Sentencia K GmbH de 19 de diciembre de 2024

 SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Octava)

de 19 de diciembre de 2024 (*)

« Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 88, apartados 1 y 2 — Tratamiento de datos en el ámbito laboral — Datos personales de los trabajadores — Normas más específicas establecidas por un Estado miembro en virtud de dicho artículo 88 — Obligación de cumplir los artículos 5, 6, apartado 1, y 9, apartados 1 y 2, de ese Reglamento — Tratamiento sobre la base de un convenio colectivo — Margen de apreciación de las partes en el convenio colectivo en cuanto a la necesidad del tratamiento de los datos personales previsto en ese convenio colectivo — Alcance del control jurisdiccional »

En el asunto C‑65/23, que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), mediante resolución de 22 de septiembre de 2022, recibida en el Tribunal de Justicia el 8 de febrero de 2023, en el procedimiento entre

MK y K GmbH,

el Tribunal de Justicia (Sala Octava) declara:

1)      El artículo 88, apartados 1 y 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que una disposición nacional que tiene por objeto el tratamiento de datos personales para fines de la relación laboral y que ha sido adoptada en virtud del artículo 88, apartado 1, de dicho Reglamento debe tener el efecto de obligar a sus destinatarios a cumplir no solo las exigencias del artículo 88, apartado 2, de dicho Reglamento, sino también las derivadas de los artículos 5, 6, apartado 1, y 9, apartados 1 y 2, de este.

2)      El artículo 88, apartado 1, del Reglamento 2016/679 debe interpretarse en el sentido de que, cuando un convenio colectivo está comprendido en el ámbito de aplicación de esta disposición, el margen de apreciación de que disponen las partes en dicho convenio para determinar el carácter «necesario» de un tratamiento de datos personales, en el sentido de los artículos 5, 6, apartado 1, y 9, apartados 1 y 2, de dicho Reglamento, no impide al juez nacional ejercer un control jurisdiccional completo a este respecto.

https://curia.europa.eu/juris/document/document.jsf?text=&docid=293835&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=3025148

Sentencia ZQ de 21 de diciembre de 2023

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)

de 21 de diciembre de 2023 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 6, apartado 1 — Condiciones de licitud del tratamiento — Artículo 9, apartados 1 a 3 — Tratamiento de categorías especiales de datos — Datos relativos a la salud — Evaluación de la capacidad laboral de un trabajador — Servicio médico en materia de seguro de enfermedad que trata datos relativos a la salud de sus propios trabajadores — Procedencia y condiciones de tal tratamiento — Artículo 82, apartado 1 — Derecho a indemnización y responsabilidad — Indemnización de daños y perjuicios inmateriales — Función compensatoria — Incidencia de la culpa del responsable del tratamiento»

En el asunto C‑667/21, que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), mediante resolución de 26 de agosto de 2021, recibida en el Tribunal de Justicia el 8 de noviembre de 2021, en el procedimiento entre

ZQ y Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

el Tribunal de Justicia (Sala Tercera) declara:

1)      El artículo 9, apartado 2, letra h), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que la excepción contemplada en esta disposición es aplicable a las situaciones en las que un organismo de control médico trate datos relativos a la salud de uno de sus empleados no como empleador, sino como servicio médico, con el fin de evaluar la capacidad laboral de ese trabajador, siempre que el tratamiento en cuestión cumpla los requisitos y observe las garantías que impone expresamente esa letra h) y el apartado 3 de dicho artículo 9.

2)      El artículo 9, apartado 3, del Reglamento 2016/679 debe interpretarse en el sentido de que el responsable de un tratamiento de datos relativos a la salud, basado en el artículo 9, apartado 2, letra h), de ese Reglamento, no está obligado, en virtud de estas disposiciones, a garantizar que ningún compañero de trabajo del interesado pueda acceder a los datos relativos al estado de salud de este. No obstante, podrá imponerse tal obligación al responsable de ese tratamiento bien en virtud de una normativa adoptada por un Estado miembro sobre la base del artículo 9, apartado 4, de dicho Reglamento, bien en virtud de los principios de integridad y confidencialidad enunciados en el artículo 5, apartado 1, letra f), del mismo Reglamento y concretados en el artículo 32, apartado 1, letras a) y b), de este.

3)      Los artículos 9, apartado 2, letra h), y 6, apartado 1, del Reglamento 2016/679 deben interpretarse en el sentido de que un tratamiento de datos relativos a la salud basado en esta primera disposición debe, para ser lícito, no solo cumplir los requisitos que se derivan de esta, sino también, al menos, una de las condiciones de licitud enunciadas en ese artículo 6, apartado 1.

4)      El artículo 82, apartado 1, del Reglamento 2016/679 debe interpretarse en el sentido de que el derecho a indemnización contemplado en esa disposición cumple una función compensatoria, dado que una reparación pecuniaria basada en dicha disposición debe permitir compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de ese Reglamento, y no una función disuasoria o punitiva.

5)      El artículo 82 del Reglamento 2016/679 debe interpretarse en el sentido de que, por una parte, el nacimiento de la responsabilidad del responsable del tratamiento está supeditado a la existencia de culpa por parte de este, la cual se presume, a menos que este demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios, y, por otra parte, ese artículo 82 no exige que el grado de culpa se tenga en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición.

https://curia.europa.eu/juris/document/document.jsf?text=&docid=280768&pageIndex=0&doclang=es&mode=req&dir=&occ=first&part=1&cid=11965008 

Sentencia Hauptpersonalrat de 30 de marzo de 2023

 

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

de 30 de marzo de 2023 (*)

 

«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 88, apartados 1 y 2 — Tratamiento de datos en el ámbito laboral — Sistema escolar regional — Enseñanza por videoconferencia debido a la pandemia de COVID‑19 — Aplicación sin el consentimiento expreso de los docentes»

En el asunto C‑34/21, que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden, Alemania), mediante resolución de 20 de diciembre de 2020, recibida en el Tribunal de Justicia el 20 de enero de 2021, en el procedimiento entre

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium y Minister des Hessischen Kultusministeriums,

el Tribunal de Justicia (Sala Primera) declara:

1)      El artículo 88 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que una normativa nacional no puede constituir una «norma más específica», a los efectos del apartado 1 de dicho artículo, en caso de que no cumpla las condiciones impuestas en el apartado 2 del referido artículo.

2)      El artículo 88, apartados 1 y 2, del Reglamento 2016/679 debe interpretarse en el sentido de que la aplicación de disposiciones nacionales adoptadas para garantizar la protección de los derechos y libertades de los trabajadores en cuanto se refiere al tratamiento de sus datos personales en el ámbito laboral deberá excluirse cuando esas disposiciones no respeten las condiciones y los límites establecidos por el citado artículo 88, apartados 1 y 2, a menos que dichas disposiciones constituyan una base jurídica contemplada en el artículo 6, apartado 3, de dicho Reglamento que cumple las exigencias establecidas en este.

 

https://curia.europa.eu/juris/document/document.jsf;jsessionid=7569B5E1D37E7D35EE0873289BE397D5?text=&docid=272066&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=5537158

 

Sentencia X-FAB Dresden de 9 de febrero de 2023

 

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Sexta)

de 9 de febrero de 2023 (*)

 

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 38, apartado 3 — Delegado de protección de datos — Prohibición de destitución por el desempeño de sus funciones — Exigencia de independencia funcional — Normativa nacional que prohíbe la destitución de un delegado de protección de datos sin causa grave — Artículo 38, apartado 6 — Conflicto de intereses — Criterios»

En el asunto C‑453/21, que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), mediante resolución de 27 de abril de 2021, recibida en el Tribunal de Justicia el 21 de julio de 2021, en el procedimiento entre

X-FAB Dresden GmbH & Co. KG y FC,

el Tribunal de Justicia (Sala Sexta) declara:

1)      El artículo 38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento.

2)      El artículo 38, apartado 6, del Reglamento 2016/679 debe interpretarse en el sentido de que puede existir un «conflicto de intereses», en el sentido de esta disposición, cuando se encomienden a un delegado de protección de datos otras funciones o cometidos que llevarían a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.

 

https://curia.europa.eu/juris/document/document.jsf;jsessionid=F70FB8F4B04221F1B2C1B8A540B10DD7?text=&docid=270323&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=304274