sábado, 23 de diciembre de 2023

Aceptación del tratamiento de datos sobre la salud por un servicio médico que es también empleador del trabajador. Notas a la sentencia del TJUE de 21 de diciembre de 2023 (asunto C-667/21)

 

1. Es objeto de anotación en esta entrada del blog la sentencia   dictada por la Sala tercera del Tribunal de Justicia de la Unión Europea el 21 de diciembre (asunto C-667/21), con ocasión de la petición de decisión prejudicial plantada, al amparo del art. 267 del Tratado de funcionamiento de la UE, por el Tribunal Supremo de lo laboral de Alemania.

El litigio versa sobre la interpretación del art. 9, apartados 1, 2, letra h), y 3, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en relación con el art.6.1, y la interpretación del art. 82.1. Se plantea entre un trabajador y su empleador, el Servicio Médico del Seguro de Enfermedad de Renania del Norte, “en relación con la indemnización de los daños y perjuicios que el primero alega haber sufrido como consecuencia de un tratamiento de datos relativos a su salud realizado de manera ilícita por el segundo”.

El interés especial de la sentencia radica a mi parecer en el amplio examen que ha de efectuar la sentencia sobre el tratamiento de datos personales, en concreto los relativos a la salud, y los supuestos en que pueda quedar exceptuada la prohibición general de aquel, siendo además un supuesto especial en cuanto que la empresa en la que presta servicios el trabajador está dedicada, entre otras actividades (véase apartado 19),  a “emitir informes médicos con el fin de disipar dudas relativas a la incapacidad laboral de las personas aseguradas en las cajas de seguro obligatorio de enfermedad comprendidas en su ámbito de competencia, incluso cuando esos informes se refieren a sus propios empleados” (la negrita es mía).

El abogado general, M. Campos Sánchez-Bordona, presentó sus conclusiones generales  el 25 de mayo, en cuya introducción destaca que “Este reenvío prejudicial versa sobre la interpretación del Reglamento (UE) 2016/679 en relación con: a) el tratamiento de los datos personales relativos a la salud; y b) la indemnización por los daños sufridos a consecuencia de una (supuesta) infracción del propio RGPD” y que “el Tribunal de Justicia ya ha pronunciado sobre los preceptos del RGPD que afectan a esas cuestiones, las planteadas en este reenvío prejudicial son inéditas, con la salvedad de la cuarta” (la negrita es mía). Sus propuestas de fallo serán sustancialmente acogidas por el TJUE.

El amplio resumen oficial de la sentencia es el siguiente: “Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 6, apartado 1 — Condiciones de licitud del tratamiento — Artículo 9, apartados 1 a 3 — Tratamiento de categorías especiales de datos — Datos relativos a la salud — Evaluación de la capacidad laboral de un trabajador — Servicio médico en materia de seguro de enfermedad que trata datos relativos a la salud de sus propios trabajadores — Procedencia y condiciones de tal tratamiento — Artículo 82, apartado 1 — Derecho a indemnización y responsabilidad — Indemnización de daños y perjuicios inmateriales — Función compensatoria — Incidencia de la culpa del responsable del tratamiento”.

Cabe destacar asimismo que al día siguiente del dictado de la sentencia, se publicó el  Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos). Su art. 1.5 dispone que

“El presente Reglamento se entenderá sin perjuicio del Derecho de la Unión ni del Derecho nacional en materia de protección de datos personales, de la intimidad y de la confidencialidad de las comunicaciones e integridad de los equipos terminales, que se aplicará a los datos personales tratados en relación con los derechos y obligaciones establecidos en el presente Reglamento, en particular, los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva 2002/58/CE, incluidos los poderes y competencias de las autoridades de control y de los derechos de los interesados. En la medida en que los usuarios tengan la condición de interesados, los derechos establecidos en el capítulo II del presente Reglamento complementarán el derecho de acceso de los interesados y los derechos a la portabilidad de los datos con arreglo a los artículos 15 y 20 del Reglamento (UE) 2016/679. En caso de conflicto entre el presente Reglamento y el Derecho de la Unión en materia de protección de datos personales o de la intimidad, o la normativa nacional adoptada de conformidad con el Derecho de la Unión en la materia, prevalecerá el Derecho aplicable de la Unión o nacional en materia de protección de datos personales o de la intimidad”.

En fin, una sentencia más del TJUE con indudable interés para el mundo jurídico laboralista, que está dedicando su atención cada vez más a su jurisprudencia. Un reciente ejemplo es la publicación de la obra colectiva “Aplicación por los tribunalesespañoles de la jurisprudencia del Tribunal de Justicia de la Unión Europea enmateria social”   , coordinada por la profesora Arántzazu Vicente Palacio, de la reproduzco su presentación:

“El Tribunal de Justicia de la Unión Europea se ha convertido en un agente clave en la conformación del Derecho del Trabajo y de la Seguridad Social, tanto por el efecto directo que la sentencia comunitaria tiene en la resolución del proceso en el que el juez nacional presenta la cuestión prejudicial, como por su influencia indirecta sobre los tribunales nacionales, que deben ejercer su función jurisdiccional adecuando la interpretación de la norma nacional a la interpretación judicial comunitaria, y sobre el legislador, que en no pocas ocasiones ha tenido que acometer reformas para ajustar nuestro ordenamiento jurídico a la interpretación del Tribunal comunitario. En definitiva, la jurisprudencia comunitaria ha reforzado los derechos de los trabajadores pues, superando el principio de territorialidad y la tradicional primacía del Derecho nacional, lleva a cabo una labor de uniformización en la aplicación de los pilares del modelo social europeo, contribuyendo a su consolidación y al reforzamiento del sentimiento europeísta. Esta monografía es fruto del trabajo desarrollado en el Proyecto de Investigación «Aplicación por los Tribunales españoles de la jurisprudencia comunitaria en materia social» del Grupo de Investigación 060 (Derecho del Trabajo y de la Seguridad Social) de la Universidad Jaume I-Castellón del Plan de Promoción de la Investigación UJI. Su objetivo era llevar a cabo un estudio de la recepción de la doctrina del Tribunal de Justicia de la Unión Europea por el legislador y los tribunales españoles del orden social, en suma, analizar el grado de penetración de la doctrina jurisprudencial en el ordenamiento jurídico español”.

2. El litigio encuentra su origen en sede judicial alemana con la presentación de una demanda por parte de un trabajador que prestaba su actividad para un organismo público, la Caja de seguro obligatorio de enfermedad de Renania del Norte, más concretamente en el servicio informático de la misma. A través de los apartados 19 a 34 conocemos detalladamente todos los avatares del caso, que finalmente llevarán al Tribunal Supremo a plantear cinco cuestiones prejudiciales.

Ya he indicado con anterioridad que dicho organismo emite informes médicos, incluso de sus trabajadores, sabiendo por el apartado 20 que “En tal caso, solo los miembros de una unidad especial, denominada «unidad de casos especiales», están autorizados a tratar los datos denominados «sociales» de ese empleado, utilizando un dominio bloqueado del sistema informático de ese organismo, y a acceder a los archivos digitales, tras la finalización del expediente relativo al informe pericial. Una instrucción interna relativa a estos casos establece, en particular, que un número limitado de trabajadores autorizados, incluidos algunos trabajadores del servicio informático, tendrán acceso a dichos datos”.

Pues bien, el trabajador fue dado de baja por incapacidad temporal, y más adelante ocurrió lo siguiente (apartados 21 ya 23):

“... Al término del semestre durante el cual ese organismo, como empleador, continuó retribuyéndole, la caja de seguro obligatorio de enfermedad a la que estaba afiliado comenzó a pagarle prestaciones por enfermedad.

22      Esta caja solicitó entonces al MDK Nordrhein que emitiera un informe pericial sobre la incapacidad laboral del demandante en el litigio principal. Un médico que trabajaba en la «unidad de casos especiales» del MDK Nordrhein emitió el informe pericial, recabando, en particular, información del médico de cabecera del demandante en el litigio principal. Cuando su médico de cabecera le informó de ello, se puso en contacto con uno de sus compañeros de trabajo del servicio informático y le pidió que tomara fotografías del informe pericial que figuraba en los archivos digitales del MDK Nordrhein y que se las enviara posteriormente.

23      Al considerar que, de este modo, su empleador había tratado datos relativos a su salud ilícitamente, el demandante en el litigio principal reclamó a su empleador que le abonara una indemnización por importe de 20 000 euros, reclamación que fue rechazada por el MDK Nordrhein”.

Tras el rechazo de la petición, presentó demanda ante el tribunal de lo laboral de Düsseldorf, con apoyo en el art. 82.1 del RGPD, en el que entre otros argumentos exponía que se había producido una infracción de las normas que protegen los datos sobre la salud de cada trabajador, y que ello le había provocado perjuicios “tanto materiales como inmateriales”, tesis rechazada por su empresa, que alegó que había respetado escrupulosamente la normativa sobre protección de datos.

Desestimada la demanda tanto en instancia como posteriormente en apelación, el trabajador interpuso recurso de casación ante el TS, que antes de presentar la petición de decisión prejudicial examinó muy atentamente la cuestión litigiosa, partiendo de la premisa de estar ante un caso en el que se da el tratamiento de datos personales, en concreto sobre la salud, y que el responsable de dicho tratamiento es la empresa, siendo el dato especialmente novedoso en esta ocasión, como ya he subrayado antes, que el tratamiento sobre cuya legalidad se debate “fue realizado por un organismo que también es el empleador del interesado”, y tras llevarlo a cabo, presentó, ante las numerosas dudas que le surgían sobre la correcta aplicación de varios preceptos del RGPS, cinco cuestiones prejudiciales, todas ellas respondidas por el TJUE, que eran las siguientes:

“1)      ¿Debe interpretarse el artículo 9, apartado 2, letra h), del [RGPD] en el sentido de que prohíbe a un servicio médico de una caja de seguro de enfermedad tratar datos relativos a la salud de un trabajador de dicho servicio, cuando son indispensables para la evaluación de la capacidad laboral de ese trabajador?

2)      En caso de respuesta negativa del Tribunal de Justicia a la primera cuestión prejudicial, de manera que conforme a lo dispuesto en el artículo 9, apartado 2, letra h), del RGPD habría que considerar la posibilidad de que exista una excepción a la prohibición de tratamiento de datos relativos a la salud establecida en el artículo 9, apartado 1, del RGPD, ¿deben respetarse en un caso como el de autos, además de los requisitos establecidos en el artículo 9, apartado 3, del RGPD, exigencias añadidas en materia de protección de datos y, en su caso, cuáles serían?

3)      En caso de respuesta negativa del Tribunal de Justicia a la primera cuestión prejudicial, de manera que conforme a lo dispuesto en el artículo 9, apartado 2, letra h), del RGPD habría que considerar la posibilidad de que exista una excepción a la prohibición de tratamiento de datos relativos a la salud establecida en el artículo 9, apartado 1, del RGPD, ¿depende en un caso como el de autos la admisibilidad o la licitud del tratamiento de datos relativos a la salud de que se cumpla, además, al menos una de las condiciones señaladas en el artículo 6, apartado 1, del RGPD?

4)      ¿Tiene el artículo 82, apartado 1, del RGPD naturaleza preventiva especial o general y debe tenerse ello en cuenta en detrimento del responsable o del encargado del tratamiento al cuantificar el importe de los daños y perjuicios inmateriales que deben indemnizarse con base en el artículo 82, apartado 1, del RGPD?

5)      ¿Es relevante el grado de culpa del responsable o del encargado del tratamiento al cuantificar el importe de los daños y perjuicios inmateriales que deben indemnizarse con base en el artículo 82, apartado 1, del RGPD? En particular, ¿puede tenerse en cuenta a favor del responsable o del encargado del tratamiento la inexistencia de culpa o la existencia de culpa leve por su parte?”

3. El TJUE pasa revista a la normativa europea y estatal aplicable.

De la primera, hay muy amplias referencias a los considerandos y al articulado del RGPD. De los primeros, son mencionados los núms. 4 a 8, 10, 35, 51 a 53, 75 y 146. De los artículos de la norma, se mencionan el apartado 1 del art. 2 (ámbito de aplicación material, dentro de “disposiciones generales”); art. 4 (definiciones), que conceptúa como datos personales “toda información sobre una persona física identificada o identificable...”, y datos relativos a la salud los “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”; art. 5  (principios relativos al tratamiento); art. 6 (licitud del tratamiento); art. 9 (tratamiento de categorías especiales de datos personales, que incluye la prohibición de datos relativos a la salud, y establece las excepciones a ello); arts. 24 a 43 (responsable del tratamiento y encargado del tratamiento); art. 82 (derecho a indemnización y responsabilidad); art. 83 (condiciones generales para la imposición de multas administrativas); art. 84 (sanciones).

Del derecho alemán solo son citados los arts. 275.1 y 278.1 del Código de Seguridad Social, Libro V, disponiendo el primero que las cajas de seguro obligatorio de enfermedad están obligadas a solicitar a un servicio médico que las asiste “la realización de un informe pericial destinado, en particular, a disipar dudas sobre la incapacidad laboral de un asegurado, en los casos determinados por la ley o cuando su enfermedad lo requiera”, y el segundo que “en cada uno de los estados federados se creará un servicio médico de este tipo, bajo la forma de organismo de Derecho público”.

4. Al entrar en la resolución del conflicto y abordarla primera cuestión prejudicial el TJUE recuerda su consolidada jurisprudencia de deber ser interpretada una disposición del Derecho de la Unión “requiere tomar en consideración no solamente su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte. La génesis de una disposición del Derecho de la Unión también puede mostrar elementos pertinentes para su interpretación”.

A continuación analiza detenidamente el contenido del art. 9, apartados 1 y 2, del RGPD, y manifiesta su coincidencia con la tesis del abogado general respecto a que “... ni el tenor del artículo 9, apartado 2, letra h), del RGPD ni la génesis de esta disposición proporcionan datos que permitan considerar que la aplicación de la excepción contemplada en esa disposición esté reservada a los supuestos en los que el tratamiento sea realizado por un «tercero neutro y no por el empleador» del interesado, tal como se define en el artículo 4, punto 1, de ese Reglamento”

De especial interés me parece la manifestación efectuada por el TJUE en el apartado 52, desde una perspectiva de aplicación general del Derecho de la Unión, que es la siguiente: “... es irrelevante que, en el presente asunto, en el supuesto de que se prohibiera al MDK Nordrhein cumplir su función de servicio médico cuando se trate de uno de sus propios empleados otro organismo de control médico pudiera encargarse de ello. Es preciso subrayar que esta alternativa, mencionada por el órgano jurisdiccional remitente, no necesariamente existe o es practicable en todos los Estados miembros y en todas las situaciones que puedan estar comprendidas en el artículo 9, apartado 2, letra h), del RGPD. Pues bien, la interpretación de esta disposición no puede guiarse por consideraciones basadas en el sistema sanitario de un único Estado miembro o derivadas de circunstancias propias del litigio principal” (la negrita es mía).

Tras concluir que en el RGDP, y en particular el art. 9, “no figura el requisito de que un servicio médico que trate tales datos con arreglo a la citada letra h) sea una entidad distinta del empleador del interesado”, concluye, como respuesta a la primera cuestión prejudicial que

“Habida cuenta de los motivos anteriores, y sin perjuicio de las respuestas que se den a las cuestiones prejudiciales segunda y tercera, procede responder a la primera cuestión prejudicial que el artículo 9, apartado 2, letra h), del RGPD debe interpretarse en el sentido de que la excepción contemplada en esta disposición es aplicable a las situaciones en las que un organismo de control médico trate datos relativos a la salud de uno de sus empleados no como empleador, sino como servicio médico, con el fin de evaluar la capacidad laboral de ese trabajador, siempre que el tratamiento en cuestión cumpla los requisitos y observe las garantías que impone expresamente esa letra h) y el apartado 3 de dicho artículo 9”.

El abogado general, en la misma línea había propuesto el siguiente fallo: la no prohibición a un servicio médico de una caja de seguro de enfermedad de “tratar datos relativos a la salud de un trabajador de dicho servicio, cuando son indispensables para la evaluación de su capacidad laboral”.

5. Con respecto a la segunda cuestión prejudicial, el TJUE manifiesta su conformidad con la tesis del abogado general de no poder servir el art. 93 del RGPD como base jurídica “para una medida que garantice que ningún compañero de trabajo del interesado pueda acceder a los datos relativos al estado de salud de este”, y que solo podría establecerse tal restricción si el Estado la hubiera incorporado en su normativa en virtud del margen de apreciación del que disponen los Estados miembros.

Tras exponer, de acuerdo al marco normativo comunitario, todas las cautelas que deben respetar las legislaciones nacionales si establecen tan restricción, y trasladar al órgano jurisdiccional nacional remitente que compruebe si se cumplen en el caso examinado, concluye que

“procede responder a la segunda cuestión prejudicial que el artículo 9, apartado 3, del RGPD debe interpretarse en el sentido de que el responsable de un tratamiento de datos relativos a la salud, basado en el artículo 9, apartado 2, letra h), de ese Reglamento, no está obligado, en virtud de estas disposiciones, a garantizar que ningún compañero de trabajo del interesado pueda acceder a los datos relativos al estado de salud de este. No obstante, podrá imponerse tal obligación al responsable de ese tratamiento bien en virtud de una normativa adoptada por un Estado miembro sobre la base del artículo 9, apartado 4, de dicho Reglamento, bien en virtud de los principios de integridad y confidencialidad enunciados en el artículo 5, apartado 1, letra f), del mismo Reglamento y concretados en el artículo 32, apartado 1, letras a) y b), de este”.

En la misma línea, el abogado general mantuvo que se admitiera la excepción a la prohibición de tratar datos personales relativos a la salud, “cuando ese tratamiento sea necesario para fines de evaluación de la capacidad laboral del trabajador, se sujete a los principios del artículo 5 y a alguna de las condiciones de licitud previstas en el artículo 6 del Reglamento 2016/679”.

6. Pasemos a la tercera cuestión prejudicial. Tras poner de manifiesto que, de conformidad con el artículo 6, apartado 1, párrafo primero, del RGPD, un tratamiento de datos «particularmente sensibles», como los relativos a la salud, “solo será lícito si se cumple al menos una de las condiciones enunciadas en dicho apartado 1, párrafo primero, letras a) a f)”, y que “... en la medida en que el artículo 9, apartado 2, letra h), del RGPD tiene por objeto precisar el alcance de las obligaciones que incumben al responsable del tratamiento en virtud del artículo 5, apartado 1, letra a), y del artículo 6, apartado 1, de ese Reglamento, un tratamiento de datos relativos a la salud basado en esa primera disposición debe respetar, para ser lícito, tanto los requisitos que se derivan de esta como las obligaciones resultantes de estas dos últimas disposiciones y, en particular, cumplir al menos una de las condiciones de licitud establecidas en ese artículo 6, apartado 1”, concluye que

“procede responder a la tercera cuestión prejudicial que los artículos 9, apartado 2, letra h), y 6, apartado 1, del RGPD deben interpretarse en el sentido de que un tratamiento de datos relativos a la salud basado en esta primera disposición debe, para ser lícito, no solo cumplir los requisitos que se derivan de esta, sino también, al menos, una de las condiciones de licitud enunciadas en ese artículo 6, apartado 1”.

7. Sobre la cuarta cuestión prejudicial, el TJUE recuerda primeramente el contenido del art. 82.1 del RGPD y la jurisprudencia dictada al respecto, trayendo a colación la sentada en la sentencia de 4 de mayo de 2023 (asunto C-300/21), según la cual “... “a la vista de la función compensatoria del derecho a indemnización previsto en el artículo 82 de ese Reglamento, una indemnización pecuniaria basada en este artículo debe considerarse «total y efectiva» si permite compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de dicho Reglamento, sin que sea necesario, a efectos de tal compensación íntegra, imponer el pago de indemnizaciones de carácter punitivo”.

Por ello concluye que “... Dado que el derecho a indemnización contemplado en el artículo 82, apartado 1, del RGPD no cumple una función disuasoria, ni siquiera punitiva, tal como contempla el órgano jurisdiccional remitente, la gravedad de la infracción de ese Reglamento que haya causado los daños y perjuicios en cuestión no puede influir en el importe de la indemnización en este concepto concedida en virtud de dicha disposición, ni siquiera cuando los daños y perjuicios no sean materiales, sino inmateriales. De ello se deduce que ese importe no puede fijarse en una cuantía que exceda de la compensación completa de ese perjuicio”,

“... procede responder a la cuarta cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que el derecho a indemnización contemplado en esa disposición cumple una función compensatoria, dado que una reparación pecuniaria basada en dicha disposición debe permitir compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de ese Reglamento, y no una función disuasoria o punitiva”.

8. Por último, se aborda la quinta cuestión prejudicial. Es interesante destacar el apartado 92 de la sentencia, en el que el TJUE constata que “...  del análisis de las diferentes versiones lingüísticas de la primera frase del artículo 82, apartado 2, del RGPD se desprende que se presume que el responsable del tratamiento ha participado en la operación de tratamiento que constituye la infracción de ese Reglamento a la que se hace referencia. En efecto, mientras que las versiones en alemán, francés o finés están formuladas de manera abierta, otras versiones lingüísticas resultan más precisas y utilizan un determinante demostrativo para la tercera aparición del término «tratamiento», o para la tercera referencia a ese término, de modo que está claro que esta tercera aparición o referencia alude a la misma operación que la segunda aparición de este término. Es el caso de las versiones en lengua española, estonia, griega, italiana o rumana”, y poniéndolo en relación con el apartado 3 concluye que el artículo “establece un régimen de responsabilidad por culpa en el que la carga de la prueba no recae sobre la persona que ha sufrido los daños y perjuicios, sino sobre el responsable del tratamiento”, debiendo este “adoptar medidas técnicas y organizativas destinadas a evitar, en la medida de lo posible, cualquier violación de los datos personales”. Por otra parte, el TJUE sostiene que un régimen de responsabilidad objetiva “no garantizaría la consecución del objetivo de seguridad jurídica perseguido por el legislador”.

Con respecto a la cuantía de la indemnización, “los jueces nacionales deben aplicar las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión, tal como se definen en reiterada jurisprudencia del Tribunal de Justicia”.

En definitiva, concluye el TJUE que “procede responder a la quinta cuestión prejudicial que el artículo 82 del RGPD debe interpretarse en el sentido de que, por una parte, el nacimiento de la responsabilidad del responsable del tratamiento está supeditado a la existencia de culpa por parte de este, la cual se presume, a menos que este demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios, y, por otra parte, ese artículo 82 no exige que el grado de culpa se tenga en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición”.

En esta línea, el abogado general sostuvo que  “El grado de culpa del responsable o del encargado del tratamiento no es relevante para generar la responsabilidad de uno u otro, ni para cuantificar el importe de los daños y perjuicios inmateriales que deben indemnizarse con arreglo al artículo 82, apartado 1, del Reglamento 2016/679”, y que “La intervención del interesado en el hecho del que deriva la obligación de indemnizar puede determinar, según los casos, la exención de responsabilidad del responsable o del encargado del tratamiento recogida en el artículo 82, apartado 3, del Reglamento 2016/679”.

Buena lectura.

 

No hay comentarios: