–

pentru ZQ, de E. Daun, Rechtsanwalt;

–

pentru Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, de M. Wehner, Rechtsanwalt;

–

pentru Irlanda, de M. Browne, Chief State Solicitor, A. Joyce și M. Lane, în calitate de agenți, asistați de D. Fennelly, BL;

–

pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de M. Russo, avvocato dello Stato;

–

pentru Comisia Europeană, de A. Bouchagiar, M. Heller și H. Kranenborg, în calitate de agenți,

1

Cererea de decizie preliminară privește interpretarea articolului 9 alineatul (1), alineatul (2) litera (h) și alineatul (3) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”) coroborat cu articolul 6 alineatul (1) din acest regulament, precum și interpretarea articolului 82 alineatul (1) din acesta.

2

Această cerere a fost formulată în cadrul unui litigiu între ZQ, pe de o parte, și angajatorul său, Medizinischer Dienst der Krankenversicherung Nordrhein (Serviciul medical de asigurări de sănătate din Renania de Nord, Germania) (denumit în continuare „MDK Nordrhein”), pe de altă parte, în legătură cu obținerea de despăgubiri pentru prejudiciul pe care primul pretinde că l‑a suferit ca urmare a unei prelucrări de date privind sănătatea sa care ar fi fost efectuată în mod ilicit de cel de al doilea.

3

Considerentele (4)-(8), (10), (35), (51)-(53), (75) și (146) ale RGPD au următorul cuprins:

[…]

[…]

[…]

[…]

[…]

4

Inclus în capitolul I din acest regulament, referitor la „[d]ispoziții generale”, articolul 2, intitulat „Domeniul de aplicare material”, prevede la alineatul (1):

„Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.”

5

Articolul 4 din regulamentul menționat, intitulat „Definiții”, prevede:

„În sensul prezentului regulament:

[…]

[…]

[…]”

6

Capitolul II din RGPD, referitor la „[p]rincipii” stabilite de acesta din urmă, cuprinde articolele 5-11.

7

Articolul 5 din acest regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede:

„(1)   Datele cu caracter personal sunt:

[…]

(2)   Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

8

Articolul 6 din regulamentul menționat, intitulat „Legalitatea prelucrării”, prevede la alineatul (1):

„Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.”

9

Articolul 9 din același regulament, intitulat „Prelucrarea de categorii speciale de date cu caracter personal”, este redactat după cum urmează:

„(1)   Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

(2)   Alineatul (1) nu se aplică în următoarele situații:

[…]

[…]

[…]

(3)   Datele cu caracter personal menționate la alineatul (1) pot fi prelucrate în scopurile menționate la alineatul (2) litera (h) în cazul în care datele respective sunt prelucrate de către un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naționale competente sau de o altă persoană supusă, de asemenea, unei obligații de confidențialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naționale competente.

(4)   Statele membre pot menține sau introduce condiții suplimentare, inclusiv restricții, în ceea ce privește prelucrarea de date genetice, date biometrice sau date privind sănătatea.”

10

Capitolul IV din RGPD, intitulat „Operatorul și persoana împuternicită de operator”, cuprinde articolele 24-43 din acesta.

11

Inclus în secțiunea 1 din acest capitol, intitulată „Obligații generale”, articolul 24 din acest regulament, intitulat în ceea ce îl privește „Responsabilitatea operatorului”, prevede la alineatul (1):

„Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.”

12

Inclus în secțiunea 2 din capitolul menționat, intitulată „Securitatea datelor cu caracter personal”, articolul 32 din regulamentul menționat, intitulat în ceea ce îl privește „Securitatea prelucrării”, prevede la alineatul (1):

„Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

[…]”

13

Capitolul VIII du RGPD, intitulat „Căi de atac, răspundere și sancțiuni”, cuprinde articolele 77-84 din acest regulament.

14

În conformitate cu articolul 82 din regulamentul menționat, intitulat „Dreptul la despăgubiri și răspunderea”:

„(1)   Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.

(2)   Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. […]

(3)   Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.

[…]”

15

Articolul 83 din RGPD, intitulat „Condiții generale pentru impunerea amenzilor administrative”, prevede:

„(1)   Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menționate la alineatele (4), (5) și (6) este, în fiecare caz, eficace, proporțională și disuasivă.

(2)   […] Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:

[…]

[…]

(3)   În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare.

[…]”

16

Articolul 84 din acest regulament, intitulat „Sancțiuni”, prevede la alineatul (1):

„Statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.”

17

În temeiul articolului 275 alineatul (1) din Sozialgesetzbuch, Fünftes Buch (Codul securității sociale, cartea V), în versiunea aplicabilă litigiului principal, casele de asigurări obligatorii de sănătate sunt ținute să solicite unui Medizinischer Dienst (serviciu medical) care le asistă în special să realizeze o expertiză în vederea înlăturării îndoielilor cu privire la capacitatea de muncă a unui asigurat, în anumite cazuri stabilite de lege sau atunci când boala acestuia necesită acest lucru.

18

Articolul 278 alineatul (1) din acest cod prevede că un astfel de serviciu medical se înființează în fiecare land, sub forma unui organism de drept public.

19

MDK Nordrhein, un organism de drept public care, în calitate de serviciu medical al caselor de asigurări de sănătate, are ca misiune legală, printre altele, realizarea unor expertize medicale pentru a înlătura îndoielile privind incapacitatea de muncă a persoanelor asigurate la casele de asigurări obligatorii de sănătate care țin de competența sa, inclusiv atunci când expertizele respective se referă la propriii angajați.

20

Într‑un astfel de caz, numai membrii unei unități speciale, denumită „celula operațională cazuri speciale”, sunt autorizați, după închiderea dosarului de expertiză, să prelucreze datele denumite „sociale” ale acestui angajat, utilizând un domeniu blocat al sistemului informatic al acestui organism, și să aibă acces la arhivele digitale. O notă de serviciu intern referitoare la aceste cazuri prevede printre altele că un număr restrâns de agenți abilitați, printre care anumiți agenți ai serviciului informatic, au acces la datele menționate.

21

Reclamantul din litigiul principal a lucrat în cadrul serviciului informatic al MDK Nordrhein înainte de a se afla în incapacitate de muncă din motive medicale. La sfârșitul semestrului în care acest organism, în calitate de angajator, a continuat să îl remunereze, casa de asigurări obligatorii de sănătate la care era afiliat a început să îi plătească indemnizații de boală.

22

Această casă de asigurări a solicitat atunci MDK Nordrhein să realizeze o expertiză privind incapacitatea de muncă a reclamantului din litigiul principal. Un medic care își desfășoară activitatea în cadrul „celulei operaționale cazuri speciale” din cadrul MDK Nordrhein a realizat expertiza, printre altele obținând informații de la medicul curant al reclamantului din litigiul principal. Atunci când acesta din urmă a fost informat cu privire la acest lucru de către medicul său curant, el a contactat o colegă de la serviciul informatic și a rugat‑o să fotografieze raportul de expertiză care figura în arhivele digitale ale MDK Nordrhein și apoi să îi transmită fotografiile.

23

Considerând că datele privind sănătatea sa făcuseră astfel obiectul unei prelucrări nelegale de către angajatorul său, reclamantul din litigiul principal i‑a solicitat acestuia să îi plătească o despăgubire în cuantum de 20000 de euro, ceea ce MDK Nordrhein a refuzat.

24

Ulterior, reclamantul din litigiul principal a sesizat Arbeitsgericht Düsseldorf (Tribunalul pentru Litigii de Muncă din Düsseldorf, Germania) pentru a obține, în temeiul articolului 82 alineatul (1) din RGPD și al dispozițiilor dreptului german, obligarea MDK Nordrhein la repararea prejudiciului pe care el afirmă că l‑a suferit ca urmare a prelucrării datelor cu caracter personal astfel efectuate. El a arătat în esență, pe de o parte, că expertiza în cauză ar fi trebuit să fie realizată de un alt serviciu medical pentru a evita accesul colegilor săi la date privind sănătatea lui și, pe de altă parte, că măsurile de securitate care au însoțit arhivarea raportului referitor la această expertiză au fost insuficiente. El a susținut de asemenea că această prelucrare a constituit o încălcare a normelor de drept care protejează asemenea date, care i‑a cauzat daune atât morale, cât și materiale.

25

În apărare, MDK Nordrhein a susținut cu titlu principal că colectarea și stocarea datelor privind sănătatea reclamantului din litigiul principal au fost efectuate în conformitate cu dispozițiile referitoare la protecția unor asemenea date.

26

Întrucât cererea sa a fost respinsă în primă instanță, reclamantul din litigiul principal a declarat apel la Landesarbeitsgericht Düsseldorf (Tribunalul Superior pentru Litigii de Muncă din Düsseldorf, Germania), care i‑a respins de asemenea calea de atac. În aceste condiții, el a formulat recurs la Bundesarbeitsgericht (Curtea Federală pentru Litigii de Muncă, Germania), care este instanța de trimitere în prezenta cauză.

27

Această din urmă instanță pornește de la premisele potrivit cărora, în litigiul principal, expertiza realizată de MDK Nordrhein, în calitate de serviciu medical, constituie o „prelucrare” a unor „date cu caracter personal” și, mai precis, a unor „date privind sănătatea”, în sensul articolului 4 punctele 1, 2 și 15 din RGPD, astfel încât această operațiune intră în domeniul de aplicare material al regulamentului menționat, astfel cum este definit la articolul 2 alineatul (1) din acesta. În plus, această instanță consideră că MDK Nordrhein este „operatorul” în cauză, în sensul articolului 4 punctul 7 din regulamentul menționat.

28

Întrebările sale privesc, în primul rând, interpretarea mai multor dispoziții ale articolului 9 din RGPD, care se referă la prelucrarea unor categorii speciale de date cu caracter personal, în special ținând seama de faptul că prelucrarea în discuție în litigiul principal a fost realizată de un organism care este și angajatorul persoanei vizate, astfel cum este definită la articolul 4 punctul 1 din acest regulament

29

Mai întâi, instanța de trimitere are îndoieli că prelucrarea datelor privind sănătatea în discuție în litigiul principal poate intra sub incidența uneia dintre excepțiile prevăzute la alineatul (2) al articolului 9 din RGPD. Potrivit acestei instanțe, numai excepțiile care figurează la literele (b) și (h) ale alineatului (2) menționat sunt relevante în speță. Cu toate acestea, ea exclude de la bun început aplicarea derogării prevăzute la litera (b) în speță, pentru motivul că prelucrarea în discuție în litigiul principal nu era necesară în scopul exercitării drepturilor și al îndeplinirii obligațiilor operatorului, luat în considerare în calitatea sa de angajator al persoanei vizate. Astfel, acest tratament ar fi fost inițiat de un alt organism, care a solicitat MDK Nordrhein să efectueze un control în calitatea sa de serviciu medical. În schimb, deși înclină să nu aplice nici derogarea prevăzută la litera (h), întrucât, în opinia sa, numai un tratament efectuat de un „terț neutru” ar trebui să poată intra sub incidența acesteia, iar un organism nu se poate întemeia pe „dubla sa funcție” de angajator și de serviciu medical pentru a înlătura interdicția unei astfel de prelucrări, instanța de trimitere nu se dovedește categorică în această privință.

30

Apoi, în ipoteza în care prelucrarea datelor privind sănătatea ar fi autorizată în asemenea circumstanțe în temeiul articolului 9 alineatul (2) litera (h) din RGPD, instanța de trimitere ridică problema normelor aferente protecției datelor privind sănătatea care trebuie respectate în acest cadru. În opinia sa, din acest regulament rezultă că nu este suficient ca operatorul să îndeplinească cerințele cuprinse la articolul 9 alineatul (3) din acesta. Operatorul respectiv ar trebui, în plus, să garanteze că niciunul dintre colegii persoanei vizate nu poate avea vreun acces la datele privind starea de sănătate a acesteia din urmă.

31

În sfârșit, de asemenea în aceeași ipoteză, această instanță urmărește să afle dacă cel puțin una dintre condițiile prevăzute la articolul 6 alineatul (1) din RGPD trebuie în plus să fie îndeplinită pentru ca o astfel de prelucrare să fie legală. În opinia sa, aceasta ar trebui să fie situația și, în cadrul litigiului principal, numai literele (c) și (e) ale respectivului articol 6 alineatul (1) primul paragraf ar putea fi relevante a priori. Cu toate acestea, cele două litere (c) și (e) nu ar trebui să se aplice, deoarece prelucrarea în cauză nu este „necesară” în sensul acestor dispoziții pentru că ar putea fi realizată la fel de bine de un alt serviciu medical decât MDK Nordrhein.

32

În al doilea rând, în ipoteza în care o încălcare a RGPD ar fi constituită în speță, instanța de trimitere ridică problema despăgubirii care poate fi datorată reclamantului din litigiul principal în temeiul articolului 82 din acest regulament

33

Pe de o parte, aceasta urmărește să afle dacă norma prevăzută la articolul 82 alineatul (1) din RGPD are un caracter disuasiv sau punitiv, în plus față de funcția sa reparatorie, și, dacă este cazul, dacă ar trebui să se țină seama de respectivul caracter la stabilirea cuantumului daunelor interese acordate pentru prejudiciul moral, în special având în vedere principiile efectivității, proporționalității și echivalenței consacrate în alte domenii ale dreptului Uniunii.

34

Pe de altă parte, această instanță tinde să considere că răspunderea operatorului poate fi angajată în temeiul articolului 82 alineatul (1) menționat fără a fi necesar să se stabilească că acesta a săvârșit o culpă. Având totuși îndoieli, cu precădere având în vedere normele de drept german, ea ridică problema dacă ar trebui să se verifice că încălcarea RGPD în cauză este imputabilă operatorului ca urmare a unui act intenționat sau a unei neglijențe din partea sa și dacă gravitatea eventualei culpe a acestuia ar trebui să influențeze daunele interese acordate ca despăgubiri pentru un prejudiciu moral.

35

În aceste condiții, Bundesarbeitsgericht (Curtea Federală pentru Litigii de Muncă) a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

36

Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă, având în vedere interdicția prelucrării datelor privind sănătatea prevăzută la articolul 9 alineatul (1) din RGPD, alineatul (2) litera (h) al acestui articol trebuie interpretat în sensul că excepția pe care o prevede este aplicabilă situațiilor în care un organism de control medical prelucrează date privind sănătatea unuia dintre angajații săi nu în calitate de angajator, ci de serviciu medical pentru evaluarea capacității de muncă a acestui angajat.

37

Potrivit unei jurisprudențe constante, interpretarea unei dispoziții a dreptului Uniunii impune să se țină seama nu numai de termenii săi, ci și de contextul în care se înscrie, precum și de obiectivele și de finalitatea pe care le urmărește actul din care aceasta face parte. Geneza unei dispoziții a dreptului Uniunii poate de asemenea să ofere elemente relevante pentru interpretarea sa (Hotărârea din 16 martie 2023, Towercast, C‑449/21, EU:C:2023:207, punctul 31 și jurisprudența citată).

38

În primul rând, trebuie amintit că articolul 9 din RGPD privește, după cum indică titlul său, „[p]relucrarea de categorii speciale de date cu caracter personal”, calificate de asemenea drept date „sensibile” în considerentele (10) și (51) ale acestui regulament.

39

Potrivit considerentului 51 al RGPD, Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale.

40

Astfel, articolul 9 alineatul (1) din RGPD stabilește principiul interdicției prelucrării unor categorii speciale de date cu caracter personal pe care le enumeră. Printre acestea din urmă figurează „date privind sănătatea”, astfel cum sunt definite la articolul 4 punctul 15 din acest regulament, interpretat în lumina considerentului (35) al acestuia, care sunt vizate în prezenta cauză.

41

Curtea a precizat că finalitatea articolului 9 alineatul (1) din regulamentul menționat constă în a asigura o protecție sporită împotriva prelucrărilor care, din cauza caracterului deosebit de sensibil al datelor care fac obiectul acestora, sunt susceptibile să constituie o ingerință deosebit de gravă în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, garantate la articolele 7 și 8 din Carta drepturilor fundamentale [a se vedea în acest sens Hotărârea din 5 iunie 2023, Comisia/Polonia (Independența și viața privată a judecătorilor), C‑204/21, EU:C:2023:442, punctul 345 și jurisprudența citată].

42

Articolul 9 alineatul (2) literele (a)-(j) din RGPD prevede însă o listă exhaustivă de excepții de la principiul interdicției prelucrării acestor date sensibile.

43

În special, articolul 9 alineatul (2) litera (h) din RGPD permite o astfel de prelucrare dacă este „necesară în scopuri legate [printre altele] de evaluarea capacității de muncă a angajatului […] în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical”. Dispoziția respectivă precizează că orice prelucrare întemeiată pe aceasta se aplică în plus, în mod specific „sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul (3)” al articolului 9 menționat.

44

Din articolul 9 alineatul (2) litera (h) din RGPD coroborat cu alineatul (3) al acestui articol rezultă că posibilitatea de a prelucra date sensibile, cum sunt cele privind sănătatea, este strict încadrată de o serie de condiții cumulative. Acestea din urmă se referă, primo, la scopurile enumerate la litera (h) menționată – printre care figurează evaluarea capacității de muncă a unui angajat –, secundo, la temeiul juridic al acestei prelucrări – fie că este vorba despre dreptul Uniunii, despre dreptul intern sau despre un contract încheiat cu un profesionist din domeniul sănătății, potrivit aceleiași litere (h) –, și, în sfârșit, tertio, la obligația de confidențialitate pe care trebuie să o respecte persoanele abilitate să efectueze o astfel de prelucrare, în temeiul acestui articol 9 alineatul (3), toate aceste persoane trebuind să fie supuse unei obligații de confidențialitate în conformitate cu această din urmă dispoziție.

45

După cum a arătat în esență domnul avocat general la punctele 32 și 33 din concluzii, nici modul de redactare a articolului 9 alineatul (2) litera (h) din RGPD, nici geneza acestei dispoziții nu furnizează elemente de așa natură încât să se considere că aplicarea derogării prevăzute la dispoziția menționată ar fi rezervată, așa cum sugerează instanța de trimitere, ipotezelor în care prelucrarea este realizată de un „terț neutru, iar nu de angajator” al persoanei vizate, astfel cum este definită la articolul 4 punctul 1 din acest regulament

46

Având în vedere opinia instanței de trimitere potrivit căreia, în esență, un organism nu ar trebui să se poată întemeia pe „funcția sa dublă” de angajator al persoanei vizate și de serviciu medical pentru a eluda principiul interdicției prelucrării de date privind sănătatea, prevăzut la articolul 9 alineatul (1) din RGPD, este necesar să se precizeze că este determinant să se ia în considerare temeiul în care se efectuează prelucrarea acestor date.

47

Astfel, deși acest articol 9 alineatul (1) interzice în principiu prelucrarea de date privind sănătatea, alineatul (2) al articolului menționat prevede, la literele (a)-(j), zece derogări care sunt independente unele de altele și care trebuie, așadar, să fie apreciate în mod autonom. Rezultă că faptul că nu sunt întrunite condițiile de aplicare a uneia dintre derogările prevăzute la acest alineat (2) nu se poate opune posibilității unui operator de a invoca o altă derogare menționată la această dispoziție.

48

Din ceea ce precedă rezultă că articolul 9 alineatul (2) litera (h) din RGPD coroborat cu alineatul (3) al acestui articol nu exclude nicidecum aplicabilitatea excepției prevăzute la litera (h) unor situații în care un organism de control medical prelucrează date privind sănătatea unuia dintre angajații săi în calitate de serviciu medical, iar nu în calitate de angajator pentru evaluarea capacității de muncă a acestui angajat.

49

În al doilea rând, o asemenea interpretare este confirmată de luarea în considerare a sistemului în care se înscrie articolul 9 alineatul (2) litera (h) din RGPD, precum și de obiectivele pe care le urmăresc acest regulament și această dispoziție.

50

Primo, desigur, în măsura în care prevede o excepție de la principiul interzicerii prelucrării categoriilor speciale de date cu caracter personal, articolul 9 alineatul (2) din RGPD trebuie interpretat în mod restrictiv [Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 76].

51

Cu toate acestea, respectarea principiului interdicției prevăzut la articolul 9 alineatul (1) din RGPD nu poate conduce la reducerea domeniului de aplicare al unei alte dispoziții din acest regulament într‑un mod care ar fi contrar modului clar de redactare a acesteia din urmă. Or, interpretarea sugerată, potrivit căreia domeniul de aplicare al excepției prevăzute la acest articol 9 alineatul (2) litera (h) ar trebui să fie limitat la ipotezele în care un „terț neutru” prelucrează date privind sănătatea în vederea evaluării capacității de muncă a unui lucrător, ar adăuga o cerință care nu reiese nicidecum din modul clar de redactare a acestei din urmă dispoziții

52

În această privință, este lipsit de relevanță faptul că în speță, în ipoteza în care s‑ar interzice MDK Nordrhein să își îndeplinească misiunea de serviciu medical atunci când este vorba despre unul dintre propriii angajați, un alt organism de control medical ar fi în măsură să o preia. Trebuie subliniat că această alternativă, evocată de instanța de trimitere, nu este în mod necesar prezentă sau realizabilă în toate statele membre și în toate situațiile care pot fi guvernate de articolul 9 alineatul (2) litera (h) din RGPD. Or, interpretarea acestei dispoziții nu poate fi ghidată de considerații întemeiate pe sistemul de sănătate al unui singur stat membru sau rezultate din circumstanțe proprii litigiului principal.

53

Secundo, interpretarea care figurează la punctul 48 din prezenta hotărâre este conformă cu obiectivele RGPD și cu cele ale articolului 9 din acest regulament.

54

Astfel, considerentul (4) al RGPD enunță că dreptul la protecția datelor cu caracter personal nu este un drept absolut deoarece trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității (a se vedea în acest sens Hotărârea din 22 iunie 2023, Pankki S, C‑579/21, EU:C:2023:501, punctul 78). În plus, Curtea a subliniat deja că mecanismele care permit găsirea unui just echilibru între diferitele drepturi și interese în cauză sunt incluse în RGPD însuși (a se vedea în acest sens Hotărârea din 17 iunie 2021, M. I. C. M., C‑597/19, EU:C:2021:492, punctul 112).

55

Aceste considerații se aplică inclusiv atunci când datele în cauză se încadrează în categoriile speciale care sunt prevăzute la articolul 9 din acest regulament [a se vedea în acest sens Hotărârea din 24 septembrie 2019, GC și alții (Dezindexarea unor date sensibile), C‑136/17, EU:C:2019:773, punctele 57 și 66-68], cum sunt datele privind sănătatea.

56

Mai precis, din considerentul (52) al RGPD reiese că „derogarea de la interdicția privind prelucrarea [acestor] categorii speciale de date cu caracter personal” ar trebui să fie permisă „atunci când acest lucru se justifică din motive de interes public, în special […] în legislația privind ocuparea forței de muncă [și] protecția socială”, precum și „în scopuri medicale, […] în special în vederea asigurării calității și eficienței din punctul de vedere al costurilor ale procedurilor utilizate pentru soluționarea cererilor de prestații și servicii în cadrul sistemului de asigurări de sănătate”. Considerentul (53) al acestui regulament enunță de asemenea că prelucrările efectuate „în scopuri legate de sănătate” ar trebui să fie posibile „atunci când acest lucru este necesar pentru realizarea acestor scopuri în beneficiul persoanelor fizice și al societății în general, în special în contextul gestionării serviciilor și sistemelor de sănătate sau de [protecție] socială”.

57

Din această perspectivă de ansamblu și având în vedere diversele interese legitime în cauză, legiuitorul Uniunii a prevăzut, la articolul 9 alineatul (2) litera (h) din RGPD, o posibilitate de derogare de la principiul interdicției prelucrării datelor privind sănătatea enunțat la alineatul (1) al acestui articol, sub rezerva ca prelucrarea în cauză să respecte condițiile și garanțiile impuse în mod expres prin această literă (h) și prin celelalte dispoziții relevante ale acestui regulament, în special prin alineatul (3) al articolului 9 menționat, dispoziții în care nu figurează cerința ca un serviciu medical care prelucrează astfel de date în temeiul literei (h) menționate să fie o entitate distinctă de angajatorul persoanei vizate.

58

Ținând seama de motivele care precedă și fără a aduce atingere răspunsurilor care vor fi date la a doua și la a treia întrebare, trebuie să se răspundă la prima întrebare că articolul 9 alineatul (2) litera (h) din RGPD trebuie interpretat în sensul că excepția prevăzută de această dispoziție este aplicabilă situațiilor în care un organism de control medical prelucrează date privind sănătatea unuia dintre angajații săi nu în calitate de angajator, ci de serviciu medical, sub rezerva ca prelucrarea respectivă să îndeplinească condițiile și garanțiile impuse în mod expres de această literă (h) și de alineatul (3) al articolului 9 menționat.

59

Potrivit instanței de trimitere, din considerentele (35), (51), (53) și (75) ale RGPD reiese că nu este suficient să se îndeplinească cerințele articolului 9 alineatul (3) din acesta într‑o situație precum cea în discuție în litigiul principal, în care operatorul este totodată angajatorul persoanei a cărei capacitate de muncă este evaluată. Acest regulament ar impune în plus înlăturarea de la prelucrarea datelor privind sănătatea a tuturor angajaților operatorului susceptibil să aibă vreun contact profesional cu această persoană. În opinia acestei instanțe, orice operator care dispune de mai multe sedii, cum este MDK Nordrhein, ar trebui să se asigure că unitatea însărcinată cu prelucrarea datelor privind sănătatea angajaților acestui operator aparține întotdeauna de un alt sediu decât cel în care lucrează angajatul în cauză. În plus, obligația de păstrare a secretului profesional ce revine angajaților autorizați să prelucreze astfel de date nu ar împiedica în fapt ca un coleg al persoanei vizate să poată avea acces la datele care o privesc, ceea ce ar implica riscuri de producere a unor prejudicii, precum atingerea adusă reputației acesteia din urmă.

60

În aceste condiții, prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile RGPD trebuie interpretate în sensul că operatorul de date privind sănătatea, în temeiul articolului 9 alineatul (2) litera (h) din acest regulament, este obligat să garanteze că niciun coleg al persoanei vizate nu poate avea acces la datele referitoare la starea de sănătate a acesteia.

61

Trebuie amintit că, în temeiul articolului 9 alineatul (3) din RGPD, o prelucrare având ca obiect datele și care vizează scopurile enumerate la alineatul (1) și, respectiv, la alineatul (2) litera (h) ale acestui articol 9, în speță date privind sănătatea unui lucrător în scopul evaluării capacității sale de muncă, poate fi realizată numai în cazul în care aceste date sunt prelucrate de un profesionist din domeniul sănătății supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naționale competente sau de o altă persoană supusă, de asemenea, unei obligații de confidențialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naționale competente.

62

Prin adoptarea articolului 9 alineatul (3) din acest regulament, care se referă tocmai la alineatul (2) litera (h) al aceluiași articol, legiuitorul Uniunii a definit măsurile de protecție specifice pe care înțelegea să le impună operatorilor însărcinați cu astfel de prelucrări, măsuri care constau în faptul că prelucrările respective sunt rezervate persoanelor supuse unei obligații de confidențialitate, conform condițiilor detaliate la alineatul (3) menționat. Prin urmare, nu este necesar să se adauge la redactarea acestei din urmă dispoziții a unor cerințe pe care ea nu le menționează.

63

Rezultă, după cum domnul avocat general a arătat în esență la punctul 43 din concluziile prezentate, că articolul 9 alineatul (3) din RGPD nu poate servi drept temei juridic unei măsuri care să garanteze că niciun coleg al persoanei vizate nu poate avea acces la datele care se raportează la starea de sănătate a acesteia.

64

Trebuie să se aprecieze însă dacă cerința care constă în a garanta că niciun coleg al persoanei vizate nu are acces la datele referitoare la starea de sănătate a acesteia poate fi impusă operatorului de date privind sănătatea, în temeiul articolului 9 alineatul (2) litera (h) din RGPD, pe baza unei alte dispoziții din acest regulament.

65

În această privință, trebuie precizat că singura posibilitate a statelor membre de a adăuga o astfel de cerință, în raport cu cele prevăzute la alineatele (2) și (3) ale articolului 9 din acest regulament, constă în posibilitatea pe care le‑o conferă în mod explicit alineatul (4) al acestui articol de a „menține sau introduce condiții suplimentare, inclusiv restricții, în ceea ce privește prelucrarea […] datelor privind sănătatea”.

66

Totuși, aceste eventuale condiții suplimentare nu rezultă din dispozițiile RGPD în sine, ci, dacă este cazul, din normele de drept național care reglementează prelucrări de acest tip, norme în privința cărora acest regulament lasă în mod expres o marjă de apreciere statelor membre (a se vedea în acest sens Hotărârea din 30 martie 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, punctele 51 și 78).

67

În plus, trebuie subliniat că un stat membru care ar intenționa să utilizeze posibilitatea oferită la articolul 9 alineatul (4) din regulamentul menționat ar trebui, în conformitate cu principiul proporționalității, să se asigure că consecințele practice, în special de ordin organizațional, economic și medical, generate de cerințele suplimentare a căror respectare este impusă de acest stat nu sunt excesive pentru operatorii unui astfel de tratament, care nu dispun în mod necesar de dimensiuni sau de resurse tehnice și umane care să fie suficiente pentru a îndeplini aceste cerințe. Astfel, acestea nu pot aduce atingere efectului util al autorizației de prelucrare care este prevăzută în mod expres la articolul 9 alineatul (2) litera (h) din același regulament și este reglementată la alineatul (3) al acestui articol.

68

În sfârșit, trebuie subliniat că, în temeiul articolului 32 alineatul (1) literele (a) și (b) din RGPD, care concretizează principiile integrității și confidențialității menționate la articolul 5 alineatul (1) litera (f) din acest regulament, orice operator de date cu caracter personal are obligația de a implementa măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, în special pseudonimizarea și criptarea unor astfel de date, precum și capacitatea de a asigura printre altele confidențialitatea și integritatea sistemelor și serviciilor de prelucrare. Pentru a stabili modalitățile practice ale acestei obligații, operatorul trebuie, în conformitate cu acest articol 32 alineatul (1), să țină seama de stadiul actual al dezvoltării cunoștințelor, de costurile implementării și de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul cu diferite grade de probabilitate și gravitate, pentru drepturile și libertățile persoanelor fizice.

69

Va reveni însă instanței de trimitere sarcina de a aprecia dacă ansamblul măsurilor tehnice și organizatorice implementate în speță de MDK Nordrhein sunt conforme cu prevederile articolului 32 alineatul (1) literele (a) și (b) din RGPD.

70

Prin urmare, este necesar să se răspundă la a doua întrebare că articolul 9 alineatul (3) din RGPD trebuie interpretat în sensul că operatorul de date privind sănătatea, în temeiul articolului 9 alineatul (2) litera (h) din acest regulament, este obligat să garanteze că niciun coleg al persoanei vizate nu poate avea acces la datele referitoare la starea de sănătate a acesteia. Cu toate acestea, o asemenea obligație se poate impune operatorului unei astfel de prelucrări fie în temeiul unei reglementări adoptate de un stat membru potrivit articolului 9 alineatul (4) din regulamentul menționat, fie în temeiul principiilor integrității și confidențialității menționate la articolul 5 alineatul (1) litera (f) din același regulament și concretizate la articolul 32 alineatul (1) literele (a) și (b) din acesta.

71

Prin intermediul celei de a treia întrebări, instanța de trimitere ridică în esență problema dacă articolul 9 alineatul (2) litera (h) și articolul 6 alineatul (1) din RGPD trebuie interpretate în sensul că o prelucrare a datelor privind sănătatea întemeiată pe această primă dispoziție trebuie, pentru a fi legală, nu numai să respecte cerințele care decurg din aceasta, ci și să îndeplinească de asemenea cel puțin una dintre condițiile de legalitate prevăzute la acest articol 6 alineatul (1).

72

În această privință, trebuie amintit că articolele 5, 6 și 9 din RGPD figurează în capitolul II din acest regulament, intitulat „Principii”, și se referă la „[p]rincipii legate de prelucrarea datelor cu caracter personal”, la condiții privind „[l]egalitatea prelucrării” și, respectiv, la „[p]relucrarea de categorii speciale de date cu caracter personal”.

73

În plus, trebuie arătat că în cuprinsul considerentului (51) al RGPD se arată în mod explicit că, „[p]e lângă cerințele specifice” aplicabile prelucrărilor datelor „deosebit de sensibile”, care sunt prevăzute la articolul 9 alineatele (2) și (3) din acest regulament, fără a aduce atingere măsurilor adoptate eventual de un stat membru în temeiul alineatului (4) al acestui articol, „principiile generale și alte norme prevăzute de [respectivul] regulament ar trebui să se aplice [de asemenea] [unei astfel de prelucrări], în special în ceea ce privește condițiile pentru prelucrarea legală”, astfel cum rezultă acestea din articolul 6 din același regulament.

74

Prin urmare, conform articolului 6 alineatul (1) primul paragraf din RGPD, o prelucrare a unor date „deosebit de sensibile” precum cele privind sănătatea este legală numai dacă este îndeplinită cel puțin una dintre condițiile prevăzute la alineatul (1) primul paragraf literele (a)-(f).

75

Or, articolul 6 alineatul (1) primul paragraf din regulamentul menționat prevede o listă exhaustivă și limitativă de cazuri în care prelucrarea de date cu caracter personal poate fi considerată legală. Astfel, pentru a putea fi considerată legitimă, prelucrarea trebuie să se încadreze în unul dintre cazurile prevăzute de această dispoziție [Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 90, precum și jurisprudența citată].

76

Prin urmare, Curtea a statuat în mod repetat că orice prelucrare a datelor cu caracter personal trebuie să fie conformă cu principiile referitoare la prelucrarea datelor prevăzute la articolul 5 alineatul (1) din RGPD și să îndeplinească condițiile de legalitate a prelucrării enumerate la articolul 6 din acest regulament [Hotărârea din 4 mai 2023, Bundesrepublik Deutschland (Căsuță electronică judiciară), C‑60/22, EU:C:2023:373, punctul 57 și jurisprudența citată].

77

În plus, s‑a statuat deja că, în măsura în care articolele 7-11 din RGPD, care figurează, asemenea articolelor 5 și 6 din acesta, în capitolul II din respectivul regulament, care se referă la principii, au ca obiect precizarea întinderii obligațiilor care revin operatorului în temeiul articolului 5 alineatul (1) litera (a) și al articolului 6 alineatul (1) din regulamentul menționat, prelucrarea datelor cu caracter personal, pentru a fi legală, trebuie de asemenea să respecte, după cum reiese din jurisprudența Curții, aceste alte dispoziții din capitolul menționat, care privesc în esență consimțământul, prelucrarea unor categorii speciale de date cu caracter sensibil și prelucrarea datelor cu caracter personal referitoare la condamnări penale și la infracțiuni [Hotărârea din 4 mai 2023, Bundesrepublik Deutschland (Căsuță electronică judiciară), C‑60/22, EU:C:2023:373, punctul 58 și jurisprudența citată].

78

Rezultă în special că, în măsura în care articolul 9 alineatul (2) litera (h) din RGPD are ca obiect să precizeze conținutul obligațiilor care revin operatorului în temeiul articolului 5 alineatul (1) litera (a) și al articolului 6 alineatul (1) din acest regulament, o prelucrare a datelor privind sănătatea care se bazează pe această primă dispoziție trebuie să respecte, pentru a fi legală, atât cerințele care decurg din aceasta, cât și obligațiile care rezultă din aceste ultime două dispoziții și în special să îndeplinească cel puțin una dintre condițiile de legalitate prevăzute la acest articol 6 alineatul (1).

79

Având în vedere ceea ce precedă, trebuie să se răspundă la a treia întrebare că articolul 9 alineatul (2) litera (h) și articolul 6 alineatul (1) din RGPD trebuie interpretate în sensul că o prelucrare a datelor privind sănătatea întemeiată pe această primă dispoziție trebuie, pentru a fi legală, nu numai să respecte cerințele care decurg din aceasta, ci și să îndeplinească cel puțin una dintre condițiile de legalitate prevăzute la acest articol 6 alineatul (1).

80

Prin intermediul celei de a patra întrebări, instanța de trimitere urmărește să afle în esență dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că dreptul la despăgubiri, prevăzut de această dispoziție, îndeplinește nu numai o funcție compensatorie, ci și o funcție disuasivă sau punitivă și, în cazul unui răspuns afirmativ, dacă aceasta din urmă trebuie eventual luată în considerare la stabilirea cuantumului daunelor interese acordate ca despăgubiri pentru un prejudiciu moral în temeiul acestei dispoziții.

81

Trebuie amintit că articolul 82 alineatul (1) din RGPD prevede că „[o]rice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit”.

82

Curtea a interpretat această dispoziție în sensul că simpla încălcare a RGPD nu este suficientă pentru a conferi un drept la despăgubiri, după ce a subliniat printre altele că existența unui „prejudiciu” sau a unei „daune” care a fost „suferit/ă” constituie una dintre condițiile dreptului la despăgubiri prevăzut la acest articol 82 alineatul (1), la fel ca existența unei încălcări a acestui regulament și a unei legături de cauzalitate între acest prejudiciu și această încălcare, aceste trei condiții fiind cumulative [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 32 și 42].

83

În plus, Curtea a statuat că, întrucât RGPD nu conține nicio dispoziție care să aibă ca obiect definirea normelor privind evaluarea daunelor interese datorate în temeiul dreptului la despăgubiri consacrat la articolul 82 din acest regulament, instanțele naționale trebuie în acest scop să aplice, în temeiul principiului autonomiei procedurale, normele interne ale fiecărui stat membru referitoare la întinderea despăgubirilor pecuniare, cu condiția de a fi respectate principiile echivalenței și efectivității dreptului Uniunii, astfel cum sunt definite de jurisprudența constantă a Curții [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 53, 54 și 59].

84

În acest context și având în vedere considerentul (146) a șasea teză al RGPD, potrivit căruia acest instrument urmărește să asigure „despăgubiri integrale și eficace pentru prejudiciul […] suferit”, Curtea a arătat că, ținând seama de funcția compensatorie a dreptului la despăgubiri prevăzut la articolul 82 din acest regulament, o despăgubire pecuniară întemeiată pe acest articol trebuie considerată ca fiind „integrală și eficace” dacă permite compensarea integrală a prejudiciului concret suferit ca urmare a încălcării regulamentului menționat, fără a fi necesar, în vederea unei astfel de compensații integrale, să se impună plata unor daune interese punitive [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 57 și 58].

85

În această privință, trebuie subliniat că articolul 82 din RGPD nu are o funcție punitivă, ci compensatorie, spre deosebire de alte dispoziții din acest regulament care figurează de asemenea în capitolul VIII din acesta, și anume articolele 83 și 84, care au, la rândul lor, un scop în esență punitiv, întrucât permit aplicarea unor amenzi administrative, precum și a altor sancțiuni. Corelația dintre normele prevăzute la articolul 82 menționat și cele prevăzute la articolele 83 și 84 menționate demonstrează că există o diferență între aceste două categorii de dispoziții, dar și o complementaritate în ceea ce privește incitarea la respectarea RGPD, observându‑se că dreptul oricărei persoane de a solicita despăgubiri pentru un prejudiciu consolidează caracterul operațional al normelor de protecție prevăzute de acest regulament și este de natură să descurajeze repetarea comportamentelor ilegale [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 38 și 40].

86

Din moment ce dreptul la despăgubiri prevăzut la articolul 82 alineatul (1) din RGPD nu îndeplinește o funcție disuasivă, chiar punitivă, astfel cum este avută în vedere de instanța de trimitere, gravitatea încălcării acestui regulament care a cauzat prejudiciul în cauză nu poate influența cuantumul daunelor interese acordate în temeiul acestei dispoziții, nici chiar atunci când nu este vorba despre un prejudiciu material, ci despre un prejudiciu moral. Rezultă că acest cuantum nu poate fi stabilit la un nivel care să depășească compensarea integrală a acestui prejudiciu.

87

În consecință, este necesar să se răspundă la a patra întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că dreptul la despăgubiri pentru prejudiciul suferit, prevăzut de această dispoziție, îndeplinește o funcție compensatorie, întrucât o despăgubire pecuniară întemeiată pe dispoziția menționată trebuie să permită compensarea integrală a prejudiciului concret suferit ca urmare a încălcării acestui regulament, iar nu o funcție disuasivă sau punitivă.

88

Din elementele transmise de instanța de trimitere, ca răspuns la o cerere de lămuriri care i‑a fost adresată în conformitate cu articolul 101 din Regulamentul de procedură al Curții, reiese că a cincea întrebare urmărește să se stabilească, pe de o parte, dacă existența și/sau dovada unei culpe sunt condiții necesare pentru a putea fi angajată răspunderea operatorului sau a persoanei împuternicite de operator și, pe de altă parte, ce repercusiune poate avea gravitatea unei culpe a operatorului sau a persoanei împuternicite de operator asupra evaluării concrete a daunelor interese care trebuie plătite ca despăgubiri pentru prejudiciul moral suferit.

89

Ținând seama de acest răspuns al instanței de trimitere, este necesar să se înțeleagă a cincea întrebare ca urmărind în esență să se stabilească, pe de o parte, dacă articolul 82 din RGPD trebuie interpretat în sensul că angajarea răspunderii operatorului este condiționată de existența unei culpe a acestuia și, pe de altă parte, dacă gravitatea acestei culpe trebuie luată în considerare la stabilirea cuantumului daunelor interese acordate ca despăgubiri pentru un prejudiciu moral în temeiul acestei dispoziții.

90

În ceea ce privește prima parte a acestei întrebări, trebuie observat că, după cum s‑a amintit la punctul 82 din prezenta hotărâre, articolul 82 alineatul (1) din RGPD condiționează dreptul la reparație de întrunirea a trei elemente, și anume existența unei încălcări a acestui regulament, existența unui prejudiciu suferit, precum și existența unei legături de cauzalitate între această încălcare și prejudiciul respectiv.

91

Articolul 82 alineatul (2) din RGPD prevede, la rândul său, că orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă acest regulament. Or, modul de redactare a acestei dispoziții în unele dintre versiunile sale lingvistice, în special versiunea germană care este cea a limbii de procedură în prezenta cauză, nu permite să se stabilească cu certitudine dacă încălcarea în discuție trebuie să fie imputabilă operatorului pentru ca răspunderea sa să poată fi angajată.

92

În această privință, dintr‑o analiză a diferitelor versiuni lingvistice ale primei teze a articolului 82 alineatul (2) din RGPD reiese că se prezumă că operatorul a fost implicat în operațiunile de prelucrare ce constituie încălcarea acestui regulament care este vizată. Astfel, în timp ce versiunile în limbile germană, franceză sau finlandeză au fost formulate în mod deschis, o serie de alte versiuni lingvistice se dovedesc a fi mai precise și utilizează un determinant demonstrativ pentru a treia ocurență a termenului „prelucrare” sau pentru a treia referire la acest termen, astfel încât este clar că această a treia ocurență sau referire face trimitere la aceeași operațiune ca a doua ocurență a acestui termen. Aceasta este situația versiunilor în limbile spaniolă, estonă, greacă, italiană sau română.

93

Articolul 82 alineatul (3) din RGPD precizează, din această perspectivă, că un operator este exonerat de răspundere în temeiul alineatului (2) al acestui articol 82 dacă dovedește că nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul.

94

Reiese astfel dintr‑o analiză coroborată a acestor diferite dispoziții ale articolului 82 din RGPD că acest articol prevede un regim de răspundere bazată pe culpă în care sarcina probei nu revine persoanei care a suferit un prejudiciu, ci operatorului.

95

O asemenea interpretare este confirmată de contextul în care se înscrie acest articol 82, precum și de obiectivele urmărite de legiuitorul Uniunii prin intermediul RGPD.

96

În această privință, primo, din modul de redactare a articolelor 24 și 32 din RGPD reiese că aceste dispoziții se limitează să impună operatorului să adopte măsuri tehnice și organizatorice destinate să evite, în măsura posibilului, orice încălcare a datelor cu caracter personal. Caracterul adecvat al unor asemenea măsuri trebuie evaluat în mod concret, examinând dacă aceste măsuri au fost implementate de acest operator ținând seama de diferitele criterii prevăzute la articolele menționate și de nevoile de protecție a datelor inerente în mod specific prelucrării în cauză, precum și riscurilor pe care le presupune aceasta din urmă (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punctul 30).

97

Or, o asemenea obligație ar fi repusă în discuție dacă operatorul ar fi obligat apoi să repare orice prejudiciu cauzat de o operațiune de prelucrare efectuată cu încălcarea RGPD.

98

Secundo, în ceea ce privește obiectivele RGPD, reiese din considerentele (4)-(8) ale acestui regulament că acesta urmărește să pună în aplicare un echilibru între interesele operatorilor de date cu caracter personal și drepturile persoanelor ale căror date sunt prelucrate. Scopul urmărit este de a permite dezvoltarea economiei digitale, asigurându‑se în același timp un nivel ridicat de protecție a persoanelor. Astfel, este vizată o evaluare comparativă a intereselor operatorului și ale persoanelor ale căror date cu caracter personal sunt prelucrate. Or, un mecanism de răspundere bazată pe culpă însoțit de o răsturnare a sarcinii probei, astfel cum prevede articolul 82 din RGPD, permite tocmai asigurarea unui astfel de echilibru.

99

Pe de o parte, așa cum a observat domnul avocat general în esență la punctul 93 din concluzii, nu ar fi conform cu obiectivul unei astfel de protecții ridicate să se opteze pentru o interpretare potrivit căreia persoanele vizate care au suferit un prejudiciu ca urmare a unei încălcări a RGPD ar trebui, în cadrul unei acțiuni în despăgubire întemeiate pe articolul 82 din acesta, să suporte nu numai sarcina probei existenței acestei încălcări și a prejudiciului care a rezultat pentru ele, ci și existența unei fapte culpabile săvârșite de operator în mod intenționat sau din neglijență sau chiar gradul de gravitate a acestei culpe, chiar dacă articolul 82 menționat nu prevede astfel de cerințe (a se vedea prin analogie Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punctul 56).

100

Pe de altă parte, un regim de răspundere obiectivă nu ar asigura realizarea obiectivului securității juridice urmărit de legiuitor, astfel cum reiese din considerentul (7) al RGPD.

101

În ceea ce privește a doua parte a celei de a cincea întrebări, referitoare la stabilirea cuantumului daunelor interese eventual datorate în temeiul articolului 82 din RGPD, trebuie amintit că, după cum s‑a subliniat la punctul 83 din prezenta hotărâre, în vederea evaluării acestor daune interese, instanțele naționale trebuie să aplice normele interne ale fiecărui stat membru referitoare la întinderea despăgubirilor pecuniare, cu condiția de a fi respectate principiile echivalenței și efectivității dreptului Uniunii, astfel cum sunt definite de jurisprudența constantă a Curții.

102

Trebuie precizat că, având în vedere funcția sa compensatorie, articolul 82 din RGPD nu impune ca gradul de gravitate a încălcării acestui regulament, pe care se prezumă că a săvârșit‑o operatorul, să fie luat în considerare la stabilirea cuantumului daunelor interese acordate pentru repararea prejudiciului moral în temeiul acestei dispoziții, ci impune ca acest cuantum să fie stabilit astfel încât să compenseze integral prejudiciul concret suferit ca urmare a încălcării regulamentului menționat, așa cum reiese din cuprinsul punctelor 84 și 87 din prezenta hotărâre.

103

În consecință, este necesar să se răspundă la a cincea întrebare că articolul 82 din RGPD trebuie interpretat în sensul că, pe de o parte, angajarea răspunderii operatorului este condiționată de existența unei culpe a acestuia care este prezumată cu excepția cazului în care acesta din urmă dovedește că evenimentul care a provocat prejudiciul nu îi este nicidecum imputabil și, pe de altă parte, acest articol 82 nu impune ca gravitatea acestei culpe să fie luată în considerare la stabilirea cuantumului daunelor interese acordate ca despăgubiri pentru un prejudiciu moral în temeiul acestei dispoziții.

104

Întrucât, în privința părților din acțiunea principală, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera a treia) declară: