CONCLUSIONI DELL’AVVOCATO GENERALE
M. CAMPOS SÁNCHEZ-BORDONA
presentate il 25 maggio 2023 (1)
Causa C‑667/21
ZQ
contro
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts
[domanda di pronuncia pregiudiziale proposta dal Bundesarbeitsgericht (Corte federale del lavoro, Germania)]
«Rinvio pregiudiziale – Protezione dei dati personali – Dati personali relativi alla salute – Valutazione della capacità lavorativa di un dipendente – Servizio di controllo medico di una cassa malattia – Trattamento dei dati personali relativi alla salute dei dipendenti – Diritto al risarcimento del danno – Incidenza del grado di colpa»
1. Il presente rinvio pregiudiziale verte sull’interpretazione del regolamento (UE) 2016/679 (2) in relazione a: a) il trattamento dei dati personali relativi alla salute; e b) il risarcimento del danno subito a causa di una (presunta) violazione dello stesso RGPD.
2. Sebbene la Corte si sia già pronunciata sulle disposizioni del RGPD (3) che riguardano tali questioni, quelle sollevate nell’ambito del presente rinvio pregiudiziale sono inedite, ad eccezione della quarta (4).
I. Contesto normativo
A. Diritto dell’Unione. RGPD
3. Ai fini della presente controversia sono rilevanti i considerando 4, 10, 35, da 51 a 54 e 146 contenuti nel preambolo del RGPD.
4. Ai sensi dell’articolo 9 («Trattamento di categorie particolari di dati personali»):
«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
(…)
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
(…)
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
(…)
3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute».
5. L’articolo 82 («Diritto al risarcimento e responsabilità») stabilisce quanto segue:
«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
(…)
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
(…)».
B. Diritto nazionale. Sozialgesetzbuch Fünftes Buch (5)
6. Ai sensi dell’articolo 278, paragrafo 1, prima frase, in ciascuno dei Land è istituito un servizio medico (6) delle casse malattia quale organismo di diritto pubblico (7). Una delle sue funzioni, assegnate per legge, è quella di redigere perizie finalizzate a fugare eventuali dubbi in merito all’inabilità al lavoro degli assicurati.
7. A norma dell’articolo 275, paragrafo 1, prima frase, punto 3, lettera b), a fronte di un’inabilità al lavoro di un assicurato attestata mediante certificato medico, le KV sono tenute, in specifici casi, a chiedere al MDK corrispondente una perizia finalizzata a fugare eventuali dubbi in merito all’inabilità al lavoro.
II. Fatti, procedimento e questioni pregiudiziali
8. Dal 1991 ZQ lavorava alle dipendenze del MDK di Nordrhein (Germania) quale amministratore di sistema del reparto IT, nonché quale operatore di help desk.
9. Il MDK redige perizie sull’inabilità al lavoro degli assicurati alle KV. Tra queste perizie vi sono anche quelle relative alla salute dei lavoratori dello stesso MDK.
10. Il trattamento dei dati è soggetto, tra l’altro, alle seguenti regole, contenute in un manuale interno (8):
– i «dati sociali» dei dipendenti non possono essere raccolti e conservati sul luogo di lavoro. Inoltre, tali dati, generati quando una KV incarica di una perizia il MDK, non devono essere confusi con i dati dei dipendenti trattati nel contesto del rapporto di lavoro o di servizio;
– le richieste di perizie riguardanti i dipendenti del MDK sono classificate come «casi particolari» e trattate esclusivamente da una specifica unità organizzativa (9);
– una volta redatta la perizia su un dipendente del MDK, sia la relativa documentazione che la perizia sono depositate nell’archivio elettronico del MDK stesso. L’imputazione dei documenti a singole persone è possibile soltanto attraverso una particolare chiave, previa legittimazione all’accesso, oggetto di un controllo tecnico.
11. Dopo l’archiviazione, i dipendenti del «reparto IT» dell’unità organizzativa «Casi particolari» possono avere accesso, nel rispetto dell’obbligo di segretezza previsto dalla legge, alle perizie redatte sulla base di una richiesta concernente i dipendenti del MDK.
12. Dal 22 novembre 2017, ZQ era ininterrottamente inabile al lavoro a causa di malattia.
13. A partire dal 24 maggio 2018 (10), ZQ percepiva un’indennità di malattia, erogata dalla KV presso la quale è assicurato. Il 6 giugno 2018, quest’ultima incaricava il MDK di redigere una perizia finalizzata a fugare ogni dubbio in merito all’inabilità al lavoro di ZQ.
14. Il MDK assumeva l’incarico, che assegnava all’unità «Casi particolari». Il 22 giugno 2018, un medico di quell’unità, impiegato presso il MDK, redigeva una perizia che conteneva la diagnosi di ZQ. Ai fini della predisposizione della perizia, aveva avuto un colloquio telefonico con il medico curante di ZQ, da cui aveva acquisito una serie di informazioni.
15. Il MDK aveva archiviato la perizia nel sistema elettronico.
16. ZQ veniva a sapere dal proprio medico curante della telefonata compiuta dal medico del MDK.
17. Il 1° agosto 2018, ZQ contattava una collega del reparto IT del MDK chiedendole se fosse stata archiviata una perizia su di lui. A seguito di una ricerca in archivio, la collega rispondeva in senso affermativo. Su richiesta di ZQ, fotografava la perizia e inviava le immagini a quest’ultimo.
18. Il 15 agosto 2018, ZQ chiedeva al MDK il pagamento di un risarcimento pari a EUR 20 000,00, a cui non veniva dato seguito, sulla base dell’articolo 82 del RGPD.
