato che richiede la consultazione dei suoi dati dovrebbe essere irrilevante ai fini dell’attribuzione della responsabilità. Tuttavia, potrebbe essere rilevante ai fini della quantificazione del risarcimento.

81 Tesi del MDK e del giudice d’appello (v. la precedente nota 52). In realtà, si potrebbe sostenere che, in questa prospettiva, manca l’elemento «danno»: volenti non fit iniuria.

82 Punto 40 della decisione di rinvio.

83 A differenza di altri settori (ad esempio, la responsabilità per danno da prodotti difettosi), nel RGPD la determinazione dei motivi di esenzione non assume la forma di un elenco tassativo.

84 «Il responsabile del trattamento può essere esonerato in tutto o in parte [da tale] responsabilità se prova che l’evento dannoso non gli è imputabile».

85 Il responsabile del trattamento «può essere esonerato dalla propria responsabilità se prova che l’evento dannoso non gli è imputabile, segnatamente quando dimostra l’esistenza di un errore della persona interessata o un caso di forza maggiore». Il corsivo è mio.

86 Considerando 118 della proposta della Commissione.

87 Considerando 118 del testo che accompagna la risoluzione legislativa del Parlamento, del 12 marzo 2014, sulla proposta della Commissione.

88 V. supra, paragrafi 84 e segg. Gli esempi figurano nei documenti relativi ai negoziati in seno al Consiglio, ma non più nel testo di compromesso, documento n. 9565/15, dell’11 giugno 2015.

89 Mi riferisco in particolare al documento n. 9083/15, Presidenza ai membri GAI del gruppo «Protezione dei dati», del 27 maggio 2015.

90 Dato il contesto (ripeto, la particolare attenzione alla fattispecie della pluralità di operatori del trattamento), è legittimo dedurre in questo senso una possibilità, per il titolare del trattamento, di dimostrare che il danno è derivato esclusivamente dall’azione del responsabile del trattamento, e viceversa per quest’ultimo.

91 Nemmeno della forza maggiore, che era l’altro motivo espressamente menzionato nel considerando 55 della direttiva 95/46 (cfr. supra, paragrafo 105).

92 Non intendo anticipare il giudizio, ovviamente, sulla fattispecie dell’intervento di terzi. Su questo aspetto, v. le conclusioni dell’avvocato generale Pitruzzella presentate il 27 aprile 2023 nella causa Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353).

93 Al fine di dissipare i dubbi che sussistevano nella vigenza della direttiva 95/46, il RGPD precisa che esso copre i danni immateriali. Il considerando 146 fa riferimento a «i danni» e sottolinea che il concetto di «danno» deve essere interpretato in senso lato, sulla base della giurisprudenza della Corte di giustizia. L’esatta portata dell’indicazione è ancora dibattuta.

94 Non indica se, per determinare il valore del danno in ciascun caso, sia necessario ricorrere a tabelle, o preferire somme forfettarie, o utilizzare altri sistemi di calcolo.

95 Tra questi fattori si possono eventualmente citare: a) quello suggerito dal giudice del rinvio; b) il concorso di colpa dell’interessato, dedotto dal MDK al punto 80 delle sue osservazioni; c) altri, come l’introduzione di massimali quantitativi per il risarcimento, per non scoraggiare indebitamente le operazioni di trattamento dei dati o le attività economiche che dipendono da esse.

96 V. supra, paragrafi 87 e segg.

97 La direttiva 95/46 non prevedeva nulla al riguardo. Nei lavori preparatori del RGPD non ho trovato indizi di discussione su questo punto.

98 Regolamento (CE) n. 2100/94 del Consiglio, del 27 luglio 1994, concernente la privativa comunitaria per ritrovati vegetali (GU 1994, L 227, pag. 1), articolo 94, paragrafo 2; o direttiva n. 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di proprietà intellettuale (GU 2004, L 157, pag. 45), articolo 13, considerando 26.

99 Articolo 83, paragrafo 2, lettera b), e considerando 148 del RGPD. È in tale contesto che si tiene conto del criterio di proporzionalità, non solo alla luce dell’evento, ma anche con riguardo alla questione se la sanzione pecuniaria rappresenti un onere sproporzionato per una persona fisica. Il governo irlandese, al punto 54 delle sue osservazioni, propone di trasporre tale criterio alla responsabilità civile. Anche qui, manca l’argomentazione testuale per considerarlo un elemento costitutivo dell’articolo 82; una tesi del genere non è supportata né dai lavori preparatori né dalla finalità della norma o dalla sua funzione nel complesso.

100 Un risarcimento effettivo deve essere in grado di svolgere la sua funzione di tutela del diritto alla protezione dei dati.

101 Sia gli uni sia gli altri sono civilmente responsabili ai sensi dell’articolo 82, paragrafi 2 e 3, del RGPD. Essi sono responsabili per l’intero ammontare, indipendentemente dal loro grado di contributo al danno.

102 Non escludo che vi siano altre circostanze la cui presenza giustifichi una riduzione dell’importo: penso, ad esempio, al bilanciamento, in casi specifici, del diritto al risarcimento (e, attraverso di esso, alla protezione dei dati), con altri beni o diritti dello stesso rango. Nel RGPD, l’aggettivo pieno serve anche a garantire la copertura di un certo tipo di danni (i danni immateriali); per evitare che il risarcimento sia limitato al danno emergente (dovrà comprendere altre nozioni, come sottolineato dalla Corte di giustizia in altri settori); e a garantire che la pluralità di operatori di un trattamento non ostacoli l’accesso al risarcimento, bensì il contrario.