CONCLUSÕES DO ADVOGADO‑GERAL

MANUEL CAMPOS SÁNCHEZ‑BORDONA

apresentadas em 25 de maio de 2023 (1)

Processo C‑667/21

ZQ

contra

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts

[pedido de decisão prejudicial apresentado pelo Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha)]

«Reenvio prejudicial — Proteção de dados pessoais — Dados pessoais relativos à saúde — Avaliação da capacidade de trabalho de um empregado — Serviço de controlo médico de uma caixa de seguro de doença — Tratamento dos dados pessoais relativos à saúde dos empregados — Direito à indemnização dos danos — Incidência do grau de culpa»

1.        O presente reenvio prejudicial tem por objeto a interpretação do Regulamento (UE) 2016/679 (2) no que respeita: a) ao tratamento de dados pessoais relativos à saúde; e b) à indemnização dos danos sofridos devido a uma (alegada) violação do próprio RGPD.

2.        Embora o Tribunal de Justiça já se tenha pronunciado sobre as disposições do RGPD (3) que dizem respeito a estas questões, as submetidas no âmbito do presente reenvio prejudicial são inéditas, com exceção da quarta (4).

I.      Quadro jurídico

A.      Direito da União. RGPD

3.        São relevantes para o presente processo os considerandos que figuram no preâmbulo do RGPD com os números 4, 10, 35, 51 a 54 e 146.

4.        Nos termos do artigo 9.^o («Tratamento de categorias especiais de dados pessoais»):

«1.      É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

2.      O disposto no n.^o 1 não se aplica se se verificar um dos seguintes casos:

[…]

b)      Se o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União ou dos Estados‑Membros ou ainda por uma convenção coletiva nos termos do direito dos Estados‑Membros que preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados;

[…]

h)      Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito da União ou dos Estados‑Membros ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no n.^o 3;

[…]

3.      Os dados pessoais referidos no n.^o 1 podem ser tratados para os fins referidos no n.^o 2, alínea h), se os dados forem tratados por ou sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União ou dos Estados‑Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou dos Estados‑Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes.

4.      Os Estados‑Membros podem manter ou impor novas condições, incluindo limitações, no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde.»

5.        O artigo 82.^o («Direito de indemnização e responsabilidade») tem a seguinte redação:

«1.      Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

[…]

3.      O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.^o 2, se provar que não é de modo algum responsável pelo evento que deu origem aos danos.

[…].»

B.      Direito nacional. Sozialgesetzbuch Fünftes Buch (5)

6.        Nos termos do seu § 278, n.^o 1, primeira frase, são implementados em cada Land, e assumindo a qualidade de pessoas coletivas de direito público, serviços médicos (6) das caixas de seguro de doença (7). Uma das suas tarefas, legalmente previstas, consiste na elaboração de relatórios para remoção de dúvidas acerca da incapacidade para o trabalho dos segurados.

7.        Nos termos do § 275, n.^o 1, primeira frase, ponto 3, alínea b), as KV são obrigadas, em determinadas circunstâncias, a requerer ao MDK correspondente, em situações de incapacidade para o trabalho de um segurado certificadas por médico, um relatório para remoção das dúvidas acerca dessa incapacidade para o trabalho.

II.    Matéria de facto, litígio e questões prejudiciais

8.        ZQ trabalhava para o MDK de Nordrhein (Alemanha) desde 1991, no departamento de TI, como administrador de sistemas e colaborador do «helpdesk».

9.        O MDK elabora relatórios sobre a incapacidade para o trabalho dos segurados das KV. Entre esses relatórios podem figurar os relativos à saúde dos próprios trabalhadores do MDK.

10.      O tratamento dos dados segue, entre outras, as seguintes regras constantes de instruções internas de serviço (8):

—      Os «dados sociais» dos empregados não podem ser recolhidos nem armazenados no seu local de trabalho. Além disso, estes dados, originados quando uma KV pede ao MDK um relatório pericial, não devem ser confundidos com os dados dos trabalhadores tratados no âmbito da relação de trabalho ou de serviço.

—      Os pedidos de relatórios respeitantes aos trabalhadores do MDK são classificados como «casos especiais» e são acompanhados exclusivamente por uma unidade especial (9).

—      Uma vez elaborado o relatório sobre um empregado do MDK, tanto a documentação relevante como o relatório são depositados no arquivo eletrónico do próprio MDK. Só é possível relacionar esses documentos com certa pessoa concreta através de uma chave especial, sendo a legitimidade do acesso verificada tecnicamente.

11.      Os trabalhadores do «departamento de TI» da unidade «Caso Especial», continuam a ter acesso, após o arquivamento, legalmente sujeitos a um dever de sigilo, aos relatórios elaborados no seguimento de um pedido relativo aos trabalhadores do MDK.

12.      ZQ esteve ininterruptamente incapacitado para o trabalho por doença desde 22 de novembro de 2017.

13.      Em 24 de maio de 2018 (10), ZQ passou a auferir o subsídio de doença pago pela sua KV. Em 6 de junho de 2018, esta pediu ao MDK que, para a remoção de dúvidas acerca da incapacidade para o trabalho de ZQ, elaborasse um relatório.

14.      O MDK acedeu ao pedido, e remeteu‑o para a unidade «Caso Especial». Em 22 de junho de 2018, uma médica dessa unidade, funcionária do MDK, elaborou o relatório contendo o diagnóstico de ZQ. Para efeitos da sua elaboração falou ao telefone com o médico assistente de ZQ, tendo dele obtido as informações pertinentes.

15.      O MDK arquivou eletronicamente o relatório.

16.      ZQ soube, através do seu médico assistente, do telefonema realizado pela médica do MDK.

17.      Em 1 de agosto de 2018, ZQ contactou uma colega do departamento de TI do MDK, a quem perguntou se estava arquivado um relatório sobre a sua pessoa. Após pesquisa, a colega respondeu afirmativamente. A pedido de ZQ fotografou o relatório e enviou‑lhe as respetivas imagens.

18.      Em 15 de agosto de 2018, ZQ exigiu ao MDK, mas sem êxito, o pagamento de uma indemnização de 20 000,00 euros, ao abrigo do artigo 82.^o do RGDP.

19.      Em 17 de outubro de 2018, ZQ intentou uma ação no Arbeitsgericht Düsseldorf (Tribunal do Trabalho de Dusseldorf, Alemanha). No âmbito dessa ação pediu também o pagamento de uma indemnização no valor correspondente às remunerações que deixou de auferir (11).

20.      Durante o processo judicial, o MDK rescindiu o contrato de trabalho de ZQ.

21.      Os pedidos de ZQ foram julgados improcedentes em primeira instância, tendo‑lhes posteriormente sido negado provimento em sede de recurso (12).

22.      ZQ interpôs recurso no Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha), que submete as seguintes questões ao Tribunal de Justiça:

«1)      Deve o artigo 9.^o, n.^o 2, alínea h), do RGPD ser interpretado no sentido de que o serviço médico de uma caixa de seguro de doença está proibido de tratar os dados pessoais relativos à saúde de um dos seus trabalhadores, necessários à avaliação da capacidade de trabalho desse trabalhador?

2)      Caso o Tribunal de Justiça responda negativamente à primeira questão, com a consequência de que, em aplicação do artigo 9.^o, n.^o 2, alínea h), do RGPD, se verifica uma exceção à proibição de tratamento de dados pessoais relativos à saúde estabelecida no artigo 9.^o, n.^o 1, do RGPD: num caso como o presente, impõe‑se cumprir outros requisitos em matéria de proteção de dados pessoais, além dos previstos no artigo 9.^o, n.^o 3, do RGPD? E, na afirmativa, quais?

3)      Caso o Tribunal de Justiça responda negativamente à primeira questão, com a consequência de que, em aplicação do artigo 9.^o, n.^o 2, alínea h), do RGPD, se verifica uma exceção à proibição de tratamento de dados pessoais relativos à saúde estabelecida no artigo 9.^o, n.^o 1, do RGPD: num caso como o presente, a admissibilidade ou licitude do tratamento de dados pessoais relativos à saúde depende, além disso, do preenchimento de pelo menos um dos pressupostos enunciados no artigo 6.^o, n.^o 1, do RGPD?

4)      O artigo 82.^o, n.^o 1, do RGPD tem natureza preventiva especial ou geral e impõe‑se ter isso em conta na determinação do montante da indemnização pelo dano imaterial a cargo do responsável pelo tratamento ou do subcontratante, com base nesse mesmo artigo 82.^o, n.^o 1, do RGPD?