19. Il 17 ottobre 2018, ZQ proponeva ricorso dinanzi all’Arbeitsgericht Düsseldorf (Tribunale del lavoro, Düsseldorf, Germania). In tale procedimento, chiedeva altresì, un risarcimento nella misura del mancato guadagno (11).
20. In attesa del procedimento giudiziale, il MDK licenziava ZQ.
21. Le domande di ZQ sono state respinte sia in primo grado che in appello (12).
22. ZQ ha presentato ricorso dinanzi al Bundesarbeitsgericht (Corte federale del lavoro, Germania), che sottopone alla Corte le seguenti questioni:
«1) Se l’articolo 9, paragrafo 2, lettera h), del [RGPD] debba essere interpretato nel senso che è fatto divieto a un Servizio medico di una cassa malattia di trattare dati relativi alla salute di un suo dipendente che costituiscono una condizione per valutare l’idoneità al lavoro di detto dipendente.
2) Qualora la Corte dovesse rispondere in senso negativo alla prima questione, con la conseguenza che potrebbe trovare applicazione, a norma dell’articolo 9, paragrafo 2, lettera h), del RGPD, una deroga al divieto di trattamento dei dati relativi alla salute previsto nell’articolo 9, paragrafo 1, del regolamento de quo: se, in una fattispecie come quella in esame, oltre ai criteri stabiliti nell’articolo 9, paragrafo 3, del RGPD, debbano essere rispettati altri requisiti in materia di riservatezza dei dati e, se del caso, quali.
3) Qualora la Corte dovesse rispondere in senso negativo alla prima questione, con la conseguenza che potrebbe trovare applicazione, a norma dell’articolo 9, paragrafo 2, lettera h), del RGPD, una deroga al divieto di trattamento dei dati relativi alla salute previsto nell’articolo 9, paragrafo 1, del regolamento de quo: se, in una fattispecie come quella in esame, l’ammissibilità e la liceità del trattamento di dati relativi alla salute dipenda altresì dal soddisfacimento, quantomeno, di una delle condizioni indicate nell’articolo 6, paragrafo 1, del RGPD.
4) Se l’articolo 82, paragrafo 1, del RGPD abbia carattere preventivo speciale o generale e se tale circostanza debba essere presa in considerazione, a carico del titolare del trattamento o del responsabile del trattamento, nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base del succitato articolo.
5) Se, nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base dell’articolo 82, paragrafo 1, del RGPD, rilevi il grado di colpa del titolare del trattamento o del responsabile del trattamento. In particolare, se il fatto che il titolare del trattamento o il responsabile del trattamento abbiano agito senza colpa o con colpa lieve possa essere preso in considerazione a loro favore».
III. Procedimento dinanzi alla Corte di giustizia
23. La domanda di pronuncia pregiudiziale è pervenuta presso la cancelleria della Corte l’8 novembre 2021.
24. Hanno presentato osservazioni scritte ZQ, il MDK, i governi irlandese e italiano, nonché la Commissione europea.
25. Non è stato ritenuto necessario lo svolgimento di un’udienza.
26. Su indicazione della Corte, nelle presenti conclusioni non verrà trattata la quarta questione pregiudiziale (13).
IV. Valutazione
A. Sulla prima questione pregiudiziale
27. Il giudice del rinvio chiede se l’articolo 9, paragrafo 2, lettera h), del RGPD vieti a un MDK di trattare dati relativi alla salute di uno dei propri dipendenti che costituiscono una condizione per valutare l’idoneità al lavoro di detto dipendente. Mette dunque in discussione la liceità del trattamento sulla base del soggetto che lo effettua (14).
28. L’articolo 9 del RGPD disciplina categorie particolari di dati, come quelli relativi alla salute della persona. Esso stabilisce un divieto generale di trattamento dei dati «sensibili» (paragrafo 1) ed elenca in modo tassativo le circostanze in cui il divieto generale non si applica (paragrafo 2).
29. In particolare, il paragrafo 2, lettera h), dell’articolo 9 del RGPD include la deroga (al divieto generale) relativa al trattamento di dati personali «per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale».
30. A mio avviso, tale disposizione fornisce una copertura sufficiente all’azione del MDK, oggetto della controversia (15). È irrilevante che il titolare del trattamento sia, allo stesso tempo, il datore di lavoro dell’interessato, in quanto il MDK non agisce in tale sua qualità di datore di lavoro, ma come servizio medico di una KV a cui l’interessato era assicurato (16).
31. Non vedo alcun fondamento per interpretare l’articolo 9, paragrafo 2, lettera h), del RGPD nel senso che esso vieti a un servizio medico di trattare i dati sulla salute dei propri dipendenti per la finalità indicata in tale lettera. I consueti criteri ermeneutici conducono piuttosto alla soluzione opposta (inesistenza di tale divieto).
32. Da un punto di vista letterale, l’articolo 9, paragrafo 2, lettera h), del RGPD non prevede alcuna esclusione in tal senso, né impone come condizione per il trattamento che il titolare del trattamento sia un «terzo neutrale» (17).
33. Neppure gli antecedenti legislativi e l’evoluzione della disposizione rivelano un divieto come quello evocato nella prima questione pregiudiziale, né l’intenzione di includerlo (18).
34. La finalità delle norme del RGPD sul trattamento dei dati relativi alla salute consiste, come dichiarato dalla Corte (19), nel concedere una protezione rafforzata agli interessati, a causa della natura particolarmente sensibile di tali dati rispetto ai diritti fondamentali coinvolti. È al servizio di tale obiettivo che viene introdotto il divieto generale di cui all’articolo 9, paragrafo 1, del RGPD, che non è tuttavia assoluto (20).
35. In questo settore, come in altri relativi al trattamento dei dati personali, la scelta del legislatore, una volta stabilito il divieto generale, è stata:
– introdurre deroghe, sotto forma di un elenco di situazioni concrete, che possono essere raggruppate (approssimativamente) in quelle in cui l’interessato stesso autorizza il trattamento o ne trae vantaggio, e quelle in cui vi sono interessi prevalenti rispetto a quelli di ciascun individuo;
– corredare un certo tipo di trattamento di garanzie specifiche, superiori rispetto a quelle che si applicano al resto dei dati personali «non sensibili» e che si aggiungono ad esse (21);
– autorizzare gli Stati membri a introdurre ulteriori condizioni, e persino limitazioni, al trattamento dei dati personali. Così, per quanto riguarda i dati relativi alla salute (articolo 9, paragrafo 4, del RGPD e considerando 53, alla fine) o i dati dei dipendenti nell’ambito dei rapporti di lavoro (articolo 88 del RGPD) (22).
36. Ebbene, in astratto, nulla impedirebbe di includere tra le precauzioni specifiche a cui ho appena fatto riferimento quella di vietare a un MDK di trattare dati relativi alla salute dei propri dipendenti. Non mi sembra, tuttavia, che questa opzione (che il legislatore europeo non ha scelto) sia indispensabile per preservare l’obiettivo sopra indicato.
37. Ritengo pertanto che il divieto da cui scaturisce la domanda del giudice del rinvio non sia la conseguenza inesorabile di un’interpretazione teleologica dell’articolo 9, paragrafo 2, lettera h), del RGPD.
38. Né ritengo che un’interpretazione sistematica della disposizione possa condurre a una soluzione diversa, dal momento che:
– supponendo, a fini dialettici, che sia corretto intendere l’articolo 9, paragrafo 2, lettera b), del RGPD come l’unica base che consente a un datore di lavoro di trattare i dati sanitari dei suoi dipendenti (23), ciò non inciderebbe sulla possibilità che lo stesso ente, non già in qualità di datore di lavoro, ma in quanto servizio medico che assume l’incarico da una KV, effettui il trattamento ai sensi di un’altra deroga dello stesso articolo 9, paragrafo 2 (24);
– l’articolo 9, paragrafo 3, del RGPD stabilisce le condizioni imposte a chi tratta dati personali relativi alla salute. L’articolo 9, paragrafo 2, lettera h), rinvia espressamente all’articolo 9, paragrafo 3; dal punto di vista soggettivo, il trattamento non è subordinato a nessun’altra condizione (25).
39. In definitiva, propongo di rispondere in senso negativo (ossia che il divieto controverso non esiste nel RGPD) alla prima questione pregiudiziale, il che consente di affrontare la questione successiva.
B. Sulla seconda questione pregiudiziale
40. Qualora (come suggerisco) la risposta alla prima questione pregiudiziale dovesse essere negativa, il giudice del rinvio chiede se «in una fattispecie come quella in esame, oltre ai criteri stabiliti nell’articolo 9, paragrafo 3, del RGPD, [esistano] altri requisiti in materia di riservatezza dei dati e, se del caso, quali».
41. La risposta, in termini generali, non dovrebbe dare adito a grandi problemi. (26). La Corte di giustizia ha dichiarato che ogni trattamento di dati personali deve essere conforme ai principi dell’articolo 5 del RGPD e a una delle condizioni di liceità dell’articolo 6 dello stesso. (27)
42. Secondo il giudice del rinvio, il rispetto dell’obbligo di segretezza (articolo 9, paragrafo 3, del RGPD) non sarebbe sufficiente a proteggere i dati in circostanze come quelle del caso di specie. Esso propone altre misure integrative che, a suo avviso, sarebbero le uniche adatte a tale scopo (28).
43. Ritengo che, in quanto tale, l’articolo 9, paragrafo 3, del RGPD non possa fungere da fondamento per tali misure ulteriori. La sua chiara formulazione (che si limita a delineare una disposizione già contenuta nella direttiva 95/46) (29) non fornisce sostegno a proposte come quella del giudice del rinvio.
44. Tali proposte potrebbero, al contrario, rientrare nell’ambito di applicazione dell’articolo 9, paragrafo 4, del RGPD. Ai sensi di tale disposizione, gli Stati membri hanno la facoltà di imporre «ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati (…) relativi alla salute» (30). Tuttavia, dalla decisione di rinvio non risulta che ciò sia avvenuto in Germania.
45. Ciò premesso, e per le ragioni che ho esposto in precedenza, il trattamento dei dati personali relativi alla salute deve essere soggetto, tra gli altri principi, a quello enunciato all’articolo 5, paragrafo 1, lettera f), del RGPD e agli obblighi che ne derivano, che sono specificati nel capo IV del RGPD.
46. Il titolare del trattamento (31) deve inoltre adottare misure tecniche e organizzative adeguate, intese a garantire che uno specifico trattamento sia conforme al RGPD. Questo è quanto afferma in generale l’articolo 24, paragrafo 1, del regolamento.
47. In particolare, l’articolo 32, paragrafo 1, del RGPD impone al titolare del trattamento di mettere in atto «misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio» cui sarebbero soggetti i dati personali in questione.
