Datore di lavoro e dati sanitari: la sentenza della CGUE nel caso ZQ
La Corte di Giustizia con la sentenza del 21 dicembre 2023 ha colto l’occasione per affermare una serie di importanti principi in materia di risarcimento del danno ex art. 82 del GDPR e tutela dei dati sanitari in ossequio a quanto stabilito dall’art. 9 del GDPR.
La decisione concerne una controversia instauratasi di fronte al Arbeitsgericht Düsseldorf (Tribunale del lavoro, Düsseldorf, Germania) in merito al trattamento dei dati personali di un dipendente ZQ, da parte del suo datore di lavoro, il Medizinischer Dienst der Krankenversicherung Nordrhein (MDK Nordrhein), un servizio medico tedesco. In particolare, il dipendente sosteneva che alcuni dati relativi alla sua salute erano stati trattati illecitamente dal suo datore di lavoro, in violazione delle norme sulla protezione dei dati e ha pertanto agito chiedendo un risarcimento di 20.000 euro per i danni immateriali subiti.
Trattamento dei dati sanitari sul lavoro: i dubbi della Corte federale del lavoro tedesca
Il Bundesarbeitsgericht (Corte federale del lavoro tedesca) ha chiesto alla Corte di Giustizia di pronunciarsi su alcune questioni pregiudiziali relative all'interpretazione dell'articolo 9 del GDPR, che regola il trattamento di categorie particolari di dati personali, inclusi quelli relativi alla salute, e dell'articolo 82, che riguarda il diritto al risarcimento. La Corte tedesca sottopone alla Corte di giustizia le seguenti cinque questioni pregiudiziali:
- (i) Se l’articolo 9, paragrafo 2, lettera h), del GDPR debba essere interpretato nel senso che è fatto divieto a un Servizio medico di una cassa malattia di trattare dati relativi alla salute di un suo dipendente che costituiscono una condizione per valutare l’idoneità al lavoro di detto dipendente.
- (ii) Qualora la Corte dovesse rispondere in senso negativo alla prima questione, con la conseguenza che potrebbe trovare applicazione, a norma dell’articolo 9, paragrafo 2, lettera h), del GDPR, una deroga al divieto di trattamento dei dati relativi alla salute previsto nell’articolo 9, paragrafo 1, del regolamento de quo: se, in una fattispecie come quella in esame, oltre ai criteri stabiliti nell’articolo 9, paragrafo 3, del GDPR, debbano essere rispettati altri requisiti in materia di riservatezza dei dati e, se del caso, quali.
- (iii) Qualora la Corte dovesse rispondere in senso negativo alla prima questione, con la conseguenza che potrebbe trovare applicazione, a norma dell’articolo 9, paragrafo 2, lettera h), del GDPR, una deroga al divieto di trattamento dei dati relativi alla salute previsto nell’articolo 9, paragrafo 1, del regolamento de quo: se, in una fattispecie come quella in esame, l’ammissibilità e la liceità del trattamento di dati relativi alla salute dipenda altresì dal soddisfacimento, quantomeno, di una delle condizioni indicate nell’articolo 6, paragrafo 1, del GDPR.
- (iv) Se l’articolo 82, paragrafo 1, del GDPR abbia carattere preventivo speciale o generale e se tale circostanza debba essere presa in considerazione, a carico del titolare del trattamento o del responsabile del trattamento, nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base del succitato articolo.
- (v) Se, nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base dell’articolo 82, paragrafo 1, del GDPR, rilevi il grado di colpa del titolare del trattamento o del responsabile del trattamento. In particolare, se il fatto che il titolare del trattamento o il responsabile del trattamento abbiano agito senza colpa o con colpa lieve possa essere preso in considerazione a loro favore».
Quando il trattamento dei dati sanitari è consentito: l'interpretazione della Corte di Giustizia
A tali quesiti sollevati dal giudice del rinvio la Corte ha risposto affermando che:
l’articolo 9, paragrafo 2, lettera h), e paragrafo 3, nonché l’articolo 82, paragrafi 1 e 3, del GDPR devono essere interpretati nel senso che:
- (sub i) non vietano a un Servizio medico di una cassa malattia di trattare dati relativi alla salute di un suo dipendente che costituiscono una condizione per valutare la sua capacità lavorativa;
- (sub ii e iii) consentono una deroga al divieto di trattamento dei dati personali relativi alla salute, qualora tale trattamento sia necessario ai fini della valutazione della capacità lavorativa del dipendente, sia soggetto ai principi dell’articolo 5 e a una delle condizioni di liceità di cui all’articolo 6 del GDPR;
- (sub iv e v) il grado di colpa del titolare del trattamento o del responsabile del trattamento non è rilevante per il prodursi della responsabilità dell’uno o dell’altro, né per quantificare l’importo dei danni immateriali da risarcire ai sensi dell’articolo 82, paragrafo 1, del GDPR;
- (sub iv e v) l’intervento dell’interessato nell’evento da cui sorge l’obbligazione risarcitoria può determinare, a seconda dei casi, l’esonero da responsabilità del titolare o del responsabile del trattamento previsto dall’articolo 82, paragrafo 3, del GDPR
La Corte afferma che lo scopo perseguito dalle norme del GDPR sul trattamento dei dati relativi alla salute consiste nel concedere una protezione rafforzata agli interessati, a causa della natura particolarmente sensibile di tali dati rispetto ai diritti fondamentali coinvolti. È al servizio di tale obiettivo che viene introdotto il divieto generale di cui all’articolo 9, paragrafo 1, del GDPR, che non è tuttavia assoluto.
Il legislatore, infatti, ha introdotto delle specifiche deroghe a tale divieto generale, sotto forma di un elenco di situazioni concrete, che possono essere raggruppate in quelle in cui l’interessato stesso autorizza il trattamento o ne trae vantaggio e quelle in cui vi sono interessi prevalenti rispetto a quelli di ciascun individuo.
La Corte ha stabilito che il MDK Nordrhein, in qualità di servizio medico e non di semplice datore di lavoro, può trattare i dati sanitari di un suo dipendente al fine di valutare la capacità lavorativa, a condizione che vengano rispettate le garanzie previste dall'articolo 9, paragrafo 3 del GDPR. In particolare, il trattamento deve essere svolto da professionisti soggetti al segreto professionale.
GDPR: il risarcimento del danno come strumento riparatorio
L’articolo 82, paragrafo 1, dell’GDPR, dispone che “chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento medesimo ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Nell’interpretare tale articolo la Corte giunge alla conclusione che tale articolo riveste una funzione non punitiva, bensì compensativa, contrariamente ad altre disposizioni del GDPR, ossia gli articoli 83 e 84, che svolgono una finalità sostanzialmente punitiva, dato che consentono di infliggere, rispettivamente, sanzioni amministrative pecuniarie ed altre sanzioni. In particolare, esiste una differenza tra queste due categorie di disposizioni, ma anche una complementarità, in termini di incentivo a rispettare il GDPR, fermo restando che il diritto di chiunque a chiedere il risarcimento di un danno rafforza l’operatività delle norme di protezione previste da tale regolamento ed è atto a scoraggiare la reiterazione di comportamenti illeciti.
Particolarmente rilevante è il punto 82 della sentenza in cui la Corte afferma che: “poiché il diritto al risarcimento previsto all’articolo 82, paragrafo 1, del GDPR non svolge una funzione dissuasiva, o addirittura punitiva, come prospettato dal giudice del rinvio, la gravità della violazione di tale regolamento che ha causato il danno di cui trattasi non può incidere sull’importo del risarcimento concesso, anche qualora si tratti di un danno non materiale bensì immateriale. Ne consegue che tale importo non può essere stabilito ad un livello che vada oltre la piena compensazione di tale danno”.
Infine, per quanto concerne al grado di colpa del titolare del trattamento e se questo sia una condizione essenziale ai fini del sorgere della responsabilità – domanda posta dalla quinta questione pregiudiziale sollevata dal giudice del rinvio – la Corte precisa che l’articolo 82 del GPDR deve essere interpretato nel senso che, da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo non richiede che il grado di tale colpa sia preso in considerazione nel calcolo dell’importo del risarcimentoriconosciuto a titolo di danno immateriale.