TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: interpretazione dell'articolo 9 del GDPR su talune deroghe al divieto di trattamento dei dati sanitari.
Nella sentenza nella causa C-667/21 ZQ contro Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts la Corte di Giustizia UE ha chiarito interpretativamente la portata dell'articolo 9, comma 2, lettera (h) e comma 3 del Regolamento Generale UE sulla protezione dei dati personali n. 679/2016 a seguito della domanda di pronuncia pregiudiziale trasmessa dal Tribunale federale del lavoro della Germania (Bundesarbeitsgericht), in un caso relativo al trattamento dei dati personali relativi alla salute dei dipendenti ai fini del pagamento di coperture assicurative sanitarie.
Il caso.
MDK Nordrhein è un servizio medico della cassa malattia in Germania che effettua valutazioni mediche relative all'inabilità al lavoro delle persone assicurate presso la cassa obbligatoria di assicurazione sanitaria. Il ricorrente del procedimento principale (proposto dinanzi all'Arbeitsgericht Düsseldorf, tribunale del lavoro di Düsseldorf, Germania) lavora presso il reparto informatico della stessa MDK Nordrhein,. Egli è stato collocato in stato di incapacità lavorativa. L'organizzazione, in qualità di datore di lavoro, ha continuato a versare al ricorrente il fondo di assicurazione obbligatoria delle cure medico-sanitarie e il fondo ha quindi chiesto alla MDK Nordrhein di effettuare una valutazione relativa all'incapacità lavorativa del ricorrente. La MDK Nordrhein ha effettuato la valutazione, in particolare, ottenendo informazioni dal medico curante del ricorrente. Quando il ricorrente ne è stato informato, ha chiesto alla MDK Nordrhein di pagare un risarcimento di € 20.000 per il trattamento illecito dei suoi dati personali, che la MDK Nordrhein ha rifiutato.
Successivamente, è stato proposto ricorso dinanzi al Bundesarbeitsgericht, che ha rinviato alla Corte di giustizia dell'Unione europea nella presente causa.
Conclusioni della CGUE.
La CGUE ha dichiarato:
1) L’articolo 9, paragrafo 2, lettera h), del regolamento (UE) 2016/679 deve essere interpretato nel senso che l’eccezione prevista a tale disposizione è applicabile alle situazioni in cui un organismo di controllo medico tratta dati relativi alla salute di uno dei suoi dipendenti in qualità non di datore di lavoro, bensì di servizio medico, al fine di valutare la capacità lavorativa di tale dipendente, purché tale trattamento soddisfi le condizioni e le garanzie espressamente imposte da tale punto h) e dal paragrafo 3 di detto articolo 9.
2) L’articolo 9, paragrafo 3, del regolamento 2016/679 deve essere interpretato nel senso che il titolare di un trattamento di dati relativi alla salute, fondato sull’articolo 9, paragrafo 2, lettera h), di tale regolamento, non è tenuto, in base a tali disposizioni, a garantire che nessun collega dell’interessato possa accedere ai dati relativi allo stato di salute di quest’ultimo. Tuttavia, un siffatto obbligo può essere imposto a carico del Titolare di un tale trattamento in virtù di una normativa adottata da uno Stato membro in base all’articolo 9, paragrafo 4, di detto regolamento, o a titolo dei principi di integrità e di riservatezza sanciti all’articolo 5, paragrafo 1, lettera f), del medesimo regolamento e concretizzati all’articolo 32, paragrafo 1, lettere a) e b), di quest’ultimo.
3) L’articolo 9, paragrafo 2, lettera h), e l’articolo 6, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che un trattamento di dati relativi alla salute fondato su tale prima disposizione deve, per essere lecito, non solo rispettare i requisiti da essa previsti, ma anche soddisfare almeno una delle condizioni di liceità enunciate a tale articolo 6, paragrafo 1.
4) L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che il diritto al risarcimento previsto a tale disposizione svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva.
5) L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione.
Il caso.
MDK Nordrhein è un servizio medico della cassa malattia in Germania che effettua valutazioni mediche relative all'inabilità al lavoro delle persone assicurate presso la cassa obbligatoria di assicurazione sanitaria. Il ricorrente del procedimento principale (proposto dinanzi all'Arbeitsgericht Düsseldorf, tribunale del lavoro di Düsseldorf, Germania) lavora presso il reparto informatico della stessa MDK Nordrhein,. Egli è stato collocato in stato di incapacità lavorativa. L'organizzazione, in qualità di datore di lavoro, ha continuato a versare al ricorrente il fondo di assicurazione obbligatoria delle cure medico-sanitarie e il fondo ha quindi chiesto alla MDK Nordrhein di effettuare una valutazione relativa all'incapacità lavorativa del ricorrente. La MDK Nordrhein ha effettuato la valutazione, in particolare, ottenendo informazioni dal medico curante del ricorrente. Quando il ricorrente ne è stato informato, ha chiesto alla MDK Nordrhein di pagare un risarcimento di € 20.000 per il trattamento illecito dei suoi dati personali, che la MDK Nordrhein ha rifiutato.
Successivamente, è stato proposto ricorso dinanzi al Bundesarbeitsgericht, che ha rinviato alla Corte di giustizia dell'Unione europea nella presente causa.
Conclusioni della CGUE.
La CGUE ha dichiarato:
1) L’articolo 9, paragrafo 2, lettera h), del regolamento (UE) 2016/679 deve essere interpretato nel senso che l’eccezione prevista a tale disposizione è applicabile alle situazioni in cui un organismo di controllo medico tratta dati relativi alla salute di uno dei suoi dipendenti in qualità non di datore di lavoro, bensì di servizio medico, al fine di valutare la capacità lavorativa di tale dipendente, purché tale trattamento soddisfi le condizioni e le garanzie espressamente imposte da tale punto h) e dal paragrafo 3 di detto articolo 9.
2) L’articolo 9, paragrafo 3, del regolamento 2016/679 deve essere interpretato nel senso che il titolare di un trattamento di dati relativi alla salute, fondato sull’articolo 9, paragrafo 2, lettera h), di tale regolamento, non è tenuto, in base a tali disposizioni, a garantire che nessun collega dell’interessato possa accedere ai dati relativi allo stato di salute di quest’ultimo. Tuttavia, un siffatto obbligo può essere imposto a carico del Titolare di un tale trattamento in virtù di una normativa adottata da uno Stato membro in base all’articolo 9, paragrafo 4, di detto regolamento, o a titolo dei principi di integrità e di riservatezza sanciti all’articolo 5, paragrafo 1, lettera f), del medesimo regolamento e concretizzati all’articolo 32, paragrafo 1, lettere a) e b), di quest’ultimo.
3) L’articolo 9, paragrafo 2, lettera h), e l’articolo 6, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che un trattamento di dati relativi alla salute fondato su tale prima disposizione deve, per essere lecito, non solo rispettare i requisiti da essa previsti, ma anche soddisfare almeno una delle condizioni di liceità enunciate a tale articolo 6, paragrafo 1.
4) L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che il diritto al risarcimento previsto a tale disposizione svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva.
5) L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione.