48. Applicando tali norme al caso di specie, la qualità di datore di lavoro del MDK nei confronti di ZQ impone al primo un obbligo di diligenza superiore alla norma nel trattamento dei dati relativi alla salute da esso posseduti, poiché anche i rischi sono maggiori (32).
49. Il MDK non nega questo fatto. Quando, su richiesta di una KV alla quale il suo dipendente è affiliato, elabora perizie al fine di fugare i dubbi quanto alla sua (in)idoneità al lavoro, esso attua un insieme di misure ad hoc, tecniche e organizzative, previste per rendere conforme al RGPD il trattamento dei dati personali relativi alla salute (33).
50. La valutazione di tali misure spetta al giudice del rinvio, che può decidere, dopo la sua valutazione, che le misure adottate non erano sufficienti. Tuttavia, ciò non consente di dedurre dall’articolo 9 del RGPD un obbligo per gli MDK di respingere d’ufficio tutte le richieste di perizia medica (riguardante i propri dipendenti) proveniente dalle KV (34).
C. Sulla terza questione pregiudiziale
51. Supponendo una risposta negativa alla prima questione pregiudiziale, con la terza questione il giudice del rinvio chiede se la deroga al divieto di trattamento dei dati relativi alla salute «dipenda altresì dal soddisfacimento, quantomeno, di una delle condizioni indicate nell’articolo 6, paragrafo 1, del RGPD».
52. Per rispondere a tale quesito, occorre analizzare il rapporto tra l’articolo 9, paragrafo 2, del RGPD e l’articolo 6 di quest’ultimo, relativo alla liceità del trattamento. La necessità di rispettare quest’ultimo articolo in tutti i trattamenti di dati figura in sentenze della Corte, che ho citato in precedenza (35).
53. In particolare, quella pronunciata nella causa C‑439/19 (36) ha interpretato l’articolo 10 del RGPD in relazione a un’altra categoria di dati personali sensibili (quelli relativi alle condanne penali e a reati) (37), dichiarando che l’articolo 6 del RGPD si applica cumulativamente all’articolo 10.
54. Occorre chiedersi se possa applicarsi lo stesso postulato ai dati personali di cui all’articolo 9 del RGPD.
55. Gli articoli 9 e 10 del RGPD hanno una diversa struttura. L’articolo 10 contiene un rinvio esplicito all’articolo 6, paragrafo 1, del RGPD stesso che non figura all’articolo 9.
56. Non è possibile nemmeno confrontare il contenuto dell’articolo 9, paragrafo 2, e quello dell’articolo 10 del RGPD: l’articolo 10 si limita a indicare una restrizione soggettiva al trattamento, mentre l’articolo 9, paragrafo 2, stabilisce le finalità (o le circostanze) che la giustificano, come l’articolo 6, paragrafo 1.
57. Infatti, il parallelismo tra l’articolo 6, paragrafo 1, e l’articolo 9, paragrafo 2, del RGPD è tale che, a una prima lettura, sembrerebbe che le circostanze elencate da quest’ultimo siano specificazioni delle condizioni di cui al primo: le precisano, rendendole al contempo più onerose.
58. La storia e l’evoluzione dell’articolo 9 del RGPD rimettono tuttavia in discussione l’assunto secondo il quale il rapporto tra quest’ultimo e l’articolo 6 si spiegherebbe in termini di «legge speciale» e «legge generale».
59. È opinione comune che questa interpretazione sia stata effettivamente sostenuta dalle delegazioni di alcuni Stati membri (38). Tuttavia, i documenti relativi alla negoziazione sull’articolo 9 non rivelano disaccordi sul rinvio all’articolo 6 (39), bensì sulla portata di tale rinvio (solo al paragrafo 1 o anche ad altri paragrafi?) (40). Alla fine, è stato soppresso il riferimento dell’articolo 9 all’articolo 6 (41) e si è deciso di mantenere nel preambolo un paragrafo simile all’attuale considerando 51 del RGPD (42).
60. L’idea del cumulo, o della complementarietà, tra le due disposizioni è condivisa dal Comitato europeo per la protezione dei dati (43) ed è stata sostenuta dal cosiddetto Gruppo «articolo 29» (44) in relazione all’articolo 8 della direttiva 95/46 (45). Tuttavia, non si tratta di un’interpretazione indiscussa in dottrina, né in altre sedi rilevanti (46).
61. Prendendo in considerazione le diverse lettere dell’articolo 9, paragrafo 2, del RGPD, tendo a ritenere che il rapporto tra tale disposizione e l’articolo 6 non consenta, in realtà, una risposta unica. Infatti:
– deroghe al divieto di trattamento come quelle di cui all’articolo 9, paragrafo 2, lettere a), c), g) e i) (47), presentano una correlazione immediata con una base giuridica specifica di cui all’articolo 6, paragrafo 1, del RGPD e la assorbono;
– lo stesso non avviene per le altre deroghe elencate all’articolo 9, paragrafo 2, del RGPD, che richiedono invece una giustificazione ulteriore a norma dell’articolo 6, paragrafo 1. A mio parere, questo è il caso dell’articolo 9, paragrafo 2, lettera h), su cui verte la presente questione pregiudiziale.
62. Ritengo pertanto che, per rendere lecito il trattamento dei dati sensibili autorizzato dall’articolo 9, paragrafo 2, lettera h), del RGPD, occorra ricercare quale delle condizioni elencate all’articolo 6, paragrafo 1, lo legittimi in ciascun caso.
63. Il giudice del rinvio non mette in discussione questa affermazione: piuttosto, sulla base di tale premessa, la sua tesi è incentrata sull’esclusione che il trattamento effettuato dal MDK trovi giustificazione nell’articolo 6 (48).
64. Prima facie, non mi sembra che vi sia un ordine di precedenza tra le basi giuridiche previste dalla disposizione. Un’ulteriore analisi potrebbe rivelare la necessità di fare delle precisazioni (49). Ritengo, tuttavia, che una tale analisi andrebbe oltre quanto necessario per rispondere al presente rinvio pregiudiziale (50).
65. In definitiva, la risposta alla terza questione pregiudiziale dovrebbe indicare al giudice del rinvio che la deroga al divieto di trattare dati relativi alla salute richiede che sia soddisfatta almeno una delle condizioni enunciate all’articolo 6, paragrafo 1, del RGPD.
D. Sulla quinta questione pregiudiziale
66. Il giudice del rinvio chiede se «nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base dell’articolo 82, paragrafo 1, del RGPD, rilevi il grado di colpa del titolare del trattamento o del responsabile del trattamento» e in particolare, se «il fatto che il titolare del trattamento o il responsabile del trattamento abbiano agito senza colpa o con colpa lieve possa essere preso in considerazione a loro favore».
67. La questione presuppone che vi sia stata una violazione del RGPD (51), commessa dal soggetto che appare il titolare del trattamento dei dati, e chiede se, nel determinare l’ammontare del risarcimento del danno derivante da tale violazione, rilevi il grado di colpa di quest’ultimo. Secondo il giudice del rinvio, non è certo che l’assenza di colpa o la colpa lieve del responsabile possano essere qualificate come esimenti.
68. Presa alla lettera, la questione si concentra sulla quantificazione del risarcimento. Le spiegazioni che la accompagnano hanno tuttavia generato una certa confusione, in quanto non era chiaro se si riferissero alla colpa come condizione di imputazione della responsabilità o come fattore di graduazione dell’importo del risarcimento.
69. Invitato dalla Corte di giustizia a chiarire tale ambiguità, il giudice del rinvio ha affermato che la questione riguardava entrambi gli aspetti, senza fornire ulteriori dettagli sul loro collegamento con la controversia oggetto del procedimento principale.
70. Alla luce di tale risposta, intendo rispondere alle questioni sollevate dal giudice del rinvio dopo aver affrontato (anche) quelle sollevate dal MDK in merito all’eventuale concorso dell’interessato nella causazione del danno (52). La mia esposizione si svilupperà in tre fasi:
– nella prima, affronterò il criterio di imputazione della responsabilità prevista all’articolo 82 del RGPD;
– nella seconda, analizzerò il possibile impatto della consultazione dei dati personali da parte di un dipendente del titolare del trattamento (53). Un elemento specifico ed essenziale di questa fattispecie è che il dipendente ha effettuato la ricerca su richiesta dell’interessato;
– nella terza, mi pronuncerò sulla ripercussione che il grado di gravità della colpa del titolare del trattamento può avere sulla valutazione concreta del danno morale risarcibile.
1. Presupposto della responsabilità civile di cui all’articolo 82 del RGPD
71. Il giudice del rinvio ritiene che l’articolo 82, paragrafo 1, del RGPD non subordini la responsabilità civile (del gestore (54) del trattamento) all’esistenza o alla prova del dolo o della colpa. Aggiunge che il paragrafo 3 dello stesso articolo non suffraga alcun’altra soluzione.
72. Ammetto che non è chiaro quale modello di responsabilità civile abbia accolto il RGPD e che, a priori, siano possibili diverse interpretazioni (55). Il giudice del rinvio ne adotta una fra queste: a mio parere, quella corretta.
73. La lettura dell’articolo 82, paragrafo 1, del RGPD nel senso che esso istituisce un regime di responsabilità civile estraneo alla colpa del gestore del trattamento è, a mio avviso, conforme al suo tenore letterale, che trova un sostegno immediato nei lavori preparatori e, soprattutto, favorisce la finalità della norma. Ciò è accettabile alla luce di altri paragrafi della disposizione, nonché del sistema considerato nel suo complesso.
a) Argomento letterale
74. La posizione sostenuta dal giudice del rinvio è coerente con il testo dell’articolo 82, paragrafo 1, del RGPD. Letteralmente, il diritto a essere risarcito dal titolare del trattamento è collegato, puramente, ai danni subiti a causa di una violazione dello stesso RGPD.
75. I restanti paragrafi dell’articolo 82 non indicano nessun’altra risposta (56). In particolare, non oserei dedurre un requisito di colpa sulla base del termine «imputabile» dell’articolo 82, paragrafo 3. Il termine appare solo in alcune versioni linguistiche del RGPD; altre, al contrario, ricorrono a «responsabile». Nella versione tedesca, né l’articolo 82 né il preambolo includono il termine tecnico appropriato per l’imputazione a titolo di colpa («Verschulden») (57).
76. Confrontando le diverse disposizioni del RGPD, si evidenzia che la terminologia utilizzata non è sempre univoca, cosicché occorre usare molta prudenza nel trarre conseguenze dal suo tenore letterale. Nella versione inglese, ad esempio, il termine «responsible» è utilizzato in molteplici significati (58).
77. La mancanza di riferimenti al dolo o alla colpa del titolare del trattamento nell’articolo 82 del RGPD contrasta con i riferimenti all’articolo 83 relativi alle sanzioni amministrative pecuniarie: «Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso», si tiene debito conto del carattere doloso o colposo della violazione del RGPD (59).
78. Sebbene la divergenza tra testi indebolisca la rilevanza del criterio ermeneutico letterale, essa corrobora quantomeno la tesi che né il dolo né la colpa figurano all’articolo 82 del RGPD e che tale assenza è deliberata e non attribuibile a disattenzione del legislatore.
b) Lavori preparatori
79. La discussione sul criterio di imputazione della responsabilità infine accolto nel RGPD è offuscata dal contesto nel quale essa ha avuto luogo in seno al Consiglio, nel quadro della fattispecie della pluralità di operatori del trattamento.
80. Tale discussione si è mescolata con considerazioni procedurali, senza rispettare un apparato concettuale che permetta di distinguere tra il ruolo della colpa come criterio di imputazione della responsabilità, da un lato, e quello dell’assenza di colpa ai fini dell’esenzione da tale medesima responsabilità, a livello di nesso causale, dall’altro.
81. Tuttavia, ritengo che i lavori preparatori depongano a favore di una comprensione dell’articolo 82, paragrafo 1, del RGPD, in cui la responsabilità civile non dipende dalla colpa del titolare del trattamento.
82. La proposta della Commissione seguiva la direttiva 95/46 e non menzionava la colpa. I documenti del Consiglio fanno riferimento alla responsabilità prevista come «strict liability» (60).
83. Un emendamento proposto dalla Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento avrebbe dotato l’articolo 82 (allora 77), paragrafo 1, di un contenuto in cui la responsabilità è connessa al dolo o alla colpa (61). Non ha avuto esito positivo (62).
84. In Consiglio, la discussione sull’articolo 77 e sul criterio di imputazione è sorta in connessione con l’attribuzione e la ripartizione della responsabilità nel caso in cui più persone intervengono nella stessa operazione di trattamento. In questo contesto, la Presidenza ha proposto di scegliere tra due opzioni (63):
– secondo la prima (64), tutti i gestori o responsabili del trattamento sono considerati giuridicamente responsabili nei confronti dell’interessato per l’intero danno (65), in caso di violazione di obblighi ad essi incombenti in forza del RGPD (66). La loro partecipazione nella causazione del danno, anche se minima, consente all’interessato di richiedere l’intero importo del risarcimento; nel caso di più partecipanti, a ciascuno di essi (67). Tuttavia, ognuno si libera se dimostra di non essere affatto responsabile («responsible») del danno («0% responsibility»); questa opzione sarebbe stata inserita in un paragrafo 3 dell’articolo. Il modello è descritto come «closer (but certainly not equal to) to the “liability follows fault principle”» (68);
– la seconda opzione avrebbe comportato per il gestore del trattamento l’obbligo ineludibile di risarcire l’intero danno all’interessato, in una sorta di responsabilità assoluta, non essendo prevista alcuna esenzione (69). Il reclamo dell’interessato nei confronti del responsabile del trattamento avrebbe avuto natura solo subordinata (70). Non era prevista alcuna esenzione nemmeno per quest’ultimo.
85. Il testo di compromesso presentato dalla Presidenza per essere approvato come orientamento generale (71) segue la prima opzione, pur rafforzando l’eccezionalità dell’esonero e la difficoltà della relativa prova mediante la formulazione dell’articolo 77, paragrafo 3: «(…) if it [il titolare/responsabile del trattamento] proves that it is not in any way responsible (…)» (72). Questa formulazione corrisponde a quella dell’articolo infine adottato.
86. In definitiva, l’analisi dell’iter legislativo che ha portato al testo finale del RGPD depone a favore del fatto che la responsabilità di cui al suo articolo 82, paragrafo 1, non sia collegata alla colpa del gestore del trattamento.
c) Finalità
87. Il RGPD istituisce un sistema inteso ad assicurare un livello elevato di protezione delle persone fisiche rimuovendo nel contempo gli ostacoli alla circolazione dei dati personali (73). In tale sistema, il suo articolo 82 assolve una finalità risarcitoria, fermo restando che esso ha anche, in via secondaria, una funzione di dissuasione o di prevenzione di comportamenti non conformi alle sue prescrizioni (74).
88. Garantire il risarcimento è un obiettivo di per sé: ciò si deduce dall’importanza attribuitagli dal legislatore e che emerge dalla semplice lettura del testo. Secondo il RGPD, ottenere un risarcimento, qualora si sia verificato un danno, è un diritto dell’interessato; la nozione di danno deve essere interpretata in senso lato; e il risarcimento deve essere totale ed effettivo.
89. Il risarcimento è connesso alla volontà di rafforzare la fiducia dei cittadini nell’ambiente digitale, obiettivo di portata generale enunciato dal RGPD nel suo considerando 7. Assicurare alla persona interessata che, in linea di principio, non dovrà sopportare, senza poter fare nulla, i danni derivanti da un trattamento illecito dei suoi dati serve a promuovere tale fiducia: il suo patrimonio è salvo e, in sede processuale, il suo reclamo è più semplice.
90. È coerente con tale approccio il fatto che l’articolo 82, paragrafo 1, del RGPD non associ l’obbligo di risarcimento alla violazione di un dovere di diligenza. Tale obbligo è affidato, per decisione del legislatore, a colui che nel rapporto riveste una determinata posizione di guardiano o garante, e proprio per questo semplice fatto.
91. Si potrebbe quindi affermare che, per il RGPD, ciò che rileva è la situazione della vittima che subisce il danno derivante dalla violazione, mentre nessuna norma le impone l’obbligo di sopportarlo.
92. Per la vittima è indifferente che nella causazione del danno vi sia stata o meno colpa dell’autore: l’elemento determinante è che il gestore del trattamento abbia causato alla vittima il danno, materiale o morale, conseguente alla violazione del RGPD dallo stesso commessa.
93. Gli obiettivi sopra descritti sono più facilmente conseguibili in un modello che tende a far sì che il danno comprovato:
– sia risarcito in ogni caso (a meno che non vi sia un motivo di esenzione, che sarà eccezionale) e
– dia luogo a una riparazione (relativamente) facile da ottenere, non solo perché la colpa del titolare del trattamento non deve essere provata, ma anche perché, in presenza di una violazione e di un danno associato ad essa, l’imputazione non dipende da alcun grado di colpa.
94. Nel contesto dell’adattamento alla rivoluzione digitale (75), questa soluzione mi sembra coerente. I rapidi sviluppi tecnologici richiedono che, nelle più comuni attività di trattamento dei dati svolte online, l’assenza di dolo o colpa non impedisca il risarcimento di danni che altrimenti rimarrebbero non risarciti.
d) Sistema
95. L’interpretazione da me proposta è più conforme all’impianto sistematico del RGPD. Ciò è confermato nei seguenti termini, all’interno dell’articolo 82, dal paragrafo 3: l’esenzione è applicabile se «[i]l titolare del trattamento o il responsabile del trattamento (…) dimostra che l’evento dannoso non gli è in alcun modo imputabile».
96. In tale formulazione spicca l’espressione «in alcun modo», la quale suggerisce che il modello non è quello della colpa (neanche della colpa lievissima) con inversione dell’onere della prova.
97. Ritenere che il risarcimento non dipenda dalla colpa del titolare del trattamento conferisce all’articolo 82 un significato specifico all’interno del capo VIII e, in definitiva, del RGPD nel suo complesso.
98. Il legislatore europeo parte dal presupposto che il trattamento dei dati personali può essere fonte di rischio. Spetta agli operatori del trattamento valutare tali rischi e adottare e aggiornare le misure appropriate per prevenire e ridurre al minimo i rischi rilevati (76).
99. È stato sostenuto che un modello di responsabilità civile basato sulla colpa promuove la diligenza e quindi la protezione dai rischi, mentre il modello alternativo, che non tiene conto delle modalità della condotta dell’autore, scoraggerebbe la prudenza da parte di quest’ultimo (perché, se c’è un danno, dovrà comunque risarcirlo).
100. Ritengo che tale risultato (77) sia accettabile nel RGPD. L’articolo 82 è inserito in una struttura normativa complessa, con strumenti di diritto pubblico e privato intesi alla protezione dei dati personali. Nell’ambito di tale struttura, la colpa (e il dolo) rilevano ai fini delle sanzioni amministrative. Non vedo la necessità di ritenerli rilevanti anche ai fini della responsabilità civile (78), il che pregiudicherebbe gli obiettivi dell’articolo 82 e, inoltre, sminuirebbe in concreto l’attrattiva del rimedio che esso prevede.
2. Effetto dell’intervento dell’interessato
101. I quesiti relativi alla necessità della colpa da parte del titolare del trattamento sono connessi, nella presente causa, alle conseguenze che possono derivare dall’intervento dell’interessato (79).
102. Per una migliore comprensione di quanto segue, occorre chiarire che le circostanze della controversia sono state considerate da due prospettive:
– nella prima, il trattamento dei dati personali di ZQ da parte del MDK costituisce una violazione del RGPD (dei suoi articoli 9 o 6). La violazione causa di per sé un danno (80);
– nella seconda, il descritto trattamento dei dati non costituisce una violazione del RGPD o non causa danni. Essi deriverebbero dalla consultazione dei dati da parte di uno specifico dipendente del MDK su richiesta dell’interessato (81).
103. Ritengo, in ogni caso, che, come sembra ritenere il giudice del rinvio (82), per determinare l’eventuale incidenza del comportamento dell’interessato nella commissione dell’atto illecito che ha causato il danno, sia necessario far riferimento all’articolo 82, paragrafo 3.
104. La disposizione non elenca, neppure a titolo esemplificativo, motivi specifici di esenzione dalla responsabilità. Non lo fa nemmeno il considerando 146 (83).
105. Sotto questo profilo, il RGPD sembra discostarsi dalla direttiva 95/46, il cui articolo 23, paragrafo 2, conteneva una norma simile (84) all’attuale articolo 82, paragrafo 3, del RGPD: il considerando 55 della direttiva 95/46 proponeva, come esempi di motivi di esenzione, la responsabilità della persona interessata o la forza maggiore (85), che non figurano nel RGPD.
106. Dai lavori preparatori del RGPD non risulta, salvo errore da parte mia, che vi fosse discussione su questi due esempi, che figuravano effettivamente nella proposta della Commissione (86) e che il Parlamento ha mantenuto (87).
107. La loro soppressione e la comparsa della locuzione avverbiale «in alcun modo» avvengono nel contesto del dibattito summenzionato su come regolamentare la responsabilità per i trattamenti con più gestori o responsabili del trattamento (88).
108. Dalla documentazione disponibile (89) risulta che, nella formulazione finale, il gestore del trattamento beneficia dell’esenzione se dimostra di non essere affatto responsabile («responsible») del danno («0% responsibility»). Lo stesso vale per il responsabile del trattamento (90).
109. Sulla base di quanto precede, non ritengo che la scomparsa dei due esempi dal preambolo, parallelamente all’aggiunta di «in alcun modo» nel medesimo preambolo e nell’articolo 82, paragrafo 3, del RGPD, abbia come conseguenza (o come scopo) l’esclusione dell’attività dell’interessato dalle cause di esenzione dalla responsabilità (91).
110. Sembra piuttosto che l’attività dell’interessato sia ancora idonea a provocare, a seconda dei casi, un’interruzione dell’imprescindibile nesso tra l’«evento» (l’articolo 82, paragrafo 3, del RGPD usa questo termine) e la qualità di autore del responsabile. Sottolineare la natura limitata della clausola di esonero non impedisce che un determinato atto dell’interessato possa di per sé innescare il danno e determinare quindi l’esenzione del gestore del trattamento dalla responsabilità.
111. L’interpretazione sistematica depone per la presa in considerazione, nel contesto della responsabilità per danni, dell’intervento della persona interessata nella causazione del danno. Nel sistema del RGPD, i singoli compartecipano alla protezione dei propri dati, e a tal fine sono conferiti loro degli strumenti che, di per sé, sono diritti.
112. Sotto il profilo teleologico, ritengo che il RGPD intenda conferire una protezione elevata, ma non sino al punto di obbligare il responsabile a risarcire anche i danni derivanti da eventi o azioni imputabili all’interessato (92).
3. Calcolo del risarcimento. Incidenza del grado di colpa del responsabile del danno
113. Il giudice del rinvio ha confermato che la quinta questione pregiudiziale abbraccia la questione se il grado di colpa del titolare del trattamento influisca sul calcolo del risarcimento. Più precisamente, se l’assenza di colpa o la colpa lieve del responsabile possa essere presa in considerazione a suo favore.
114. L’articolo 82 del RGPD è certamente laconico, o del tutto silente, su aspetti chiave del risarcimento che inciderebbero sul calcolo del suo importo. Esso non fornisce alcuna indicazione all’interprete in merito agli elementi che lo compongono (93), ai criteri per stimare (tradurre in quantità) tali elementi (94), o ai fattori che possono incidere sul suo importo (95).
115. Ciononostante, ritengo che il RGPD conferisca all’interessato un diritto al risarcimento il cui importo è determinato in funzione del danno effettivamente subito. Una volta stabilita la cifra che risarcisce oggettivamente tale danno, essa non va modificata in funzione della maggiore o minore colpa del titolare del trattamento.
116. A sostegno della mia tesi, rinvio, mutatis mutandis, a quanto ho esposto a proposito dell’attribuzione della responsabilità al gestore del trattamento, indipendentemente dalla sua colpa, nel sistema dell’articolo 82 del RGPD. Dal punto di vista della vittima, il cui patrimonio (materiale e immateriale) deve rimanere indenne dopo il verificarsi del danno, il risarcimento dello stesso deve essere effettuato senza collegarlo alla colpa del gestore del trattamento, indipendentemente dal livello di gravità di questa (96).
117. Ritengo che si possa giungere alla stessa soluzione osservando che l’articolo 82 del RGPD (i cui lavori preparatori non forniscono alcun indizio in un senso o nell’altro) (97) si differenzia da altri strumenti del diritto dell’Unione, che distinguono espressamente in base alla circostanza che l’intervento nella violazione sia stato «consapevole» o meno, quando si tratta di fissare l’importo del risarcimento per la responsabilità civile (98).
118. A mio avviso, questa valutazione è suffragata da due ulteriori argomenti:
– l’articolo 83 del RGPD tiene conto della colpa (e del dolo) dell’autore della violazione nel graduare l’importo della sanzione pecuniaria (99). Il legislatore avrebbe potuto adottare lo stesso criterio per il calcolo della responsabilità civile, ma non lo ha fatto;
– il RGPD insiste sul fatto che il risarcimento deve essere pieno ed effettivo (100) (considerando 146 e articolo 82, paragrafo 4, per quanto riguarda il caso di più titolari o responsabili del trattamento coinvolti nella stessa operazione di trattamento) (101). A mio avviso, l’aggettivo «pieno» si oppone alla determinazione al ribasso dell’importo del risarcimento sulla base del minor grado di colpa del titolare del trattamento (102).
V. Conclusione
119. Alla luce delle considerazioni che precedono, propongo di rispondere al Bundesarbeitsgericht (Corte federale del lavoro, Germania) nei seguenti termini:
«L’articolo 9, paragrafo 2, lettera h), e paragrafo 3, nonché l’articolo 82, paragrafi 1 e 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
devono essere interpretati nel senso che:
non vietano a un Servizio medico di una cassa malattia di trattare dati relativi alla salute di un suo dipendente che costituiscono una condizione per valutare la sua capacità lavorativa;
consentono una deroga al divieto di trattamento dei dati personali relativi alla salute, qualora tale trattamento sia necessario ai fini della valutazione della capacità lavorativa del dipendente, sia soggetto ai principi dell’articolo 5 e a una delle condizioni di liceità di cui all’articolo 6 del regolamento 2016/679;
il grado di colpa del titolare del trattamento o del responsabile del trattamento non è rilevante per il prodursi della responsabilità dell’uno o dell’altro, né per quantificare l’importo dei danni immateriali da risarcire ai sensi dell’articolo 82, paragrafo 1, del regolamento 2016/679;
l’intervento dell’interessato nell’evento da cui sorge l’obbligazione risarcitoria può determinare, a seconda dei casi, l’esonero da responsabilità del titolare o del responsabile del trattamento previsto dall’articolo 82, paragrafo 3, del regolamento 2016/679».