Responsabilità nel trattamento dei dati sanitari in ambito di medicina del lavoro. Determinazione dei danni risarcibili

21/12/2023, n.667 - Corte di Giustizia sez. III

L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che:

da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione.

1La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 9, paragrafo 1, paragrafo 2, lettera h), e paragrafo 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), letto in combinato disposto con l’articolo 6, paragrafo 1, di tale regolamento, nonché sull’interpretazione dell’articolo 82, paragrafo 1, di quest’ultimo.

2 Tale domanda è stata presentata nell’ambito di una controversia tra ZQ e il Medizinischer Dienst der Krankenversicherung Nordrhein (servizio medico dell’assicurazione sanitaria della Renania Settentrionale, Germania) (in prosieguo: il «MDK Nordrhein»), suo datore di lavoro, in merito al risarcimento del danno che ZQ ritiene di aver subito a causa di un trattamento di dati relativi alla sua salute illecitamente effettuato da quest’ultimo.

Contesto normativo

Diritto dell’Unione

3 I considerando da 4 a 8, 10, 35, da 51 a 53, 75 e 146 del RGPD sono così formulati:

«(4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla [carta dei diritti fondamentali dell’Unione europea], sanciti dai trattati, in particolare il rispetto della vita privata e familiare, (…) la protezione dei dati personali, (…).

(5) L’integrazione economica e sociale conseguente al funzionamento del mercato interno ha condotto a un considerevole aumento dei flussi transfrontalieri di dati personali e quindi anche dei dati personali scambiati, in tutta l’Unione [europea], tra attori pubblici e privati, comprese persone fisiche, associazioni e imprese. Il diritto dell’Unione impone alle autorità nazionali degli Stati membri di cooperare e scambiarsi dati personali per essere in grado di svolgere le rispettive funzioni o eseguire compiti per conto di un’autorità di un altro Stato membro.

(6) La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che l[e] riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.

(7) Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.

(8) Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale.

(…)

(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. (…) Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali (“dati sensibili”). (…)

(…)

(35) Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. (…)

(…)

(51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (…) Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche (…).

(52) La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell’interesse pubblico, in particolare il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. Tale deroga può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria, o a fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici. (…)

(53) Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale, compreso il trattamento di tali dati da parte della dirigenza e delle autorità sanitarie nazionali centrali a fini di controllo della qualità, informazione sulla gestione e supervisione nazionale e locale generale del sistema di assistenza sanitaria o sociale, nonché per garantire la continuità dell’assistenza sanitaria o sociale (…). Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell’Unione o degli Stati membri dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche. Gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. (…)

(…)

(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati (…) relativi alla salute (…); in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, (…) al fine di creare o utilizzare profili personali (…).

(…)

(146) Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. (…)».

4 Contenuto nel capo I di tale regolamento, concernente le «[d]isposizioni generali», l’articolo 2 di quest’ultimo, intitolato «Ambito di applicazione materiale», al suo paragrafo 1 prevede quanto segue:

«Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».

5 L’articolo 4 di detto regolamento, intitolato «Definizioni», così dispone:

«Ai fini del presente regolamento s’intende per:

1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); (…)

2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati o insiemi di dati personali (…);

(…)

7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

(…)

15) “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

(…)».

6 Il capo II del RGPD, relativo ai «[p]rincipi» enunciati da quest’ultimo, include gli articoli da 5 a 11 dello stesso.

7 L’articolo 5 di tale regolamento, intitolato «Principi applicabili al trattamento di dati personali», prevede quanto segue:

«1. I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

(…)

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

8 L’articolo 6 di detto regolamento, intitolato «Liceità del trattamento», al paragrafo 1 così dispone:

«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti».

9 L’articolo 9 del medesimo regolamento, intitolato «Trattamento di categorie particolari di dati personali», è del seguente tenore:

«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

(…)

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

(…)

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

(…)

3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute».

10 Il capo IV del RGPD, intitolato «Titolare del trattamento e responsabile del trattamento», include gli articoli da 24 a 43 di quest’ultimo.

11 Nella sezione 1 di tale capo, intitolata «Obblighi generali», figura l’articolo 24 di detto regolamento, dal titolo «Responsabilità del titolare del trattamento», che al suo paragrafo 1 prevede quanto segue:

«Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario».

12 Contenuto nella sezione 2 di detto capo, intitolata «Sicurezza dei dati personali», l’articolo 32 di tale regolamento, dal titolo «Sicurezza del trattamento», al suo paragrafo 1 così dispone:

«Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

(…)».

13 Il capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni», contiene gli articoli da 77 a 84 di tale regolamento.

14 Ai sensi dell’articolo 82 di detto regolamento, dal titolo «Diritto al risarcimento e responsabilità»:

«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. (…)

3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

(…)».

15 L’articolo 83 del RGPD, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», prevede quanto segue:

«1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.

2. (…) Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o [l]a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b) il carattere doloso o colposo della violazione;

(…)

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;

(…)

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

(…)».

16 L’articolo 84 di tale regolamento, intitolato «Sanzioni», al paragrafo 1 così dispone:

«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».

Diritto tedesco

17 Ai sensi dell’articolo 275, paragrafo 1, del Sozialgesetzbuch, Fünftes Buch (codice di previdenza sociale, quinto libro), nella sua versione applicabile alla controversia oggetto del procedimento principale, le casse di assicurazione malattia obbligatoria sono tenute a chiedere a un Medizinischer Dienst (servizio medico) che le assista, in particolare, nel redigere una perizia finalizzata a fugare eventuali dubbi in merito all’inabilità al lavoro di un assicurato, in casi specificati dalla legge o qualora necessario in ragione della malattia di quest’ultimo.

18 Ai sensi dell’articolo 278, paragrafo 1, di tale codice, in ciascuno dei Land è istituito un tale servizio medico quale organismo di diritto pubblico.

Procedimento principale e questioni pregiudiziali

19 Il MDK Nordrhein è un organismo di diritto pubblico che, in qualità di servizio medico delle casse di assicurazione malattia, ha il compito legale, tra gli altri, di redigere perizie mediche finalizzate a fugare eventuali dubbi in merito all’inabilità al lavoro degli assicurati presso casse di assicurazione malattia obbligatoria rientranti nel suo ambito di competenza, incluso allorché tali perizie riguardano i suoi dipendenti.

20 In siffatta ipotesi, soltanto i membri di una unità speciale, denominata «unità organizzativa casi particolari», sono autorizzati a trattare i dati cosiddetti «sociali» di tale dipendente, utilizzando un dominio, protetto da chiave, del sistema informatico di tale organismo, e ad accedere agli archivi elettronici, una volta chiuso il fascicolo concernente la perizia. Una nota di servizio interna relativa a siffatte ipotesi prevede, in particolare, che un numero limitato di agenti autorizzati, tra cui taluni agenti del servizio informatico, abbiano accesso a detti dati.

21 Il ricorrente nel procedimento principale ha lavorato presso il servizio informatico del MDK Nordrhein, prima di essere collocato in stato di inabilità al lavoro per motivi di salute. Al termine del periodo di sei mesi nel corso del quale tale organismo, in qualità di datore di lavoro, ha continuato a retribuirlo, la cassa di assicurazione malattia obbligatoria cui egli era affiliato ha iniziato a corrispondergli determinate indennità di malattia.

22 Tale cassa ha quindi chiesto al MDK Nordrhein di redigere una perizia relativa all’inabilità al lavoro del ricorrente nel procedimento principale. Un medico che lavorava presso l’«unità organizzativa casi particolari» del MDK Nordrhein ha redatto la perizia, in particolare, ottenendo informazioni dal medico curante del ricorrente nel procedimento principale. Quest’ultimo, quando ne è stato informato dal suo medico curante, ha contattato una sua collega del servizio informatico, chiedendole di fare delle foto, e poi di inviargli le immagini, della relazione riguardante la perizia contenuta negli archivi elettronici del MDK Nordrhein.

23 Ritenendo che taluni dati relativi alla sua salute fossero in tal modo stati trattati illecitamente da parte del suo datore di lavoro, il ricorrente nel procedimento principale ha chiesto a quest’ultimo di corrispondergli un risarcimento di importo pari a EUR 20 000, che il MDK Nordrhein ha rifiutato.

24 Successivamente, il ricorrente nel procedimento principale ha adito l’Arbeitsgericht Düsseldorf (Tribunale del lavoro di Düsseldorf, Germania) al fine di ottenere, sulla base dell’articolo 82, paragrafo 1, del RGPD e di disposizioni del diritto tedesco, la condanna del MDK Nordrhein al risarcimento del danno che egli sostiene di aver subito a causa del trattamento di dati personali in tal modo svolto. Egli ha in sostanza fatto valere, da un lato, che la perizia in esame avrebbe dovuto essere redatta da un altro servizio medico, al fine di evitare che i suoi colleghi avessero accesso a dati relativi alla sua salute e, dall’altro, che le misure di sicurezza concernenti l’archiviazione della relazione riguardante tale perizia erano insufficienti. Egli ha altresì sostenuto che tale trattamento costituiva una violazione delle norme giuridiche che proteggevano tali dati, la quale gli aveva causato danni tanto immateriali quanto materiali.

25 Nella sua difesa, il MDK Nordrhein ha principalmente sostenuto che la raccolta e la conservazione dei dati relativi alla salute del ricorrente nel procedimento principale erano state effettuate conformemente alle disposizioni sulla protezione di tali dati.

26 Poiché la sua domanda in primo grado è stata respinta, il ricorrente nel procedimento principale ha interposto appello dinanzi al Landesarbeitsgericht Düsseldorf (Tribunale superiore del lavoro del Land di Düsseldorf, Germania), che ha a sua volta respinto il suo ricorso. Egli ha quindi proposto un ricorso per cassazione dinanzi al Bundesarbeitsgericht (Corte federale del lavoro, Germania), giudice del rinvio nella presente causa.

27 Quest’ultimo giudice muove dalla premessa che, nella controversia oggetto del procedimento principale, la perizia redatta dal MDK Nordrhein, in qualità di servizio medico, costituisce un «trattamento» di «dati personali» e, più in particolare, di «dati relativi alla salute», ai sensi dell’articolo 4, punti 1, 2 e 15, del RGPD, sicché tale operazione rientra nell’ambito di applicazione materiale di tale regolamento, come definito all’articolo 2, paragrafo 1, di quest’ultimo. Inoltre, esso considera che il MDK Nordrhein è il «titolare del trattamento» interessato, ai sensi dell’articolo 4, punto 7, di detto regolamento.

28 Le sue questioni vertono, in primo luogo, sull’interpretazione di varie disposizioni dell’articolo 9 del RGPD, che riguarda trattamenti di categorie particolari di dati personali, segnatamente tenuto conto del fatto che il trattamento controverso nel procedimento principale è stato svolto da un organismo che è anche il datore di lavoro dell’interessato, come definito all’articolo 4, punto 1, di tale regolamento.

29 Anzitutto, il giudice del rinvio esprime dubbi circa la possibilità che il trattamento di dati relativi alla salute controverso nel procedimento principale rientri in una delle eccezioni previste al paragrafo 2 dell’articolo 9 del RGPD. Ad avviso di tale giudice, solo le eccezioni di cui ai punti b) e h) di tale paragrafo 2 sono rilevanti nel caso di specie. Nel contempo, esso esclude a priori di applicare nel caso di specie la deroga prevista in detto punto b), sulla base del rilievo che il trattamento controverso nel procedimento principale non era necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento, nella sua qualità di datore di lavoro dell’interessato. Infatti, tale trattamento sarebbe stato avviato da un altro organismo, che ha chiesto al MDK Nordrhein di effettuare un controllo nella sua qualità di servizio medico. D’altro canto il giudice del rinvio, pur essendo propenso a non applicare neanche la deroga prevista a detto punto h), dato che a suo avviso solo un trattamento svolto da un «terzo neutrale» dovrebbe poter rientrare nel relativo ambito di applicazione e che un organismo non potrebbe fondarsi sulla sua «duplice funzione» di datore di lavoro e di servizio medico per sottrarsi al divieto di un siffatto trattamento, non appare categorico a tal riguardo.

30 Inoltre, nell’ipotesi in cui il trattamento di dati relativi alla salute fosse autorizzato in tali circostanze ai sensi dell’articolo 9, paragrafo 2, lettera h), del RGPD, il giudice del rinvio si interroga sulle norme in materia di protezione dei dati relativi alla salute che devono essere rispettate in tale contesto. A suo avviso, tale regolamento implica che non è sufficiente che il titolare del trattamento soddisfi i requisiti di cui all’articolo 9, paragrafo 3, di quest’ultimo. Detto titolare dovrebbe, altresì, garantire che nessuno dei colleghi dell’interessato possa avere un qualsiasi accesso ai dati relativi alla salute di quest’ultimo.

31 Infine, sempre nella medesima ipotesi, tale giudice chiede se almeno una delle condizioni previste all’articolo 6, paragrafo 1, del RGPD debba, inoltre, essere soddisfatta affinché un tale trattamento sia lecito. A suo avviso, questa dovrebbe essere l’ipotesi che ricorre e, nel caso della controversia oggetto del procedimento principale, soltanto i punti c) ed e) di tale articolo 6, paragrafo 1, primo comma, potrebbero a priori essere pertinenti. Tuttavia, tali due punti c) ed e) non dovrebbero essere applicati, sulla base del rilievo che il trattamento controverso non è «necessario», ai sensi di tali disposizioni, in quanto potrebbe anche essere effettuato da un servizio medico diverso dal MDK Nordrhein.

32 In secondo luogo, nell’ipotesi in cui fosse accertata una violazione del RGPD nel caso di specie, il giudice del rinvio si interroga in merito al risarcimento che potrebbe spettare al ricorrente nel procedimento principale in base all’articolo 82 di tale regolamento.

33 Da un lato, esso si chiede se la norma prevista all’articolo 82, paragrafo 1, del RGPD abbia carattere dissuasivo o punitivo, oltre alla sua funzione compensativa e, se del caso, se occorra tenere conto di detto carattere nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale, segnatamente in considerazione dei principi di effettività, di proporzionalità e di equivalenza sanciti in altri ambiti del diritto dell’Unione.

34 Dall’altro, tale giudice è propenso a ritenere che il titolare del trattamento possa essere ritenuto responsabile sulla base di detto articolo 82, paragrafo 1, senza che sia necessario accertarne la colpa. Nutrendo tuttavia dubbi, principalmente alla luce delle norme giuridiche tedesche, esso si chiede se occorra verificare che la violazione del RGPD di cui trattasi è imputabile al titolare del trattamento a causa di un atto intenzionale o di una negligenza da parte sua e se il livello di gravità dell’eventuale colpa di quest’ultimo debba incidere sul risarcimento del danno riconosciuto a titolo di danno immateriale.

35 In tale contesto, il Bundesarbeitsgericht (Corte federale del lavoro) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se l’articolo 9, paragrafo 2, lettera h), del [RGPD] debba essere interpretato nel senso che è fatto divieto a un Servizio medico di una cassa malattia di trattare dati relativi alla salute di un suo dipendente che costituiscono una condizione per valutare l’idoneità al lavoro di detto dipendente.

2) Qualora la Corte dovesse rispondere in senso negativo alla prima questione, con la conseguenza che potrebbe trovare applicazione, a norma dell’articolo 9, paragrafo 2, lettera h), del RGPD, una deroga al divieto di trattamento dei dati relativi alla salute previsto nell’articolo 9, paragrafo 1, del regolamento de quo: se, in una fattispecie come quella in esame, oltre ai criteri stabiliti nell’articolo 9, paragrafo 3, del RGPD, debbano essere rispettati altri requisiti in materia di riservatezza dei dati e, se del caso, quali.

3) Qualora la Corte dovesse rispondere in senso negativo alla prima questione, con la conseguenza che potrebbe trovare applicazione, a norma dell’articolo 9, paragrafo 2, lettera h), del RGPD, una deroga al divieto di trattamento dei dati relativi alla salute previsto nell’articolo 9, paragrafo 1, del regolamento de quo: se, in una fattispecie come quella in esame, l’ammissibilità e la liceità del trattamento di dati relativi alla salute dipenda altresì dal soddisfacimento, quantomeno, di una delle condizioni indicate nell’articolo 6, paragrafo 1, del RGPD.

4) Se l’articolo 82, paragrafo 1, del RGPD abbia carattere preventivo speciale o generale e se tale circostanza debba essere presa in considerazione, a carico del titolare del trattamento o del responsabile del trattamento, nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base del succitato articolo.

5) Se, nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base dell’articolo 82, paragrafo 1, del RGPD, rilevi il grado di colpa del titolare del trattamento o del responsabile del trattamento. In particolare, se il fatto che il titolare del trattamento o il responsabile del trattamento abbiano agito senza colpa o con colpa lieve possa essere preso in considerazione a loro favore».

Sulle questioni pregiudiziali

Sulla prima questione

36 Con la sua prima questione il giudice del rinvio chiede, in sostanza, se, alla luce del divieto di trattare dati relativi alla salute previsto all’articolo 9, paragrafo 1, del RGPD, il paragrafo 2, lettera h), di detto articolo debba essere interpretato nel senso che l’eccezione da esso prevista è applicabile alle situazioni in cui un organismo di controllo medico tratta dati relativi alla salute di uno dei suoi dipendenti in qualità non di datore di lavoro, bensì di servizio medico, al fine di valutare la capacità lavorativa di tale dipendente.

37 Secondo una giurisprudenza costante, quando si interpreta una disposizione del diritto dell’Unione occorre tenere conto non soltanto della formulazione di quest’ultima, ma anche del suo contesto e degli obiettivi che persegue l’atto di cui fa parte. Anche la genesi di una disposizione di diritto dell’Unione può fornire elementi rilevanti per la sua interpretazione (sentenza del 16 marzo 2023, Towercast, C-449/21, EU:C:2023:207, punto 31 e giurisprudenza ivi citata).

38 In primo luogo, occorre ricordare che l’articolo 9 del RGPD verte, come indicato dal suo titolo, sul «[t]rattamento di categorie particolari di dati personali», qualificati anche come dati «sensibili» ai considerando 10 e 51 di tale regolamento.

39 Il considerando 51 del RGPD enuncia che meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.

40 In tal senso, l’articolo 9, paragrafo 1, del RGPD sancisce il principio del divieto di trattamenti riguardanti le categorie particolari di dati personali da esso menzionati. Tra questi ultimi figurano i «dati relativi alla salute», come definiti all’articolo 4, punto 15, di tale regolamento, letto alla luce del suo considerando 35, che sono oggetto della presente causa.

41 La Corte ha chiarito che la finalità dell’articolo 9, paragrafo 1, di detto regolamento consiste nel garantire una protezione maggiore contro i trattamenti che, a causa della natura particolarmente sensibile dei dati che ne sono oggetto, possono costituire un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta dei diritti fondamentali [v., in tal senso, sentenza del 5 giugno 2023, Commissione/Polonia (Indipendenza e vita privata dei giudici), C-204/21, EU:C:2023:442, punto 345 e giurisprudenza ivi citata].

