La Sentencia del Tribunal de Justicia, Sala Tercera, de 21 de diciembre de 2023, asunto C‑667/21: ZQ y MDK Nordrhein (ponente: N. Jääskinen). declra que el art. 9, ap. 2, letra h), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que res-pecta al tratamiento de datos personales y a la libre circulación de estos debe interpretarse en el sentido de que la excepción contemplada en esta disposición es aplicable a las situaciones en las que un organismo de control médico trate datos relativos a la salud de uno de sus empleados no como empleador, sino como servicio médico, con el fin de evaluar la capacidad laboral de ese trabajador, siempre que el tratamiento en cuestión cumpla los requisitos y observe las garantías que impone expresamente esa letra h) y el ap. 3 de dicho art. 9.
Antecedentes
El MDK Nordrhein es un organismo de Derecho público que, como servicio médico de cajas de seguro de enfermedad, tiene por función legal, entre otras, emitir informes médicos con el fin de disipar dudas relativas a la incapacidad laboral de las personas aseguradas en las cajas de seguro obligatorio de enfermedad comprendidas en su ámbito de competencia, incluso cuando esos informes se refieren a sus propios empleados. En tal caso, solo los miembros de una unidad especial, denominada «Unidad de Casos Especiales», están autorizados a tratar los datos denominados «sociales» de ese empleado, utilizando un dominio bloqueado del sistema informático de ese organismo, y a acceder a los archivos digitales, tras la finalización del expediente relativo al informe pericial. Una instrucción interna relativa a estos casos establece, en particular, que un número limitado de trabajadores autorizados, incluidos algunos trabajadores del servicio informático, tendrán acceso a dichos datos.
El demandante en el litigio principal trabajó en el servicio informático del MDK Nordrhein antes de que se le concediera una incapacidad laboral por razones médicas. Al término del semestre durante el cual ese organismo, como empleador, continuó retribuyéndole, la caja de seguro obligatorio de enfermedad a la que estaba afiliado comenzó a pagarle prestaciones por enfermedad. Esta caja solicitó entonces al MDK Nordrhein que emitiera un informe pericial sobre la incapacidad laboral del demandante en el litigio principal. Un médico que trabajaba en la «Unidad de Casos Especiales» del MDK Nordrhein emitió el informe pericial, recabando, en particular, información del médico de cabecera del demandante en el litigio principal. Cuando su médico de cabecera le informó de ello, se puso en contacto con uno de sus compañeros de trabajo del servicio informático y le pidió que tomara fotografías del informe pericial que figuraba en los archivos digitales del MDK Nordrhein y que se las enviara posteriormente.
Al considerar que, de este modo, su empleador había tratado datos relativos a su salud ilícitamente, el demandante en el litigio principal reclamó a su empleador que le abonara una indemnización por importe de 20 000 euros, reclamación que fue rechazada por el MDK Nordrhein.
Posteriormente, el demandante en el litigio principal presentó una demanda ante el Arbeitsgericht Düsseldorf (Tribunal de lo Laboral de Düsseldorf, Alemania) en la que solicitaba, sobre la base del art. 82, ap. 1, del RGPD y de disposiciones del Derecho alemán, que se condenara al MDK Nordrhein a reparar los daños y perjuicios que afirmaba haber sufrido como consecuencia del tratamiento de datos personales así efectuado. Alegaba, en esencia, por una parte, que el informe pericial en cuestión debería haber sido realizado por otro servicio médico para evitar que sus compañeros de trabajo tuvieran acceso a datos relativos a su salud y, por otra parte, que las medidas de seguridad en torno al archivo del dictamen relativo a ese informe pericial eran insuficientes. Asimismo, sostenía que ese tratamiento constituía una infracción de las normas que protegen tales datos y que esta le había ocasionado daños y perjuicios tanto inmateriales como materiales.
En su defensa, el MDK Nordrhein sostenía principalmente que la recogida y la conservación de los datos relativos a la salud del demandante en el litigio principal se habían efectuado de conformidad con las disposiciones relativas a la protección de tales datos.
Al haber sido desestimadas sus pretensiones en primera instancia, el demandante en el litigio principal interpuso recurso de apelación ante el Landesarbeitsgericht Düsseldorf (Tribunal Regional de lo Laboral de Düsseldorf, Alemania), que también desestimó su recurso. A continuación, interpuso un recurso de casación ante el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), decidió suspender el procedimiento y plantear al Tribunal de Justicia una serie de cuestiones prejudiciales:
Apreciaciones del Tribunal de Justicia
Primera cuestión prejudicial
El órgano jurisdiccional remitente pregunta, en esencia, si, habida cuenta de la prohibición de tratar datos relativos a la salud contemplada en el art. 9, ap. 1, del RGPD, el ap. 2, letra h), de ese art. debe interpretarse en el sentido de que la excepción que contempla es aplicable a las situaciones en las que un organismo de control médico trata datos relativos a la salud de uno de sus trabajadores no como empleador, sino como servicio médico, con el fin de evaluar la capacidad laboral de ese trabajador.
En su respuesta el Tribunal de Justicia afirma que, en la medida en que establece una excepción al principio de prohibición del tratamiento de categorías especiales de datos personales, el art. 9, ap. 2, del RGPD debe interpretarse de manera restrictiva. Sin embargo, el respeto del principio de prohibición establecido en el art. 9, ap. 1, del RGPD no puede llevar a reducir el ámbito de aplicación de otra disposición de este Reglamento de un modo que contravenga el tenor claro de esta. Pues bien, la interpretación sugerida según la cual el ámbito de aplicación de la excepción contemplada en el citado art. 9, ap. 2, letra h), debe limitarse a los supuestos en los que un «tercero neutro» trate datos relativos a la salud para fines de evaluación de la capacidad laboral de un trabajador añadiría un requisito que no se desprende en modo alguno del claro tenor de esta disposición. A este respecto, es irrelevante que, en el presente asunto, en el supuesto de que se prohibiera al MDK Nordrhein cumplir su función de servicio médico cuando se trate de uno de sus propios empleados, otro organismo de control médico pudiera encargarse de ello. Es preciso subrayar que esta alternativa, mencionada por el órgano jurisdiccional remitente, no necesariamente existe o es practicable en todos los Estados miembros y en todas las situaciones que puedan estar comprendidas en el art. 9, ap. 2, letra h), del RGPD. Pues bien, la interpretación de esta disposición no puede guiarse por consideraciones basadas en el sistema sanitario de un único Estado miembro o derivadas de circunstancias propias del litigio principal.
Añade el Tribunal de Justicia que del considerando 52 del RGPD se desprende que deben autorizarse «excepciones a la prohibición de tratar categorías especiales de datos personales» «cuando sea en interés público, en particular […] en el ámbito de la legislación laboral [y] la legislación sobre protección social», así como «para fines en el ámbito de la salud, […] especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad». El considerando 53 de ese Reglamento enuncia asimismo que el tratamiento efectuado «con fines relacionados con la salud» debe ser posible «cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social». Desde esta perspectiva global, y habida cuenta de los diversos intereses legítimos en juego, el legislador de la Unión contempló, en el art. 9, ap. 2, letra h), del RGPD, la posibilidad de establecer una excepción al principio de prohibición del tratamiento de datos relativos a la salud enunciado en el ap. 1 de ese art., siempre que el tratamiento en cuestión cumpla los requisitos y observe las garantías que impone expresamente esa letra h) y las demás disposiciones pertinentes de ese Reglamento, en particular el ap. 3 de dicho art. 9, disposiciones en las que no figura el requisito de que un servicio médico que trate tales datos con arreglo a la citada letra h) sea una entidad distinta del empleador del interesado.
Por consiguiente, el art. 9, ap. 2, letra h), del RGPD debe interpretarse en el sentido de que la excepción contemplada en esta disposición es aplicable a las situaciones en las que un organismo de control médico trate datos relativos a la salud de uno de sus empleados no como empleador, sino como servicio médico, con el fin de evaluar la capacidad laboral de ese trabajador, siempre que el tratamiento en cuestión cumpla los requisitos y observe las garantías que impone expresamente esa letra h) y el ap. 3 de dicho art. 9.
Segunda cuestión prejudicial
El órgano jurisdiccional remitente desea saber, en esencia, si las disposiciones del RGPD deben interpretarse en el sentido de que el responsable de un tratamiento de datos relativos a la salud, sobre la base del art. 9, ap. 2, letra h), de ese Reglamento, está obligado a garantizar que ningún compañero de trabajo del interesado pueda acceder a los datos relativos al estado de salud de este.
Considera el Tribunal de Justicia que la única posibilidad de que los Estados miembros añadan tal exigencia a las enunciadas en los aps. 2 y 3 del art. 9 de dicho Reglamento reside en la facultad que les confiere expresamente el ap. 4 del citado art. de «mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento [de los] datos relativos a la salud». Sin embargo, estos posibles requisitos adicionales no resultan de las disposiciones del RGPD en sí mismas, sino, en su caso, de normas de Derecho nacional que regulen los tratamientos de este tipo, normas con respecto a las cuales dicho Reglamento atribuye expresamente un margen de apreciación a los Estados miembros.
Subrfaya asimismo que un Estado miembro que pretenda hacer uso de la facultad conferida por el art. 9, ap. 4, de dicho Reglamento deberá, de conformidad con el principio de proporcionalidad, asegurarse de que las consecuencias prácticas, en particular de orden organizativo, económico y médico, generadas por los requisitos adicionales cuyo respeto pretende imponer ese Estado no sean excesivas para los responsables de tal tratamiento, que no disponen necesariamente de dimensiones o de recursos técnicos y humanos suficientes para cumplir tales requisitos. En efecto, estos no pueden menoscabar el efecto útil de la autorización de tratamiento que está expresamente contemplada en el ap. 2, letra h), del art. 9 del mismo Reglamento y que se delimita en el ap. 3 de ese art..
Por último, el tribunal de Justicia señala que en virtud del art. 32, ap. 1, letras a) y b), del RGPD, que concreta los principios de integridad y confidencialidad enunciados en el art. 5, ap. 1, letra f), de ese Reglamento, todo responsable del tratamiento de datos personales está obligado a aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo —en particular la seudonimización y el cifrado de tales datos—, así como medios que permitan garantizar, en particular, la confidencialidad y la integridad de los sistemas y servicios de tratamiento. Para determinar las modalidades prácticas de esta obligación, el responsable del tratamiento debe, con arreglo a dicho art. 32, ap. 1, tener en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
En suma, el art. 9, ap. 3, del RGPD debe interpretarse en el sentido de que el responsable de un tratamiento de datos relativos a la salud, basado en el art. 9, ap. 2, letra h), de ese Reglamento, no está obligado, en virtud de estas disposiciones, a garantizar que ningún compañero de trabajo del interesado pueda acceder a los datos relativos al estado de salud de este. No obstante, podrá imponerse tal obligación al responsable de ese tratamiento, bien en virtud de una normativa adoptada por un Estado miembro sobre la base del art. 9, ap. 4, de dicho Reglamento, bien en virtud de los principios de integridad y confidencialidad enunciados en el art. 5, ap. 1, letra f), del mismo Reglamento y concretados en el art. 32, ap. 1, letras a) y b), de este.
Tercera cuestión prejudicial
El órgano jurisdiccional remitente se pregunta, en esencia, si los arts. 9, ap. 2, letra h), y 6, ap. 1, del RGPD deben interpretarse en el sentido de que un tratamiento de datos relativos a la salud basado en esta primera disposición debe, para ser lícito, no solo cumplir los requisitos que se derivan de esta, sino también, al menos, una de las condiciones de licitud enunciadas en ese art. 6, ap. 1.
Contesta el Tribunal de Justicia que, en la medida en que el art. 9, ap. 2, letra h), del RGPD tiene por objeto precisar el alcance de las obligaciones que incumben al responsable del tratamiento en virtud de los arts. 5, ap. 1, letra a), y 6, ap. 1, de ese Reglamento, un tratamiento de datos relativos a la salud basado en esa primera disposición debe respetar, para ser lícito, tanto los requisitos que se derivan de esta como las obligaciones resultantes de estas dos últimas disposiciones y, en particular, cumplir al menos una de las condiciones de licitud establecidas en ese art. 6, ap. 1.
En consecuencia, los arts. 9, ap. 2, letra h), y 6, ap. 1, del RGPD deben interpretarse en el sentido de que un tratamiento de datos relativos a la salud basado en esta primera disposición debe, para ser lícito, no solo cumplir los requisitos que se derivan de esta, sino también, al menos, una de las condiciones de licitud enunciadas en ese art. 6, ap. 1.
Cuarta cuestión prejudicial
El órgano jurisdiccional remitente desea saber, en esencia, si el art. 82, ap. 1, del RGPD debe interpretarse en el sentido de que el derecho a indemnización contemplado en esa disposición cumple no solo una función compensatoria, sino también una función disuasoria o punitiva, y, en caso afirmativo, si esta última debe tenerse en cuenta eventualmente al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición.
Subraya en Tribunal de Justicia que el art. 82 del RGPD no tiene una función punitiva, sino compensatoria, a diferencia de otras disposiciones de ese Reglamento que figuran también en su capítulo VIII, a saber, sus arts. 83 y 84, que, por su parte, tienen esencialmente una finalidad punitiva, puesto que permiten, respectivamente, imponer multas administrativas y otras sanciones. La articulación entre las normas enunciadas en dicho art. 82 y las establecidas en los citados arts. 83 y 84 demuestra que existe una diferencia entre estas dos categorías de disposiciones, pero también una complementariedad, por cuanto se trata de incentivar el respeto del RGPD, debiendo observarse que el derecho de toda persona a reclamar una indemnización por daños y perjuicios refuerza la operatividad de las normas de protección establecidas en ese Reglamento y puede disuadir de la reiteración de comportamientos ilícitos. Dado que el derecho a indemnización contemplado en el art. 82, ap. 1, del RGPD no cumple una función disuasoria, ni siquiera punitiva, tal como contempla el órgano jurisdiccional remitente, la gravedad de la infracción de ese Reglamento que haya causado los daños y perjuicios en cuestión no puede influir en el importe de la indemnización en este concepto concedida en virtud de dicha disposición, ni siquiera cuando los daños y perjuicios no sean materiales, sino inmateriales. De ello se deduce que ese importe no puede fijarse en una cuantía que exceda de la compensación completa de ese perjuicio.
Por consiguiente, el art. 82, ap. 1, del RGPD debe interpretarse en el sentido de que el derecho a indemnización contemplado en esa disposición cumple una función compensatoria, dado que una reparación pecuniaria basada en dicha disposición debe permitir compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de ese Reglamento, y no una función disuasoria o punitiva.
Quinta cuestión prejudicial
La quinta cuestión prejudicial tiene por objeto determinar, por una parte, si la existencia y/o la prueba de una culpa son requisitos exigidos para que el responsable o el encargado del tratamiento pueda incurrir en responsabilidad y, por otra parte, qué repercusión puede tener el grado de culpa del responsable o del encargado del tratamiento en la evaluación concreta de la indemnización por daños y perjuicios que debe abonarse como reparación del daño inmaterial sufrido.
En opinión del tribunal de Justicia no sería conforme con el objetivo de tal protección elevada optar por una interpretación según la cual los interesados que han sufrido daños y perjuicios como consecuencia de una infracción del RGPD deben soportar, en el marco de una acción indemnizatoria basada en el art. 82 de este, la carga de probar no solo la existencia de esa infracción y de los daños y perjuicios que se derivan para ellos de esa infracción, sino también la existencia de culpa, por intencionalidad o negligencia, por parte del responsable del tratamiento, o incluso el grado de culpa, aun cuando dicho art. 82 no formule tales requisitos. Añade el Tribunal de Justicia que, a efectos de la cuantificación de la indemnización por daños y perjuicios, los jueces nacionales deben aplicar las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión, tal como se definen en reiterada jurisprudencia del Tribunal de Justicia. Para ello precisa que, habida cuenta de su función compensatoria, el art. 82 del RGPD no exige que la gravedad de la infracción de ese Reglamento, que se presume que el responsable del tratamiento ha cometido, sea tenida en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición, sino que exige que ese importe se fije de manera que se compensen íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de dicho Reglamento.
En consecuencia, el nacimiento de la responsabilidad del responsable del tratamiento está supeditado a la existencia de culpa por parte de este, la cual se presume, a menos que este demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios, y, por otra parte, ese art. 82 no exige que el grado de culpa se tenga en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición.
[Véase J.L. Monereo y D. Velasco Fernández, “El tratamiento de los datos relativos a la salud de los trabajadores cuando empleador y servicio médico son el mismo sujeto”, La Ley: Unión Europea, nº 123, marzo 2023]