5)      Na determinação do montante da indemnização pelo dano imaterial a pagar com base no artigo 82.^o, n.^o 1, do RGPD, importa atender ao grau de culpa do responsável pelo tratamento ou do subcontratante? Concretamente, pode a inexistência de culpa ou a reduzida intensidade da mesma, por parte do responsável pelo tratamento ou do subcontratante, ser tida em conta a seu favor?»

III. Tramitação do processo no Tribunal de Justiça

23.      O pedido de decisão prejudicial deu entrada no Tribunal de Justiça em 8 de novembro de 2021.

24.      Apresentaram observações escritas ZQ, o MDK, os Governos da Irlanda e da Itália, e a Comissão Europeia.

25.      Não foi considerada necessária a realização de audiência.

26.      Por indicação do Tribunal de Justiça, as presentes conclusões não abordarão a quarta questão prejudicial (13).

IV.    Análise

A.      Primeira questão prejudicial

27.      O órgão jurisdicional de reenvio pretende saber se o artigo 9.^o, n.^o 2, alínea h), do RGPD, proíbe o MDK de tratar os dados pessoais relativos à saúde de um dos seus trabalhadores, necessários à avaliação da sua capacidade de trabalho. Por conseguinte, põe em causa a licitude do tratamento em razão da entidade que o efetua (14).

28.      O artigo 9.^o do RGPD regula categorias especiais de dados, como os relativos à saúde de uma pessoa. Estabelece uma proibição geral de tratamento dos dados «sensíveis» (n.^o 1) e enumera de modo taxativo os casos em que a proibição geral não é aplicável (n.^o 2).

29.      Em especial, no n.^o 2, alínea h), do artigo 9.^o do RGPD, figura a exceção (à proibição geral) respeitante ao tratamento de dados pessoais «para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social».

30.      Em meu entender, essa disposição oferece uma cobertura suficiente à ação do MDK controvertida (15). Pouco importa que o responsável pelo tratamento seja, simultaneamente, o empregador do titular dos dados, na medida em que o MDK não atua como empregador, mas sim como serviço médico de uma KV na qual o titular dos dados estava inscrito como segurado (16).

31.      Não encontro fundamento para interpretar o artigo 9.^o, n.^o 2, alínea h), do RGPD, no sentido de que um serviço médico esteja proibido de tratar os dados relativos à saúde dos seus empregados para o fim previsto nessa alínea. Pelo contrário: os critérios hermenêuticos habituais levam à solução oposta (ausência dessa proibição).

32.      Do ponto de vista literal, o artigo 9.^o, n.^o 2, alínea h), do RGPD, não prevê nenhuma exclusão nesse sentido, nem impõe como condição para o tratamento que o responsável pelo tratamento seja um «terceiro neutro» (17).

33.      Os antecedentes legislativos e a evolução da disposição também não revelam uma proibição como a evocada na primeira questão prejudicial, nem a intenção de a incluir (18).

34.      A finalidade das normas do RGPD respeitantes ao tratamento de dados relativos à saúde consiste, como o Tribunal de Justiça já declarou (19), em conceder uma proteção reforçada aos titulares dos dados, tendo em conta a sensibilidade específica desses dados para os direitos fundamentais afetados. É para efeitos da prossecução desse objetivo que é introduzida a proibição geral do artigo 9.^o, n.^o 1, do RGPD que, no entanto, não é absoluta (20).

35.      Neste domínio, tal como noutros relativos ao tratamento de dados pessoais, a escolha do legislador, uma vez estabelecida a proibição geral, foi:

—      Prever exceções, sob a forma de uma lista de situações concretas, agrupadas (grosso modo) naquelas em que o próprio titular dos dados autoriza o tratamento ou dele beneficia, e aquelas em que há interesses que prevalecem sobre os de cada indivíduo.

—      Associar a um determinado tipo de tratamento cautelas específicas, superiores às aplicáveis aos outros dados pessoais «não sensíveis», e que lhes são acrescentadas (21).

—      Autorizar os Estados‑Membros a introduzir outras condições, ou mesmo limitações, respeitantes ao tratamento de dados pessoais. É o caso dos relativos à saúde (artigo 9.^o, n.^o 4, do RGPD e considerando 53, in fine) ou dos dados dos trabalhadores no contexto laboral (artigo 88.^o do RGPD) (22).

36.      Ora, em abstrato, nada se oporia a que, entre as cautelas específicas a que acabo de me referir, constasse a de proibir um MDK de tratar dados relativos à saúde dos seus empregados. Todavia, não me parece que essa opção (que o legislador europeu não adotou) seja indispensável para preservar o objetivo acima referido.

37.      Por conseguinte, entendo que a proibição objeto da questão do órgão jurisdicional de reenvio não constitui uma consequência inevitável de uma interpretação teleológica do artigo 9.^o, n.^o 2, alínea h), do RGPD.

38.      Também não creio que uma interpretação sistemática da disposição conduza a solução diferente, uma vez que:

—      Admitindo, para fins dialéticos, que fosse correto considerar o artigo 9.^o, n.^o 2, alínea b), do RGPD, como o único fundamento para que um empregador pudesse tratar dados relativos à saúde dos seus empregados (23), isso não afetaria a possibilidade de a mesma entidade, já não enquanto empregador, mas enquanto serviço médico que aceita o pedido de uma KV, efetuar o tratamento ao abrigo de outra exceção do mesmo artigo 9.^o, n.^o 2 (24).

—      O artigo 9.^o, n.^o 3, do RGPD prevê as condições aplicáveis a quem efetue o tratamento de dados pessoais relativos à saúde. O n.^o 2, alínea h), do artigo 9.^o, remete expressamente para o n.^o 3; do ponto de vista subjetivo, o tratamento não está sujeito a nenhuma outra condição (25).

39.      Em suma, proponho que se responda negativamente (ou seja, que a proibição controvertida não existe no RGPD) à primeira questão prejudicial, o que permite abordar a questão seguinte.

B.      Segunda questão prejudicial

40.      Na eventualidade de a resposta à primeira questão prejudicial ser negativa (como proponho), o órgão jurisdicional de reenvio pretende saber se «num caso como o presente, impõe‑se cumprir outros requisitos em matéria de proteção de dados pessoais, além dos previstos no artigo 9.^o, n.^o 3, do RGPD [e], na afirmativa, quais».

41.      Em termos gerais, a resposta não deveria suscitar grandes problemas (26). O Tribunal de Justiça declarou que qualquer tratamento de dados pessoais deve respeitar os princípios do artigo 5.^o do RGPD e um dos pressupostos para o tratamento lícito do seu artigo 6.^o (27).

42.      Segundo o órgão jurisdicional de reenvio, o cumprimento da obrigação de sigilo (artigo 9.^o, n.^o 3, do RGPD) não seria suficiente para proteger os dados em circunstâncias como as do presente processo. Propõe outras medidas complementares que, na sua opinião, são as únicas adequadas para essa finalidade (28).

43.      Considero que, enquanto tal, o artigo 9.^o, n.^o 3, do RGPD não pode servir de fundamento a essas medidas adicionais. A sua redação clara (que se limita a precisar uma disposição já contida na Diretiva 95/46) (29) não constitui base para propostas como a do órgão jurisdicional de reenvio.

44.      Em contrapartida, essas propostas poderiam fundamentar‑se no artigo 9.^o, n.^o 4, do RGPD. Nos termos dessa disposição, os Estados‑Membros estão autorizados a impor «novas condições, incluindo limitações, no que respeita ao tratamento de […] dados relativos à saúde» (30). Todavia, do despacho de reenvio não resulta que isso tenha acontecido na Alemanha.

45.      Dito isto, e pelos motivos acima expostos, o tratamento de dados pessoais relativos à saúde deve estar sujeito, entre outros princípios, ao consagrado no artigo 5.^o, n.^o 1, alínea f), do RGPD, e às obrigações dele decorrentes, que são descritas no capítulo IV do mesmo regulamento.

46.      Além disso, o responsável pelo tratamento (31) deve aplicar as medidas técnicas e organizativas que forem adequadas para assegurar que um tratamento específico é realizado em conformidade com o RGPD. É o que dispõe, a título geral, o seu artigo 24.^o, n.^o 1.

47.      Em especial, o artigo 32.^o, n.^o 1, do RGPD, obriga o responsável pelo tratamento a aplicar «medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco» incorrido pelos dados pessoais em causa.

48.      Aplicando estas regras ao presente processo, a qualidade de empregador do MDK em relação a ZQ impõe‑lhe um dever de cuidado no tratamento dos seus dados relativos à saúde superior ao habitual, uma vez que os riscos são também maiores (32).

49.      O MDK não ignora este facto. Quando, a pedido de uma KV, seguradora do seu empregado, elabora relatórios para dissipar dúvidas acerca da sua (in)capacidade para o trabalho, aplica um conjunto de medidas ad hoc, técnicas e organizativas, previstas para tornar o tratamento de dados pessoais relativos à saúde conforme com o RGPD (33).

50.      A apreciação destas medidas é da competência do órgão jurisdicional de reenvio, que poderá decidir, no termo da sua avaliação, que as medidas adotadas não eram suficientes. Mas isso não permite deduzir do artigo 9.^o do RGPD uma obrigação de os MDK recusarem oficiosamente qualquer pedido de relatório médico (relativo aos seus empregados) proveniente das KV (34).

C.      Terceira questão prejudicial

51.      Assumindo a resposta negativa à primeira questão prejudicial, na terceira o órgão jurisdicional de reenvio pretende saber se a exceção à proibição do tratamento de dados relativos à saúde «depende, além disso, do preenchimento de pelo menos um dos pressupostos enunciados no artigo 6.^o, n.^o 1, do RGPD».

52.      Para responder a esta questão, importa analisar a relação entre o artigo 9.^o, n.^o 2, do RGPD, e o seu artigo 6.^o, relativo à licitude do tratamento. A necessidade de se respeitar este último artigo em todos os tratamentos de dados consta de acórdãos proferidos pelo Tribunal de Justiça, que já referi (35).

53.      Em especial, o Acórdão proferido no âmbito do processo C‑439/19 (36) interpretou o artigo 10.^o do RGPD, sobre outra categoria de dados pessoais sensíveis (os relacionados com condenações penais e infrações) (37), declarando que o artigo 6.^o do RGPD é aplicável cumulativamente com o artigo 10.^o

54.      Será esse postulado transponível para os dados pessoais a que se refere o artigo 9.^o do RGPD?

55.      A estrutura dos artigos 9.^o e 10.^o do RGPD é distinta. O artigo 10.^o contém uma remissão explícita para o artigo 6.^o, n.^o 1, do próprio RGPD, que não figura no artigo 9.^o

56.      O conteúdo do artigo 9.^o, n.^o 2, também não é comparável com o do artigo 10.^o do RGPD: o artigo 10.^o limita‑se a prever uma restrição subjetiva ao tratamento, enquanto o artigo 9.^o, n.^o 2, estabelece finalidades (ou casos) que o justificam, tal como o artigo 6.^o, n.^o 1.

57.      Com efeito, o paralelismo entre os artigos 6.^o, n.^o 1, e 9.^o, n.^o 2, do RGPD é tal que, numa primeira leitura, parece que os casos que este último enumera são especificações das situações que constam do primeiro: estas são precisadas e simultaneamente tornadas mais graves.

58.      Todavia, a história e a evolução do artigo 9.^o do RGPD põem em causa o facto de a relação entre o mesmo e o artigo 6.^o ser explicada em termos de «lei especial» e «lei geral».

59.      Consta que essa interpretação foi efetivamente apoiada pelas delegações de alguns Estados‑Membros (38). Todavia, documentos relativos à negociação do artigo 9.^o não demonstram a existência de divergências quanto à remissão para o artigo 6.^o (39), mas apenas quanto ao seu alcance (só para o seu n.^o 1, ou também para outros?) (40). Por último, a referência do artigo 9.^o ao artigo 6.^o foi eliminada (41) e foi decidido manter no preâmbulo um parágrafo semelhante ao atual considerando 51 do RGPD (42).

60.      A ideia de cumulação, ou de complementaridade, entre as duas disposições é partilhada pelo Comité Europeu para a Proteção de Dados (43) e era defendida pelo denominado Grupo do artigo 29.^o (44) no que respeita ao artigo 8.^o da Diretiva 95/46 (45). Em contrapartida, não corresponde a um entendimento não contestado na doutrina, nem noutros foros pertinentes (46).

61.      Olhando para as diversas alíneas do artigo 9.^o, n.^o 2, do RGPD, inclino‑me a pensar que, na realidade, a relação entre essa disposição e o artigo 6.^o não permite uma resposta única. Com efeito:

—      Exceções à proibição do tratamento como as previstas no artigo 9.^o, n.^o 2, alíneas a), c), g) e i) (47), têm uma relação imediata com um fundamento jurídico específico do artigo 6.^o, n.^o 1, do RGPD e absorvem‑no.

—      O mesmo não se passa com outras exceções enumeradas no artigo 9.^o, n.^o 2, do RGPD, que, essas sim, exigirão uma justificação adicional ao abrigo do artigo 6.^o, n.^o 1. Na minha opinião, é o que acontece com a alínea h) do artigo 9.^o, n.^o 2, que é objeto desta questão prejudicial.

62.      Por conseguinte, considero que, para tornar lícito o tratamento de dados sensíveis autorizado pelo artigo 9.^o, n.^o 2, alínea h), do RGPD, há que procurar saber qual das situações pormenorizadas no artigo 6.^o, n.^o 1, o legitima em cada caso.

63.      O órgão jurisdicional de reenvio não contesta que assim seja: pelo contrário, com base nessa premissa, concentra‑se na rejeição do facto de o tratamento efetuado pelo MDK encontrar justificação no artigo 6.^o (48).

64.      À primeira vista, não me parece que exista uma ordem de prioridade entre os fundamentos jurídicos previstos na disposição. Uma análise mais aprofundada poderia suscitar a necessidade da introdução de matizes (49). Todavia, considero que tal análise iria além do necessário para responder a este reenvio prejudicial (50).

65.      Em suma, a resposta à terceira questão prejudicial deverá indicar ao órgão jurisdicional de reenvio que a exceção à proibição de tratar dados relativos à saúde exige o preenchimento de pelo menos um dos pressupostos enunciados no artigo 6.^o, n.^o 1, do RGPD.

D.      Quinta questão prejudicial

66.      O órgão jurisdicional de reenvio pretende saber se «[n]a determinação do montante da indemnização pelo dano imaterial a pagar com base no artigo 82.^o, n.^o 1, do RGPD, importa atender ao grau de culpa do responsável pelo tratamento ou do subcontratante» e, concretamente, se «a inexistência de culpa ou a reduzida intensidade da mesma, por parte do responsável pelo tratamento ou do subcontratante» «pode […] ser tida em conta a seu favor».

67.      A questão dá por adquirido que ocorreu uma violação do RGPD (51), cometida por quem surge como responsável pelo tratamento dos dados, e com a mesma se pergunta se o grau de culpa deste último importa na determinação do montante da indemnização pelo dano resultante dessa violação. Segundo o órgão jurisdicional de reenvio, não é certo que a inexistência ou a reduzida intensidade da culpa do responsável pelo tratamento possa ser qualificada de elemento a ter em conta a seu favor.

68.      Considerada de forma literal, a questão concentra‑se na determinação da indemnização. Todavia, as explicações que a acompanham originavam alguma confusão, uma vez que não é claro se se referem à culpa enquanto condição de imputação da responsabilidade ou enquanto fator de graduação do montante da indemnização.

69.      Tendo sido convidado pelo Tribunal de Justiça a clarificar essa ambiguidade, o órgão jurisdicional de reenvio informou que a questão incidia sobre esses dois aspetos, não fornecendo esclarecimentos adicionais sobre a sua relação com o litígio de origem.

70.      À luz dessa informação, procurarei responder às questões suscitadas pelo órgão jurisdicional de reenvio após tomar (igualmente) em consideração as referidas pelo MDK relativas ao eventual envolvimento do titular dos dados na produção do dano (52). O meu raciocínio será desenvolvido em três etapas:

—      Na primeira, abordarei o título de imputação da responsabilidade prevista no artigo 82.^o RGPD.

—      Na segunda, analisarei o impacto que poderia ter a consulta de dados pessoais por um empregado do responsável pelo tratamento (53). Elemento específico e essencial deste cenário consiste no facto de esse empregado ter procedido à consulta a pedido do titular dos dados.

—      Na terceira, pronunciar‑me‑ei relativamente ao impacto que o grau de intensidade da culpa do responsável pelo tratamento possa ter na apreciação concreta dos danos morais indemnizáveis.

1.      Título da responsabilidade civil no artigo 82.^o do RGPD

71.      O órgão jurisdicional de reenvio considera que o artigo 82.^o, n.^o 1, do RGPD, não subordina a responsabilidade civil (do gestor (54) do tratamento) à existência ou à prova de intenção ou negligência. Acrescenta que o n.^o 3 do mesmo artigo não fundamenta outra solução.

72.      Admito que não seja claro que modelo de responsabilidade civil foi adotado pelo RGPD e que, a priori, são possíveis diversas interpretações (55). O entendimento do órgão jurisdicional de reenvio é uma delas: na minha opinião, acertado.

73.      Em meu entender, a leitura do artigo 82.^o, n.^o 1, do RGPD, no sentido de que institui um regime de responsabilidade civil alheia à culpa do gestor do tratamento é conforme com a sua redação, encontra apoio imediato nos trabalhos preparatórios e, sobretudo, favorece a finalidade da norma. É aceitável à luz de outros números da disposição, bem como do sistema considerado no seu conjunto.

a)      Argumento literal

74.      A posição defendida pelo órgão jurisdicional de reenvio está em conformidade com a redação do artigo 82.^o, n.^o 1, do RGDP. Literalmente, o direito a ser indemnizado pelo responsável pelo tratamento está ligado aos danos sofridos devido a uma violação do próprio RGPD.

75.      Os outros números do artigo 82.^o não apontam para outra resposta (56). Em especial, não ousaria deduzir um requisito de culpa a partir da palavra «imputável» do n.^o 3 do artigo 82.^o O termo surge apenas em algumas versões linguísticas do RGPD; outras, pelo contrário, utilizam o termo «responsável». Na versão alemã, nem o artigo 82.^o, nem o preâmbulo utilizam o termo técnico próprio da imputação por culpa («Verschulden») (57).

76.      Comparando as diversas disposições do RGPD, torna‑se evidente que a terminologia utilizada nem sempre é unívoca, pelo que a prudência deve ser extrema na extração de consequências a partir da sua letra. Na versão inglesa, por exemplo, a palavra «responsible» é utilizada numa multiplicidade de sentidos (58).

77.      A ausência de referências à intenção ou à culpa do responsável pelo tratamento no artigo 82.^o do RGPD contrasta com as menções constantes do artigo 83.^o a propósito das coimas: «[a]o decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual» é tido em devida consideração o caráter intencional ou negligente da infração do RGPD (59).

78.      Embora a divergência entre textos enfraqueça o peso do critério hermenêutico literal, pelo menos corrobora a ideia de que nem a intenção nem a culpa constam do artigo 82.^o do RGPD e que essa ausência é consciente, não atribuível ao descuido do legislador.

b)      Trabalhos preparatórios

79.      A discussão sobre o título de imputação da responsabilidade que acabou por ser adotado no RGPD é obscurecida pelo contexto em que ocorreu no seio do Conselho, à luz da situação respeitante a uma pluralidade de agentes de tratamento.

80.      Essa discussão foi misturada com considerações processuais, não seguindo um esquema concetual que permita distinguir entre a função da culpa enquanto título de imputação da responsabilidade, por um lado, e a função da inexistência de culpa para efeitos da exoneração dessa mesma responsabilidade, no plano do nexo de causalidade, por outro.

81.      Todavia, considero que os trabalhos preparatórios militam a favor de uma compreensão do artigo 82.^o, n.^o 1, do RGPD, em que a responsabilidade civil não depende da culpa do responsável pelo tratamento.

82.      A Proposta da Comissão seguia a Diretiva 95/46 e não referia a negligência. Em documentos do Conselho, menciona‑se o facto de a responsabilidade prevista se configurar como «strict liability» (60).

83.      Uma alteração sugerida na Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos do Parlamento teria conferido ao artigo 82.^o (então artigo 77.^o), n.^o 1, um conteúdo em que a responsabilidade estaria ligada ao dolo ou à negligência (61). Não foi bem-sucedida (62).

84.      No Conselho, o debate sobre o artigo 77.^o e o critério de imputação ocorreu associado à atribuição e à repartição das responsabilidades quando várias pessoas intervêm na mesma operação de tratamento. Neste contexto, a Presidência propôs a escolha entre duas opções (63):

—      De acordo com a primeira (64), cada gestor ou subcontratante é considerado juridicamente responsável pela totalidade dos danos causados ao titular dos dados (65), se tiver violado as obrigações que lhe incumbem por força do RGPD (66). A sua intervenção no dano, ainda que seja mínima, permitiria ao titular dos dados exigir a totalidade da indemnização; se forem diversos participantes, de cada um deles (67). Todavia, todos seriam exonerados se demonstrassem não serem de todo responsáveis («responsible») pelo dano («0 % responsibility»); isto refletir‑se‑ia num n.^o 3 do artigo. O modelo é descrito como «closer (but certainly not equal to) to the “liability follows fault principle”» (68).

—      A segunda opção teria implicado uma obrigação incontornável de o gestor do tratamento indemnizar o titular dos dados pela totalidade do dano, numa forma de responsabilidade absoluta, na medida em que não estava prevista nenhuma exoneração (69). A reclamação do titular dos dados contra o subcontratante só é possível a título subsidiário (70). Para este também não estava prevista nenhuma exoneração.

85.      O texto de compromisso apresentado pela Presidência tendo em vista a sua adoção como orientação geral (71) segue a primeira opção, embora reforce o caráter excecional da exoneração e a dificuldade da sua prova com a redação do artigo 77.^o, n.^o 3: «[…] if it [o responsável pelo tratamento/subcontratante] proves that it is not in any way responsible ([…])» (72). Esta redação corresponde ao artigo que acabou por ser aprovado.

86.      Em suma, a análise do iter legislativo que conduziu ao texto final do RGPD milita em favor de que a responsabilidade a que se refere o seu artigo 82.^o, n.^o 1, não esteja ligada à culpa do gestor do tratamento.

c)      Finalidade

87.      O RGPD estabelece um sistema concebido para assegurar um nível de proteção elevado das pessoas singulares, eliminando simultaneamente obstáculos à circulação de dados pessoais (73). No contexto desse sistema, o seu artigo 82.^o prossegue uma finalidade compensatória de danos, sem prejuízo de servir igualmente, de modo secundário, para a dissuasão ou para a prevenção de comportamentos não conformes com as suas disposições (74).

88.      Assegurar a indemnização constitui um objetivo em si mesmo: isto decorre da importância que o legislador lhe atribui e que a simples leitura do texto revela. Para o RGPD, obter uma indemnização, quando ocorreu um dano, constitui um direito do titular dos dados; o conceito de danos deve ser interpretado em sentido lato; e a indemnização deve ser integral e efetiva.

89.      A indemnização relaciona‑se com a vontade de reforçar a confiança dos cidadãos no ambiente digital, objetivo de âmbito geral que o RGPD enuncia no seu considerando 7. Assegurar ao titular dos dados que, enquanto solução de princípio, não terá simplesmente de arcar com os danos resultantes de um tratamento ilícito dos seus dados serve para incentivar essa confiança: o seu património está seguro e, do ponto de vista processual, a sua reclamação é mais simples.

90.      É coerente com esta abordagem o facto de o artigo 82.^o, n.^o 1, do RGPD, não associar a obrigação de indemnizar ao incumprimento do dever de prudência. Essa obrigação é imposta, por decisão do legislador, a quem ocupa uma determinada posição de guardião ou de garante na relação e, precisamente, à luz deste simples facto.

91.      Por conseguinte, poderia dizer‑se que, para o RGPD, é a situação da vítima que sofre o dano resultante da violação que importa, quando nenhuma norma lhe impõe a obrigação de o suportar.

92.      É indiferente à vítima que, na produção do dano, tenha ou não existido culpa de quem o causou: o que importa é que o gestor do tratamento lhe causou os danos, materiais ou não patrimoniais, resultantes da violação do RGPD por ele cometida.

93.      Os objetivos descritos são mais facilmente alcançados num modelo tendente a que o dano provado:

—      seja sempre objeto de indemnização (salvo causa de exoneração, que será excecional) e

—      dê origem a uma indemnização cuja obtenção é (comparativamente) simples, não apenas porque não é necessário provar a culpa do responsável pelo tratamento, mas porque, perante uma violação e um dano a ela associado, a imputação não depende de nenhum grau de culpa.

94.      No âmbito da adaptação à revolução digital (75), esta solução parece‑me coerente. A rápida evolução tecnológica exige que, nas atividades mais comuns de tratamento de dados realizadas por via eletrónica, a ausência de dolo ou de negligência não impeça a indemnização de danos que de outra forma não seriam cobertos.

d)      Sistema

95.      A interpretação que proponho é mais concordante com a sistemática do RGPD. No seu artigo 82.^o, tal é corroborado pelo n.^o 3: a isenção é possível se o «responsável pelo tratamento […] provar que não é de modo algum responsável pelo evento que deu origem aos danos».

96.      Nessa redação, destaca‑se a expressão «de modo algum», que leva a pensar que o modelo não é de culpa (nem mesmo de culpa de intensidade muito reduzida) com inversão do ónus da prova.

97.      Considerar que a indemnização não depende da culpa do responsável pelo tratamento confere ao artigo 82.^o um significado próprio no capítulo VIII e, por último, no RGPD no seu conjunto.

98.      O legislador europeu assume que o tratamento de dados pessoais possa ser fonte de riscos. Exige que os agentes envolvidos no tratamento avaliem esses riscos e tomem e atualizem medidas adequadas para prevenir e minimizar os riscos que tenham identificado (76).

99.      Foi afirmado que um modelo de responsabilidade civil baseado na culpa promove a diligência e, portanto, a proteção contra os riscos, ao passo que o modelo alternativo, que não tem em conta a forma como o agente se comportou, desencorajaria a precaução deste último (porque, se houver um dano, deverá, de qualquer modo, indemnizá‑lo).

100. Considero que, no RGPD, este resultado (77) é aceitável. O artigo 82.^o insere‑se numa estrutura normativa complexa, com instrumentos de direito público e de direito privado para proteger os dados pessoais. No âmbito dessa estrutura, a negligência (e o dolo) são relevantes para efeitos das coimas. Não vejo a necessidade de serem igualmente relevantes para efeitos de responsabilidade civil (78), o que prejudicaria os objetivos do artigo 82.^o e, além disso, reduziria a atratividade prática do recurso que prevê.

2.      Incidência da intervenção do titular dos dados

101. No presente processo, as questões sobre a necessidade de culpa do responsável pelo tratamento estão relacionadas com as consequências que possam resultar da intervenção do titular dos dados (79).

102. Para uma melhor compreensão do que se segue, importa esclarecer que as circunstâncias do litígio foram perspetivadas em função de dois cenários:

—      No primeiro, o tratamento de dados pessoais de ZQ pelo MDK constitui uma violação do RGPD (dos seus artigos 9.^o ou 6.^o). Por si só, a violação causa um dano (80).

—      No segundo caso, o tratamento de dados descrito não constitui uma violação do RGPD ou não causa dano. Este resultaria da consulta de dados por um empregado específico do MDK, por solicitação do titular dos dados (81).

103. Considero, em todo o caso, que, como parece entender o órgão jurisdicional de reenvio (82), para determinar a incidência (a existir) do comportamento do titular dos dados sobre a prática do facto que esteve na origem da violação que causou o dano, deve recorrer‑se ao artigo 82.^o, n.^o 3.

104. A disposição não enumera, mesmo a título de exemplo, causas específicas para a exoneração da responsabilidade. O considerando 146 também não o faz (83).

105. Aparentemente, neste aspeto, o RGPD afastar‑se‑ia da Diretiva 95/46, cujo artigo 23.^o, n.^o 2, continha uma regra semelhante (84) ao atual artigo 82.^o, n.^o 3, do RGPD: o considerando 55 da Diretiva 95/46 propunha, como exemplos de causas de exoneração, a responsabilidade da pessoa em causa ou a força maior (85), que não se encontram no RGPD.

106. Não resulta dos trabalhos preparatórios do RGPD, salvo erro da minha parte, que existisse discussão sobre estes dois exemplos, que figuravam efetivamente na Proposta da Comissão (86) e que o Parlamento manteve (87).

107. A sua eliminação e o surgimento da expressão «de modo algum», ocorrem no âmbito do debate, já referido, sobre a forma de regulamentar a responsabilidade face a um tratamento com diversos responsáveis pelo tratamento ou subcontratantes (88).

108. Resulta dos documentos disponíveis (89) que, na redação final, o gestor do tratamento beneficia da exoneração se demonstrar que não é de todo responsável («responsible») pelo dano («0 % responsibility»). O mesmo se aplica ao subcontratante (90).

109. Por conseguinte, não penso que o desaparecimento dos dois exemplos no preâmbulo, paralelamente com o aditamento da expressão «de modo algum» no mesmo preâmbulo e no artigo 82.^o, n.^o 3, do RGPD, tenha como consequência (ou como objetivo) excluir a atividade do titular dos dados das causas de exoneração de responsabilidade (91).

110. Pelo contrário, parece que a atividade do titular dos dados continua a ser suscetível de provocar, consoante os casos, a rutura da ligação indispensável entre o «evento» (o artigo 82.^o, n.^o 3, do RGPD utiliza esse termo) e a autoria do responsável. Acentuar a natureza restrita da cláusula de exceção não impede que um determinado comportamento do titular dos dados, por si só, provoque o dano e determine, consequentemente, a exoneração de responsabilidade do gestor do tratamento.

111. A interpretação sistemática milita a favor da consideração, no âmbito da responsabilidade por danos, da intervenção do titular dos dados na produção desses danos. No sistema do RGPD, os indivíduos participam na proteção dos seus dados, conferindo‑lhes para o efeito instrumentos que são, eles próprios, direitos.

112. De um ponto de vista teleológico, considero que o RGPD pretende conferir uma proteção elevada, mas não ao ponto de obrigar o responsável pelo tratamento a indemnizar igualmente os danos resultantes de acontecimentos ou ações imputáveis ao titular dos dados (92).

3.      Cálculo da indemnização. Incidência do grau de culpa do responsável pelo dano

113. O órgão jurisdicional de reenvio confirmou que a quinta questão prejudicial diz respeito à questão de saber se o grau de culpa do responsável pelo tratamento tem incidência no cálculo da indemnização. Mais precisamente, se a inexistência de culpa ou a reduzida intensidade da mesma, por parte do responsável pelo tratamento, pode ser tida em conta a seu favor.

114. O artigo 82.^o do RGPD é certamente parcimonioso, ou mesmo omisso, em relação aos principais aspetos da indemnização que afetariam o cálculo do seu montante. Não dá orientações ao intérprete sobre os elementos que a compõem (93), sobre os critérios para quantificar (traduzir num valor) esses elementos (94) ou sobre os fatores que poderiam afetar o seu montante (95).

115. Apesar disso, considero que o RGPD confere ao titular dos dados o direito a uma indemnização cujo montante é determinado em função do dano efetivamente sofrido. Uma vez estabelecido o montante que compensa em termos objetivos esse dano, não deverá ser alterado em função da maior ou menor negligência do responsável pelo tratamento.

116. Para fundamentar a minha posição, remeto, mutatis mutandis, para o que expus a propósito da atribuição da responsabilidade ao gestor do tratamento, independentemente da sua culpa, no sistema do artigo 82.^o do RGPD. Do ponto de vista do lesado, cujo património (material e imaterial) deve ficar intacto após a ocorrência do dano, a indemnização por este deve ser feita sem a relacionar com a culpa do gestor do tratamento, independentemente da sua intensidade (96).

117. Creio que se chega ao mesmo resultado constatando‑se que o artigo 82.^o do RGPD (cujos trabalhos preparatórios não contêm soluções que permitam apoiar uma das posições) (97) difere de outros instrumentos do direito da União, que distinguem expressamente se o infrator interveio na violação «sabendo‑o» ou não, para efeitos da determinação do montante a indemnizar a título de responsabilidade civil (98).

118. Na minha opinião, esta apreciação é confirmada por outros dois argumentos:

—      O artigo 83.^o do RGPD tem em conta o caráter negligente (e o caráter doloso) do infrator para graduar o montante da coima (99). O legislador poderia ter adotado esse critério para o cálculo respeitante à responsabilidade civil, mas não o fez.

—      O RGPD insiste em que a indemnização deve ser integral e efetiva (100) (considerando 146 e artigo 82.^o, n.^o 4, relativo à situação em que diversos responsáveis pelo tratamento ou subcontratantes participam na mesma operação de tratamento) (101). Em meu entender, o qualificativo «integral» milita contra a quantificação para valores inferiores do montante da indemnização por se ter em conta o menor grau de negligência do responsável pelo tratamento (102).

V.      Conclusão

119. Atendendo ao exposto, proponho que se responda ao Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha) nos seguintes termos:

«O artigo 9.^o, n.^o 2, alínea h), e n.^o 3, bem como o artigo 82.^o, n.^os 1 e 3, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

devem ser interpretados no sentido de que

O serviço médico de uma caixa de seguro de doença não está proibido de tratar os dados pessoais relativos à saúde de um dos seus trabalhadores, quando sejam indispensáveis à avaliação da sua capacidade de trabalho.

Admitem a exceção à proibição de tratamento de dados pessoais relativos à saúde quando esse tratamento seja necessário para efeitos da avaliação da capacidade de trabalho do trabalhador, seja conforme com os princípios do artigo 5.^o e preencha um dos pressupostos para o tratamento lícito previstos no artigo 6.^o do Regulamento 2016/679.

O grau de culpa do responsável pelo tratamento ou do subcontratante não é relevante para gerar a responsabilidade do primeiro ou do segundo nem para a determinação do montante da indemnização pelos danos imateriais a indemnizar nos termos no artigo 82.^o, n.^o 1, do Regulamento 2016/679.

A intervenção do titular dos dados no facto que deu origem à obrigação de indemnizar pode determinar, consoante o caso, a isenção de responsabilidade do responsável pelo tratamento ou do subcontratante prevista no artigo 82.^o, n.^o 3, do Regulamento 2016/679.»

1      Língua original: espanhol.

2      Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»).

3      E sobre o artigo 8.^o da Diretiva 95/46/CEE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), antecedente direto do artigo 9.^o do RGPD.

4      A quarta questão é, em substância, idêntica à primeira questão do processo C‑300/21, Österreichische Post (Danos não patrimoniais resultantes do tratamento de dados pessoais), relativamente ao qual apresentei as minhas Conclusões em 6 de outubro de 2022 (EU:C:2022:756) (a seguir «Conclusões do processo C‑300/21»), e se pronunciou o Tribunal de Justiça no Acórdão de 4 de maio de 2023 (EU:C:2023:370).

5      Código da Segurança Social, Livro V.

6      Medizinischer Dienst der Krankervesicherung (a seguir «MDK»).

7      Krankenversicherung (a seguir «KV»).

8      «Memorando relativo à proteção dos dados sociais dos trabalhadores [do MDK] e dos membros das suas famílias», resumido no despacho de reenvio, n.^os 6 e segs.

9      Criou‑se no sistema de tratamento de dados utilizado internamente pelo MDK uma unidade virtual denominada «Caso Especial», à qual só têm acesso os empregados dessa unidade.

10      A partir do momento em que o MDK deixou de lhe pagar a retribuição (nos termos legalmente previstos).

11      Em seu entender, se não tivessem sido as violações das regras no que respeita à proteção dos seus dados pessoais poderia ter retomado a sua atividade laboral em dezembro de 2018.

12      ArbG Düsseldorf, Urteil vom 22.02.2019 ‑ 4 Ca 6116/18, e LAG Düsseldorf (12. Kammer), Urteil vom 11.3.2020 — 12 Sa 186/19, respetivamente.

13      Quanto ao seu conteúdo, remeto para o Acórdão de 4 de maio de 2023, Österreichische Post (Danos imateriais relacionados com o tratamento de dados pessoais) (C‑300/21, EU:C:2023:370).

14      O que se segue não prejudica a resposta à terceira questão prejudicial.

15      Considero ser preferível o recurso a esta disposição, em vez do artigo 9.^o, n.^o 2, alínea b), do RGPD. Não me parece que o tratamento fosse necessário (nem no que respeita ao MDK enquanto empregador, nem relativamente a ZQ enquanto empregado) para efeitos do cumprimento de obrigações ou do exercício de direitos no âmbito da relação laboral.

16      Um tratamento de dados sensíveis enquanto empregador (ou seja, para fins relacionados com a relação de trabalho) só será lícito se preencher as condições previstas no RGPD para o tratamento de dados para fins que não sejam aqueles para os quais foram recolhidos.

17      N.^o 22 do despacho de reenvio. Em contrapartida, o RGPD exige que se reúnam outras características, previstas no seu artigo 9.^o, n.^o 3: sobre o seu alcance, infra, n.^os 40 e segs.

18      O artigo 9.^o do RGPD tem como seu antecedente o artigo 8.^o da Diretiva 95/46. Na proposta da Comissão [Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados) COM(2012) 11 final, de 25 de janeiro de 2012; a seguir «Proposta da Comissão»], o tratamento de dados pessoais relativos à saúde era regulado pelo artigo 81.^o, que previa justificações e dispunha que deveria ter por base o direito da União ou a legislação de um Estado‑Membro. A este competia estabelecer as garantias necessárias para a proteção dos direitos legítimos do titular dos dados. O conteúdo do artigo 81.^o foi integrado no artigo 9.^o, n.^o 2, alínea h), e n.^o 4, como indicado no Documento n.^o 14270/14, Presidência do Conselho ao Grupo «Proteção de Dados», de 16 de outubro de 2014.

19      Acórdão de 24 de setembro de 2019, GC e o. (Supressão de referências a dados sensíveis) (C‑136/17, EU:C:2019:773, n.^o 44): «[…] [as] exigências específicas […] relativamente aos tratamentos que dizem respeito às categorias específicas de dados [têm como] finalidade […] assegurar uma maior proteção contra tais tratamentos que, devido à sensibilidade específica destes dados, podem constituir, conforme também resulta do considerando 33 [da Diretiva 95/46] e do considerando 51 deste regulamento, uma ingerência especialmente grave nos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais, garantidos pelos artigos 7.^o e 8.^o da Carta».

20      O direito fundamental à proteção dos dados pessoais não prevalece automaticamente sobre qualquer outro, mesmo que estejam em causa categorias específicas do artigo 9.^o, n.^o 1, do RGPD: Acórdão de 24 de setembro de 2019, GC e o. (Supressão de referências a dados sensíveis) (C‑136/17, EU:C:2019:773, n.^os 66 a 68).

21      Artigo 9.^o, n.^o 3, do RGPD. 

22      O artigo 88.^o do RGPD autoriza os Estados‑Membros a adotarem normas «mais específicas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral». No que respeita à sua interpretação, remeto para o Acórdão de 30 de março de 2023, Hauptpersonalrat der Lehrerinnen und Lehrer (C‑34/21, EU:C:2023:270).

23      Parece ser essa a opinião do órgão de reenvio. Pela minha parte, remeto para a nota 15, supra.

24      Concordo com a Comissão quando afirma que «o segundo parágrafo [do artigo 9.^o do RGPD] não prevê uma hierarquia especial ou uma relação de dependência eventual entre as exceções, que coexistem em pé de igualdade» (n.^o 13 das suas observações escritas).

25      Não se exige, como acontecia na Diretiva 95/46, que o tratamento seja «efetuado por um profissional da saúde obrigado ao segredo profissional […] ou por outra pessoa igualmente sujeita a uma obrigação de segredo equivalente» (sublinhado meu). Todavia, exige‑se que seja efetuado por pessoas sujeitas à obrigação de sigilo.

26      Referindo‑se a dados «especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais», o considerando 51 do RGPD enuncia que «[p]ara além dos requisitos específicos para este tipo de tratamento, os princípios gerais e outras disposições do presente regulamento deverão ser aplicáveis, em especial no que se refere às condições para o tratamento lícito».

27      Acórdão de 16 de janeiro de 2019, Deutsche Post (C‑496/17, EU:C:2019:26, n.^o 57), e a jurisprudência aí referida. No que respeita aos dados sensíveis, Acórdãos de 24 de setembro de 2019, GC e o. (Supressão de referências a dados sensíveis) (C‑136/17, EU:C:2019:773, n.^o 64); e de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização por infrações rodoviárias) (C‑439/19, EU:C:2021:504, n.^os 96, 99, 100 e 102).

28      Despacho de reenvio, n.^os 25 a 27. Faz referência ao estabelecimento de duas células «Caso Especial» independentes, e de unidades de TI também independentes quando estejam em causa relatórios respeitantes a funcionários de serviços TI (como ZQ). O objetivo último consistiria em que nenhum empregado do MDK pudesse ter acesso efetivo aos dados de saúde de um colega de trabalho, nem conhecimento da existência de uma verificação da capacidade de trabalho deste último.

29      Artigo 8.^o, n.^o 3. Como já referi, o círculo de pessoas autorizadas a efetuar o tratamento foi alargado no RGPD.

30      O n.^o 4 foi inserido no artigo 9.^o do RGPD na sequência de uma proposta da Alemanha: Documento n.^o 6834/15, Presidência ao Conselho, de 9 de março de 2015.

31      O MDK é assim qualificado pelo órgão jurisdicional de reenvio (n.^o 16 do despacho de reenvio). Por conseguinte, a seguir não farei referência ao subcontratante, exceto se num dado momento for oportuno. Em princípio, as considerações respeitantes ao primeiro serão extensíveis ao segundo.

32      O órgão jurisdicional de reenvio receia, nomeadamente, que a violação da segurança, caso ocorra, leve a que colegas de ZQ tenham conhecimento do seu estado de saúde, o que poderia suscitar especulações sobre a sua produtividade. Acrescenta que a informação respeitante à simples existência de um relatório médico relativo à incapacidade para o trabalho constitui uma informação sensível, na medida em que pode sugerir a possibilidade de uma simulação dessa incapacidade (n.^o 26 do despacho de reenvio).

33      V., supra, n.^o 10.

34      N.^o 27 do despacho de reenvio.

35      V., supra, nota 27. Sobre a relação entre o artigo 6.^o e o artigo 9.^o do RGPD v. também processo C‑252/21, Meta Platforms e o. (Condições gerais para a utilização de uma rede social). As Conclusões do advogado‑geral A. Rantos datam de 20 de setembro de 2022 (C‑252/21, EU:C:2022:704).

36      Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização por infrações rodoviárias) (EU:C:2021:504, n.^os 96, 99, 100 e 102).

37      O conteúdo do artigo 10.^o do RGPD figurava no artigo 8.^o da Diretiva 95/46. Este último agrupava todas as categorias especiais de dados, embora diferenciasse o tratamento dos dados relativos a infrações, condenações penais ou medidas de segurança, que abordava no n.^o 5. A separação formal efetuada pelo RGPD não se deve a uma alteração da convicção de que os dados pessoais relacionados com condenações penais e infrações são «sensíveis».

38      Documento n.^o 17072/4/14 Rev 4, Conselho ao Comité de Representantes Permanentes, de 4 de março de 2015, nota 60.

39      Relativo, como na versão final, à licitude do tratamento.

40      Documento n.^o 17072/4/14 Rev 4, Conselho ao Comité de Representantes Permanentes, de 4 de março de 2015, artigo 9.^o, n.^o 2 [«Paragraph 1 shall not apply if one of the following applies and Article 6(1) is complied with […]» e nota 60.

41      A partir do Documento n.^o 6834/15, Presidência ao Conselho, de 9 de março de 2015.

42      O que, efetivamente, não permitiu dissipar as dúvidas de todas as delegações. V., por exemplo, Documento n.^o 7466/15, Presidência às Delegações, de 26 de março de 2015, nota 38.

43      Diretrizes 03/2020 sobre o tratamento de dados relativos à saúde para efeitos de investigação científica no contexto do surto de COVID‑19, abril 2020, parágrafo 15.

44      «Advice paper on special categories of data», Ares(2011)444105 ‑ 20/04/2011, p. 5.

45      É também a opinião expressada publicamente pela Comissão: Minutes of the second meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, realizada em 10 de outubro de 2016, p. 2; e Minutes of the meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, realizada em 20 de fevereiro de 2018, p. 2.

46      A opinião favorável à cumulação ou complementaridade é definida, por exemplo, por T. Petri, «Art. 9», em Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, marg. 26, que, todavia, reconhece que não é unânime. A opinião contrária é defendida no Manual da Legislação Europeia sobre Proteção de Dados da Agência dos Direitos Fundamentais da União Europeia, 2018, epígrafe 4.1.1.

47      Respetivamente, consentimento explícito do titular dos dados, tratamento necessário para proteger os interesses vitais de uma pessoa singular ou legalmente incapacitada de dar o seu consentimento; tratamento necessário por motivos de interesse público.

48      N.^os 30 e 31 do despacho de reenvio.

49      Por exemplo, se o consentimento do titular dos dados, enquanto fundamento jurídico que acompanhe a habilitação prevista no artigo 9.^o, n.^o 2, alínea h), deve ser o consentimento explícito exigido pelo próprio artigo, ou se é suficiente o do artigo 6.^o, n.^o 1, alínea a).

50      Questão distinta, de âmbito mais restrito, consiste em saber se, tendo em conta os raciocínios do órgão jurisdicional de reenvio a propósito do artigo 6.^o, n.^o 1, seria conveniente clarificar o significado das situações que prevê, nomeadamente as respeitantes às alíneas c) e e). Nesse sentido, remeto para a jurisprudência do Tribunal de Justiça: relativamente às disposições da Diretiva 95/46, Acórdãos de 16 de dezembro de 2008, Huber (C‑524/06, EU:C:2008:724, n.^o 62); e de 30 de maio de 2013, Worten (C‑342/12, EU:C:2013:355, n.^o 37); no que respeita ao RGPD, Acórdão de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, n.^os 66 e segs.).

51      O órgão jurisdicional de reenvio mostra‑se inclinado a constatar a violação dos artigos 9.^o e 6.^o do RGPD, resultante do tratamento efetuado pelo MDK. No n.^o 32 do despacho de reenvio afirma que, por si só, a violação confere o direito a indemnização; no n.^o 33 insiste na tradução automática da violação num dano («a violação do RGPD já implica um dano não patrimonial que confere direito a indemnização»). Pelos motivos que expus nas minhas Conclusões do processo C‑300/21, não partilho desta opinião.

52      N.^os 78 a 80 das observações do MDK. Afirma que foi o próprio titular dos dados que, ao não pedir o processo e ao não exercer perante o MDK o seu direito de acesso, em conformidade com o artigo 15.^o do RGPD, recorrendo, em contrapartida, ao apoio de um colega da sua unidade, provocando a consulta dos dados em causa, causou a si próprio o dano. No mesmo sentido, Acórdão proferido em sede de recuso pelo LAG Düsseldorf (12. Kammer), Urteil vom 11.3.2020 — 12 Sa 186/19], n.^o 4.3.4.3.

53      O empregado, colocado no mesmo serviço que o titular dos dados, acedeu aos dados numa situação que não figura entre aquelas para as quais está autorizado a fazê‑lo, ou seja, para finalidades alheias à execução da prestação de trabalho prevista no seu contrato.

54      A seguir, utilizarei indistintamente o termo «gestor» como sinónimo de «responsável pelo tratamento».

55      Deixando de lado quem entende que se trata de um aspeto não regulado, as opiniões divergem entre os defensores de um sistema de responsabilidade objetiva e os defensores de um sistema de responsabilidade por culpa com inversão do ónus da prova. Na realidade, tal como noutros regimes setoriais de responsabilidade (civil), não creio que o RGPD esteja em plena conformidade com nenhum dos dois principais paradigmas teóricos, cujas fronteiras também não são muito precisas. Pela sua redação, presta‑se a ser inserido em ambos, com matizes que acabam por confundir os modelos: no primeiro, devido ao elevado padrão de diligência que deveria ser provado para escapar à imputação; no segundo, através da introdução de apreciações respeitantes à diligência/negligência nas causas de ilibação, ou na constatação da violação, consoante a natureza da norma em causa.

56      O n.^o 2, que pode ser lido como o inverso do n.^o 1 na medida em que diz respeito à responsabilidade do lado dos obrigados, também não refere nenhum requisito de culpa.

57      Em contrapartida, na versão espanhola, o termo «imputável» figura, no artigo 47.^o, n.^o 2, alínea f), do RGPD que, a respeito das informações a que se subordina a aprovação de regras vinculativas aplicáveis às empresas, se refere à exoneração de responsabilidade no seio de grupos de empresas com estabelecimento dentro e fora da União. Na versão alemã, recorreu‑se a uma perífrase («dem betreffenden Mitglied nicht zur Last gelegt werden kann»).

58      Cf. os artigos 82.^o, n.^o 3, 68.^o, n.^o 4, ou 75.^o, n.^o 6.

59      Artigo 83.^o, n.^o 2, alínea b), e n.^o 3. Pronunciei‑me sobre a sua interpretação nas Conclusões do processo C‑807/21, Deutsche Wohnen (EU:C:2023:360).

60      Entre outros, Documento n.^o 17831/13, Presidência do Conselho ao Grupo «Proteção de Dados», de 16 de dezembro de 2013, nota 542.

61      Alteração n.^o 2819, proposta por S. Ilchev, Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), Documento PE501.927v04‑00, Amendments (9): «Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence». O sublinhado é meu.

62      V. texto que acompanha a Resolução legislativa, de 12 de março de 2014, sobre a Proposta da Comissão (JO 2017, C 378, p. 399).

63      Documento n.^o 9083/15, Presidência aos membros JAI do Grupo «Proteção de Dados», de 27 de maio de 2015. A diferença entre as opções centra‑se no artigo 77.^o, n.^os 3 a 6. O n.^o 1, que consagra o princípio da responsabilidade do responsável pelo tratamento e do subcontratante, e o n.^o 2, que indica o perímetro material da responsabilidade de ambos, limitando a do subcontratante, coincidiam.

64      Loc. cit., n.^o 5.

65      «[…] each non‑compliant controller and/or processor involved in the processing are held liable for the entire amount of the damage.»

66      Ou, no caso do subcontratante, se tiver infringido instruções do responsável pelo tratamento conformes com o RGPD.

67      Com possibilidade de ação de regresso posterior: artigo 77.^o, n.^o 6, na primeira opção.

68      Documento n.^o 9083/15, Presidência aos membros JAI do Grupo «Proteção de Dados», de 27 de maio de 2015, ponto 7. A delegação do Reino Unido tinha formulado abertamente uma responsabilidade por culpa. Tendo em conta os seus argumentos, foi colocada às outras delegações uma questão nesse sentido (Documento n.^o 7722/15, Presidência a Grupo «Proteção de Dados», de 13 de abril de 2015, n.^os 10 e 11). A opção que acabou por ser proposta parece seguir o compromisso indicado pela delegação alemã (Documento n.^o 8150/1/15 Ver 1, de 6 de maio de 2015), que estabelecia a distinção entre a esfera de relação do responsável pelo tratamento/subcontratante e titular dos dados, e a daqueles entre si, e defendia para esta a imputação baseada no dolo ou na culpa: «liability follows fault, meaning that a party is only liable if he/she has intentionally or negligently acted contrary to his duties laid down in this Regulation». Para o titular dos dados, a ausência de negligência permitiria a exoneração de responsabilidade.

69      Loc. cit, ponto 6, que termina: «In other words, the mere fact that an entity was involved in a non‑compliant processing operation which caused damage suffices for it to be held liable for the full amount of damages».

70      Artigo 77.^o, n.^o 4a, nesta opção: «If a data subject is not able to bring a claim for compensation against the controller […]».

71      Documento n.^o 9565/15, Presidência ao Conselho, de 11 de junho de 2015.

72      O sublinhado é meu. Paralelamente a este aditamento, são suprimidos os exemplos de causas de exoneração no considerando 118: infra, n.^os 104 e segs.

73      Considerando 10 do RGPD.

74      Remeto para as minhas Conclusões do processo C‑300/21. Como referi nessas conclusões, o legislador pretende incentivar a aplicação privada das regras em matéria de proteção de dados pessoais. Para o efeito, o capítulo VIII do RGPD disponibilizou instrumentos ao titular dos dados. A indemnização a título de responsabilidade civil é um deles, mas não tem funções punitivas.

75      Este foi um dos argumentos para ultrapassar a Diretiva 95/46 na Proposta da Comissão.

76      Considerandos 77 e segs. do RGPD.

77      Que convém matizar: a responsabilidade desempenhará uma função preventiva, na medida em que afete a decisão do agente sobre o nível de atividade a desenvolver. A interpretação que proponho permite relacionar o artigo 82.^o do RGPD com princípios relativos ao tratamento de dados pessoais tais como a limitação das finalidades, a minimização dos dados e a exatidão [artigo 5.^o, n.^o 1, alíneas b), c) e d) do RGPD].

78      Fazendo da negligência o critério de imputação.

79      V., supra, nota 52.

80      Posição do órgão jurisdicional de reenvio (v., supra, nota 51). Na sua opinião, a participação do titular dos dados que solicita a consulta dos seus dados não deveria afetar a imputação da responsabilidade. Em contrapartida, poderia ter incidência sobre a determinação do montante da indemnização.

81      Posição do MDK e do Tribunal de recurso (v., supra, nota 52). Na realidade, poder‑se ia considerar que, neste cenário, não existe a componente «dano»: volenti non fit iniuria.

82      N.^o 40 do despacho de reenvio.

83      Contrariamente ao que acontece noutros setores (por exemplo, o da responsabilidade civil decorrente de produtos defeituosos), a valoração das causas de exoneração não assume a forma de enumeração taxativa no RGPD.

84      «O responsável pelo tratamento poderá ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável».

85      O responsável pelo tratamento «só pode ser exonerado da sua responsabilidade se provar que o facto que causou o dano lhe não é imputável, nomeadamente quando provar existir responsabilidade da pessoa em causa ou um caso de força maior». O sublinhado é meu.

86      Considerando 118 da Proposta da Comissão.

87      Considerando 118 do texto que acompanha a Resolução legislativa do Parlamento, de 12 de março de 2014, sobre a Proposta da Comissão.

88      Supra, n.^os 84 e segs. Os exemplos constam dos documentos relativos a negociações no seio do Conselho, mas já não no texto de compromisso, Documento n.^o 9565/15, de 11 de junho de 2015.

89      Remeto principalmente para o Documento n.^o 9083/15, Presidência aos membros JAI do Grupo «Proteção de Dados», de 27 de maio de 2015.

90      Tendo em conta o contexto (repito, a especial atenção conferida ao caso da pluralidade de agentes do tratamento), pode deduzir‑se que uma possibilidade neste sentido seria o responsável pelo tratamento provar que o dano resultou exclusivamente da ação do subcontratante, e o inverso, para este.

91      Também não a força maior, que era a outra causa expressamente referida no considerando 55 da Diretiva 95/46 (v., supra, n.^o 105).

92      Logicamente, não faço juízos prévios relativos à hipótese da intervenção de terceiros. Sobre este aspeto, v. Conclusões do advogado‑geral Pitruzzella apresentadas em 27 de abril de 2023 no processo Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353).

93      Para dissipar as dúvidas que existiam ao abrigo da Diretiva 95/46, o RGPD especifica que abrange os danos imateriais. O considerando 146 refere‑se a «quaisquer danos» e salienta que o conceito «dano» deve ser interpretado em sentido lato, à luz da jurisprudência do Tribunal de Justiça. O alcance exato da indicação é ainda discutível.

94      Não indica se, para determinar o valor do dano em cada caso, há que recorrer a tabelas, ou se se deve preferir quantias globais, ou utilizar outros sistemas de cálculo.

95      Entre esses fatores poderiam, eventualmente, figurar: a) o sugerido pelo órgão de reenvio; b) a existência de culpa do titular dos dados, invocada pelo MDK no n.^o 80 das suas observações; c) outros, como a introdução de limites quantitativos de indemnização, de modo a não desencorajar de forma injustificada operações de tratamento de dados ou atividades económicas delas dependentes.

96      Supra, n.^os 87 e segs.

97      A Diretiva 95/46 não previa nada a este respeito. Não encontrei nos trabalhos preparatórios do RGPD indícios de discussão sobre este aspeto.

98      Regulamento (CE) n.^o 2100/94 do Conselho, de 27 de julho de 1994, relativo ao regime comunitário de proteção das variedades vegetais (JO 1994, L 227, p. 1), artigo 94.^o, n.^o 2; ou Diretiva 2004/48/CE do Parlamento Europeu e do Conselho, de 29 de abril de 2004, relativa ao respeito dos direitos de propriedade intelectual (JO 2004, L 157, p. 45), artigo 13.^o, considerando 26.

99      Artigo 83.^o, n.^o 2, alínea b), e considerando 148 do RGPD. Neste contexto é tido em consideração o critério da proporcionalidade, não apenas no que diz respeito ao facto, mas também relativamente à questão de saber se a coima constitui um encargo desproporcionado para uma pessoa singular. No n.^o 54 das suas observações, o Governo de Irlanda propõe que se aplique este critério no âmbito da responsabilidade civil. Mais uma vez, para ser considerado um elemento integrante do artigo 82.^o falta o argumento textual; também não o apoiam os trabalhos preparatórios, nem a finalidade da norma ou a sua função no conjunto.

100      A indemnização efetiva deve ser adequada para desempenhar a sua função protetora do direito à proteção de dados.

101      Quer uns quer outros são civilmente responsáveis nos termos dos n.^os 2 e 3 do artigo 82.^o do RGPD. Respondem de forma integral pelo todo, independentemente do seu grau de contribuição para o dano.

102      Não excluo que outras circunstâncias justifiquem uma redução do montante: estou a pensar, por exemplo, em ponderações, em casos particulares, do direito à indemnização (e, por seu intermédio, à proteção de dados), com outros bens ou direitos da mesma categoria. No RGPD, o adjetivo integral serve igualmente para assegurar a cobertura de um determinado tipo de danos (os imateriais); para evitar que a indemnização seja limitada aos emergentes (deverá incluir outros conceitos, tal como sublinhado pelo Tribunal de Justiça noutros domínios); e para garantir que a pluralidade de agentes de um tratamento não dificulte o acesso à indemnização, mas sim o contrário.