42 L’articolo 9, paragrafo 2, lettere da a) a j), del RGPD prevede, tuttavia, un elenco esaustivo di eccezioni al principio del divieto di trattare tali dati sensibili.

43 In particolare, l’articolo 9, paragrafo 2, lettera h), del RGPD autorizza un tale trattamento se è «necessario per [segnatamente la] valutazione della capacità lavorativa del dipendente (…) sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità (…)». Tale disposizione precisa che qualsiasi trattamento basato su di essa è, inoltre, specificamente assoggettato «[al]le condizioni e [al]le garanzie di cui al paragrafo 3» di detto articolo 9.

44 Dall’articolo 9, paragrafo 2, lettera h), del RGPD, letto in combinato disposto con il paragrafo 3 di tale articolo, risulta che la possibilità di trattare dati sensibili, come quelli relativi alla salute, è rigorosamente delimitata da una serie di condizioni cumulative. Queste ultime riguardano, in primo luogo, le finalità elencate a detto punto h), tra cui figura la valutazione della capacità lavorativa di un lavoratore, in secondo luogo, la base giuridica di tale trattamento, indipendentemente dal fatto che si tratti del diritto dell’Unione, del diritto di uno Stato membro o di un contratto stipulato con un professionista della sanità, conformemente al medesimo punto h), e infine, in terzo luogo, l’obbligo di riservatezza cui sono tenute le persone autorizzate ad effettuare un tale trattamento, ai sensi di detto articolo 9, paragrafo 3, le quali devono tutte essere assoggettate all’obbligo di segretezza conformemente a quest’ultima disposizione.

45 Come rilevato in sostanza dall’avvocato generale ai paragrafi 32 e 33 delle sue conclusioni, né il tenore letterale dell’articolo 9, paragrafo 2, lettera h), del RGPD, né la genesi di tale disposizione forniscono elementi tali da ritenere che, come proposto dal giudice del rinvio, l’applicazione della deroga prevista a detta disposizione sia riservata alle ipotesi in cui il trattamento è effettuato da un «terzo neutrale e non dal datore di lavoro» dell’interessato, come definito all’articolo 4, punto 1, di tale regolamento.

46 Tenuto conto dell’opinione del giudice del rinvio secondo cui, in sostanza, un organismo non dovrebbe potersi basare sulla sua «duplice funzione» di datore di lavoro dell’interessato e di servizio medico per sottrarsi al principio del divieto di trattare dati relativi alla salute, enunciato all’articolo 9, paragrafo 1, del RGPD, si deve precisare che è determinante prendere in considerazione il titolo in base al quale il trattamento di tali dati è effettuato.

47 Infatti, se è vero che tale articolo 9, paragrafo 1, vieta, in linea di principio, il trattamento dei dati relativi alla salute, il paragrafo 2 di detto articolo prevede, ai suoi punti da a) a j), dieci deroghe che sono indipendenti tra loro e che devono quindi essere valutate in modo autonomo. Ne consegue che il fatto che le condizioni di applicazione di una delle deroghe previste a tale paragrafo 2 non siano soddisfatte non può impedire che il titolare del trattamento possa avvalersi di un’altra deroga menzionata a tale disposizione.

48 Dalle considerazioni che precedono risulta che l’articolo 9, paragrafo 2, lettera h), del RGPD, letto in combinato disposto con il paragrafo 3 di tale articolo, non esclude in alcun modo l’applicabilità dell’eccezione enunciata a tale punto h) a situazioni in cui un organismo di controllo medico tratta dati relativi alla salute di uno dei sui dipendenti in qualità di servizio medico, e non di datore di lavoro, al fine di valutare la capacità lavorativa di detto dipendente.

49 In secondo luogo, una tale interpretazione è suffragata dalla presa in considerazione del sistema in cui si inscrive l’articolo 9, paragrafo 2, lettera h), del RGPD, nonché dagli obiettivi perseguiti da tale regolamento e da tale disposizione.

50 Anzitutto, è vero che poiché prevede una eccezione al principio del divieto di trattamento di categorie particolari di dati personali, l’articolo 9, paragrafo 2, del RGPD deve essere interpretato restrittivamente [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali d’uso di un social network), C-252/21, EU:C:2023:537, punto 76].

51 Tuttavia, il rispetto del principio del divieto enunciato all’articolo 9, paragrafo 1, del RGPD non può determinare una riduzione dell’ambito di applicazione di un’altra disposizione di tale regolamento in modo contrario al chiaro tenore letterale di quest’ultima. Orbene, l’interpretazione proposta, in base alla quale l’ambito di applicazione dell’eccezione prevista a tale articolo 9, paragrafo 2, lettera h), dovrebbe essere limitato alle ipotesi in cui un «terzo neutrale» tratta dati relativi alla salute ai fini della valutazione della capacità lavorativa di un lavoratore, aggiungerebbe un requisito che non si deduce in alcun modo dal chiaro tenore letterale di quest’ultima disposizione.

52 A tal riguardo è irrilevante che, nel caso di specie, nell’ipotesi in cui al MDK Nordrhein fosse vietato di adempiere al suo compito di servizio medico allorché si tratta di uno dei suoi dipendenti, un altro organismo di controllo medico sia in grado di svolgerlo. Si deve sottolineare che questa alternativa, evocata dal giudice del rinvio, non è necessariamente presente o realizzabile in tutti gli Stati membri e in tutte le situazioni che possono rientrare nell’ambito di applicazione dell’articolo 9, paragrafo 2, lettera h), del RGPD. Orbene, l’interpretazione di tale disposizione non può essere guidata da considerazioni tratte dal sistema sanitario di un solo Stato membro o derivanti da circostanze specifiche della controversia oggetto del procedimento principale.

53 Inoltre, l’interpretazione contenuta al punto 48 della presente sentenza è conforme agli obiettivi del RGPD e a quelli dell’articolo 9 di tale regolamento.

54 In tal senso, il considerando 4 del RGPD enuncia che il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, poiché dev’essere considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità (v., in tal senso, sentenza del 22 giugno 2023, Pankki S, C-579/21, EU:C:2023:501, punto 78). La Corte ha altresì già sottolineato che i meccanismi che consentono di trovare un giusto equilibrio tra i diversi diritti e interessi in gioco sono contenuti nello stesso RGPD (v., in tal senso, sentenza del 17 giugno 2021, M.I.C.M., C-597/19, EU:C:2021:492, punto 112).

55 Tali considerazioni valgono incluso allorché i dati di cui trattasi rientrano nelle categorie particolari previste all’articolo 9 di tale regolamento [v., in tal senso, sentenza del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili), C-136/17, EU:C:2019:773, punti 57 e da 66 a 68], come i dati relativi alla salute.

56 Più in particolare, dal considerando 52 del RGPD risulta che la «deroga al divieto di trattare categorie particolari di dati» dovrebbe essere autorizzata «laddove ciò avvenga nell’interesse pubblico, in particolare (…) nel settore del diritto del lavoro e della protezione sociale,» nonché «per finalità inerenti alla salute, (…) soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria». Il considerando 53 di tale regolamento enuncia altresì che trattamenti effettuati «per finalità connesse alla salute» dovrebbero essere possibili «ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale».

57 È in tale prospettiva generale e tenuto conto dei diversi interessi legittimi in gioco che il legislatore dell’Unione ha previsto, all’articolo 9, paragrafo 2, lettera h), del RGPD, una possibilità di derogare al principio del divieto di trattamento dei dati relativi alla salute sancito al paragrafo 1 di tale articolo, purché il trattamento in questione soddisfi le condizioni e le garanzie espressamente imposte da tale punto h) e dalle altre disposizioni pertinenti di tale regolamento, in particolare il paragrafo 3 di detto articolo 9, disposizioni in cui non figura il requisito in base al quale il servizio medico che tratta tali dati in virtù di detto punto h) deve essere un organismo distinto dal datore di lavoro dell’interessato.

58 Alla luce della motivazione che precede, e fatte salve le risposte che saranno fornite alle questioni seconda e terza, occorre rispondere alla prima questione dichiarando che l’articolo 9, paragrafo 2, lettera h), del RGPD deve essere interpretato nel senso che l’eccezione prevista a tale disposizione è applicabile alle situazioni in cui un organismo di controllo medico tratta dati relativi alla salute di uno dei suoi dipendenti in qualità non di datore di lavoro, bensì di servizio medico, al fine di valutare la capacità lavorativa di tale dipendente, purché tale trattamento soddisfi le condizioni e le garanzie espressamente imposte da tale punto h) e dal paragrafo 3 di detto articolo 9.

Sulla seconda questione

59 Ad avviso del giudice del rinvio, dai considerando 35, 51, 53 e 75 del RGPD risulta che non è sufficiente soddisfare i requisiti di cui all’articolo 9, paragrafo 3, di quest’ultimo, in una situazione come quella oggetto del procedimento principale, nella quale il titolare del trattamento è anche il datore di lavoro della persona la cui capacità lavorativa è oggetto di valutazione. Tale regolamento imporrebbe, altresì, di escludere dal trattamento dei dati relativi alla salute tutti i dipendenti del titolare del trattamento che abbiano un qualsiasi contatto professionale con tale persona. Secondo tale giudice, qualsiasi titolare del trattamento che disponga di più sedi, come il MDK Nordrhein, dovrebbe fare in modo che l’organismo incaricato del trattamento dei dati relativi alla salute dei dipendenti di tale titolare appartenga sempre ad una sede diversa da quella presso la quale lavora il dipendente interessato. Inoltre, l’obbligo di segreto professionale posto a carico dei dipendenti autorizzati a trattare siffatti dati non impedirebbe, nei fatti, che un collega dell’interessato possa accedere ai dati che lo riguardano, circostanza da cui conseguirebbero rischi di danni, come il pregiudizio alla reputazione di quest’ultimo.

60 In tali condizioni, il giudice del rinvio, con la sua seconda questione, chiede, in sostanza, se le disposizioni del RGPD debbano essere interpretate nel senso che il titolare di un trattamento di dati relativi alla salute, fondato sull’articolo 9, paragrafo 2, lettera h), di tale regolamento, è tenuto a garantire che nessun collega dell’interessato possa accedere ai dati relativi allo stato di salute di quest’ultimo.

61 Occorre ricordare che, ai sensi dell’articolo 9, paragrafo 3, del RGPD, un trattamento avente ad oggetto i dati e le finalità rispettivamente elencate al paragrafo 1 e al paragrafo 2, lettera h), di tale articolo 9, nel caso di specie dati relativi alla salute di un lavoratore ai fini della valutazione della sua capacità lavorativa, può essere svolto solo se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

62 Adottando l’articolo 9, paragrafo 3, di tale regolamento, che rinvia proprio al paragrafo 2, lettera h), del medesimo articolo, il legislatore dell’Unione ha definito le misure di protezione specifiche che intendeva imporre a carico dei titolari di tali trattamenti, che consistono nel consentire questi ultimi esclusivamente a persone soggette a un obbligo di segretezza, conformemente alle condizioni enunciate nel dettaglio a detto paragrafo 3. Non è quindi necessario aggiungere al tenore letterale di quest’ultima disposizione requisiti da essa non menzionati.

63 Ne consegue, come rilevato in sostanza dall’avvocato generale al paragrafo 43 delle sue conclusioni, che l’articolo 9, paragrafo 3, del RGPD non può fungere da base giuridica a una misura volta a garantire che nessun collega dell’interessato possa accedere ai dati relativi allo stato di salute di quest’ultimo.

64 Occorre tuttavia valutare se l’obbligo consistente nel garantire che nessun collega dell’interessato abbia accesso ai dati relativi allo stato di salute di quest’ultimo possa essere imposto a carico del titolare di un trattamento di dati relativi alla salute, fondato sull’articolo 9, paragrafo 2, lettera h), del RGPD, in base a un’altra disposizione di tale regolamento.

65 In proposito si deve precisare che la sola possibilità, per gli Stati membri, di aggiungere un tale obbligo, rispetto a quelli previsti ai paragrafi 2 e 3 dell’articolo 9 di detto regolamento, risiede nella facoltà ad essi esplicitamente conferita dal paragrafo 4 di tale articolo di «mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di (…) dati relativi alla salute».

66 Tuttavia, tali eventuali ulteriori condizioni derivano non dalle disposizioni stesse del RGPD, bensì, se del caso, da norme giuridiche nazionali che disciplinano trattamenti di questo tipo, norme nei confronti delle quali tale regolamento riconosce espressamente un margine di discrezionalità agli Stati membri (v., in tal senso, sentenza del 30 marzo 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, punti 51 e 78).

67 Occorre, poi, sottolineare che uno Stato membro che intenda avvalersi della facoltà concessa all’articolo 9, paragrafo 4, di detto regolamento dovrebbe, conformemente al principio di proporzionalità, garantire che le conseguenze pratiche, segnatamente di ordine organizzativo, economico e sanitario, derivanti dagli ulteriori obblighi di cui tale Stato intende imporre il rispetto, non siano eccessive nei confronti dei titolari di un tale trattamento, i quali non dispongono necessariamente di dimensioni o di risorse tecniche e umane sufficienti per soddisfare tali obblighi. Infatti, queste ultime non possono pregiudicare l’effetto utile dell’autorizzazione al trattamento che è espressamente prevista all’articolo 9, paragrafo 2, lettera h), del medesimo regolamento e disciplinata al paragrafo 3 di tale articolo.

68 Infine, si deve sottolineare che, ai sensi dell’articolo 32, paragrafo 1, lettere a) e b), del RGPD, che concretizza i principi di integrità e di riservatezza sanciti all’articolo 5, paragrafo 1, lettera f), di tale regolamento, qualsiasi titolare del trattamento di dati personali è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, in particolare la pseudonimizzazione e la cifratura di tali dati, nonché la capacità di assicurare su base permanente, tra l’altro, la riservatezza e l’integrità dei sistemi e dei servizi di trattamento. Per stabilire le modalità pratiche di tale obbligo, il titolare del trattamento deve, conformemente a tale articolo 32, paragrafo 1, tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

69 Spetterà, tuttavia, al giudice del rinvio accertare se l’insieme delle misure tecniche e organizzative messe in atto, nel caso di specie, dal MDK Nordrhein sia conforme a quanto richiesto dall’articolo 32, paragrafo 1, lettere a) e b), del RGPD.

70 Si deve pertanto rispondere alla seconda questione dichiarando che l’articolo 9, paragrafo 3, del RGPD deve essere interpretato nel senso che il titolare di un trattamento di dati relativi alla salute, fondato sull’articolo 9, paragrafo 2, lettera h), di tale regolamento, non è tenuto, in base a tali disposizioni, a garantire che nessun collega dell’interessato possa accedere ai dati relativi allo stato di salute di quest’ultimo. Tuttavia, un siffatto obbligo può essere imposto a carico del responsabile di un tale trattamento in virtù di una normativa adottata da uno Stato membro in base all’articolo 9, paragrafo 4, di detto regolamento, o a titolo dei principi di integrità e di riservatezza sanciti all’articolo 5, paragrafo 1, lettera f), del medesimo regolamento e concretizzati all’articolo 32, paragrafo 1, lettere a) e b), di quest’ultimo.

Sulla terza questione

71 Con la terza questione il giudice del rinvio chiede, in sostanza, se l’articolo 9, paragrafo 2, lettera h), e l’articolo 6, paragrafo 1, del RGPD debbano essere interpretati nel senso che un trattamento di dati relativi alla salute fondato su tale prima disposizione debba, per essere lecito, non solo rispettare i requisiti da essa previsti, ma anche soddisfare almeno una delle condizioni di liceità elencate a tale articolo 6, paragrafo 1.

72 In proposito si deve ricordare che gli articoli 5, 6 e 9 del RGPD sono contenuti nel capo II di tale regolamento, intitolato «Principi», e riguardano, rispettivamente, i principi applicabili al trattamento di dati personali, le condizioni di liceità del trattamento e il trattamento di categorie particolari di dati personali.

73 Inoltre, occorre rilevare che il considerando 51 del GDPR afferma esplicitamente che, «[o]ltre ai requisiti specifici» applicabili ai trattamenti di dati «particolarmente sensibili», che sono enunciati all’articolo 9, paragrafi 2 e 3, di tale regolamento, fatte salve le misure eventualmente adottate da uno Stato membro in base al paragrafo 4 di tale articolo, «dovrebbero [altresì] applicarsi i principi generali e altre norme [di detto] regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito», come stabilite dall’articolo 6 del medesimo regolamento.

74 Pertanto, conformemente all’articolo 6, paragrafo 1, primo comma, del RGPD, il trattamento di dati «particolarmente sensibili», come quelli relativi alla salute, è lecito solo se ricorre almeno una delle condizioni enunciate a detto paragrafo 1, primo comma, lettere da a) a f).

75 Orbene, l’articolo 6, paragrafo 1, primo comma, di detto regolamento stabilisce un elenco esaustivo e tassativo dei casi nei quali un trattamento di dati personali può essere considerato lecito. Pertanto, per poter essere considerato lecito, un trattamento deve rientrare in uno dei casi previsti da tale disposizione [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali d’uso di un social network), C-252/21, EU:C:2023:537, punto 90 e giurisprudenza ivi citata].

76 Di conseguenza, la Corte ha ripetutamente dichiarato che ogni trattamento di dati personali deve essere conforme ai principi relativi al trattamento dei dati elencati all’articolo 5, paragrafo 1, del RGPD e soddisfare le condizioni di liceità del trattamento elencate all’articolo 6 di detto regolamento [sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella elettronica degli uffici giudiziari), C-60/22, EU:C:2023:373, punto 57 e giurisprudenza ivi citata].

77 Inoltre, è già stato dichiarato che, dal momento che gli articoli da 7 a 11 del RGPD, contenuti, come gli articoli 5 e 6 di quest’ultimo, nel capo II di tale regolamento, hanno lo scopo di precisare la portata degli obblighi a carico del titolare del trattamento derivanti dall’articolo 5, paragrafo 1, lettera a), e dall’articolo 6, paragrafo 1, di detto regolamento, il trattamento di dati personali, per essere lecito, deve altresì rispettare, come risulta dalla giurisprudenza della Corte, tali altre disposizioni di detto capo che riguardano, in sostanza, il consenso, il trattamento di categorie particolari di dati personali sensibili e il trattamento di dati personali relativi a condanne penali e a reati [sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella elettronica degli uffici giudiziari), C-60/22, EU:C:2023:373, punto 58 e giurisprudenza ivi citata].

78 Ne consegue, in particolare, che, dal momento che l’articolo 9, paragrafo 2, lettera h), del RGPD è finalizzato a precisare la portata degli obblighi a carico del titolare del trattamento ai sensi dell’articolo 5, paragrafo 1, lettera a), e dell’articolo 6, paragrafo 1, di tale regolamento, un trattamento di dati relativi alla salute fondato su tale prima disposizione deve rispettare, per essere lecito, nel contempo, i requisiti da essa previsti nonché gli obblighi derivanti da queste ultime due disposizioni e, in particolare, soddisfare almeno una delle condizioni di liceità enunciate a tale articolo 6, paragrafo 1.

79 Alla luce delle considerazioni che precedono, si deve rispondere alla terza questione dichiarando che l’articolo 9, paragrafo 2, lettera h), e l’articolo 6, paragrafo 1, del RGPD devono essere interpretati nel senso che un trattamento di dati relativi alla salute fondato su tale prima disposizione deve, per essere lecito, non solo rispettare i requisiti da essa previsti, ma anche soddisfare almeno una delle condizioni di liceità enunciate a tale articolo 6, paragrafo 1.

Sulla quarta questione

80 Con la quarta questione il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che il diritto al risarcimento previsto a tale disposizione svolga non solo una funzione compensativa, ma anche una funzione dissuasiva o punitiva e, in caso affermativo, se quest’ultima debba eventualmente essere presa in considerazione nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale in base a tale disposizione.

81 Occorre ricordare che l’articolo 82, paragrafo 1, dell’RGPD, dispone che «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del regolamento medesimo ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

82 La Corte ha interpretato tale disposizione nel senso che la mera violazione del RGPD non è sufficiente a riconoscere un diritto al risarcimento del danno, dopo aver posto in evidenza, in particolare, che l’esistenza di un «danno» che sia stato «subito», o di una «violazione», costituisce una delle condizioni del diritto al risarcimento previsto a tale articolo 82, paragrafo 1, così come l’esistenza di una violazione di tale regolamento e di un nesso di causalità tra tale danno e tale violazione, essendo queste tre condizioni cumulative [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C-300/21, EU:C:2023:370, punti 32 e 42].

83 Inoltre, secondo la Corte, dato che il RGPD non contiene disposizioni intese a definire le norme relative alla valutazione del risarcimento danni dovuto a titolo del diritto al risarcimento sancito all’articolo 82 di tale regolamento, i giudici nazionali devono a tal fine applicare, in forza del principio di autonomia processuale, le norme interne di ciascuno Stato membro sulla portata del risarcimento pecuniario, a condizione che siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione, come definiti dalla giurisprudenza costante della Corte [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C-300/21, EU:C:2023:370, punti 53, 54 e 59].

84 In tale contesto e alla luce del considerando 146, sesta frase, del RGPD, in base al quale tale strumento è volto a garantire un «pieno ed effettivo risarcimento per il danno subito», la Corte ha rilevato che, tenuto conto della funzione compensativa del diritto al risarcimento previsto all’articolo 82 di tale regolamento, un risarcimento pecuniario fondato su tale articolo deve essere considerato «pieno ed effettivo» se consente di compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento, senza che sia necessario, ai fini di una siffatta compensazione integrale, imporre il versamento di un risarcimento punitivo [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C-300/21, EU:C:2023:370, punti 57 e 58].

85 A tal riguardo è necessario sottolineare che l’articolo 82 del RGPD riveste una funzione non punitiva, bensì compensativa, contrariamente ad altre disposizioni di tale regolamento del pari contenute al capo VIII di quest’ultimo, ossia i suoi articoli 83 e 84, che svolgono, quanto ad essi, una finalità sostanzialmente punitiva, dato che consentono di infliggere, rispettivamente, sanzioni amministrative pecuniarie ed altre sanzioni. L’articolazione tra le norme sancite in detto articolo 82 e quelle sancite nei suddetti articoli 83 e 84 dimostra che esiste una differenza tra queste due categorie di disposizioni, ma anche una complementarità, in termini di incentivo a rispettare il RGPD, fermo restando che il diritto di chiunque a chiedere il risarcimento di un danno rafforza l’operatività delle norme di protezione previste da tale regolamento ed è atto a scoraggiare la reiterazione di comportamenti illeciti [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C-300/21, EU:C:2023:370, punti 38 e 40].

86 Poiché il diritto al risarcimento previsto all’articolo 82, paragrafo 1, del RGPD non svolge una funzione dissuasiva, o addirittura punitiva, come prospettato dal giudice del rinvio, la gravità della violazione di tale regolamento che ha causato il danno di cui trattasi non può incidere sull’importo del risarcimento concesso in base a tale disposizione, anche qualora si tratti di un danno non materiale bensì immateriale. Ne consegue che tale importo non può essere stabilito ad un livello che vada oltre la piena compensazione di tale danno.

87 Pertanto, si deve rispondere alla quarta questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che il diritto al risarcimento previsto a tale disposizione svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva.

Sulla quinta questione

88 Dagli elementi trasmessi dal giudice del rinvio, in risposta a una domanda di chiarimenti inviatagli conformemente all’articolo 101 del regolamento di procedura della Corte, risulta che la quinta questione è volta a stabilire, da un lato, se l’esistenza e/o la prova di una colpa costituiscano condizioni richieste ai fini del sorgere della responsabilità del titolare del trattamento o del responsabile del trattamento e, dall’altro, quale ripercussione possa avere il grado di colpa del titolare del trattamento o del responsabile del trattamento sulla valutazione concreta del risarcimento da riconoscere a titolo del danno immateriale subito.

89 Tenuto conto di tale risposta fornita dal giudice del rinvio, si deve intendere la quinta questione come volta, in sostanza, a chiedere, da un lato, se l’articolo 82 del RGPD debba essere interpretato nel senso che il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo e, dall’altro, se il grado di tale colpa debba essere preso in considerazione nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale in base a tale disposizione.

90 Per quanto riguarda la prima parte di tale questione occorre rilevare che, come ricordato al punto 82 della presente sentenza, l’articolo 82, paragrafo 1, del RGPD subordina il diritto al risarcimento alla presenza di tre elementi, vale a dire l’esistenza di una violazione di tale regolamento, l’esistenza di un danno subito nonché l’esistenza di un nesso di causalità tra tale violazione e tale danno.

91 L’articolo 82, paragrafo 2, del RGPD dispone, quanto ad esso, che un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi tale regolamento. Orbene, il tenore letterale di tale disposizione in determinate versioni linguistiche, in particolare la versione tedesca, che è quella della lingua processuale nella presente causa, non consente di stabilire con certezza se la violazione di cui trattasi debba essere imputabile al titolare del trattamento affinché sussista la sua responsabilità.

92 A tal riguardo, da un’analisi delle diverse versioni linguistiche della prima frase dell’articolo 82, paragrafo 2, del RGPD risulta che si presume che il titolare del trattamento sia stato coinvolto nel trattamento che costituisce la violazione di tale regolamento a cui si fa riferimento. Infatti, mentre le versioni in lingua tedesca, francese o finlandese sono formulate in modo aperto, un certo numero di altre versioni linguistiche risultano più precise e utilizzano un determinante dimostrativo in occasione della terza occorrenza del termine «trattamento», o del terzo riferimento a tale termine, sicché è chiaro che tale terza occorrenza o tale terzo riferimento opera un rinvio alla medesima operazione di cui alla seconda occorrenza di tale termine. Questa è l’ipotesi che ricorre con riferimento alle versioni in lingua spagnola, estone, greca, italiana o rumena.

93 L’articolo 82, paragrafo 3, del RGPD precisa, in tale prospettiva, che il titolare del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 di tale articolo 82, se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

94 Risulta pertanto da un’analisi combinata di tali diverse disposizioni dell’articolo 82 del RGPD che tale articolo prevede un regime di responsabilità per colpa, in base al quale l’onere della prova è posto a carico non della persona che ha subito un danno, bensì del titolare del trattamento.

95 Una siffatta interpretazione è suffragata dal contesto in cui si inserisce tale articolo 82, nonché dagli obiettivi perseguiti dal legislatore dell’Unione tramite il RGPD.

96 A tal riguardo, in primo luogo, dal tenore letterale degli articoli 24 e 32 del RGPD risulta che tali disposizioni si limitano ad imporre al titolare del trattamento di adottare misure tecniche e organizzative destinate ad evitare, per quanto possibile, qualsiasi violazione di dati personali. L’adeguatezza di siffatte misure deve essere valutata in concreto, esaminando se tali misure siano state attuate dal titolare del trattamento tenendo conto dei diversi criteri previsti dai menzionati articoli e delle esigenze di protezione dei dati specificamente inerenti al trattamento di cui trattasi nonché ai rischi indotti da quest’ultimo (v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, punto 30).

97 Orbene, un tale obbligo sarebbe messo in discussione se il titolare del trattamento fosse tenuto, in un secondo momento, a risarcire qualsiasi danno causato da un trattamento effettuato in violazione del RGPD.

98 In secondo luogo, per quanto riguarda gli obiettivi del RGPD, dai considerando da 4 a 8 di tale regolamento risulta che esso è volto a realizzare un equilibrio tra gli interessi dei titolari del trattamento di dati personali e i diritti delle persone i cui dati sono oggetto di trattamento. L’obiettivo perseguito è di consentire lo sviluppo dell’economia digitale, garantendo nel contempo un elevato livello di tutela delle persone. Si tratta, quindi, di una ponderazione degli interessi del responsabile del trattamento e delle persone i cui dati personali sono trattati. Orbene, un meccanismo di responsabilità per colpa accompagnato da un’inversione dell’onere della prova, come previsto dall’articolo 82 del RGPD, consente proprio di garantire un siffatto equilibrio.

99 Da un lato, come rilevato dall’avvocato generale, in sostanza, al paragrafo 93 delle sue conclusioni, non sarebbe conforme all’obiettivo di una tale protezione elevata optare per una interpretazione in base alla quale gli interessati che abbiano subito un danno a causa di una violazione del RGPD devono, nell’ambito di un’azione di risarcimento basata sull’articolo 82 di quest’ultimo, farsi carico dell’onere di provare non solo l’esistenza di tale violazione e del danno che essi ne hanno subito, ma anche l’esistenza di una colpa del titolare del trattamento, commessa con dolo o negligenza, o addirittura il grado di tale colpa, laddove detto articolo 82 non menziona requisiti di tal genere (v., per analogia, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, punto 56).

100 Dall’altro, un regime di responsabilità oggettiva non garantirebbe la realizzazione dell’obiettivo di certezza giuridica perseguito dal legislatore, come risulta dal considerando 7 del RGPD.

101 Per quanto concerne la seconda parte della quinta questione, relativa al calcolo dell’importo del risarcimento danni eventualmente dovuto ai sensi dell’articolo 82 del RGPD, occorre ricordare che, come già dichiarato al punto 83 della presente sentenza, ai fini della valutazione di tale risarcimento, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro sulla portata del risarcimento pecuniario, a condizione che siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione, come definiti dalla giurisprudenza costante della Corte.

102 Si deve precisare che, tenuto conto della sua funzione compensativa, l’articolo 82 del RGPD non richiede che il livello di gravità della violazione di tale regolamento, che si presume commessa dal titolare del trattamento, sia preso in considerazione nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione, ma esige che tale importo sia fissato in modo da compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento, come risulta dai punti 84 e 87 della presente sentenza.

103 Di conseguenza, si deve rispondere alla quinta questione dichiarando che l’articolo 82 del RGPD deve essere interpretato nel senso che, da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale in base a tale disposizione.

Sulle spese

104 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

PQM

Per questi motivi, la Corte (Terza Sezione) dichiara:

1) L’articolo 9, paragrafo 2, lettera h), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

deve essere interpretato nel senso che:

l’eccezione prevista a tale disposizione è applicabile alle situazioni in cui un organismo di controllo medico tratta dati relativi alla salute di uno dei suoi dipendenti in qualità non di datore di lavoro, bensì di servizio medico, al fine di valutare la capacità lavorativa di tale dipendente, purché tale trattamento soddisfi le condizioni e le garanzie espressamente imposte da tale punto h) e dal paragrafo 3 di detto articolo 9.

2) L’articolo 9, paragrafo 3, del regolamento 2016/679

deve essere interpretato nel senso che:

il titolare di un trattamento di dati relativi alla salute, fondato sull’articolo 9, paragrafo 2, lettera h), di tale regolamento, non è tenuto, in base a tali disposizioni, a garantire che nessun collega dell’interessato possa accedere ai dati relativi allo stato di salute di quest’ultimo. Tuttavia, un siffatto obbligo può essere imposto a carico del responsabile di un tale trattamento in virtù di una normativa adottata da uno Stato membro in base all’articolo 9, paragrafo 4, di detto regolamento, o a titolo dei principi di integrità e di riservatezza sanciti all’articolo 5, paragrafo 1, lettera f), del medesimo regolamento e concretizzati all’articolo 32, paragrafo 1, lettere a) e b), di quest’ultimo.

3) L’articolo 9, paragrafo 2, lettera h), e l’articolo 6, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che: un trattamento di dati relativi alla salute fondato su tale prima disposizione deve, per essere lecito, non solo rispettare i requisiti da essa previsti, ma anche soddisfare almeno una delle condizioni di liceità enunciate a tale articolo 6, paragrafo 1.

4) L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che:

il diritto al risarcimento previsto a tale disposizione svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva.

5) L’articolo 82 del regolamento 2016/679

deve essere interpretato nel senso che:

da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione.