Resumen Nº C-21/23, Tribunal de Justicia de la Unión Europea, de 4 de octubre del 2024

Fundamentos

Asunto C?21/23

ND

contra

DR

(Petición de decisión prejudicial planteada por el Bundesgerichtshof)

 Sentencia del Tribunal de Justicia (Gran Sala) de 4 de octubre de 2024

« Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Capítulo VIII — Recursos — Comercialización de medicamentos por un farmacéutico a través de una plataforma en internet — Recurso interpuesto ante la jurisdicción civil por un competidor de dicho farmacéutico sobre la base del incumplimiento de la prohibición de las prácticas comerciales desleales derivado de la infracción, por dicho farmacéutico, de las obligaciones previstas en el Reglamento — Legitimación activa — Artículos 4, punto 15, y 9, apartados 1 y 2 — Directiva 95/46/CE — Artículo 8, apartados 1 y 2 — Concepto de “datos relativos a la salud” — Condiciones para el tratamiento de estos datos »

1.        Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Recursos — Carácter no exhaustivo — Normativa nacional que permite a los competidores del presunto infractor de las obligaciones establecidas por el Reglamento interponer un recurso ante la jurisdicción civil sobre la base de la prohibición de las prácticas comerciales desleales — Procedencia

[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 77 a 80]

(véanse los apartados 53 a 57, 60, 62 a 73 y el punto 1 del fallo)

2.        Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Concepto de datos relativos a la salud — Información relativa a los clientes de un farmacéutico que comercializa medicamentos a través de una plataforma en internet facilitada al comprar tales medicamentos — Información sobre el nombre de los clientes, la dirección de entrega y aquella necesaria para la individualización de los medicamentos — Inclusión — Venta de medicamentos no sometida a receta médica — Irrelevancia

[Reglamento (UE) n.º 2016/679 del Parlamento Europeo y del Consejo, arts. 4, puntos 1 y 15, y 9, ap. 1; Directiva 95/46/CE del Parlamento Europeo y del Consejo, art. 8, ap. 1]

(véanse los apartados 84, 88 a 91 y el punto 2 del fallo)

3.        Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Tratamiento de categorías especiales de datos personales — Prohibición — Excepciones

[Reglamento (UE) n.º 2016/679 del Parlamento Europeo y del Consejo, considerando 53, art. 9, aps. 1 y 2; Directiva 95/46/CE del Parlamento Europeo y del Consejo, art. 8, aps. 1 y 2]

(véanse los apartados 86, 87, 92 y 93)

Resumen

En el marco de una petición de decisión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania), la Gran Sala del Tribunal de Justicia se pronuncia sobre la naturaleza y el alcance del sistema de recursos en materia de protección de datos (1) y sobre el concepto de «datos relativos a la salud». (2)

ND y DR, dos personas físicas, explotan cada una de ellas una farmacia en Alemania. Desde 2017, ND comercializa en la plataforma electrónica «Amazon-Marketplace» medicamentos cuya venta está reservada a las farmacias. Al realizar su pedido en línea, los clientes de ND deben introducir información, como su nombre, la dirección de entrega y los elementos necesarios para la individualización de estos medicamentos.

Basándose en el Derecho alemán en materia de competencia desleal, (3) DR ejercitó contra ND una acción de cesación ante los órganos jurisdiccionales civiles nacionales. DR alegó que la comercialización de medicamentos por parte de ND era desleal porque incumplía el requisito legal relativo a la obtención del consentimiento previo del cliente para el tratamiento de sus datos relativos a la salud.

Después de que los órganos jurisdiccionales inferiores estimaran dicho recurso, ND interpuso un recurso de casación ante el órgano jurisdiccional remitente, que, a su vez, consideró necesario plantear una cuestión prejudicial ante el Tribunal de Justicia.

En su sentencia, el Tribunal de Justicia concluye que el sistema de recursos establecido por el RGPD no tiene carácter exhaustivo y reconoce que este Reglamento no se opone a que los Estados miembros prevean, en su Derecho nacional, la posibilidad de que los competidores del presunto infractor de las disposiciones materiales de dicho Reglamento impugnen judicialmente la infracción como práctica comercial desleal. Además, aporta precisiones sobre los límites del concepto de «datos relativos a la salud».

Apreciación del Tribunal de Justicia

En primer lugar, el Tribunal de Justicia señala que, si bien el capítulo VIII del RGPD no establece específicamente una cláusula de apertura que permita, de manera expresa, a los Estados miembros establecer tal posibilidad de recurso para los competidores, de los términos y del contexto de las disposiciones de este capítulo VIII se desprende que el legislador de la Unión no quiso excluirla. Esta interpretación se ve confirmada por los objetivos perseguidos por el RGPD.

En efecto, por una parte, una acción de cesación ejercitada por un competidor contra una empresa sobre la base de la prohibición de las prácticas comerciales desleales, a causa de la supuesta infracción de las disposiciones materiales del RGPD, no perjudica en modo alguno al sistema de recursos establecido por dicho Reglamento ni al objetivo de garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que obstaculicen la libre circulación de datos personales dentro del mercado interior.

En este contexto, el Tribunal de Justicia precisa que, ciertamente, tal acción puede basarse, aunque sea de manera incidental, en la infracción de las mismas disposiciones del RGPD que aquellas en las que podría basarse una reclamación o una demanda interpuesta por los interesados o por una asociación que represente a esos interesados. (4) Sin embargo, a diferencia de los recursos establecidos por el RGPD, la acción de cesación ejercitada por un competidor no persigue, como tal, un objetivo de protección de las libertades y derechos fundamentales de los interesados en relación con el tratamiento de sus datos personales, sino garantizar una competencia leal, especialmente en beneficio de ese competidor.

Además, la posibilidad de que un competidor ejercite tal acción ante los tribunales civiles sobre la base de la prohibición de las prácticas comerciales desleales se añade a los recursos establecidos por el RGPD, que se conservan plenamente y pueden seguir siendo ejercitados por los interesados y, en su caso, por las asociaciones que representan a esos interesados. En particular, la coexistencia de vías de recurso en virtud del Derecho de la protección de datos y del Derecho de la competencia no genera riesgos para la aplicación uniforme de dicho Reglamento.

Además, la posibilidad de invocar más ampliamente las disposiciones materiales del RGPD, por parte de personas distintas de los interesados y de los organismos, organizaciones y asociaciones, no afecta a la consecución del objetivo de garantizar un nivel coherente de protección de dichas personas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior. En efecto, aunque los Estados miembros no previesen tal posibilidad, no por ello se derivaría de esta omisión una fragmentación de la aplicación de la protección de datos en la Unión, ya que las disposiciones sustantivas del RGPD son oponibles de igual modo a todos los responsables del tratamiento y su cumplimiento se ve garantizado por los recursos establecidos en dicho Reglamento.

Por otra parte, por lo que respecta al objetivo de garantizar una protección eficaz de los interesados en lo que respecta al tratamiento de sus datos personales y al efecto útil de las disposiciones materiales del RGPD, el Tribunal de Justicia señala que, si bien una acción de cesación ejercitada por un competidor del presunto infractor de la normativa en materia de protección de datos personales no tiene por objeto la consecución de ese objetivo, sino garantizar una competencia leal, no es menos cierto que contribuye indiscutiblemente al cumplimiento de esas disposiciones y, por tanto, a reforzar los derechos de los interesados y a garantizarles un elevado nivel de protección. Por lo demás, tal acción de cesación de un competidor puede resultar, al igual que la de las asociaciones de defensa de los intereses de los consumidores, particularmente eficaz para garantizar tal protección, en la medida en que puede prevenir un gran número de infracciones de los derechos de las personas afectadas por el tratamiento de sus datos personales. (5)

Así pues, el Tribunal de Justicia declara que las disposiciones del RGPD relativas al sistema de vías de recurso deben interpretarse en el sentido de que no se oponen a una normativa nacional que, paralelamente a las facultades de intervención de las autoridades de control encargadas de supervisar y hacer aplicar dicho Reglamento y a las posibilidades de recurso de los interesados, confiere a los competidores del presunto infractor de la normativa en materia de protección de datos personales legitimación activa contra este a través de un recurso ante la jurisdicción civil, por infringir dicho Reglamento y sobre la base de la prohibición de las prácticas comerciales desleales.

En segundo lugar, en cuanto al concepto de «datos relativos a la salud», el Tribunal de Justicia señala que están comprendidos en este concepto los datos que un cliente facilita mediante una plataforma en internet al realizar el pedido de medicamentos cuya venta está reservada a las farmacias. En efecto, estos datos pueden revelar, mediante un ejercicio intelectual de relación o deducción, información sobre el estado de salud del interesado, (6) en la medida en que dicha compra implica el establecimiento de un vínculo entre un medicamento, sus indicaciones terapéuticas o sus usos y una persona física identificada o identificable por elementos como su nombre o la dirección de entrega.

Además, el Tribunal de Justicia considera que es indiferente a este respecto que la venta de los medicamentos encargados no esté sujeta a receta médica y que, por tanto, puedan no estar destinados al cliente que realiza el pedido, sino a terceros. Así pues, en el supuesto de que un usuario de una plataforma en internet comunique datos personales al comprar medicamentos cuya venta está reservada a las farmacias sin estar sujeta a receta médica, el tratamiento de esos datos por el farmacéutico que vende esos medicamentos a través de tal plataforma en internet debe ser considerado un tratamiento de datos relativos a la salud, (7) dado que dicho tratamiento puede revelar información sobre el estado de salud de una persona física, tanto si se refiere a ese usuario o a cualquier otra persona para la que este realice el pedido. (8)

En efecto, una interpretación que llevara a establecer una distinción en función del tipo de medicamentos de que se trate y del hecho de que su venta esté o no sujeta a receta médica no sería coherente con el objetivo de un elevado nivel de protección de las libertades y de los derechos fundamentales de las personas físicas, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de sus datos personales. Tal interpretación se opondría, además, a la finalidad del artículo 8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD, que consiste en garantizar una mayor protección frente a tales tratamientos, que, en atención a la particular sensibilidad de los datos objeto de ellos, pueden constituir una injerencia especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales. (9) Por lo tanto, las informaciones que los clientes facilitan al hacer la compra en línea de medicamentos cuya venta está reservada a las farmacias sin estar sujeta a receta médica constituyen datos relativos a la salud, aunque solo exista cierta probabilidad, y no una certeza absoluta, de que esos medicamentos estén destinados a esos clientes.

El Tribunal de Justicia añade que no puede excluirse que, incluso en el supuesto de que tales medicamentos estén destinados a personas distintas de los clientes, sea posible identificar a tales personas y extraer conclusiones sobre su estado de salud. Tal podría ser el caso, por ejemplo, cuando los medicamentos en cuestión no se entreguen en el domicilio del cliente que los ha comprado, sino en el domicilio de otra persona, o cuando, independientemente de la dirección de entrega, el cliente se haya referido, en su pedido o en sus comunicaciones relativas a este, a otra persona identificable, como un miembro de su familia.

Por último, el Tribunal señala que el hecho de que las informaciones en cuestión constituyan datos relativos a la salud no impide que puedan ser objeto de tratamiento, en particular en el marco de la gestión de los servicios y sistemas de asistencia sanitaria, si se cumple alguna de las condiciones establecidos a este respecto. (10) Por una parte, este puede ser el caso, en particular, cuando el interesado da su consentimiento explícito a uno o varios tratamientos de dichos datos personales, cuyas características y fines específicos le hayan sido presentados de manera exacta, completa y fácilmente comprensible. Por otra, tal tratamiento puede ser admisible cuando sea necesario para la cobertura sanitaria sobre la base del Derecho de la Unión, del Derecho de un Estado miembro o en virtud de un contrato celebrado con un profesional sanitario.

1      Capítulo VIII del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos; en lo sucesivo, «RGPD») (DO 2016, L 119, p. 1, corrección de errores DO 2018, L 127, p. 3).

2      Contenido, respectivamente, en el artículo 8, apartado 1, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31) y en el artículo 9, apartado 1, del RGPD.

3      Gesetz gegen den unlauteren Wettbewerb (Ley contra la Competencia Desleal), de 3 de julio de 2004 (BGBl. 2004 I, p. 1414), en su versión aplicable al procedimiento principal.

4      Artículos 77 a 80 del RGPD.

5      Véase, en este sentido, la sentencia de 28 de abril de 2022, Meta Platforms Ireland (C?319/20, EU:C:2022:322), apartados 74 y 75.

6      En el sentido del artículo 4, punto 1, del RGPD.

7      En el sentido del artículo 8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD.

8      Véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales de uso de una red social) (C?252/21, EU:C:2023:537), apartado 73.

9      Véase la sentencia de 1 de agosto de 2022, Vyriausioji tarnybin?s etikos komisija (C?184/20, EU:C:2022:601), apartado 126 y jurisprudencia citada.

10      Condiciones que se indican en el artículo 8, apartado 2, de la Directiva 95/46 y en el artículo 9, apartado 2, del RGPD.