EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62021CC0667
Opinion of Advocate General Campos Sánchez-Bordona delivered on 25 May 2023.#ZQ v Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.#Request for a preliminary ruling from the Bundesarbeitsgericht.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 6(1) – Conditions for lawful processing – Article 9(1) to (3) – Processing of special categories of data – Data concerning health – Assessment of an employee’s working capacity – Health insurance medical service processing data concerning the health of its own employees – Conditions for such processing and whether permissible – Article 82(1) – Right to compensation and liability – Compensation for non-material damage – Compensatory function – Impact of negligence on the part of the data controller.#Case C-667/21.
Conclusiones del Abogado General Sr. M. Campos Sánchez-Bordona, presentadas el 25 de mayo de 2023.
ZQ contra Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Petición de decisión prejudicial planteada por el Bundesarbeitsgericht.
Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 6, apartado 1 — Condiciones de licitud del tratamiento — Artículo 9, apartados 1 a 3 — Tratamiento de categorías especiales de datos — Datos relativos a la salud — Evaluación de la capacidad laboral de un trabajador — Servicio médico en materia de seguro de enfermedad que trata datos relativos a la salud de sus propios trabajadores — Procedencia y condiciones de tal tratamiento — Artículo 82, apartado 1 — Derecho a indemnización y responsabilidad — Indemnización de daños y perjuicios inmateriales — Función compensatoria — Incidencia de la culpa del responsable del tratamiento.
Asunto C-667/21.
Conclusiones del Abogado General Sr. M. Campos Sánchez-Bordona, presentadas el 25 de mayo de 2023.
ZQ contra Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Petición de decisión prejudicial planteada por el Bundesarbeitsgericht.
Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 6, apartado 1 — Condiciones de licitud del tratamiento — Artículo 9, apartados 1 a 3 — Tratamiento de categorías especiales de datos — Datos relativos a la salud — Evaluación de la capacidad laboral de un trabajador — Servicio médico en materia de seguro de enfermedad que trata datos relativos a la salud de sus propios trabajadores — Procedencia y condiciones de tal tratamiento — Artículo 82, apartado 1 — Derecho a indemnización y responsabilidad — Indemnización de daños y perjuicios inmateriales — Función compensatoria — Incidencia de la culpa del responsable del tratamiento.
Asunto C-667/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2023:433
CONCLUSIONES DEL ABOGADO GENERAL
M. CAMPOS SÁNCHEZ-BORDONA
presentadas el 25 de mayo de 2023 ( 1 )
Asunto C‑667/21
ZQ
contra
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts
[Petición de decisión prejudicial planteada por el Bundesarbeitsgericht (Tribunal Supremo de lo laboral, Alemania)]
«Procedimiento prejudicial — Protección de datos personales — Datos personales relativos a la salud — Evaluación de la capacidad laboral de un empleado — Servicio de control médico de una caja de seguro de enfermedad — Tratamiento de los datos personales relativos a la salud de los empleados — Derecho a indemnización por daños — Incidencia del grado de culpa»
|
1. |
Este reenvío prejudicial versa sobre la interpretación del Reglamento (UE) 2016/679 ( 2 ) en relación con: a) el tratamiento de los datos personales relativos a la salud; y b) la indemnización por los daños sufridos a consecuencia de una (supuesta) infracción del propio RGPD. |
|
2. |
Aunque el Tribunal de Justicia ya ha pronunciado sobre los preceptos del RGPD ( 3 ) que afectan a esas cuestiones, las planteadas en este reenvío prejudicial son inéditas, con la salvedad de la cuarta. ( 4 ) |
I. Marco jurídico
A. Derecho de la Unión. RGPD
|
3. |
Son relevantes para este litigio los considerandos recogidos en el preámbulo del RGPD con los números 4, 10, 35, 51 a 54 y 146. |
|
4. |
Conforme al artículo 9 («Tratamiento de categorías especiales de datos personales»): «1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. 2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: […]
[…]
[…] 3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes. 4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud». |
|
5. |
El artículo 82 («Derecho a indemnización y responsabilidad») reza: «1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. […] 3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios. […]». |
B. Derecho nacional. Sozialgesetzbuch Fünftes Buch ( 5 )
|
6. |
Con arreglo a su artículo 278, apartado 1, primera frase, en cada Estado federado se creará, bajo la forma de organismo de derecho público, un servicio médico ( 6 ) de las cajas de seguro de enfermedad. ( 7 ) Una de sus funciones, atribuidas por ley, es elaborar informes destinados a disipar las dudas sobre la incapacidad laboral de los afiliados. |
|
7. |
A tenor del artículo 275, apartado 1, primera frase, punto 3, letra b), bajo determinadas circunstancias, las KV están obligadas a solicitar al MDK correspondiente, en caso de incapacidad laboral de un asegurado acreditada mediante un certificado médico, un informe destinado a disipar las dudas sobre su incapacidad laboral. |
II. Hechos, litigio y preguntas prejudiciales
|
8. |
Desde 1991, ZQ trabajaba por cuenta ajena para el MDK de Nordrhein (Alemania) como administrador de sistemas del departamento informático y en el servicio helpdesk. |
|
9. |
El MDK elabora informes sobre la incapacidad laboral de los afiliados a las KV. Entre esos informes se pueden hallar los relativos a la salud de los propios trabajadores del MDK. |
|
10. |
El tratamiento de datos sigue, entre otras, estas reglas que recoge una instrucción interna de servicio: ( 8 )
|
|
11. |
Los trabajadores del «Departamento informático» de la unidad organizativa «Casos especiales», tras el archivo del expediente, pueden acceder, sujetos por ley a un deber de secreto, a los informes elaborados en virtud de un encargo relativo a los trabajadores del MDK. |
|
12. |
A partir del 22 de noviembre de 2017, ZQ estuvo ininterrumpidamente enfermo e incapacitado laboralmente. |
|
13. |
Desde el 24 de mayo de 2018, ( 10 ) ZQ percibió prestaciones por enfermedad, satisfechas por la KV a la que está afiliado. El 6 de junio de 2018, esta última encargó al MDK un informe con el fin de disipar las dudas sobre la incapacidad laboral de ZQ. |
|
14. |
El MDK aceptó el encargo, que asignó a la unidad «Casos especiales». El 22 de junio de 2018, una médica de esa unidad, empleada del MDK, emitió un informe que contenía el diagnóstico de ZQ. Para elaborarlo mantuvo conversaciones telefónicas con el médico de cabecera de ZQ, del que recabó la información pertinente. |
|
15. |
El MDK archivó digitalmente el informe. |
|
16. |
A través de su médico de cabecera, ZQ tuvo conocimiento de la llamada de la médica del MDK. |
|
17. |
El 1 de agosto de 2018, ZQ se puso en contacto con una compañera de trabajo del departamento informático del MDK, a la que preguntó si se había archivado un informe relativo a él. Tras buscarlo en el archivo, la compañera de trabajo respondió afirmativamente. A petición de ZQ tomó fotografías del informe y se las envió. |
|
18. |
El 15 de agosto de 2018, ZQ solicitó al MDK, sin éxito, el pago de una indemnización por importe de 20000 euros, al amparo del artículo 82 del RGDP. |
|
19. |
El 17 de octubre de 2018, ZQ interpuso una demanda ante el Arbeitsgericht Düsseldorf (Tribunal de lo laboral de Dusseldorf, Alemania). En ese procedimiento solicitó, además, una indemnización equivalente a la cuantía de los salarios dejados de percibir. ( 11 ) |
|
20. |
Pendiente el procedimiento judicial, el MDK extinguió la relación laboral con ZQ. |
|
21. |
Las pretensiones de ZQ fueron desestimadas tanto en primera instancia como en apelación. ( 12 ) |
|
22. |
ZQ ha recurrido ante el Bundesarbeitsgericht (Tribunal Supremo de lo laboral, Alemania), que dirige estas preguntas al Tribunal de Justicia:
|
III. Procedimiento ante el Tribunal de Justicia
|
23. |
La petición de decisión prejudicial tuvo entrada en el Tribunal de Justicia el 8 de noviembre de 2021. |
|
24. |
Han presentado observaciones escritas ZQ, el MDK, los Gobiernos de Irlanda e Italia, así como la Comisión Europea. |
|
25. |
No se ha considerado imprescindible la celebración de una vista. |
|
26. |
Por indicación del Tribunal de Justicia, estas conclusiones no abordarán la cuarta pregunta prejudicial. ( 13 ) |
IV. Análisis
A. Primera pregunta prejudicial
|
27. |
El tribunal de reenvío quiere saber si el artículo 9, apartado 2, letra h), del RGPD prohíbe a un MDK tratar datos relativos a la salud de uno de sus propios trabajadores, cuando son indispensables para la evaluación de su capacidad laboral. Cuestiona, pues, la licitud del tratamiento por razón de la entidad que lo lleva a cabo. ( 14 ) |
|
28. |
El artículo 9 del RGPD rige para categorías especiales de datos, como los relativos a la salud de una persona. Establece una prohibición general de tratamiento de los datos «sensibles» (apartado 1) y enumera de forma exhaustiva las circunstancias en las que la prohibición general no se aplica (apartado 2). |
|
29. |
Concretamente, el apartado 2, letra h), del artículo 9 del RGPD incluye la excepción (a la prohibición general) correspondiente al tratamiento de datos personales «para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social». |
|
30. |
En mi opinión, ese precepto ofrece suficiente cobertura a la actuación del MDK objeto del litigio. ( 15 ) Es irrelevante que el responsable del tratamiento sea, a la vez, empleador del interesado, en la medida en que el MDK no actúa como tal empleador, sino como servicio médico de una KV a la que el interesado estaba afiliado. ( 16 ) |
|
31. |
No encuentro base para interpretar el artículo 9, apartado 2, letra h), del RGPD en el sentido de que prohíba a un servicio médico tratar los datos de salud de sus empleados para la finalidad recogida en esa letra. Los criterios hermenéuticos habituales conducen más bien a la solución contraria (inexistencia de esa prohibición). |
|
32. |
Desde el punto de vista literal, el artículo 9, apartado 2, letra h), del RGPD no realiza ninguna exclusión en ese sentido, ni impone como condición del tratamiento que el responsable sea un «tercero neutro». ( 17 ) |
|
33. |
Los antecedentes legislativos y la evolución del precepto tampoco revelan una interdicción como la que evoca la primera pregunta prejudicial, ni la intención de incluirla. ( 18 ) |
|
34. |
La finalidad de las normas del RGPD sobre el tratamiento de datos relativos a la salud consiste, tal como ha declarado el Tribunal de Justicia, ( 19 ) en dispensar una protección reforzada a los interesados, en atención a la particular sensibilidad de estos datos para los derechos fundamentales afectados. Al servicio de ese objetivo se introduce la prohibición general del artículo 9, apartado 1, del RGPD que, sin embargo, no es absoluta. ( 20 ) |
|
35. |
En este ámbito, como en otros relativos al tratamiento de datos personales, la opción del legislador, una vez sentada la prohibición general, ha sido:
|
|
36. |
Pues bien, en abstracto, nada impediría que entre las cautelas específicas a las que me acabo de referir figurase la de prohibir a un MDK el tratamiento de datos relativos a la salud de sus empleados. No me parece, sin embargo, que esa opción (que el legislador europeo no acogió) sea imprescindible para preservar el objetivo antes apuntado. |
|
37. |
Considero, pues, que la prohibición por la que pregunta el tribunal de reenvío no es consecuencia inexorable de una interpretación teleológica del artículo 9, apartado 2, letra h), del RGPD. |
|
38. |
Tampoco creo que una interpretación sistemática del precepto conduzca a otra solución, pues:
|
|
39. |
En suma, propongo una respuesta negativa (esto es, que en el RGPD no existe la prohibición controvertida) a la primera pregunta prejudicial, lo que permite abordar la siguiente. |
B. Segunda pregunta prejudicial
|
40. |
Si (como sugiero) la respuesta a la primera pregunta prejudicial fuese negativa, el tribunal de reenvío quiere saber si «en un caso como el de autos, además de los requisitos establecidos en el artículo 9, apartado 3, del RGPD, [existen] exigencias añadidas en materia de protección de datos y, en su caso, cuáles serían». |
|
41. |
La respuesta, en términos generales, no debería suscitar mayores problemas. ( 26 ) El Tribunal de Justicia ha señalado que todo tratamiento de datos personales ha de atenerse a los principios del artículo 5 del RGPD y a alguna de las condiciones de licitud de su artículo 6. ( 27 ) |
|
42. |
Según el tribunal de reenvío, el respeto de la obligación de secreto (artículo 9, apartado 3, del RGPD) no bastaría para proteger los datos en circunstancias como las de autos. Propone otras medidas complementarias que, a su juicio, serían las únicas aptas para tal fin. ( 28 ) |
|
43. |
Estimo que, en cuanto tal, el artículo 9, apartado 3, del RGPD no puede servir de sustento a esas medidas adicionales. Su claro tenor (que se limita a perfilar una disposición ya contenida en la Directiva 95/46) ( 29 ) no proporciona apoyo a propuestas como la del tribunal de reenvío. |
|
44. |
Esas propuestas podrían encontrar acomodo, por el contrario, en el artículo 9, apartado 4, del RGPD. Con arreglo a él, los Estados miembros están facultados para imponer «condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos […] relativos a la salud». ( 30 ) Del auto de reenvío no se deduce, sin embargo, que así haya ocurrido en Alemania. |
|
45. |
Dicho esto, y por las razones que antes he desarrollado, el tratamiento de datos personales relativos a la salud ha de sujetarse, entre otros principios, al recogido en el artículo 5, apartado 1, letra f), del RGPD y a las obligaciones que se derivan de él, detalladas en el capítulo IV del mismo texto. |
|
46. |
El responsable del tratamiento ( 31 ) debe, además, adoptar medidas técnicas y organizativas apropiadas, tendentes a garantizar que un tratamiento concreto se atiene al RGPD. Así lo establece con carácter general su artículo 24, apartado 1. |
|
47. |
De forma específica, el artículo 32, apartado 1, del RGPD obliga al responsable del tratamiento a aplicar «medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo» que corran los datos personales en juego. |
|
48. |
Aplicando esas reglas al caso de autos, la cualidad de empleador del MDK en relación con ZQ le impone un deber de cuidado en el tratamiento de sus datos relativos a la salud superior al habitual, porque también los riesgos son superiores. ( 32 ) |
|
49. |
El MDK no desconoce este hecho. Cuando, por encargo de una KV a la que su empleado está afiliado, realiza informes para eliminar dudas sobre su (in)capacidad laboral, aplica un conjunto de medidas ad hoc, técnicas y organizativas, previstas para ajustar al RGPD el tratamiento de datos personales relativos a la salud. ( 33 ) |
|
50. |
Valorar esas medidas compete al tribunal de reenvío, que podrá resolver, al cabo de su evaluación, que las adoptadas no eran suficientes. Pero eso no autoriza a deducir del artículo 9 del RGPD una obligación de los MDK de rechazar de oficio toda solicitud de informe médico (relativo a sus empleados) que proceda de las KV. ( 34 ) |
