ZQ contra Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2023:1022
• Date: 21 December 2023
• Docket Number: C-667/21
• Celex Number: 62021CJ0667
• Court: Court of Justice (European Union)

Edizione provvisoria

SENTENZA DELLA CORTE (Terza Sezione)

21 dicembre 2023 (*)

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 6, paragrafo 1 – Condizioni di liceità del trattamento – Articolo 9, paragrafi da 1 a 3 – Trattamento vertente su particolari categorie di dati – Dati relativi alla salute – Valutazione della capacità lavorativa di un dipendente – Servizio medico delle casse di assicurazione malattia che tratta i dati relativi alla salute dei propri dipendenti – Ammissibilità e condizioni di un tale trattamento – Articolo 82, paragrafo 1 – Diritto al risarcimento e responsabilità – Risarcimento di un danno immateriale – Funzione compensativa – Incidenza della colpa del titolare del trattamento»

Nella causa C‑667/21,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Bundesarbeitsgericht (Corte federale del lavoro, Germania), con decisione del 26 agosto 2021, pervenuta in cancelleria l’8 novembre 2021, nel procedimento

ZQ

contro

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

LA CORTE (Terza Sezione),

composta da K. Jürimäe, presidente di sezione, N. Piçarra, M. Safjan, N. Jääskinen (relatore) e M. Gavalec, giudici,

avvocato generale: M. Campos Sánchez-Bordona

cancelliere: A. Calot Escobar

vista la fase scritta del procedimento,

considerate le osservazioni presentate:

– per ZQ, da E. Daun, Rechtsanwalt;

– per il Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, da M. Wehner, Rechtsanwalt;

– per l’Irlanda, da M. Browne, Chief State Solicitor, A. Joyce e M. Lane, in qualità di agenti, assistiti da D. Fennelly, BL;

– per il governo italiano, da G. Palmieri, in qualità di agente, assistita da M. Russo, avvocato dello Stato;

– per la Commissione europea, da A. Bouchagiar, M. Heller e H. Kranenborg, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 25 maggio 2023,

ha pronunciato la seguente

Sentenza

1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 9, paragrafo 1, paragrafo 2, lettera h), e paragrafo 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), letto in combinato disposto con l’articolo 6, paragrafo 1, di tale regolamento, nonché sull’interpretazione dell’articolo 82, paragrafo 1, di quest’ultimo.

2 Tale domanda è stata presentata nell’ambito di una controversia tra ZQ e il Medizinischer Dienst der Krankenversicherung Nordrhein (servizio medico dell’assicurazione sanitaria della Renania Settentrionale, Germania) (in prosieguo: il «MDK Nordrhein»), suo datore di lavoro, in merito al risarcimento del danno che ZQ ritiene di aver subito a causa di un trattamento di dati relativi alla sua salute illecitamente effettuato da quest’ultimo.

Contesto normativo

Diritto dell’Unione

3 I considerando da 4 a 8, 10, 35, da 51 a 53, 75 e 146 del RGPD sono così formulati:

«(4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla [carta dei diritti fondamentali dell’Unione europea], sanciti dai trattati, in particolare il rispetto della vita privata e familiare, (...) la protezione dei dati personali, (...).

(5) L’integrazione economica e sociale conseguente al funzionamento del mercato interno ha condotto a un considerevole aumento dei flussi transfrontalieri di dati personali e quindi anche dei dati personali scambiati, in tutta l’Unione [europea], tra attori pubblici e privati, comprese persone fisiche, associazioni e imprese. Il diritto dell’Unione impone alle autorità nazionali degli Stati membri di cooperare e scambiarsi dati personali per essere in grado di svolgere le rispettive funzioni o eseguire compiti per conto di un’autorità di un altro Stato membro.

(6) La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che l[e] riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.

(7) Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.

(8) Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale.

(...)

(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. (...) Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali (“dati sensibili”). (...)

(...)

(35) Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. (...)

(...)

(51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (...) Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche (...).

(52) La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell’interesse pubblico, in particolare il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. Tale deroga può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria, o a fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici. (...)

(53) Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale, compreso il trattamento di tali dati da parte della dirigenza e delle autorità sanitarie nazionali centrali a fini di controllo della qualità, informazione sulla gestione e supervisione nazionale e locale generale del sistema di assistenza sanitaria o sociale, nonché per garantire la continuità dell’assistenza sanitaria o sociale (...). Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell’Unione o degli Stati membri dovrebbe prevedere misure specifiche e...