CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:1022

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)

de 21 de diciembre de 2023 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 6, apartado 1 — Condiciones de licitud del tratamiento — Artículo 9, apartados 1 a 3 — Tratamiento de categorías especiales de datos — Datos relativos a la salud — Evaluación de la capacidad laboral de un trabajador — Servicio médico en materia de seguro de enfermedad que trata datos relativos a la salud de sus propios trabajadores — Procedencia y condiciones de tal tratamiento — Artículo 82, apartado 1 — Derecho a indemnización y responsabilidad — Indemnización de daños y perjuicios inmateriales — Función compensatoria — Incidencia de la culpa del responsable del tratamiento»

En el asunto C‑667/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), mediante resolución de 26 de agosto de 2021, recibida en el Tribunal de Justicia el 8 de noviembre de 2021, en el procedimiento entre

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

EL TRIBUNAL DE JUSTICIA (Sala Tercera),

integrado por la Sra. K. Jürimäe, Presidenta de Sala, y los Sres. N. Piçarra, M. Safjan, N. Jääskinen (Ponente) y M. Gavalec, Jueces;

Abogado General: Sr. M. Campos Sánchez-Bordona;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

consideradas las observaciones presentadas:

– en nombre de ZQ, por el Sr. E. Daun, Rechtsanwalt;

– en nombre del Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, por el Sr. M. Wehner, Rechtsanwalt;

– en nombre de Irlanda, por la Sra. M. Browne, Chief State Solicitor, el Sr. A. Joyce y la Sra. M. Lane, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;

– en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por la Sra. M. Russo, avvocato dello Stato;

– en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 25 de mayo de 2023;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 9, apartados 1, 2, letra h), y 3, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2018, L 127, p. 3, y en DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»), en relación con el artículo 6, apartado 1, de ese Reglamento, y la interpretación del artículo 82, apartado 1, de este.

2 Esta petición se ha presentado en el contexto de un litigio entre ZQ y su empleador, el Medizinischer Dienst der Krankenversicherung Nordrhein (Servicio Médico del Seguro de Enfermedad de Renania del Norte, Alemania) (en lo sucesivo, «MDK Nordrhein»), en relación con la indemnización de los daños y perjuicios que el primero alega haber sufrido como consecuencia de un tratamiento de datos relativos a su salud realizado de manera ilícita por el segundo.

Marco jurídico

Derecho de la Unión

3 Los considerandos 4 a 8, 10, 35, 51 a 53, 75 y 146 del RGPD tienen el siguiente tenor:

«(4) El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta [de los Derechos Fundamentales de la Unión Europea] conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, […] la protección de los datos de carácter personal, […].

(5) La integración económica y social resultante del funcionamiento del mercado interior ha llevado a un aumento sustancial de los flujos transfronterizos de datos personales. En toda la Unión [Europea] se ha incrementado el intercambio de datos personales entre los operadores públicos y privados, incluidas las personas físicas, las asociaciones y las empresas. El Derecho de la Unión insta a las autoridades nacionales de los Estados miembros a que cooperen e intercambien datos personales a fin de poder cumplir sus funciones o desempeñar otras por cuenta de una autoridad de otro Estado miembro.

(6) La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales.

(7) Estos avances requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. Las personas físicas deben tener el control de sus propios datos personales. Hay que reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas.

(8) En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento.

[…]

(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. […] El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales (“datos sensibles”). […]

[…]

(35) Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. […]

[…]

(51) Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. […] Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, […].

(52) Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. […]

(53) Las categorías especiales de datos personales que merecen mayor protección únicamente deben tratarse con fines relacionados con la salud cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con fines de control de calidad, gestión de la información y supervisión general nacional y local del sistema sanitario o de protección social, y garantía de la continuidad de la asistencia sanitaria o la protección social […]. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión o de los Estados miembros debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas. Los Estados miembros deben estar facultados para mantener o introducir otras condiciones, incluidas limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. […]

[…]

(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen […] datos relativos a la salud […]; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, […] con el fin de crear o utilizar perfiles personales; […].

[…]

(146) El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento. El responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. Un tratamiento en infracción del presente Reglamento también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del presente Reglamento. Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. […]»

4 Dentro del capítulo I de ese Reglamento, relativo a las «disposiciones generales», su artículo 2, titulado a su vez «Ámbito de aplicación material», establece en su apartado 1:

«El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.»

5 El artículo 4 de dicho Reglamento, titulado «Definiciones», dispone lo siguiente:

«A efectos del presente Reglamento se entenderá por:

1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); […];

2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, […];

[…]

7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; […];

[…]

15) “datos relativos a la salud”: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

[…]».

6 El capítulo II del RGPD, relativo a los «principios» establecidos por este, incluye los artículos 5 a 11.

7 El artículo 5 de ese Reglamento, titulado «Principios relativos al tratamiento», establece:

«1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

[…]

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

8 El artículo 6 de dicho Reglamento, titulado «Licitud del tratamiento», dispone en su apartado 1:

«El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.»

9 El artículo 9 del mismo Reglamento, titulado «Tratamiento de categorías especiales de datos personales», está redactado en los siguientes términos:

«1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

[…]

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión o de los Estados miembros o un convenio colectivo con arreglo al derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

[…]

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

[…]

3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.»

10 El capítulo IV del RGPD, titulado «Responsable del tratamiento y encargado del tratamiento», comprende los artículos 24 a 43.

11 Dentro de la sección 1 de este capítulo, titulada «Obligaciones generales», el artículo 24 de ese Reglamento, titulado a su vez «Responsabilidad del responsable del tratamiento», establece en su apartado 1:

«Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.»

12 Dentro de la sección 2 de dicho capítulo, titulada «Seguridad de los datos personales», el artículo 32 del citado Reglamento, titulado a su vez «Seguridad del tratamiento», dispone en su apartado 1:

«Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

[…]».

13 El capítulo VIII del RGPD, titulado «Recursos, responsabilidad y sanciones», contiene los artículos 77 a 84 de ese Reglamento.

14 A tenor del artículo 82 de dicho Reglamento, titulado «Derecho a indemnización y responsabilidad»:

«1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o [d]el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. […]

3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

[…]»

15 El artículo 83 del RGPD, titulado «Condiciones generales para la imposición de multas administrativas», establece:

«1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

2. […] Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

[…]

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

[…]

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

3. Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

[…]»

16 El artículo 84 de ese Reglamento, titulado «Sanciones», dispone en su apartado 1:

«Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.»

Derecho alemán

17 En virtud del artículo 275, apartado 1, del Sozialgesetzbuch, Fünftes Buch (Código de Seguridad Social, Libro V), en su versión aplicable al litigio principal, las cajas de seguro obligatorio de enfermedad están obligadas a solicitar a un Medizinischer Dienst (servicio médico) que las asiste la realización de un informe pericial destinado, en particular, a disipar dudas sobre la incapacidad laboral de un asegurado, en los casos determinados por la ley o cuando su enfermedad lo requiera.

18 El artículo 278, apartado 1, de este Código establece que en cada uno de los estados federados se creará un servicio médico de este tipo, bajo la forma de organismo de Derecho público.

Litigio principal y cuestiones prejudiciales

19 El MDK Nordrhein es un organismo de Derecho público que, como servicio médico de cajas de seguro de enfermedad, tiene por función legal, entre otras, emitir informes médicos con el fin de disipar dudas relativas a la incapacidad laboral de las personas aseguradas en las cajas de seguro obligatorio de enfermedad comprendidas en su ámbito de competencia, incluso cuando esos informes se refieren a sus propios empleados.

20 En tal caso, solo los miembros de una unidad especial, denominada «Unidad de Casos Especiales», están autorizados a tratar los datos denominados «sociales» de ese empleado, utilizando un dominio bloqueado del sistema informático de ese organismo, y a acceder a los archivos digitales, tras la finalización del expediente relativo al informe pericial. Una instrucción interna relativa a estos casos establece, en particular, que un número limitado de trabajadores autorizados, incluidos algunos trabajadores del servicio informático, tendrán acceso a dichos datos.

21 El demandante en el litigio principal trabajó en el servicio informático del MDK Nordrhein antes de que se le concediera una incapacidad laboral por razones médicas. Al término del semestre durante el cual ese organismo, como empleador, continuó retribuyéndole, la caja de seguro obligatorio de enfermedad a la que estaba afiliado comenzó a pagarle prestaciones por enfermedad.

22 Esta caja solicitó entonces al MDK Nordrhein que emitiera un informe pericial sobre la incapacidad laboral del demandante en el litigio principal. Un médico que trabajaba en la «Unidad de Casos Especiales» del MDK Nordrhein emitió el informe pericial, recabando, en particular, información del médico de cabecera del demandante en el litigio principal. Cuando su médico de cabecera le informó de ello, se puso en contacto con uno de sus compañeros de trabajo del servicio informático y le pidió que tomara fotografías del informe pericial que figuraba en los archivos digitales del MDK Nordrhein y que se las enviara posteriormente.

23 Al considerar que, de este modo, su empleador había tratado datos relativos a su salud ilícitamente, el demandante en el litigio principal reclamó a su empleador que le abonara una indemnización por importe de 20 000 euros, reclamación que fue rechazada por el MDK Nordrhein.

24 Posteriormente, el demandante en el litigio principal presentó una demanda ante el Arbeitsgericht Düsseldorf (Tribunal de lo Laboral de Düsseldorf, Alemania) en la que solicitaba, sobre la base del artículo 82, apartado 1, del RGPD y de disposiciones del Derecho alemán, que se condenara al MDK Nordrhein a reparar los daños y perjuicios que afirmaba haber sufrido como consecuencia del tratamiento de datos personales así efectuado. Alegaba, en esencia, por una parte, que el informe pericial en cuestión debería haber sido realizado por otro servicio médico para evitar que sus compañeros de trabajo tuvieran acceso a datos relativos a su salud y, por otra parte, que las medidas de seguridad en torno al archivo del dictamen relativo a ese informe pericial eran insuficientes. Asimismo, sostenía que ese tratamiento constituía una infracción de las normas que protegen tales datos y que esta le había ocasionado daños y perjuicios tanto inmateriales como materiales.

25 En su defensa, el MDK Nordrhein sostenía principalmente que la recogida y la conservación de los datos relativos a la salud del demandante en el litigio principal se habían efectuado de conformidad con las disposiciones relativas a la protección de tales datos.

26 Al haber sido desestimadas sus pretensiones en primera instancia, el demandante en el litigio principal interpuso recurso de apelación ante el Landesarbeitsgericht Düsseldorf (Tribunal Regional de lo Laboral de Düsseldorf, Alemania), que también desestimó su recurso. A continuación, interpuso un recurso de casación ante el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), que es el órgano jurisdiccional remitente en el presente asunto.

27 Este último órgano jurisdiccional parte de la premisa de que, en el litigio principal, el informe pericial realizado por el MDK Nordrhein, como servicio médico, constituye un «tratamiento» de «datos personales» y, más concretamente, de «datos relativos a la salud», en el sentido del artículo 4, puntos 1, 2 y 15, del RGPD, de modo que esta operación está comprendida en el ámbito de aplicación material de ese Reglamento, tal como se define en su artículo 2, apartado 1. Además, considera que el MDK Nordrhein es el «responsable del tratamiento» en cuestión, en el sentido del artículo 4, punto 7, de dicho Reglamento.

28 Sus dudas versan, en primer lugar, sobre la interpretación de varias disposiciones del artículo 9 del RGPD, relativo al tratamiento de categorías especiales de datos personales, habida cuenta, en particular, del hecho de que el tratamiento controvertido en el litigio principal fue realizado por un organismo que también es el empleador del interesado, tal como se define en el artículo 4, punto 1, de ese Reglamento.

29 Para empezar, el órgano jurisdiccional remitente duda de que el tratamiento de datos relativos a la salud controvertido en el litigio principal pueda estar comprendido en una de las excepciones contempladas en el apartado 2 del artículo 9 del RGPD. Según ese órgano jurisdiccional, en el presente asunto, solo son pertinentes las excepciones que figuran en las letras b) y h) de ese apartado 2. Sin embargo, excluye de entrada la aplicación en el caso de autos de la excepción contemplada en la letra b), por considerar que el tratamiento controvertido en el litigio principal no era necesario a efectos de los derechos y obligaciones del responsable del tratamiento, en su condición de empleador del interesado. A su juicio, ese tratamiento fue iniciado por otro organismo, que solicitó al MDK Nordrhein que procediera a un control en su condición de servicio médico. En cambio, aunque se incline por no aplicar tampoco la excepción contemplada en esa letra h), ya que considera que solo debería estar comprendido en ella un tratamiento efectuado por un «tercero neutro» y que un organismo no puede basarse en su «doble función» de empleador y de servicio médico para excluir la prohibición de tal tratamiento, el órgano jurisdiccional remitente no se muestra categórico a este respecto.

30 A continuación, en el supuesto de que, en tales circunstancias, el tratamiento de datos relativos a la salud fuera admisible en virtud del artículo 9, apartado 2, letra h), del RGPD, el órgano jurisdiccional remitente se pregunta sobre las normas relativas a la protección de los datos referidos a la salud que deben observarse en ese contexto. En su opinión, conforme a este Reglamento, no basta con que el responsable del tratamiento cumpla los requisitos establecidos en el artículo 9, apartado 3, sino que debe, además, garantizar que ninguno de los compañeros de trabajo del interesado pueda tener acceso alguno a los datos relativos al estado de salud de este.

31 Por último, también en el mismo supuesto, ese órgano jurisdiccional desea saber si debe cumplirse, además, al menos, una de las condiciones establecidas en el artículo 6, apartado 1, del RGPD para que tal tratamiento sea lícito. En su opinión, este debería ser el caso y, en el marco del litigio principal, solo las letras c) y e) del artículo 6, apartado 1, párrafo primero, podrían ser pertinentes a priori. No obstante, en su opinión, estas dos letras c) y e) no deben ser aplicables, ya que el tratamiento en cuestión no es «necesario», en el sentido de esas disposiciones, puesto que podría ser realizado por un servicio médico distinto del MDK Nordrhein.

32 En segundo lugar, en el supuesto de que, en el presente asunto, exista una infracción del RGPD, el órgano jurisdiccional remitente se pregunta sobre la indemnización que podría corresponder al demandante en el litigio principal en virtud del artículo 82 de ese Reglamento.

33 Por una parte, desea saber si la norma establecida en el artículo 82, apartado 1, del RGPD tiene carácter disuasorio o punitivo, además de su función reparadora, y, en su caso, si debe tenerse en cuenta dicho carácter a la hora de fijar el importe de la indemnización por daños y perjuicios concedida por un daño inmaterial, en particular habida cuenta de los principios de efectividad, proporcionalidad y equivalencia consagrados en otros ámbitos del Derecho de la Unión.

34 Por otra parte, ese órgano jurisdiccional se inclina por considerar que el responsable del tratamiento puede incurrir en responsabilidad sobre la base de dicho artículo 82, apartado 1, sin necesidad de que se demuestre que ha incurrido en culpa. No obstante, al albergar dudas, principalmente a la luz de ciertas normas de Derecho alemán, se pregunta si debe comprobarse que la infracción del RGPD en cuestión es imputable al responsable del tratamiento debido a un acto intencionado o negligente por su parte y si el grado de culpa en el que este haya incurrido eventualmente debe influir en la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial.

35 En estas circunstancias, el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) ¿Debe interpretarse el artículo 9, apartado 2, letra h), del [RGPD] en el sentido de que prohíbe a un servicio médico de una caja de seguro de enfermedad tratar datos relativos a la salud de un trabajador de dicho servicio, cuando son indispensables para la evaluación de la capacidad laboral de ese trabajador?

2) En caso de respuesta negativa del Tribunal de Justicia a la primera cuestión prejudicial, de manera que conforme a lo dispuesto en el artículo 9, apartado 2, letra h), del RGPD habría que considerar la posibilidad de que exista una excepción a la prohibición de tratamiento de datos relativos a la salud establecida en el artículo 9, apartado 1, del RGPD, ¿deben respetarse en un caso como el de autos, además de los requisitos establecidos en el artículo 9, apartado 3, del RGPD, exigencias añadidas en materia de protección de datos y, en su caso, cuáles serían?

3) En caso de respuesta negativa del Tribunal de Justicia a la primera cuestión prejudicial, de manera que conforme a lo dispuesto en el artículo 9, apartado 2, letra h), del RGPD habría que considerar la posibilidad de que exista una excepción a la prohibición de tratamiento de datos relativos a la salud establecida en el artículo 9, apartado 1, del RGPD, ¿depende en un caso como el de autos la admisibilidad o la licitud del tratamiento de datos relativos a la salud de que se cumpla, además, al menos una de las condiciones señaladas en el artículo 6, apartado 1, del RGPD?

4) ¿Tiene el artículo 82, apartado 1, del RGPD naturaleza preventiva especial o general y debe tenerse ello en cuenta en detrimento del responsable o del encargado del tratamiento al cuantificar el importe de los daños y perjuicios inmateriales que deben indemnizarse con base en el artículo 82, apartado 1, del RGPD?

5) ¿Es relevante el grado de culpa del responsable o del encargado del tratamiento al cuantificar el importe de los daños y perjuicios inmateriales que deben indemnizarse con base en el artículo 82, apartado 1, del RGPD? En particular, ¿puede tenerse en cuenta a favor del responsable o del encargado del tratamiento la inexistencia de culpa o la existencia de culpa leve por su parte?»

Sobre las cuestiones prejudiciales

Primera cuestión prejudicial

36 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si, habida cuenta de la prohibición de tratar datos relativos a la salud contemplada en el artículo 9, apartado 1, del RGPD, el apartado 2, letra h), de ese artículo debe interpretarse en el sentido de que la excepción que contempla es aplicable a las situaciones en las que un organismo de control médico trata datos relativos a la salud de uno de sus trabajadores no como empleador, sino como servicio médico, con el fin de evaluar la capacidad laboral de ese trabajador.

37 Según reiterada jurisprudencia, la interpretación de una disposición del Derecho de la Unión requiere tomar en consideración no solamente su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte. La génesis de una disposición del Derecho de la Unión también puede mostrar elementos pertinentes para su interpretación (sentencia de 16 de marzo de 2023, Towercast, C‑449/21, EU:C:2023:207, apartado 31 y jurisprudencia citada).

38 En primer lugar, es preciso recordar que el artículo 9 del RGPD se refiere, como indica su título, al «tratamiento de categorías especiales de datos personales», también calificados de datos «sensibles» en los considerandos 10 y 51 de este Reglamento.

39 El considerando 51 del RGPD enuncia que merecen especial protección los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para esos derechos y esas libertades.

40 Así, el artículo 9, apartado 1, del RGPD establece el principio de prohibición del tratamiento de las categorías especiales de datos personales que enumera. Entre estos últimos figuran los «datos relativos a la salud», tal como se definen en el artículo 4, punto 15, de ese Reglamento, interpretado a la luz de su considerando 35, a los que se refiere el presente asunto.

41 El Tribunal de Justicia ha precisado que la finalidad del artículo 9, apartado 1, de dicho Reglamento consiste en garantizar una mayor protección contra los tratamientos de datos que, debido a la particular sensibilidad de los datos que son objeto de los mismos, pueden constituir una injerencia especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de los datos de carácter personal, garantizados por los artículos 7 y 8 de la Carta de los Derechos Fundamentales [véase, en este sentido, la sentencia de 5 de junio de 2023, Comisión/Polonia (Independencia y vida privada de los jueces), C‑204/21, EU:C:2023:442, apartado 345 y jurisprudencia citada].

42 No obstante, el artículo 9, apartado 2, letras a) a j), del RGPD establece una lista exhaustiva de excepciones al principio de prohibición del tratamiento de esos datos sensibles.

43 En particular, el artículo 9, apartado 2, letra h), del RGPD autoriza tal tratamiento si es «necesario para fines [en particular de] evaluación de la capacidad laboral del trabajador […] sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario». Esta disposición precisa que cualquier tratamiento basado en ella está sujeto, además, específicamente, a «las condiciones y garantías contempladas en el apartado 3» de dicho artículo 9.

44 Del artículo 9, apartado 2, letra h), del RGPD, en relación con el apartado 3 de ese artículo, se desprende que la posibilidad de tratar datos sensibles, como los relativos a la salud, está estrictamente delimitada por una serie de requisitos acumulativos. Estos últimos se refieren, en primer término, a los fines enumerados en dicha letra h) —entre los que figura la evaluación de la capacidad laboral de un trabajador—; en segundo término, a la base jurídica de ese tratamiento —ya se trate del Derecho de la Unión, del Derecho de un Estado miembro o de un contrato celebrado con un profesional sanitario, según la misma letra h)— y, por último, en tercer término, al deber de confidencialidad que tienen las personas facultadas para efectuar tal tratamiento, en virtud del citado artículo 9, apartado 3, debiendo todas ellas estar sujetas a una obligación de secreto de conformidad con esta última disposición.

45 Como señaló el Abogado General, en esencia, en los puntos 32 y 33 de sus conclusiones, ni el tenor del artículo 9, apartado 2, letra h), del RGPD ni la génesis de esta disposición proporcionan datos que permitan considerar que la aplicación de la excepción contemplada en esa disposición esté reservada a los supuestos en los que el tratamiento sea realizado por un «tercero neutro y no por el empleador» del interesado, tal como se define en el artículo 4, punto 1, de ese Reglamento.

46 Habida cuenta de la opinión del órgano jurisdiccional remitente según la cual, en esencia, un organismo no debe poder basarse en su «doble función» de empleador del interesado y de servicio médico para eludir el principio de prohibición del tratamiento de datos relativos a la salud, enunciado en el artículo 9, apartado 1, del RGPD, procede precisar que es determinante tomar en consideración la condición en la que se efectúa el tratamiento de esos datos.

47 En efecto, aunque el citado artículo 9, apartado 1, prohíbe, por principio, el tratamiento de los datos relativos a la salud, el apartado 2 de dicho artículo establece, en sus letras a) a j), diez excepciones que son independientes entre sí y que, por tanto, deben apreciarse de manera autónoma. De ello se deduce que el hecho de que no se cumplan los requisitos para la aplicación de una de las excepciones contempladas en el citado apartado 2 no impide que un responsable del tratamiento pueda invocar otra excepción mencionada en esa disposición.

48 De lo anterior se desprende que el artículo 9, apartado 2, letra h), del RGPD, en relación con el apartado 3 de ese artículo, no excluye en modo alguno la aplicabilidad de la excepción contemplada en esa letra h) a situaciones en las que un organismo de control médico trate datos relativos a la salud de uno de sus empleados como servicio médico, y no como empleador, para evaluar la capacidad laboral de ese trabajador.

49 En segundo lugar, tal interpretación se ve corroborada por la toma en consideración del sistema en el que se inscribe el artículo 9, apartado 2, letra h), del RGPD, así como por los objetivos que persiguen ese Reglamento y esa disposición.

50 En primer término, es cierto que, en la medida en que establece una excepción al principio de prohibición del tratamiento de categorías especiales de datos personales, el artículo 9, apartado 2, del RGPD debe interpretarse de manera restrictiva [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 76].

51 Sin embargo, el respeto del principio de prohibición establecido en el artículo 9, apartado 1, del RGPD no puede llevar a reducir el ámbito de aplicación de otra disposición de este Reglamento de un modo que contravenga el tenor claro de esta. Pues bien, la interpretación sugerida según la cual el ámbito de aplicación de la excepción contemplada en el citado artículo 9, apartado 2, letra h), debe limitarse a los supuestos en los que un «tercero neutro» trate datos relativos a la salud para fines de evaluación de la capacidad laboral de un trabajador añadiría un requisito que no se desprende en modo alguno del claro tenor de esta disposición.

52 A este respecto, es irrelevante que, en el presente asunto, en el supuesto de que se prohibiera al MDK Nordrhein cumplir su función de servicio médico cuando se trate de uno de sus propios empleados, otro organismo de control médico pudiera encargarse de ello. Es preciso subrayar que esta alternativa, mencionada por el órgano jurisdiccional remitente, no necesariamente existe o es practicable en todos los Estados miembros y en todas las situaciones que puedan estar comprendidas en el artículo 9, apartado 2, letra h), del RGPD. Pues bien, la interpretación de esta disposición no puede guiarse por consideraciones basadas en el sistema sanitario de un único Estado miembro o derivadas de circunstancias propias del litigio principal.

53 En segundo término, la interpretación que figura en el apartado 48 de la presente sentencia es conforme con los objetivos del RGPD y con los del artículo 9 de ese Reglamento.

54 Así, el considerando 4 del RGPD enuncia que el derecho a la protección de los datos personales no es un derecho absoluto, puesto que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, de conformidad con el principio de proporcionalidad (véase, en este sentido, la sentencia de 22 de junio de 2023, Pankki S, C‑579/21, EU:C:2023:501, apartado 78). Además, el Tribunal de Justicia ya ha subrayado que los mecanismos que permiten encontrar un justo equilibrio entre los distintos derechos e intereses en juego se recogen en el propio RGPD (véase, en este sentido, la sentencia de 17 de junio de 2021, M.I.C.M., C‑597/19, EU:C:2021:492, apartado 112).

55 Estas consideraciones se aplican incluso cuando los datos de que se trate estén comprendidos en las categorías especiales contempladas en el artículo 9 de ese Reglamento [véase, en este sentido, la sentencia de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles), C‑136/17, EU:C:2019:773, apartados 57 y 66 a 68], como los datos relativos a la salud.

56 Más concretamente, del considerando 52 del RGPD se desprende que deben autorizarse «excepciones a la prohibición de tratar categorías especiales de datos personales» «cuando sea en interés público, en particular […] en el ámbito de la legislación laboral [y] la legislación sobre protección social», así como «para fines en el ámbito de la salud, […] especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad». El considerando 53 de ese Reglamento enuncia asimismo que el tratamiento efectuado «con fines relacionados con la salud» debe ser posible «cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social».

57 Desde esta perspectiva global, y habida cuenta de los diversos intereses legítimos en juego, el legislador de la Unión contempló, en el artículo 9, apartado 2, letra h), del RGPD, la posibilidad de establecer una excepción al principio de prohibición del tratamiento de datos relativos a la salud enunciado en el apartado 1 de ese artículo, siempre que el tratamiento en cuestión cumpla los requisitos y observe las garantías que impone expresamente esa letra h) y las demás disposiciones pertinentes de ese Reglamento, en particular el apartado 3 de dicho artículo 9, disposiciones en las que no figura el requisito de que un servicio médico que trate tales datos con arreglo a la citada letra h) sea una entidad distinta del empleador del interesado.

58 Habida cuenta de los motivos anteriores, y sin perjuicio de las respuestas que se den a las cuestiones prejudiciales segunda y tercera, procede responder a la primera cuestión prejudicial que el artículo 9, apartado 2, letra h), del RGPD debe interpretarse en el sentido de que la excepción contemplada en esta disposición es aplicable a las situaciones en las que un organismo de control médico trate datos relativos a la salud de uno de sus empleados no como empleador, sino como servicio médico, con el fin de evaluar la capacidad laboral de ese trabajador, siempre que el tratamiento en cuestión cumpla los requisitos y observe las garantías que impone expresamente esa letra h) y el apartado 3 de dicho artículo 9.

Segunda cuestión prejudicial

59 Según el órgano jurisdiccional remitente, de los considerandos 35, 51, 53 y 75 del RGPD se desprende que no basta con cumplir los requisitos del artículo 9, apartado 3, de este en una situación, como la controvertida en el litigio principal, en la que el responsable del tratamiento es también el empleador de la persona cuya capacidad laboral se evalúa. Considera que ese Reglamento obliga, además, a excluir del tratamiento de datos relativos a la salud a todos los empleados del responsable del tratamiento que puedan tener algún tipo de contacto profesional con esa persona. De acuerdo con ese órgano jurisdiccional, todo responsable del tratamiento que disponga de varios establecimientos, como el MDK Nordrhein, debe garantizar que la entidad encargada del tratamiento de los datos relativos a la salud de los empleados de ese responsable pertenezca a un establecimiento distinto de aquel en el que trabaja el empleado de que se trate. Además, a su juicio, la obligación de secreto profesional que recae sobre los empleados autorizados para tratar tales datos no impide, en la práctica, que un compañero de trabajo del interesado pueda acceder a los datos que le conciernen, lo que entraña riesgos de perjuicios, como el daño a la reputación de este último.

60 En estas circunstancias, mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente desea saber, en esencia, si las disposiciones del RGPD deben interpretarse en el sentido de que el responsable de un tratamiento de datos relativos a la salud, sobre la base del artículo 9, apartado 2, letra h), de ese Reglamento, está obligado a garantizar que ningún compañero de trabajo del interesado pueda acceder a los datos relativos al estado de salud de este.

61 Es preciso recordar que, en virtud del artículo 9, apartado 3, del RGPD, un tratamiento que se refiera a los datos y que tenga por objeto los fines enumerados, respectivamente, en los apartados 1 y 2, letra h), de ese artículo 9, en el presente asunto datos relativos a la salud de un trabajador a efectos de la evaluación de su capacidad laboral, solo puede realizarse si esos datos son tratados por un profesional sanitario sujeto a una obligación de secreto profesional de conformidad con el Derecho de la Unión, el Derecho de un Estado miembro o las normas establecidas por los organismos nacionales competentes, o bajo su responsabilidad, o por otra persona que también esté sujeta a una obligación de secreto de conformidad con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes.

62 Al adoptar el apartado 3 del artículo 9 de ese Reglamento, que se refiere precisamente al apartado 2, letra h), del mismo artículo, el legislador de la Unión definió las medidas de protección específicas que pretendía imponer a los responsables de tales tratamientos, que consisten en que estos estuvieran reservados a personas sujetas a una obligación de secreto, de conformidad con los requisitos detallados en dicho apartado 3. Por lo tanto, no procede añadir al tenor literal de esta última disposición requisitos que no menciona.

63 De ello resulta, como ha señalado el Abogado General, en esencia, en el punto 43 de sus conclusiones, que el artículo 9, apartado 3, del RGPD no puede servir de base jurídica para una medida que garantice que ningún compañero de trabajo del interesado pueda acceder a los datos relativos al estado de salud de este.

64 No obstante, es necesario apreciar si el requisito consistente en garantizar que ningún compañero de trabajo del interesado tenga acceso a los datos relativos al estado de salud de este puede imponerse al responsable de un tratamiento de datos relativos a la salud, basado en el artículo 9, apartado 2, letra h), del RGPD, con arreglo a otra disposición de ese Reglamento.

65 A este respecto, debe precisarse que la única posibilidad de que los Estados miembros añadan tal exigencia a las enunciadas en los apartados 2 y 3 del artículo 9 de dicho Reglamento reside en la facultad que les confiere expresamente el apartado 4 del citado artículo de «mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento [de los] datos relativos a la salud».

66 Sin embargo, estos posibles requisitos adicionales no resultan de las disposiciones del RGPD en sí mismas, sino, en su caso, de normas de Derecho nacional que regulen los tratamientos de este tipo, normas con respecto a las cuales dicho Reglamento atribuye expresamente un margen de apreciación a los Estados miembros (véase, en este sentido, la sentencia de 30 de marzo de 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, apartados 51 y 78).

67 Además, es preciso subrayar que un Estado miembro que pretenda hacer uso de la facultad conferida por el artículo 9, apartado 4, de dicho Reglamento deberá, de conformidad con el principio de proporcionalidad, asegurarse de que las consecuencias prácticas, en particular de orden organizativo, económico y médico, generadas por los requisitos adicionales cuyo respeto pretende imponer ese Estado no sean excesivas para los responsables de tal tratamiento, que no disponen necesariamente de dimensiones o de recursos técnicos y humanos suficientes para cumplir tales requisitos. En efecto, estos no pueden menoscabar el efecto útil de la autorización de tratamiento que está expresamente contemplada en el apartado 2, letra h), del artículo 9 del mismo Reglamento y que se delimita en el apartado 3 de ese artículo.

68 Por último, es preciso señalar que, en virtud del artículo 32, apartado 1, letras a) y b), del RGPD, que concreta los principios de integridad y confidencialidad enunciados en el artículo 5, apartado 1, letra f), de ese Reglamento, todo responsable del tratamiento de datos personales está obligado a aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo —en particular la seudonimización y el cifrado de tales datos—, así como medios que permitan garantizar, en particular, la confidencialidad y la integridad de los sistemas y servicios de tratamiento. Para determinar las modalidades prácticas de esta obligación, el responsable del tratamiento debe, con arreglo a dicho artículo 32, apartado 1, tener en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

69 No obstante, corresponderá al órgano jurisdiccional remitente apreciar si el conjunto de medidas técnicas y organizativas aplicadas, en el presente asunto, por el MDK Nordrhein son conformes con lo dispuesto en el artículo 32, apartado 1, letras a) y b), del RGPD.

70 Por tanto, procede responder a la segunda cuestión prejudicial que el artículo 9, apartado 3, del RGPD debe interpretarse en el sentido de que el responsable de un tratamiento de datos relativos a la salud, basado en el artículo 9, apartado 2, letra h), de ese Reglamento, no está obligado, en virtud de estas disposiciones, a garantizar que ningún compañero de trabajo del interesado pueda acceder a los datos relativos al estado de salud de este. No obstante, podrá imponerse tal obligación al responsable de ese tratamiento, bien en virtud de una normativa adoptada por un Estado miembro sobre la base del artículo 9, apartado 4, de dicho Reglamento, bien en virtud de los principios de integridad y confidencialidad enunciados en el artículo 5, apartado 1, letra f), del mismo Reglamento y concretados en el artículo 32, apartado 1, letras a) y b), de este.

Tercera cuestión prejudicial

71 Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente se pregunta, en esencia, si los artículos 9, apartado 2, letra h), y 6, apartado 1, del RGPD deben interpretarse en el sentido de que un tratamiento de datos relativos a la salud basado en esta primera disposición debe, para ser lícito, no solo cumplir los requisitos que se derivan de esta, sino también, al menos, una de las condiciones de licitud enunciadas en ese artículo 6, apartado 1.

72 A este respecto, procede recordar que los artículos 5, 6 y 9 del RGPD figuran en el capítulo II de ese Reglamento, titulado «Principios», y se refieren, respectivamente, a los principios relativos al tratamiento de datos personales, a las condiciones de licitud del tratamiento y al tratamiento de categorías especiales de datos personales.

73 Además, es preciso señalar que el considerando 51 del RGPD indica expresamente que, «además de los requisitos específicos» aplicables al tratamiento de datos «particularmente sensibles», enunciados en el artículo 9, apartados 2 y 3, de ese Reglamento, sin perjuicio de las medidas que, en su caso, adopte un Estado miembro sobre la base del apartado 4 de ese artículo, «deben aplicarse [también a tal tratamiento] los principios generales y otras normas [de dicho] Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento», tal como se desprenden del artículo 6 del mismo Reglamento.

74 Por consiguiente, de conformidad con el artículo 6, apartado 1, párrafo primero, del RGPD, un tratamiento de datos «particularmente sensibles», como los relativos a la salud, solo será lícito si se cumple al menos una de las condiciones enunciadas en dicho apartado 1, párrafo primero, letras a) a f).

75 Pues bien, el artículo 6, apartado 1, párrafo primero, de dicho Reglamento prevé una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. Así pues, para poder ser considerado legítimo, el tratamiento de datos personales debe estar comprendido en alguno de los casos contemplados en esa disposición [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 90 y jurisprudencia citada].

76 Por lo tanto, el Tribunal de Justicia ha declarado reiteradamente que todo tratamiento de datos personales debe ser conforme con los principios relativos al tratamiento de datos enunciados en el artículo 5, apartado 1, del RGPD y debe cumplir las condiciones de licitud del tratamiento enumeradas en el artículo 6 de ese Reglamento [sentencia de 4 de mayo de 2023, Bundesrepublik Deutschland (Buzón electrónico judicial), C‑60/22, EU:C:2023:373, apartado 57 y jurisprudencia citada].

77 Además, ya se ha declarado que, dado que los artículos 7 a 11 del RGPD —que figuran, al igual que los artículos 5 y 6 de este, en el capítulo II de ese Reglamento— tienen por objeto precisar el alcance de las obligaciones que incumben al responsable del tratamiento en virtud de los artículos 5, apartado 1, letra a), y 6, apartado 1, del RGPD, el tratamiento de datos personales, para ser lícito, también debe respetar, como se desprende de la jurisprudencia del Tribunal de Justicia, esas otras disposiciones de dicho capítulo que se refieren, en esencia, al consentimiento, al tratamiento de categorías especiales de datos personales sensibles y al tratamiento de datos personales relativos a condenas e infracciones penales [sentencia de 4 de mayo de 2023, Bundesrepublik Deutschland (Buzón electrónico judicial), C‑60/22, EU:C:2023:373, apartado 58 y jurisprudencia citada].

78 De ello resulta, en particular, que, en la medida en que el artículo 9, apartado 2, letra h), del RGPD tiene por objeto precisar el alcance de las obligaciones que incumben al responsable del tratamiento en virtud de los artículos 5, apartado 1, letra a), y 6, apartado 1, de ese Reglamento, un tratamiento de datos relativos a la salud basado en esa primera disposición debe respetar, para ser lícito, tanto los requisitos que se derivan de esta como las obligaciones resultantes de estas dos últimas disposiciones y, en particular, cumplir al menos una de las condiciones de licitud establecidas en ese artículo 6, apartado 1.

79 Habida cuenta de lo anterior, procede responder a la tercera cuestión prejudicial que los artículos 9, apartado 2, letra h), y 6, apartado 1, del RGPD deben interpretarse en el sentido de que un tratamiento de datos relativos a la salud basado en esta primera disposición debe, para ser lícito, no solo cumplir los requisitos que se derivan de esta, sino también, al menos, una de las condiciones de licitud enunciadas en ese artículo 6, apartado 1.

Cuarta cuestión prejudicial

80 Mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente desea saber, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que el derecho a indemnización contemplado en esa disposición cumple no solo una función compensatoria, sino también una función disuasoria o punitiva, y, en caso afirmativo, si esta última debe tenerse en cuenta eventualmente al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición.

81 Procede recordar que el artículo 82, apartado 1, del RGPD establece que «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o [d]el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».

82 El Tribunal de Justicia ha interpretado esta disposición en el sentido de que no basta la mera infracción del RGPD para reconocer un derecho a indemnización, tras poner de relieve, en particular, que la existencia de «daños y perjuicios» o de «daños y perjuicios» que se han «sufrido» constituye uno de los requisitos del derecho a indemnización previsto en ese artículo 82, apartado 1, al igual que la existencia de una infracción de ese Reglamento y de una relación de causalidad entre dichos daños y perjuicios y esa infracción, siendo estos tres requisitos acumulativos [véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 32 y 42].

83 Además, el Tribunal de Justicia ha declarado que, dado que el RGPD no contiene ninguna disposición que tenga por objeto establecer las normas relativas a la cuantificación de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en el artículo 82 de dicho Reglamento, los jueces nacionales deberán aplicar, con este fin, en virtud del principio de autonomía procesal, las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión, tal como se definen en reiterada jurisprudencia del Tribunal de Justicia [véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 53, 54 y 59].

84 En este contexto, y habida cuenta del considerando 146, sexta frase, del RGPD, según el cual este instrumento tiene por objeto garantizar una «indemnización total y efectiva por los daños y perjuicios sufridos», el Tribunal de Justicia ha señalado que, a la vista de la función compensatoria del derecho a indemnización previsto en el artículo 82 de ese Reglamento, una indemnización pecuniaria basada en este artículo debe considerarse «total y efectiva» si permite compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de dicho Reglamento, sin que sea necesario, a efectos de tal compensación íntegra, imponer el pago de indemnizaciones de carácter punitivo [véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 57 y 58].

85 A este respecto, es preciso subrayar que el artículo 82 del RGPD no tiene una función punitiva, sino compensatoria, a diferencia de otras disposiciones de ese Reglamento que figuran también en su capítulo VIII, a saber, sus artículos 83 y 84, que, por su parte, tienen esencialmente una finalidad punitiva, puesto que permiten, respectivamente, imponer multas administrativas y otras sanciones. La articulación entre las normas enunciadas en dicho artículo 82 y las establecidas en los citados artículos 83 y 84 demuestra que existe una diferencia entre estas dos categorías de disposiciones, pero también una complementariedad, por cuanto se trata de incentivar el respeto del RGPD, debiendo observarse que el derecho de toda persona a reclamar una indemnización por daños y perjuicios refuerza la operatividad de las normas de protección establecidas en ese Reglamento y puede disuadir de la reiteración de comportamientos ilícitos [véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 38 y 40].

86 Dado que el derecho a indemnización contemplado en el artículo 82, apartado 1, del RGPD no cumple una función disuasoria, ni siquiera punitiva, tal como contempla el órgano jurisdiccional remitente, la gravedad de la infracción de ese Reglamento que haya causado los daños y perjuicios en cuestión no puede influir en el importe de la indemnización en este concepto concedida en virtud de dicha disposición, ni siquiera cuando los daños y perjuicios no sean materiales, sino inmateriales. De ello se deduce que ese importe no puede fijarse en una cuantía que exceda de la compensación completa de ese perjuicio.

87 En consecuencia, procede responder a la cuarta cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que el derecho a indemnización contemplado en esa disposición cumple una función compensatoria, dado que una reparación pecuniaria basada en dicha disposición debe permitir compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de ese Reglamento, y no una función disuasoria o punitiva.

Quinta cuestión prejudicial

88 De los elementos transmitidos por el órgano jurisdiccional remitente, en respuesta a una solicitud de aclaraciones que se le dirigió con arreglo al artículo 101 del Reglamento de Procedimiento del Tribunal de Justicia, se desprende que la quinta cuestión prejudicial tiene por objeto determinar, por una parte, si la existencia y/o la prueba de una culpa son requisitos exigidos para que el responsable o el encargado del tratamiento pueda incurrir en responsabilidad y, por otra parte, qué repercusión puede tener el grado de culpa del responsable o del encargado del tratamiento en la evaluación concreta de la indemnización por daños y perjuicios que debe abonarse como reparación del daño inmaterial sufrido.

89 Habida cuenta de esta respuesta del órgano jurisdiccional remitente, procede entender que la quinta cuestión prejudicial tiene por objeto, en esencia, que se dilucide, por un lado, si el artículo 82 del RGPD debe interpretarse en el sentido de que el nacimiento de la responsabilidad del responsable del tratamiento está supeditado a la existencia de culpa por parte de este y, por otro lado, si el grado de culpa debe tenerse en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de dicha disposición.

90 Por lo que respecta a la primera parte de esta cuestión prejudicial, es preciso señalar que, como se ha recordado en el apartado 82 de la presente sentencia, el artículo 82, apartado 1, del RGPD supedita el derecho a indemnización a la concurrencia de tres elementos, a saber, la existencia de una infracción de ese Reglamento, la existencia de daños y perjuicios sufridos y la existencia de una relación de causalidad entre esa infracción y esos daños y perjuicios.

91 El artículo 82, apartado 2, del RGPD dispone, por su parte, que cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por ese Reglamento. Pues bien, el tenor de esta disposición en algunas de sus versiones lingüísticas, en particular la versión alemana, que es la de la lengua de procedimiento en el presente asunto, no permite determinar con certeza si la infracción en cuestión debe ser imputable al responsable del tratamiento para que pueda incurrir en responsabilidad.

92 A este respecto, del análisis de las diferentes versiones lingüísticas de la primera frase del artículo 82, apartado 2, del RGPD se desprende que se presume que el responsable del tratamiento ha participado en la operación de tratamiento que constituye la infracción de ese Reglamento a la que se hace referencia. En efecto, mientras que las versiones en alemán, francés o finés están formuladas de manera abierta, otras versiones lingüísticas resultan más precisas y utilizan un determinante demostrativo para la tercera aparición del término «tratamiento», o para la tercera referencia a ese término, de modo que está claro que esta tercera aparición o referencia alude a la misma operación que la segunda aparición de este término. Es el caso de las versiones en lengua española, estonia, griega, italiana o rumana.

93 El artículo 82, apartado 3, del RGPD precisa, desde esta perspectiva, que el responsable del tratamiento estará exento de responsabilidad, en virtud del apartado 2 de ese artículo 82, si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

94 Así pues, del análisis conjunto de estas diferentes disposiciones del artículo 82 del RGPD se desprende que este artículo establece un régimen de responsabilidad por culpa en el que la carga de la prueba no recae sobre la persona que ha sufrido los daños y perjuicios, sino sobre el responsable del tratamiento.

95 Esta interpretación se ve corroborada por el contexto en el que se inscribe ese artículo 82 y por los objetivos perseguidos por el legislador de la Unión a través del RGPD.

96 A este respecto, en primer término, del tenor de los artículos 24 y 32 del RGPD se desprende que estas disposiciones se limitan a obligar al responsable del tratamiento a adoptar medidas técnicas y organizativas destinadas a evitar, en la medida de lo posible, cualquier violación de los datos personales. El carácter adecuado de tales medidas debe evaluarse de manera concreta, examinando si esas medidas han sido aplicadas por el responsable del tratamiento teniendo en cuenta los diferentes criterios contemplados en dichos artículos y las necesidades de protección de datos específicamente inherentes al tratamiento en cuestión, así como a los riesgos derivados de este (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 30).

97 Pues bien, tal obligación quedaría en entredicho si el responsable del tratamiento estuviera obligado, a continuación, a reparar cualquier daño causado por un tratamiento realizado infringiendo el RGPD.

98 En segundo término, por lo que respecta a los objetivos del RGPD, de los considerandos 4 a 8 de ese Reglamento se desprende que este tiene por objeto establecer un equilibrio entre los intereses de los responsables del tratamiento de datos personales y los derechos de las personas cuyos datos se tratan. El objetivo perseguido es permitir el desarrollo de la economía digital, garantizando al mismo tiempo un elevado nivel de protección de las personas. La finalidad es, por tanto, la ponderación de los intereses del responsable del tratamiento y de las personas cuyos datos personales se tratan. Pues bien, un mecanismo de responsabilidad por culpa acompañado de una inversión de la carga de la prueba, como establece el artículo 82 del RGPD, permite precisamente garantizar tal equilibrio.

99 Por una parte, como ha observado el Abogado General, en esencia, en el punto 93 de sus conclusiones, no sería conforme con el objetivo de tal protección elevada optar por una interpretación según la cual los interesados que han sufrido daños y perjuicios como consecuencia de una infracción del RGPD deben soportar, en el marco de una acción indemnizatoria basada en el artículo 82 de este, la carga de probar no solo la existencia de esa infracción y de los daños y perjuicios que se derivan para ellos de esa infracción, sino también la existencia de culpa, por intencionalidad o negligencia, por parte del responsable del tratamiento, o incluso el grado de culpa, aun cuando dicho artículo 82 no formule tales requisitos (véase, por analogía, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 56).

100 Por otra parte, un régimen de responsabilidad objetiva no garantizaría la consecución del objetivo de seguridad jurídica perseguido por el legislador, como se desprende del considerando 7 del RGPD.

101 Por lo que respecta a la segunda parte de la quinta cuestión prejudicial, relativa a la fijación del importe de los daños y perjuicios eventualmente debidos en virtud del artículo 82 del RGPD, es preciso recordar que, como se ha señalado en el apartado 83 de la presente sentencia, a efectos de la cuantificación de la indemnización por daños y perjuicios, los jueces nacionales deben aplicar las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión, tal como se definen en reiterada jurisprudencia del Tribunal de Justicia.

102 Debe precisarse que, habida cuenta de su función compensatoria, el artículo 82 del RGPD no exige que la gravedad de la infracción de ese Reglamento, que se presume que el responsable del tratamiento ha cometido, sea tenida en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición, sino que exige que ese importe se fije de manera que se compensen íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de dicho Reglamento, como se desprende de los apartados 84 y 87 de la presente sentencia.

103 En consecuencia, procede responder a la quinta cuestión prejudicial que el artículo 82 del RGPD debe interpretarse en el sentido de que, por una parte, el nacimiento de la responsabilidad del responsable del tratamiento está supeditado a la existencia de culpa por parte de este, la cual se presume, a menos que este demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios, y, por otra parte, ese artículo 82 no exige que el grado de culpa se tenga en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición.

Costas

104 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:

1) El artículo 9, apartado 2, letra h), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos),

debe interpretarse en el sentido de que

la excepción contemplada en esta disposición es aplicable a las situaciones en las que un organismo de control médico trate datos relativos a la salud de uno de sus empleados no como empleador, sino como servicio médico, con el fin de evaluar la capacidad laboral de ese trabajador, siempre que el tratamiento en cuestión cumpla los requisitos y observe las garantías que impone expresamente esa letra h) y el apartado 3 de dicho artículo 9.

2) El artículo 9, apartado 3, del Reglamento 2016/679

debe interpretarse en el sentido de que

el responsable de un tratamiento de datos relativos a la salud, basado en el artículo 9, apartado 2, letra h), de ese Reglamento, no está obligado, en virtud de estas disposiciones, a garantizar que ningún compañero de trabajo del interesado pueda acceder a los datos relativos al estado de salud de este. No obstante, podrá imponerse tal obligación al responsable de ese tratamiento, bien en virtud de una normativa adoptada por un Estado miembro sobre la base del artículo 9, apartado 4, de dicho Reglamento, bien en virtud de los principios de integridad y confidencialidad enunciados en el artículo 5, apartado 1, letra f), del mismo Reglamento y concretados en el artículo 32, apartado 1, letras a) y b), de este.

3) Los artículos 9, apartado 2, letra h), y 6, apartado 1, del Reglamento 2016/679

deben interpretarse en el sentido de que

un tratamiento de datos relativos a la salud basado en esta primera disposición debe, para ser lícito, no solo cumplir los requisitos que se derivan de esta, sino también, al menos, una de las condiciones de licitud enunciadas en ese artículo 6, apartado 1.

4) El artículo 82, apartado 1, del Reglamento 2016/679

debe interpretarse en el sentido de que

el derecho a indemnización contemplado en esa disposición cumple una función compensatoria, dado que una reparación pecuniaria basada en dicha disposición debe permitir compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de ese Reglamento, y no una función disuasoria o punitiva.

5) El artículo 82 del Reglamento 2016/679

debe interpretarse en el sentido de que,

por una parte, el nacimiento de la responsabilidad del responsable del tratamiento está supeditado a la existencia de culpa por parte de este, la cual se presume, a menos que este demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios, y, por otra parte, ese artículo 82 no exige que el grado de culpa se tenga en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición.

Firmas

* Lengua de procedimiento: alemán.