C. Tercera pregunta prejudicial
|
51. |
Supuesta la respuesta negativa a la primera pregunta prejudicial, en la tercera el tribunal de reenvío quiere saber si la excepción a la prohibición de tratamiento de datos relativos a la salud «depende […] de que se cumpla, además, al menos una de las condiciones señaladas en el artículo 6, apartado 1, del RGPD». |
|
52. |
Para contestar a este interrogante se ha de analizar la relación entre el artículo 9, apartado 2, del RGPD y su artículo 6, relativo a la licitud del tratamiento. La necesidad de atenerse a este último artículo en todo tratamiento de datos figura en sentencias dictadas por el Tribunal de Justicia, que antes he citado. ( 35 ) |
|
53. |
En particular, la recaída en el asunto C‑439/19 ( 36 ) interpretó el artículo 10 del RGPD, sobre otra categoría de datos personales sensibles (los relativos a condenas e infracciones penales), ( 37 ) declarando que el artículo 6 del RGPD se aplica cumulativamente con el artículo 10. |
|
54. |
¿Es extensible ese mismo postulado a los datos personales contemplados en el artículo 9 del RGPD? |
|
55. |
La estructura de los artículos 9 y10 del RGPD es diferente. El artículo 10 contiene una remisión explícita al artículo 6, apartado 1, del propio RGPD que no se halla en el artículo 9. |
|
56. |
Tampoco el contenido del artículo 9, apartado 2, y el del artículo 10 del RGPD son comparables: el artículo 10 se limita a indicar una restricción subjetiva al tratamiento, mientras que el artículo 9, apartado 2, establece fines (o circunstancias) que lo justifican, al igual que el artículo 6, apartado 1. |
|
57. |
De hecho, el paralelismo entre los artículos 6, apartado 1, y 9, apartado 2, del RGPD es tal que, en una primera lectura, parecería que las circunstancias que este último enumera son especificaciones de las condiciones que figuran en el primero: las precisan, al tiempo que las convierten en más gravosas. |
|
58. |
La historia y la evolución del artículo 9 del RGPD ponen en entredicho, no obstante, que la relación entre él y el artículo 6 se explique en términos de «ley especial» y «ley general». |
|
59. |
Consta que esa interpretación fue efectivamente sostenida por las delegaciones de ciertos Estados miembros. ( 38 ) Sin embargo, documentos relativos a la negociación del artículo 9 no evidencian discrepancias acerca de la remisión al artículo 6, ( 39 ) sino acerca de su alcance (¿solo a su apartado 1, o también a otros?). ( 40 ) Finalmente, se eliminó la referencia del artículo 9 al artículo 6 ( 41 ) y se optó por mantener en el preámbulo un párrafo similar al actual considerando quincuagésimo primero del RGPD. ( 42 ) |
|
60. |
La idea de acumulación, o complementariedad, entre los dos preceptos la comparte el Comité europeo de protección de datos ( 43 ) y la defendía el denominado Grupo del artículo 29 ( 44 ) en cuanto al artículo 8 de la Directiva 95/46. ( 45 ) No es, en cambio, una comprensión indiscutida en la doctrina, ni en otros foros relevantes. ( 46 ) |
|
61. |
Contemplando los diferentes incisos del artículo 9, apartado 2, del RGPD, tiendo a pensar que la relación entre ese precepto y el artículo 6 no permite, en realidad, una respuesta única. En efecto:
|
|
62. |
Entiendo, pues, que, para dotar de licitud al tratamiento de datos sensibles que autoriza el artículo 9, apartado 2, letra h), del RGPD es preciso buscar cuál de las condiciones detalladas por el artículo 6, apartado 1, lo legitima en cada caso. |
|
63. |
El tribunal de reenvío no pone en tela de juicio que sea así: antes bien, partiendo de esa premisa, se centra en rechazar que el tratamiento efectuado por el MDK encuentre justificación en el artículo 6. ( 48 ) |
|
64. |
A simple vista, no me parece que exista un orden de prelación entre las bases legales que prevé la disposición. Un análisis más a fondo podría revelar la necesidad de introducir matices. ( 49 ) Estimo, sin embargo, que ese análisis excedería de lo necesario para responder a este reenvío prejudicial. ( 50 ) |
|
65. |
En suma, la respuesta a la tercera pregunta prejudicial debería indicar al tribunal de reenvío que la excepción a la prohibición de tratar datos relativos a la salud demanda que se cumpla, al menos, una de las condiciones señaladas en el artículo 6, apartado 1, del RGPD. |
D. Quinta pregunta prejudicial
|
66. |
El tribunal de reenvío quiere saber si es «relevante el grado de culpa del responsable o del encargado del tratamiento al cuantificar el importe de los daños y perjuicios inmateriales que deben indemnizarse con base en el artículo 82, apartado 1, del RGPD» y, en particular, si «puede tenerse en cuenta a favor del responsable o del encargado del tratamiento la inexistencia de culpa o la existencia de culpa leve por su parte». |
|
67. |
La pregunta da por sobreentendido que ha habido una infracción del RGPD, ( 51 ) cometida por quien aparece como responsable del tratamiento de los datos, y plantea si para cuantificar la indemnización del daño resultante de esa infracción importa el grado de culpa de aquel. Según el tribunal a quo, no es seguro que la ausencia de culpa o una culpa leve del responsable puedan calificarse de elemento en su descargo. |
|
68. |
Tomada literalmente, la pregunta se centra en la cuantificación de la indemnización. Las explicaciones que la acompañan generaban, no obstante, una cierta confusión, pues no quedaba claro si se referían a la culpa como condición de imputación de la responsabilidad o como factor para graduar el importe de la indemnización. |
|
69. |
Invitado por el Tribunal de Justicia a aclarar esa ambigüedad, el órgano de reenvío expuso que la pregunta versaba sobre ambos aspectos, sin aportar mayores precisiones sobre su vinculación con el litigio de origen. |
|
70. |
A la luz de esta respuesta, me propongo responder a los interrogantes suscitados por el tribunal de reenvío tras atender (también) a los que aduce el MDK sobre la eventual intervención del interesado en la producción del daño. ( 52 ) Mi exposición se desarrollará en tres etapas:
|
1. Título de la responsabilidad civil en el artículo 82 del RGPD
|
71. |
Opina el tribunal de reenvío que el artículo 82, apartado 1, del RGPD no condiciona la responsabilidad civil (del gestor ( 54 ) del tratamiento) a la existencia o a la prueba de intención o negligencia. Añade que el apartado 3 del mismo artículo no sustenta otra solución. |
|
72. |
Admito que no es claro qué modelo de responsabilidad civil ha adoptado el RGPD y que varias interpretaciones son, a priori, posibles. ( 55 ) La comprensión del tribunal de reenvío es una de ellas: en mi opinión, acertada. |
|
73. |
La lectura del artículo 82, apartado 1, del RGPD en el sentido de que instaura un régimen de responsabilidad civil ajena a la culpa del gestor del tratamiento se ajusta, creo, a su tenor literal, encuentra apoyo inmediato en los trabajos preparatorios y, sobre todo, favorece la finalidad de la norma. Es aceptable a la luz de otros apartados del precepto, así como del sistema considerado en conjunto. |
a) Argumento literal
|
74. |
La postura que defiende el tribunal de reenvío casa con el tenor del artículo 82, apartado 1, del RGDP. Literalmente, el derecho a recibir una indemnización a cargo del responsable del tratamiento está ligado, sin más, a los daños sufridos a consecuencia de una violación del propio RGPD. |
|
75. |
Los restantes apartados del artículo 82 no apuntan a otra respuesta. ( 56 ) En particular, no me atrevería a deducir un requisito de culpa a partir de la palabra «imputable» del apartado 3 del artículo 82. El término solo aparece en algunas versiones lingüísticas del RGPD; otras, por el contrario, recurren a «responsable». En la versión alemana, ni el artículo 82 ni el preámbulo incorporan el término técnico propio de la imputación por culpa («Verschulden»). ( 57 ) |
|
76. |
Comparando los diversos preceptos del RGPD se pone de relieve que la terminología empleada no es siempre unívoca, por lo que hay que extremar la prudencia al extraer consecuencias de su tenor literal. En la versión inglesa, por ejemplo, la palabra «responsible» se utiliza en múltiples acepciones. ( 58 ) |
|
77. |
La falta de referencias a la intención o a la culpa del responsable del tratamiento en el artículo 82 del RGPD contrasta con las menciones del artículo 83 a propósito de las multas administrativas: «al decidir la imposición de una multa administrativa y su cuantía en cada caso individual» se tendrán debidamente en cuenta la intencionalidad o la negligencia en la infracción del RGPD. ( 59 ) |
|
78. |
Si la divergencia entre textos debilita el peso del criterio hermenéutico literal, al menos corrobora la idea de que ni la intención ni la culpa figuran en el artículo 82 del RGPD y que esa ausencia es consciente, no atribuible al descuido del legislador. |
b) Trabajos preparatorios
|
79. |
La discusión sobre el título de imputación de la responsabilidad finalmente adoptado en el RGPD está oscurecida por el contexto en el que tuvo lugar en el seno del Consejo, al hilo del supuesto de pluralidad de agentes del tratamiento. |
|
80. |
Esa discusión se mezcló con consideraciones procesales, sin obedecer a un aparato conceptual que permita distinguir entre la función de la culpa como título de imputación de la responsabilidad, por una parte, y la de la ausencia de culpa a efectos de exención de esa misma responsabilidad, en el plano del nexo causal, por otra parte. |
|
81. |
Con todo, creo que los trabajos preparatorios apoyan una comprensión del artículo 82, apartado 1, del RGPD en la que la responsabilidad civil no depende de la culpa del responsable del tratamiento. |
|
82. |
La Propuesta de la Comisión seguía la Directiva 95/46 y no mencionaba la negligencia. En documentos del Consejo se alude a que la responsabilidad contemplada se configura como «strict liability». ( 60 ) |
|
83. |
Una enmienda sugerida en la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento habría dotado al artículo 82 (entonces 77), apartado 1, de un contenido en el que la responsabilidad se vincula a la intención o a la negligencia. ( 61 ) No prosperó. ( 62 ) |
|
84. |
En el Consejo, el debate a propósito del artículo 77 y del criterio de imputación se produjo ligado a la atribución y el reparto de responsabilidad cuando varias personas intervienen en la misma operación de tratamiento. En este contexto, la Presidencia propuso elegir entre dos opciones: ( 63 )
|
|
85. |
El texto transaccional presentado por la Presidencia para su aprobación como orientación general ( 71 ) sigue la primera opción, si bien refuerza la excepcionalidad de la exoneración y la dificultad de su prueba con la redacción del artículo 77, apartado 3: «[…] if it [el responsable/encargado del tratamiento] proves that it is not in any way responsible (…)». ( 72 ) Esta redacción y el artículo finalmente aprobado se corresponden. |
|
86. |
En suma, el análisis del iter legislativo que condujo al texto final del RGPD aboga por que la responsabilidad a la que alude su artículo 82, apartado 1, no esté vinculada a la culpa del gestor del tratamiento. |
c) Finalidad
|
87. |
El RGPD instaura un sistema concebido para garantizar un nivel elevado de protección de las personas físicas, al tiempo que se eliminan obstáculos a la circulación de datos personales. ( 73 ) En ese sistema, su artículo 82 desempeña una finalidad compensatoria de daños, sin perjuicio de que sirva también, secundariamente, para la disuasión o la prevención de conductas no ajustadas a sus prescripciones. ( 74 ) |
|
88. |
Asegurar la compensación es un objetivo en sí mismo: así se infiere de la importancia que el legislador le otorga y que revela la simple lectura del texto. Para el RGPD, recibir la indemnización, cuando se ha producido un daño, es un derecho del interesado; la noción de daños y perjuicios debe interpretarse en sentido amplio; y la indemnización ha de ser total y efectiva. |
|
89. |
La compensación conecta con la pretensión de potenciar la confianza de los ciudadanos en el entorno digital, objetivo de alcance general que el RGPD recoge en su considerando séptimo. Garantizar al interesado que, como solución de principio, no tendrá que soportar sin más los daños derivados de un tratamiento ilícito de sus datos sirve para fomentar tal confianza: su patrimonio está a salvo y, procesalmente, su reclamación es más sencilla. |
|
90. |
Es coherente con este planteamiento que el artículo 82, apartado 1, del RGPD no asocie la obligación de indemnizar a la inobservancia de un deber de cuidado. Tal obligación se asigna, por decisión del legislador, a quien ocupa una determinada posición de guardián o garante en la relación y, justamente, atendiendo a este mero hecho. |
|
91. |
Podría decirse, pues, que para el RGPD lo relevante es la situación de la víctima que sufre el daño derivado de la infracción, cuando ninguna norma le impone el deber de soportarlo. |
|
92. |
A la víctima le resulta indiferente que en la producción del daño haya existido, o no, culpa de quien lo causó: lo decisivo es que el gestor del tratamiento le ha ocasionado el perjuicio, material o moral, consecuente a la infracción del RGPD por él cometida. |
|
93. |
Los objetivos descritos se alcanzan con mayor facilidad en un modelo que tiende a que el daño probado:
|
|
94. |
En el marco de la adaptación a la revolución digital, ( 75 ) esta solución me parece coherente. La rápida evolución tecnológica demanda que, en las actividades más comunes de tratamiento de datos que se llevan a cabo en línea, la ausencia de intención o de negligencia no impida compensar daños que, de otro modo, quedarían sin cubrir. |
d) Sistema
|
95. |
La interpretación que propongo se ajusta mejor a la sistemática del RGPD. En el seno de su artículo 82, así lo corrobora el apartado 3: cabe la exoneración si «el responsable demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios». |
|
96. |
En esa dicción destaca la locución «en modo alguno», que induce a pensar que el modelo no es de culpa (ni siquiera culpa levísima) con inversión de la carga de la prueba. |
|
97. |
Entender que la indemnización no depende de la culpa del responsable del tratamiento confiere al artículo 82 un significado propio en el capítulo VIII y, finalmente, en el RGPD en su conjunto. |
|
98. |
El legislador europeo asume que el tratamiento de datos personales puede ser fuente de riesgos. Impone a los agentes del tratamiento evaluar esos riesgos, y adoptar y actualizar medidas aptas para prevenir y minimizar los que hayan detectado. ( 76 ) |
|
99. |
Se ha afirmado que un modelo de responsabilidad civil basado en la culpa promueve la diligencia y, por tanto, la protección frente a riesgos, mientras que el modelo alternativo, que no atiende a cómo se condujo el agente, desincentivaría la precaución de este último (porque, si hay daño, deberá indemnizarlo de todas formas). |
|
100. |
Opino que en el RGPD este resultado ( 77 ) es asumible. El artículo 82 se incardina en una estructura normativa compleja, con instrumentos de derecho público y privado para proteger los datos personales. En el seno de esa estructura, la negligencia (y la intencionalidad) importan a efectos de las sanciones administrativas. No veo la necesidad de que sean relevantes también a efectos de la responsabilidad civil, ( 78 ) lo que iría en detrimento de los objetivos del artículo 82 y restaría, además, atractivo práctico al remedio que prevé. |
2. Incidencia de la intervención del interesado
|
101. |
Los interrogantes sobre la necesidad de culpa del responsable del tratamiento se conectan, en este asunto, con las consecuencias que pudieran derivarse de la intervención del interesado. ( 79 ) |
|
102. |
Para la mejor comprensión de lo que sigue, conviene precisar que las circunstancias del litigio se han visto desde dos escenarios:
|
|
103. |
Estimo, en cualquier caso, que, como parece sostener el tribunal de reenvío, ( 82 ) para determinar la incidencia (si hubiera alguna) del comportamiento del interesado en la comisión del hecho infractor que provocó el daño hay que acudir al artículo 82, apartado 3. |
|
104. |
El precepto no enumera, ni siquiera a modo de ejemplo, motivos específicos de exoneración de la responsabilidad. Tampoco lo hace el considerando centésimo cuadragésimo sexto. ( 83 ) |
|
105. |
Aparentemente, el RGPD se separaría en este aspecto de la Directiva 95/46, cuyo artículo 23, apartado 2, contenía una regla semejante ( 84 ) al actual artículo 82, apartado 3, del RGPD: el considerando quincuagésimo quinto de la Directiva 95/46 proponía, como ejemplos de causas de exoneración, la responsabilidad del interesado o la fuerza mayor, ( 85 ) que no se hallan en el RGPD. |
|
106. |
En los trabajos preparatorios del RGPD no consta, salvo error por mi parte, que existiera discusión sobre estos dos ejemplos, que sí figuraban en la Propuesta de la Comisión ( 86 ) y el Parlamento mantuvo. ( 87 ) |
|
107. |
Su supresión, y la aparición de la locución adverbial «en modo alguno», se producen en el marco del debate, ya mencionado, sobre cómo regular la responsabilidad ante un tratamiento con pluralidad de gestores o encargados del tratamiento. ( 88 ) |
|
108. |
De la documentación disponible ( 89 ) se desprende que, en la redacción final, el gestor del tratamiento goza de la exención si demuestra no ser en absoluto responsable («responsible») por el daño («0 % responsibility»). Lo mismo se aplica al encargado. ( 90 ) |
|
109. |
A partir de ahí, no creo que la desaparición de los dos ejemplos en el preámbulo, en paralelo con la adición de «en modo alguno» en ese mismo preámbulo y en el artículo 82, apartado 3, del RGPD, tenga como consecuencia (ni como objetivo) excluir la actividad del interesado de las causas de exención de responsabilidad. ( 91 ) |
|
110. |
Parece, más bien, que la actividad del interesado sigue siendo apta para provocar, según los casos, la ruptura del imprescindible nexo entre el «hecho» (el artículo 82, apartado 3, del RGPD emplea esa locución) y la autoría del responsable. Acentuar el carácter restringido de la cláusula de escape no impide que una determinada actuación del interesado desencadene, por sí misma, el daño y determine, en consecuencia, la exención de responsabilidad del gestor del tratamiento. |
|
111. |
La interpretación sistemática apoya que se tenga en cuenta, en el marco de la responsabilidad por daños, la intervención del interesado en la producción de estos. En el sistema del RGPD los individuos se involucran en la protección de sus datos, confiriéndoles al efecto instrumentos que son, en sí mismos, derechos. |
|
112. |
Desde una perspectiva teleológica, entiendo que el RGPD quiere acordar una protección elevada, pero no hasta el punto de obligar al responsable a indemnizar también por los daños resultantes de acontecimientos o acciones imputables al interesado. ( 92 ) |
3. Cálculo de la indemnización. Incidencia del grado de culpa del responsable del daño
|
113. |
El tribunal de reenvío ha confirmado que la quinta pregunta prejudicial se extiende a dilucidar si el grado de culpa del responsable del tratamiento afecta al cálculo de la indemnización. Más concretamente, si la ausencia de culpa o una culpa leve de aquel responsable pueden ser tenidas en cuenta en su favor. |
|
114. |
El artículo 82 del RGPD es ciertamente parco, o directamente calla, en lo relativo a aspectos clave de la compensación que incidirían sobre el cálculo de su cuantía. No da pautas al intérprete sobre los elementos que la integran, ( 93 ) los criterios para valorar (traducir en cantidad) esos elementos, ( 94 ) o los factores que pudieran afectar a su montante. ( 95 ) |
|
115. |
A pesar de ello, entiendo que el RGPD confiere al interesado el derecho a una indemnización cuyo importe se determina en atención a los daños y perjuicios efectivamente sufridos. Una vez establecida la cifra que compensa en términos objetivos esos daños, no debería modificarse en función de la mayor o menor negligencia del responsable del tratamiento. |
|
116. |
Para sustentar mi postura me remito, mutatis mutandis, a lo que he expuesto a propósito de la atribución de responsabilidad al gestor del tratamiento, al margen de su culpa, en el sistema del artículo 82 del RGPD. Desde la perspectiva de la víctima, cuyo patrimonio (material e inmaterial) ha de quedar indemne tras la producción del daño, la compensación por este ha de hacerse sin ligarla a la culpa del gestor del tratamiento, sea cual sea su nivel de gravedad. ( 96 ) |
|
117. |
Creo que a esa misma solución se llega al advertir que el artículo 82 del RGPD (cuyos trabajos preparatorios no ofrecen claves para sostener una postura u otra) ( 97 ) difiere de otros instrumentos del derecho de la Unión, que de forma expresa distinguen si la intervención en la infracción fue «a sabiendas» o no, a la hora de fijar el importe indemnizable en concepto de responsabilidad civil. ( 98 ) |
|
118. |
Corroboran, a mi juicio, esta apreciación dos argumentos más:
|
V. Conclusión
|
119. |
En atención a las consideraciones anteriores, sugiero responder al Bundesarbeitsgericht (Tribunal Supremo de lo laboral, Alemania) en estos términos: «El artículo 9, apartado 2, letra h), y apartado 3, así como el artículo 82, apartados 1 y 3, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), deben interpretarse en el sentido de que No prohíben a un servicio médico de una caja de seguro de enfermedad tratar datos relativos a la salud de un trabajador de dicho servicio, cuando son indispensables para la evaluación de su capacidad laboral. Admiten la excepción a la prohibición de tratar datos personales relativos a la salud, cuando ese tratamiento sea necesario para fines de evaluación de la capacidad laboral del trabajador, se sujete a los principios del artículo 5 y a alguna de las condiciones de licitud previstas en el artículo 6 del Reglamento 2016/679. El grado de culpa del responsable o del encargado del tratamiento no es relevante para generar la responsabilidad de uno u otro, ni para cuantificar el importe de los daños y perjuicios inmateriales que deben indemnizarse con arreglo al artículo 82, apartado 1, del Reglamento 2016/679. La intervención del interesado en el hecho del que deriva la obligación de indemnizar puede determinar, según los casos, la exención de responsabilidad del responsable o del encargado del tratamiento recogida en el artículo 82, apartado 3, del Reglamento 2016/679». |
( 1 ) Lengua original: español.
( 2 ) Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).
( 3 ) Y sobre el artículo 8 de la Directiva 95/46/CEE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), antecedente directo del artículo 9 del RGPD.
( 4 ) La cuarta pregunta es sustancialmente idéntica a la primera del asunto C‑300/21, Österreichische Post (Daño moral derivado del tratamiento de datos personales), sobre el que presenté mis conclusiones el 6 de octubre de 2022 (EU:C:2022:756) (en lo sucesivo, «conclusiones del asunto C‑300/21»), y se ha pronunciado el Tribunal de Justicia en sentencia de 4 de mayo de 2023 (EU:C:2023:370)
( 5 ) Libro V del Código Social.
( 6 ) Medizinischer Dienst der Krankenversicherung (en lo sucesivo, «MDK»).
( 7 ) Krankenversicherung (en lo sucesivo, «KV»).
( 8 ) «Memorando relativo a la protección de los datos sociales de los trabajadores [del MDK] y sus familiares», resumido en el auto de reenvío, apartados 6 y ss.
( 9 ) En el sistema de tratamiento informático de datos utilizado internamente por el MDK se ha establecido una unidad organizativa virtual denominada «Casos especiales», a la que solo tienen acceso los empleados de esa unidad.
( 10 ) A raíz de la finalización (fijada por la ley) del período en que el abono del salario se mantiene a cargo del MDK.
( 11 ) En su opinión, de no haber sido por la infracción relativa a sus datos personales podría haber reanudado su actividad laboral a partir de diciembre de 2018.
( 12 ) ArbG Düsseldorf, Urteil vom 22.02.2019 - 4 Ca 6116/18, y LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19, respectivamente.
( 13 ) En cuanto a su contenido, me remito a la sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales) (C‑300/21, EU:C:2023:370).
( 14 ) Lo que sigue no prejuzga la respuesta a la tercera pregunta prejudicial.
( 15 ) Estimo preferente el empleo de esta disposición, en vez del artículo 9, apartado 2, letra b), del RGPD. No parece que el tratamiento fuera necesario (ni en cuanto al MDK como empleador, ni en cuanto a ZQ como empleado) para el cumplimiento de obligaciones o el ejercicio de derechos en el marco de la relación laboral.
( 16 ) Un tratamiento de datos sensibles en tanto que empleador (esto es, para propósitos vinculados a la relación laboral) solo sería lícito si reúne las condiciones que el RGPD establece para tratar datos con un fin diferente del que motivó su recogida.
( 17 ) Apartado 22 del auto de reenvío. El RGPD sí impone, en cambio, reunir otras características, previstas en su artículo 9, apartado 3: sobre su alcance, infra, puntos 40 y ss.
( 18 ) El artículo 9 del RGPD encuentra su antecedente en el artículo 8 de la Directiva 95/46. En la propuesta de la Comisión [Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) COM(2012) 11 final, de 25 de enero de 2012; en lo sucesivo, «Propuesta de la Comisión»], el tratamiento de datos personales relativos a la salud se regulaba en el artículo 81, que establecía justificaciones e indicaba que debería realizarse conforme al derecho de la Unión o de los Estados miembros. A estos últimos correspondería proveer las salvaguardas necesarias para proteger los legítimos derechos del interesado. El contenido del artículo 81 pasó a integrarse en el artículo 9, apartado 2, letra h), y apartado 4, como refleja el documento n.o 14270/14, Presidencia del Consejo al Grupo «Protección de Datos», de 16 de octubre de 2014.
( 19 ) Sentencia de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles) (C‑136/17, EU:C:2019:773), apartado 44: «[…] las exigencias específicas […] en relación con los tratamientos de las categorías especiales de datos [tienen como] finalidad […] garantizar una mayor protección frente a tales tratamientos, que, en atención a la particular sensibilidad de esos datos, pueden constituir, como se desprende igualmente del considerando 33 de la Directiva [95/46] y del considerando 51 del Reglamento, una injerencia especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta».
( 20 ) El derecho fundamental a la protección de los datos personales no prevalece automáticamente sobre cualquier otro, ni siquiera cuando están en juego las categorías especiales del artículo 9, apartado 1, del RGPD: sentencia de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles) (C‑136/17, EU:C:2019:773), apartados 66 a 68.
( 21 ) Artículo 9, apartado 3, del RGPD.
( 22 ) El artículo 88 del RGPD habilita a los Estados miembros a adoptar normas «más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral». Sobre su interpretación, me remito a la sentencia de 30 de marzo de 2023, Hauptpersonalrat der Lehrerinnen und Lehrer (C‑34/21, EU:C:2023:270).
( 23 ) Así parece entenderlo el órgano de reenvío. Por mi parte, me remito a la nota 15 supra.
( 24 ) Coincido con la Comisión cuando sostiene que «el segundo párrafo [del artículo 9 del RGPD] no prevé una jerarquía particular o una posible relación de dependencia entre las excepciones, que coexisten en igualdad de condiciones» (apartado 13 de sus observaciones escritas).
( 25 ) No se exige, como ocurría en la Directiva 95/46, que el tratamiento «sea realizado por un profesional sanitario sujeto al secreto profesional […] o por otra persona sujeta asimismo a una obligación equivalente de secreto» (cursiva añadida). Se requiere, no obstante, que lo realicen personas sujetas a la obligación de secreto.
( 26 ) Refiriéndose a datos «particularmente sensibles en relación con los derechos y las libertades fundamentales», el considerando quincuagésimo primero del RGPD establece que «además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento».
( 27 ) Sentencias de 16 de enero de 2019, Deutsche Post (C‑496/17, EU:C:2019:26), apartado 57, y las que cita. En cuanto a los datos sensibles, las de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles) (C‑136/17, EU:C:2019:773), apartado 64; y de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico) (C‑439/19, EU:C:2021:504), apartados 96, 99, 100 y 102.
( 28 ) Auto de reenvío, apartados 25 a 27. Alude a la creación de dos células «casos especiales» independientes, y de unidades informáticas separadas cuando estén en juego informes sobre empleados en servicios informáticos (como ZQ). El objetivo final sería que ningún empleado del MDK pudiera tener acceso de hecho a los datos de salud de un compañero de trabajo, ni conocimiento de la existencia de un control sobre la capacidad laboral de este último.
( 29 ) Artículo 8, apartado 3. Como ya expuse, en el RGPD se ha ampliado el círculo de personas autorizadas a llevar a cabo el tratamiento.
( 30 ) El apartado 4 se introdujo en el artículo 9 del RGPD a raíz de una propuesta de Alemania: documento n.o 6834/15, Presidencia a Consejo, de 9 de marzo de 2015.
( 31 ) El tribunal de reenvío califica así al MDK (apartado 16 del auto de reenvío). En lo sucesivo, no mencionaré, pues, al encargado del tratamiento, salvo que en algún momento sea oportuno. En principio, las consideraciones hechas para el primero serán extensibles al segundo.
( 32 ) El tribunal de reenvío teme, en particular, que la vulneración de la seguridad, de producirse, propicie que compañeros de ZQ tengan conocimiento de su estado de salud, de lo que podrían derivar especulaciones sobre su productividad. Añade que la información sobre la mera existencia de un informe médico relativo a la incapacidad para el trabajo es información sensible, en tanto que puede sugerir la posibilidad de una simulación de esa incapacidad (apartado 26 del auto de reenvío).
( 33 ) Véase supra el punto 10.
( 34 ) Apartado 27 del auto de reenvío.
( 35 ) Véase supra la nota 27. Sobre la relación entre el artículo 6 y el artículo 9 del RGPD véase también el asunto C‑252/21, Meta Platforms y otros (Condiciones generales para la utilización de una red social). Las conclusiones del abogado general Rantos datan de 20 de septiembre de 2022 (C‑252/21, EU:C:2022:704).
( 36 ) Sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico) (EU:C:2021:504), apartados 96, 99, 100 y 102.
( 37 ) El contenido del artículo 10 del RGPD se encontraba en el artículo 8 de la Directiva 95/46. Este último agrupaba todas las categorías especiales de datos, si bien diferenciaba el tratamiento de los relativos a infracciones, condenas penales o medidas de seguridad, que abordaba en el apartado 5. La separación formal que opera el RGPD no se debe a un cambio en la convicción de que los datos personales relativos a condenas o infracciones penales son «sensibles».
( 38 ) Documento n.o 17072/4/14 Rev 4, Consejo a Comité de Representantes Permanentes, de 4 de marzo de 2015, nota 60.
( 39 ) Relativo, como en la versión final, a la licitud del tratamiento.
( 40 ) Documento n.o 17072/4/14 Rev 4, Consejo a Comité de Representantes Permanentes, de 4 de marzo de 2015, artículo 9, apartado 2 [«Paragraph 1 shall not apply if one of the following applies and Article 6(1) is complied with […]» y nota 60.
( 41 ) A partir del documento n.o 6834/15, Presidencia a Consejo, de 9 de marzo de 2015.
( 42 ) Lo que, ciertamente, no consiguió disipar las dudas de todas las delegaciones. Vid., por ejemplo, el documento n.o 7466/15, Presidencia a las Delegaciones, de 26 de marzo de 2015, nota 38.
( 43 ) Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID‑19, abril 2020, párr. 15.
( 44 ) «Advice paper on special categories of data», Ares(2011)444105 - 20/04/2011, p. 5.
( 45 ) Es también la opinión expresada públicamente por la Comisión: Minutes of the second meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, celebrado el 10 de octubre de 2016, p. 2; y Minutes of the meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, celebrado el 20 de febrero de 2018, p. 2.
( 46 ) Sostiene la opinión favorable a la acumulación o complementariedad, por ejemplo, T. Petri, «Art. 9», en Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, marg. 26, quien reconoce, no obstante, que no es unánime. Sugiere la opuesta el Manual de legislación europea en materia de protección de datos de la Agencia de los Derechos Fundamentales de la Unión Europea, 2018, epígrafe 4.1.1.
( 47 ) Respectivamente, consentimiento explícito del interesado, tratamiento necesario para proteger intereses vitales de una persona física o jurídicamente incapaz de dar su consentimiento, y tratamiento necesario por motivos de interés público.
( 48 ) Apartados 30 y 31 del auto de reenvío.
( 49 ) Por ejemplo, si el consentimiento del interesado, como base legal que acompañe a la habilitación prevista en el artículo 9, apartado 2, letra h), debe ser el explícito que exige el propio artículo, o basta el del artículo 6, apartado 1, letra a).
( 50 ) Cuestión diferente, de alcance más restringido, es si, a la vista de los razonamientos del tribunal de reenvío a propósito del artículo 6, apartado 1, convendría aclarar el significado de las condiciones que enuncia, en particular las correspondientes a las letras c) y e). En ese sentido, me remito a la jurisprudencia del Tribunal de Justicia: en relación con las disposiciones de la Directiva 95/46, sentencias de 16 de diciembre de 2008, Huber (C‑524/06, EU:C:2008:724), apartado 62; y de 30 de mayo de 2013, Worten (C‑342/12, EU:C:2013:355), apartado 37; en relación con el RGPD, sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), apartados 66 y ss.
( 51 ) El tribunal de reenvío se muestra proclive a apreciar infracción de los artículos 9 y 6 del RGPD, derivada del tratamiento efectuado por el MDK. En el punto 32 del auto de reenvío afirma que la violación, por sí misma, da lugar al derecho a indemnización; en el punto 33 insiste en la traducción automática de la infracción en un daño («la violación del RGPD ya induce un daño moral que da derecho a una indemnización»). Por las razones que expuse en mis conclusiones del asunto C‑300/21, no comparto esta opinión.
( 52 ) Apartados 78 a 80 de las observaciones del MDK. Según este, fue el propio interesado quien, al no solicitar el expediente ni ejercitar frente a él su derecho de acceso, conforme al artículo 15 del RGPD, y recurrir, en cambio, a los oficios de un compañero de su unidad, provocando la consulta de los datos controvertidos, se ocasionó a sí mismo el perjuicio. En el mismo sentido, la sentencia dictada en apelación LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19], apartado 4.3.4.3.
( 53 ) El empleado, asignado al mismo departamento que el interesado, accedió a los datos fuera de los supuestos para los que posee autorización, es decir, para fines ajenos a la ejecución de la prestación laboral que contempla su contrato.
( 54 ) En lo sucesivo, emplearé indistintamente el término «gestor» como sinónimo de «responsable».
( 55 ) Dejando a un lado a quienes sostienen que se trata de un aspecto no regulado, las opiniones divergen entre los partidarios de un sistema de responsabilidad objetiva y los de responsabilidad por culpa con inversión de la carga de la prueba. En realidad, como ocurre en otros regímenes de responsabilidad (civil) sectorial, no creo que el RGPD se ajuste plenamente a ninguno de los dos paradigmas teóricos principales, cuyas fronteras no son tampoco demasiado precisas. Por su redacción, se presta a incardinarlo en ambos, con matices que, finalmente, confunden los modelos: en el primero, por virtud del elevado estándar de diligencia que debería probarse para eludir la imputación; en el segundo, por la introducción de juicios de diligencia/negligencia en las causas de exoneración, o al constatar la infracción, según la naturaleza de la norma en juego.
( 56 ) El apartado 2, que puede leerse como el reverso del apartado 1 en tanto que contempla la responsabilidad desde el lado de los obligados, tampoco menciona ningún requisito de culpa.
( 57 ) En la versión española, el término «imputable» consta, en cambio, en el artículo 47, apartado 2, letra f), del RGPD que, a propósito de la información a la que supedita la aprobación de normas corporativas vinculantes, alude a la exoneración de responsabilidad en el seno de grupos de empresas con establecimiento dentro y fuera de la Unión. En la versión alemana se ha recurrido a una perífrasis («dem betreffenden Mitglied nicht zur Last gelegt werden kann»).
( 58 ) Cf. los artículos 82, apartado 3, 68, apartado 4, o 75, apartado 6.
( 59 ) Artículo 83, apartado 2, letra b), y apartado 3. Sobre su interpretación me he pronunciado en las conclusiones del asunto C‑807/21, Deutsche Wohnen (EU:C:2023:360).
( 60 ) Entre otros, documento n.o 17831/13, Presidencia del Consejo al Grupo «Protección de Datos», de 16 de diciembre de 2013, nota 542.
( 61 ) Enmienda n.o 2819, propuesta por S. Ilchev, Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), documento PE501.927v04-00, Amendments (9): «Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence». Cursiva añadida.
( 62 ) Véase el texto que acompaña a la Resolución legislativa, de 12 de marzo de 2014, sobre la Propuesta de la Comisión (DO 2017, C 378, p. 399).
( 63 ) Documento n.o 9083/15, Presidencia a miembros JAI del Grupo «Protección de Datos», de 27 de mayo de 2015. La diferencia entre las opciones gira en torno al artículo 77, apartados 3 a 6. El apartado 1, que sienta el principio de la responsabilidad del responsable y el encargado, y el 2, que señala el perímetro material de responsabilidad de ambos, circunscribiendo la del encargado, coincidían.
( 64 ) Loc. cit., punto 5.
( 65 )
( 66 ) O, en el caso del encargado, infringido instrucciones del responsable conformes con el RGPD.
( 67 ) Con posibilidad de repetición ulterior: artículo 77, apartado 6, en la primera opción.
( 68 ) Documento n.o 9083/15, Presidencia a miembros JAI del Grupo «Protección de Datos», de 27 de mayo de 2015, punto 7. Una responsabilidad por culpa había sido formulada abiertamente por la delegación del Reino Unido. A la vista de sus argumentos, se hizo a las demás una pregunta en ese sentido (documento n.o 7722/15, Presidencia a Grupo «Protección de Datos», de 13 de abril de 2015, apartados 10 y 11). La opción finalmente propuesta parece seguir el compromiso apuntado por la delegación alemana (documento n.o 8150/1/15 Rev 1, de 6 de mayo de 2015), que distinguía entre la esfera de relación de responsable/encargado del tratamiento e interesado, y la de aquellos entre sí, y sostenía para esta la imputación basada en el dolo o la culpa: «liability follows fault, meaning that a party is only liable if he/she has intentionally or negligently acted contrary to his duties laid down in this Regulation». De cara al interesado, la ausencia de negligencia permitiría la exoneración de responsabilidad
( 69 ) Loc. cit, punto 6, que termina: «In other words, the mere fact that an entity was involved in a non-compliant processing operation which caused damage suffices for it to be held liable for the full amount of damages».
( 70 ) Artículo 77, apartado 4a, en esta opción: «If a data subject is not able to bring a claim for compensation against the controller […]».
( 71 ) Documento n.o 9565/15, Presidencia al Consejo, de 11 de junio de 2015.
( 72 ) Cursiva añadida. En paralelo a este añadido se eliminan los ejemplos de causas de exoneración en el considerando centésimo decimoctavo: infra, puntos 104 y ss.
( 73 ) Considerando décimo del RGPD.
( 74 ) Me remito a mis conclusiones del asunto C‑300/21. Como señalé allí, el legislador quiere incentivar la aplicación privada de las reglas en materia de protección de datos personales. Con este objetivo, el capítulo VIII del RGPD ha puesto instrumentos a disposición del interesado. La indemnización por responsabilidad civil es uno de ellos, pero carece de funciones punitivas.
( 75 ) Este fue uno de los argumentos para superar la Directiva 95/46 en la Propuesta de la Comisión.
( 76 ) Considerandos septuagésimo séptimo y siguientes del RGPD.
( 77 ) Que conviene matizar: la responsabilidad desempeñará una función preventiva, en la medida en que afecte a la decisión del agente sobre el nivel de actividad que ha de desarrollar. La interpretación que propongo permite conectar el artículo 82 del RGPD con principios del tratamiento tales como la limitación de la finalidad, la minimización de datos y la exactitud [artículo 5, apartado 1, letras b), c) y d) del RGPD].
( 78 ) Haciendo de la negligencia el criterio de imputación.
( 79 ) Véase, supra, la nota 52.
( 80 ) Postura del tribunal de reenvío (véase supra la nota 51). A su entender, la participación del interesado que insta la consulta de sus datos no debería tener relevancia al imputar la responsabilidad. Podría tenerla, en cambio, para cuantificar la indemnización.
( 81 ) Postura del MDK y del tribunal de apelación (véase supra la nota 52). En realidad, podría sostenerse que, en este escenario, falta el componente «daño»: volenti non fit iniuria.
( 82 ) Apartado 40 del auto de reenvío.
( 83 ) A diferencia de lo que ocurre en otros sectores (por ejemplo, el de la responsabilidad por productos defectuosos), la tasación de las causas de exención no adopta en el RGPD la forma de una enumeración exhaustiva.
( 84 )
( 85 ) El responsable del tratamiento «solo podrá ser eximido de responsabilidad si demuestra que no le es imputable el hecho perjudicial, principalmente si demuestra la responsabilidad del interesado o un caso de fuerza mayor». Cursiva añadida.
( 86 ) Considerando centésimo decimoctavo de la Propuesta de la Comisión.
( 87 ) Considerando centésimo decimoctavo del texto que acompaña la Resolución legislativa del Parlamento, de 12 de marzo de 2014, sobre la Propuesta de la Comisión.
( 88 ) Supra, puntos 84 y ss. Los ejemplos aparecen en los documentos relativos a negociaciones en el seno del Consejo, pero ya no en el texto transaccional, documento n.o 9565/15, de 11 de junio de 2015.
( 89 ) Remito principalmente al documento n.o 9083/15, Presidencia a miembros JAI del Grupo «Protección de Datos», de 27 de mayo de 2015.
( 90 ) Dado el contexto (repito, la atención particular al supuesto de pluralidad de agentes del tratamiento), es lícito deducir que una posibilidad en este sentido sería, para el responsable, probar que el daño resultó exclusivamente de la acción del encargado, y lo inverso, para este.
( 91 ) Tampoco la fuerza mayor, que era la otra causa mencionada expresamente en el considerando quincuagésimo quinto de la Directiva 95/46 (véase supra el punto 105).
( 92 ) No prejuzgo, lógicamente, el supuesto de la intervención de terceros. Sobre este aspecto, véase las conclusiones del abogado general Pitruzzella presentadas el 27 de abril de 2023 en el asunto Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353).
( 93 ) A fin de despejar dudas que existían bajo la Directiva 95/46, el RGPD especifica que abarca los daños inmateriales. El considerando centésimo cuadragésimo sexto se refiere a «cualesquiera daños y perjuicios» y subraya que el concepto «daños y perjuicios» ha de ser interpretado de forma amplia, con apoyo en la jurisprudencia del Tribunal de Justicia. El alcance exacto de la indicación es aún discutible.
( 94 ) No indica si, para precisar el valor del daño en cada caso se ha de recurrir a baremos, o preferir sumas globales, o utilizar otros sistemas de cálculo.
( 95 ) Entre esos factores podrían, eventualmente, hallarse: a) el sugerido por el órgano de reenvío; b) la concurrencia de la culpa del interesado, que alega el MDK en el punto 80 de sus observaciones; c) otros, como la introducción de topes cuantitativos a la indemnización, a fin de no desincentivar injustificadamente operaciones de tratamiento de datos o actividades económicas que dependan de ellas.
( 96 ) Supra, puntos 87 y ss.
( 97 ) La Directiva 95/46 no estipulaba nada a este respecto. No he encontrado en los trabajos preparatorios del RGPD indicios de discusión sobre este extremo.
( 98 ) Reglamento (CE) n.o 2100/94 del Consejo, de 27 de julio de 1994, relativo a la protección comunitaria de las obtenciones vegetales (DO 1994, L 227, p. 1), artículo 94, apartado 2; o Directiva 2004/48/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual (DO 2004, L 157, p. 45), artículo 13, considerando vigésimo sexto.
( 99 ) Artículo 83, apartado 2, letra b), y considerando centésimo cuadragésimo octavo del RGPD. En este marco se tiene en cuenta el criterio de proporcionalidad, no solo en relación con el hecho, sino también atendiendo a si la multa supone una carga desproporcionada para una persona física. El Gobierno de Irlanda, en el punto 54 de sus observaciones, propone proyectar ese criterio sobre la responsabilidad civil. De nuevo, para considerarlo elemento integrante del artículo 82 falta el argumento textual; no lo apoyan tampoco los trabajos preparatorios, ni la finalidad de la norma o su función en el conjunto.
( 100 ) La indemnización efectiva ha de ser apta para desempeñar su función tutelar del derecho a la protección de datos.
( 101 ) Unos y otros son responsables civiles con arreglo a lo dispuesto en los apartados 2 y 3 del artículo 82 del RGPD. Responden por el todo con independencia de su grado de contribución al daño.
( 102 ) No descarto que haya otras circunstancias cuya concurrencia justifique una reducción del importe: pienso, por ejemplo, en ponderaciones, en casos concretos, del derecho a indemnización (y, a través de él, a la protección de datos), con otros bienes o derechos del mismo rango. En el RGPD, el adjetivo total sirve también para asegurar la cobertura de cierta clase de daños (los inmateriales); para evitar que la indemnización se limite a los emergentes (deberá comprender otros conceptos, como ha señalado en otros ámbitos el Tribunal de Justicia); y para garantizar que la pluralidad de agentes de un tratamiento no dificulte el acceso a la indemnización, sino lo contrario.