Sent. C. Giustizia UE 21/12/2023, n. C-667/21

1) L’articolo 9, paragrafo 2, lettera h), del regolamento 2016/679/UE del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che l’eccezione prevista a tale disposizione è applicabile alle situazioni in cui un organismo di controllo medico tratta dati relativi alla salute di uno dei suoi dipendenti in qualità non di datore di lavoro, bensì di servizio medico, al fine di valutare la capacità lavorativa di tale dipendente, purché tale trattamento soddisfi le condizioni e le garanzie espressamente imposte da tale punto h) e dal paragrafo 3 di detto articolo 9.

2) L’articolo 9, paragrafo 3, del regolamento 2016/679 deve essere interpretato nel senso che il titolare di un trattamento di dati relativi alla salute, fondato sull’articolo 9, paragrafo 2, lettera h), di tale regolamento, non è tenuto, in base a tali disposizioni, a garantire che nessun collega dell’interessato possa accedere ai dati relativi allo stato di salute di quest’ultimo. Tuttavia, un siffatto obbligo può essere imposto a carico del responsabile di un tale trattamento in virtù di una normativa adottata da uno Stato membro in base all’articolo 9, paragrafo 4, di detto regolamento, o a titolo dei principi di integrità e di riservatezza sanciti all’articolo 5, paragrafo 1, lettera f), del medesimo regolamento e concretizzati all’articolo 32, paragrafo 1, lettere a) e b), di quest’ultimo.

3) L’articolo 9, paragrafo 2, lettera h), e l’articolo 6, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che un trattamento di dati relativi alla salute fondato su tale prima disposizione deve, per essere lecito, non solo rispettare i requisiti da essa previsti, ma anche soddisfare almeno una delle condizioni di liceità enunciate a tale articolo 6, paragrafo 1.

4) L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che il diritto al risarcimento previsto a tale disposizione svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva.

5) L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione.