Edición provisional
CONCLUSIONES DEL ABOGADO GENERAL
SR. MACIEJ SZPUNAR
presentadas el 25 de abril de 2024 (1)
Asunto C‑21/23
ND
contra
DR
[Petición de decisión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania)]
«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Recursos — Delimitación de los recursos — Tratamiento de categorías especiales de datos personales — Concepto de “datos relativos a la salud” en la Directiva 95/46/CE y en el Reglamento (UE) 2016/679»
I. Introducción
1. El presente asunto versa sobre la interpretación de varias disposiciones del Reglamento (UE) 2016/679 (2) (en lo sucesivo, «RGPD») relativas, por una parte, al sistema de vías de recurso establecido por este Reglamento y, por otra parte, a la categoría de datos especialmente sensibles que son los «datos relativos a la salud».
2. La petición de decisión prejudicial se inscribe en el contexto de una acción de cesación, basada en la prohibición, en el Derecho nacional, de los actos de competencia desleal e interpuesta por una empresa con el objetivo de poner fin a la comercialización en Internet, por parte de uno de sus competidores, de medicamentos no sujetos a receta médica. El presunto acto de competencia desleal está constituido, según esta empresa, por la inobservancia de los requisitos derivados del RGPD en lo referente al tratamiento de los «datos relativos a la salud».
3. Comenzaré mi análisis por el examen de la segunda cuestión prejudicial, que permitirá al Tribunal de Justicia precisar los límites del concepto de «datos relativos a la salud» que determinan la aplicación o no de un régimen especial de protección.
4. En efecto, en caso de que los datos controvertidos en el presente asunto no puedan calificarse de «datos relativos a la salud», en el sentido del artículo 9, apartado 1, del RGPD, de ello se deducirá que no se ha producido el presunto acto de competencia desleal. En tal caso, no será útil responder a la primera cuestión prejudicial, que versa sobre si el sistema de vías de recurso establecido por el RGPD permite la existencia, en el Derecho nacional, de un recurso basado en la infracción de las normas relativas a la prohibición de los actos de competencia desleal mediante el cual el recurrente invoca la violación de las disposiciones sustantivas del RGPD.
II. Marco jurídico
A. Derecho de la Unión
1. Directiva 95/46/CE
5. La Directiva 95/46/CE (3) establece, en su artículo 8, apartado 1:
«Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad.»
2. RGPD
6. Los considerandos 9, 10, 13, 35, 51 y 142 del RGPD están redactados como sigue:
«(9) Aunque los objetivos y principios de la [Directiva 95/46] siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la [Directiva 95/46].
(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]
[…]
(13) Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros. […]
[…]
(35) Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la [Directiva 2011/24/UE (4)]; todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.
[…]
(51) Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. […] Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.
[…]
(142) El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro que esté constituida con arreglo al Derecho de un Estado miembro, tenga objetivos estatutarios que sean de interés público y actúe en el ámbito de la protección de los datos personales, para que presente en su nombre una reclamación ante la autoridad de control, ejerza el derecho a la tutela judicial en nombre de los interesados o, si así lo establece el Derecho del Estado miembro, ejerza el derecho a recibir una indemnización en nombre de estos. Un Estado miembro puede reconocer a tal entidad, organización o asociación el derecho a presentar en él una reclamación con independencia del mandato de un interesado y el derecho a la tutela judicial efectiva, cuando existan motivos para creer que se han vulnerado los derechos de un interesado como consecuencia de un tratamiento de datos personales que sea contrario al presente Reglamento. Esa entidad, organización o asociación no puede estar autorizada a reclamar una indemnización en nombre de un interesado al margen del mandato de este último.»
7. El artículo 1 de este Reglamento, que lleva por título «Objeto», dispone:
«1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.»
8. El artículo 4 de dicho Reglamento prevé:
«A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; […]
15) “datos relativos a la salud”: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;
[…]»
9. A tenor del artículo 9 del mismo Reglamento, titulado «Tratamiento de categorías especiales de datos personales»:
«1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
[…]
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
[…]»
10. Los artículos 77 a 84 figuran en el capítulo VIII del RGPD, titulado «Recursos, responsabilidad y sanciones».
11. El artículo 77 de este Reglamento, que lleva por título «Derecho a presentar una reclamación ante una autoridad de control», dispone, en su apartado 1:
«Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.»
12. El artículo 78 de dicho Reglamento, titulado «Derecho a la tutela judicial efectiva contra una autoridad de control», precisa, en su apartado 1:
«Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.»
13. El artículo 79 del mismo Reglamento, titulado «Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento», establece, en su apartado 1:
«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.»
14. El artículo 80 del RGPD, que lleva por título «Representación de los interesados», dispone:
«1. El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, y ejerza en su nombre los derechos contemplados en los artículos 77, 78 y 79, y el derecho a ser indemnizado mencionado en el artículo 82 si así lo establece el Derecho del Estado miembro.
2. Cualquier Estado miembro podrá […] disponer que cualquier entidad, organización o asociación mencionada en el apartado 1 del presente artículo tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 y a ejercer los derechos contemplados en los artículos 78 y 79, si considera que los derechos del interesado con arreglo al presente Reglamento han sido vulnerados como consecuencia de un tratamiento.»
15. El artículo 82 de este Reglamento, titulado «Derecho a indemnización y responsabilidad», dispone, en su apartado 1:
«Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.»
16. El artículo 84 de dicho Reglamento, que lleva por título «Sanciones», establece, en su apartado 1:
«Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.»
B. Derecho alemán
1. Ley contra la Competencia Desleal
17. El artículo 3 de la Gesetz gegen den unlauteren Wettbewerb (Ley contra la Competencia Desleal), de 3 de julio de 2004, (5) en su versión aplicable al litigio principal (en lo sucesivo, «Ley contra la Competencia Desleal»), titulado «Prohibición de los comportamientos comerciales desleales», dispone, en su apartado 1, que «las prácticas comerciales desleales son ilícitas».
18. El artículo 3a de esta Ley, que lleva por título «Infracción del Derecho», tiene la siguiente redacción:
«Actúa de forma desleal quien infringe una disposición legal destinada a regular, en particular, el comportamiento en el mercado en interés de los operadores económicos, siempre que dicha infracción pueda afectar sensiblemente a los intereses de los consumidores, de los demás operadores económicos o de los competidores.»
19. El artículo 8 de dicha Ley, titulado «Eliminación y omisión», dispone:
«(1) Podrá ejercitarse una acción de cesación y, en caso de riesgo de reiteración, una acción de cesación o de prohibición contra quien lleve a cabo una práctica comercial ilícita con arreglo a los artículos 3 o 7. […]
[…]
(3) Las acciones a las que se hace referencia en el apartado 1 podrán ser ejercitadas por:
1. todo competidor que comercialice o demande bienes o servicios de manera significativa y que no sea ocasional,
[…]»
2. Ley del medicamento
20. La circulación de los medicamentos se rige por la Arzneimittelgesetz (Ley del medicamento), de 24 de agosto de 1976, en su versión publicada el 12 de diciembre de 2005, (6) tal como quedó modificada en último lugar por el artículo 8c de la Ley de 20 de diciembre de 2022. (7) Esta Ley establece una distinción entre los medicamentos de venta en farmacia, contemplados en sus artículos 43 (titulado «Obligación de distribución en farmacias») a 47, y los que se venden con receta, a los que se refiere su artículo 48 (titulado «Obligación de receta médica»).
III. Hechos del litigio principal, procedimiento y cuestiones prejudiciales
21. ND y DR explotan cada uno una farmacia. Además, el recurrente en el litigio principal, ND, es titular de una licencia de venta por correspondencia y comercializa también sus productos, incluidos medicamentos de venta obligatoria en farmacias, a través de Amazon Marketplace (en lo sucesivo, «Amazon»), una plataforma de comercio electrónico mediante la cual los vendedores pueden ofrecer a la venta productos directamente a los consumidores.
22. El recurrido en el litigio principal, DR, interpuso una acción de cesación solicitando que se prohibiera a ND la comercialización en la plataforma de venta por Internet Amazon de medicamentos de venta obligatoria en farmacias. Según DR, tal comercialización constituye un acto comercial desleal en la medida en que da lugar a que ND infrinja una disposición legal, en el sentido del artículo 3a de la Ley sobre la Competencia Desleal, a saber, en particular, el artículo 9 del RGPD relativo a la obtención del consentimiento previo y expreso del cliente para el tratamiento de sus datos personales relativos a la salud.
23. El Landgericht Dessau-Roßlau (Tribunal Regional de lo Civil y Penal de Dessau-Roßlau, Alemania) estimó esta demanda. El Oberlandesgericht Naumburg (Tribunal Superior Regional de lo Civil y Penal de Naumburg, Alemania) desestimó a continuación el recurso de apelación interpuesto por ND, declarando que la comercialización por este último de medicamentos de venta obligatoria en farmacias a través de Amazon es contraria a la normativa nacional sobre competencia desleal. En efecto, según este órgano jurisdiccional, dicha comercialización constituye un tratamiento de datos relativos a la salud, en el sentido del artículo 9, apartado 1, del RGPD, al que considera que los clientes no han consentido de forma expresa. Pues bien, las disposiciones del RGPD deben considerarse como normas de comportamiento en el mercado en el sentido del Derecho nacional de la competencia, de manera que, en su calidad de competidor, DR tiene derecho a entablar una acción de cesación basada en el Derecho nacional de la competencia, invocando la infracción por parte de ND de las disposiciones de este Reglamento.
24. ND interpuso un recurso de casación ante el órgano jurisdiccional remitente, el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania), mediante el cual reitera sus pretensiones por las que solicita la desestimación de la acción de cesación.
25. Según el órgano jurisdiccional remitente, la resolución del recurso de casación depende de la interpretación tanto del capítulo VIII del RGPD como del artículo 9 de este Reglamento, así como del artículo 8, apartado 1, de la Directiva 95/46.
26. En efecto, por una parte, este órgano jurisdiccional destaca que procede determinar si el recurrente en el litigio principal, en su calidad de competidor, tiene la legitimación activa necesaria para actuar, mediante un recurso interpuesto ante la jurisdicción civil, en virtud de las infracciones del RGPD, contra el autor de estas, sobre la base de la prohibición de las prácticas comerciales desleales. El órgano jurisdiccional remitente precisa que se trata de una cuestión controvertida a la que puede responderse que las normas contenidas en el RGPD dirigidas a hacer cumplir sus disposiciones son exhaustivas, de manera que se excluye la legitimación activa de los competidores en virtud del Derecho de la competencia. Pero también cabe defender que las disposiciones del RGPD dirigidas a controlar la aplicación de la normativa no son exhaustivas y que, en consecuencia, los competidores tienen la legitimación activa necesaria para ejercitar acciones de cesación, invocando la infracción de este Reglamento.
27. Por otra parte, el órgano jurisdiccional remitente sostiene que procede determinar si los datos que los clientes deben introducir cuando realizan un pedido por internet de medicamentos cuya venta está reservada a los farmacéuticos pero que no están sujetos a receta médica constituyen datos sobre la salud, en el sentido del artículo 9, apartado 1, del RGPD y, anteriormente, del artículo 8, apartado 1, de la Directiva 95/46, habida cuenta de que la acción de cesación solo existe si la conducta de ND era ilegal tanto en el momento en el de su comisión como en el momento del examen del recurso de casación.
28. En este contexto el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) ¿Se oponen las disposiciones del capítulo VIII del [RGPD] a una normativa nacional que (junto a las facultades de intervención de las autoridades de control competentes para la supervisión y ejecución del Reglamento, y a la tutela judicial a favor de los interesados), en caso de infracción del [RGPD], concede a los competidores la facultad de actuar contra el infractor presentando una demanda ante los tribunales civiles, en la que se invoque el incumplimiento de la prohibición de prácticas comerciales desleales?
2) ¿Constituyen datos relativos a la salud en el sentido de artículo 9, apartado 1, del RGPD, y datos relativos a la salud en el sentido del artículo 8, apartado 1, de la Directiva 95/46 los datos que los clientes de un farmacéutico, que opera como vendedor en una plataforma de venta por internet, introducen en dicha plataforma de venta (nombre del cliente, dirección de envío e información necesaria para determinar el medicamento de venta obligatoria en farmacias encargado) al realizar un pedido de medicamentos de venta obligatoria en farmacias pero no sujetos a receta médica?»
29. La presente petición de decisión prejudicial fue recibida en el Tribunal de Justicia el 19 de enero de 2023. Las partes en el procedimiento principal, el Gobierno alemán y la Comisión Europea han presentado observaciones escritas. Estas mismas partes estuvieron representadas en la vista celebrada el 9 de enero de 2024.
IV. Apreciación
30. En el presente asunto, DR alega que ND ha infringido el artículo 9 del RGPD al tratar los datos de los clientes que habían hecho pedidos a través de internet de medicamentos no sujetos a receta médica sin cumplir los requisitos que exigen que se obtenga el consentimiento explícito de los clientes para el tratamiento de dichos datos.
31. Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si las disposiciones del capítulo VIII del RGPD deben interpretarse en el sentido de que se oponen a unas normas nacionales que reconocen a las empresas el derecho a invocar, basándose en la prohibición de los actos de competencia desleal, las infracciones de las disposiciones sustantivas del RGPD presuntamente cometidas por sus competidores. En su segunda cuestión prejudicial, este órgano jurisdiccional solicita al Tribunal de Justicia que se pronuncie sobre si el artículo 9 del RGPD debe interpretarse en el sentido de que los datos controvertidos constituyen datos de salud y están por tanto comprendidos en las categorías especiales de datos contempladas en esta disposición. (8)
32. De entrada, como ya he indicado, debo señalar que, en el supuesto de que se dé una respuesta negativa a la segunda cuestión prejudicial, no procederá responder a la primera, en la medida en que la respuesta del Tribunal de Justicia sería suficiente para que el órgano jurisdiccional remitente dirima el litigio del que conoce. En estas condiciones, considero oportuno comenzar mi análisis de las cuestiones prejudiciales por esta segunda cuestión.
A. Sobre la segunda cuestión prejudicial
33. Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los datos de los clientes de un farmacéutico transmitidos cuando se realiza un pedido en una plataforma de venta por internet de medicamentos de venta obligatoria en farmacias pero que no están sujetos a receta médica constituyen «datos relativos a la salud», en el sentido del artículo 9, apartado 1, del RGPD.
34. Debo precisar de entrada que el concepto de «datos relativos a la salud» que figura en el artículo 9, apartado 1, del RGPD se define en el artículo 4, punto 15, de dicho Reglamento. Por lo tanto, la respuesta a la segunda cuestión prejudicial supone una interpretación conjunta de estas dos disposiciones.
1. Sobre la interpretación del concepto de «datos relativos a la salud» a la luz de la jurisprudencia existente
35. A tenor del artículo 4, punto 15, del RGPD, constituyen «datos relativos a la salud» los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
36. Esta definición se ve confirmada además por el considerando 35 del RGPD. El Tribunal de Justicia ha señalado, en su jurisprudencia, que este considerando dispone que «entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que “dan” información sobre su estado de salud física o mental pasado, presente o futuro». (9)
37. Por tanto, del tenor literal del artículo 4, punto 15, del RGPD, precisado por su considerando 35, se desprende que el elemento determinante para establecer que ciertos datos personales constituyen datos relativos a la salud es el hecho de que resulta posible extraer conclusiones sobre el estado de salud del interesado a partir de los datos en cuestión. Dicho de otro modo, los «datos relativos a la salud» no se limitan a los datos médicos o directamente relativos a problemas de salud, sino que incluyen asimismo todo dato que permita extraer conclusiones sobre el estado de saludo del interesado, ya se trate, por lo demás, de un estado patológico o fisiológico.
38. Esto se ve confirmado a la luz del objetivo perseguido por el artículo 9 del RGPD. De esta manera, el Tribunal de Justicia ha destacado, en su jurisprudencia, que la finalidad de esta disposición es garantizar una mayor protección frente a los tratamientos, que, en atención a la particular sensibilidad de los datos objeto de ellos, pueden constituir, como se desprende del considerando 51 del RGPD, una injerencia especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea. (10)
39. La particular sensibilidad de los datos relativos a la salud se explica, en efecto, por el hecho de que estos se refieren a información que queda comprendida en la esfera más íntima de las personas y pueden exponer su vulnerabilidad. Esta particular sensibilidad y, en consecuencia, su necesidad especial de protección están además] reconocidos no solo en el Derecho de la Unión sino también en la jurisprudencia del Tribunal Europeo de Derechos Humanos, que recalca que «el respeto del carácter confidencial de la información sobre la salud constituye un principio fundamental del ordenamiento jurídico de todas las Partes contratantes del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950». (11)
40. Por consiguiente, a la luz de este objetivo, es preciso, según la jurisprudencia del Tribunal de Justicia, dar una interpretación amplia al concepto de «categorías especiales de datos personales» en el que están comprendidos los datos relativos a la salud, de manera que no se refieran únicamente a los datos intrínsecamente sensibles, sino también a los datos que desvelan indirectamente, mediante un ejercicio intelectual de deducción o de cruce de datos, informaciones de esta naturaleza. (12)
41. A este respecto, debo señalar que el Comité Europeo de Protección de Datos establecido en los artículos 68 y siguientes del RGPD también adopta tal concepción del concepto de «datos relativos a la salud», destacando que no es solamente la naturaleza intrínseca de la información lo que determina su calificación como «datos relativos a la salud», sino también las circunstancias que rodean a su recogida y su tratamiento, y ofrece distintos ejemplos en este sentido. Según dicho Comité, por tanto, constituyen «datos relativos a la salud» la información contenida en un historial médico, la información que revela el estado de salud debido a su cruce con otros datos, o bien los datos que se convierten en datos sanitarios al ser utilizados en un contexto específico, como la información relativa a un viaje y tratada por un profesional médico para realizar un diagnóstico. (13) En cambio, no constituyen «datos relativos a la salud» los datos recogidos por una aplicación que permiten medir el número de pasos efectuados por el interesado, cuando dicha aplicación no pueda vincular estos datos con otros datos de ese interesado y en la medida en que los datos recogidos no se traten en un contexto médico. (14)
42. Por lo tanto, del artículo 4, punto 15, y del artículo 9 del RGPD, según los interpreta la jurisprudencia, se desprende que deben considerarse como «datos relativos a la salud», en el sentido de estas disposiciones, los datos susceptibles de permitir extraer conclusiones sobre el estado de salud del interesado.
43. En consecuencia, debo señalar que, a primera vista, no puede negarse que realizar un pedido por internet de medicamentos no sujetos a receta médica supone el tratamiento de datos de los que puede deducirse cierta información relativa a la salud o que, como mínimo, ofrece ciertos indicios relativos a esta en la medida en que dicho pedido implica un vínculo entre la compra de un medicamento, que es el producto relativo a la salud por excelencia, y la identidad de su comprador. Sin embargo, en mi opinión y por las razones que expondré a continuación, de la información comunicada al Tribunal de Justicia por el órgano jurisdiccional remitente se desprende que este vínculo es demasiado débil y los indicios que pueden deducirse de este demasiado imprecisos o hipotéticos para que los datos controvertidos puedan calificarse de «datos relativos a la salud», en el sentido del artículo 4, apartado 15, y del artículo 9 del RGPD.
2. Sobre la exigencia de un cierto grado de certeza sobre las conclusiones que pueden extraerse sobre el estado de salud de un interesado
44. Debo hacer unas cuantas puntualizaciones sobre esta interpretación del concepto de «datos relativos a la salud» en particular y del de «categoría especial de datos» en general.
45. Por un lado, me parece que, sobre la base de estos elementos de interpretación, un producto pedido por internet puede considerarse susceptible de revelar información general relativa al estado de salud de una persona, pero también, como se desprende del artículo 9 del RGPD, al origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o bien la orientación sexual de una persona. Considero que es posible deducir cierta información relativa a estos distintos elementos relativos al interesado de los bienes encargados por internet.
46. Varios ejemplos me permiten demostrar mi afirmación. La realización de un pedido de un libro de una personalidad política puede indicar potencialmente la adhesión a las ideas que dicha personalidad defiende, un pedido de una prenda de ropa puede ser el signo de las convicciones religiosas de un individuo o bien un pedido de material erótico puede constituir un indicio de la orientación sexual de la persona. Por lo tanto, si no se quiere someter a una amplia parte del tratamiento de los datos relativos al comercio por internet al régimen previsto en el artículo 9, apartado 2, del RGPD, considero necesario precisar adicionalmente la interpretación del concepto de «datos relativos a la salud» en el sentido de que las conclusiones que pueden extraerse de los datos relativos a un pedido no deben ser simplemente potenciales. En otras palabras, a mi entender, la información revelada por los datos controvertidos sobre el estado de salud del interesado no puede consistir en simples suposiciones, sino que debe presentar un cierto grado de certeza.
47. Por otro lado, opino que, exceptuando los casos en los que los datos son intrínsecamente «datos relativos a la salud», el hecho de si los datos pueden calificarse de este modo depende de las circunstancias de cada caso. Más concretamente, me parece que las conclusiones que pueden extraerse de estos datos dependen del contexto en el que se recogen y del tratamiento que se hace de estos. Como destaca el Comité Europeo de Protección de Datos establecido en los artículos 68 y siguientes del RGPD, unos datos que a primera vista son ajenos al ámbito médico, como la información relativa a un viaje, pueden considerarse, no obstante, «datos relativos a la salud» cuando se analizan en un contexto médico y se asocian a otra información, con el fin de establecer, en el ejemplo citado, un potencial contagio de una bacteria o un virus presentes en una región determinada.
48. En particular, quisiera señalar que la identidad del responsable del tratamiento de los datos es un elemento particularmente pertinente a este respecto. En efecto, desde el momento en que los datos son tratados por un organismo del ámbito de la salud, me parece que esto puede constituir un indicio de que estos datos son efectivamente «datos relativos a la salud». En cambio, estos mismos datos podrían calificarse de manera diferente en virtud del hecho de que no son tratados por un establecimiento del ámbito de la salud y no pueden ser vinculados a otros datos del interesado. Dicho de otro modo, el mismo dato puede desvelar más información sobre el estado de salud de una persona cuando es tratado por una institución del ámbito de la salud que dispone de competencias para interpretarlos o de otros datos relativos a la persona que cuando es tratado por un organismo ajeno a este sector.
49. En estas condiciones, opino que corresponde al órgano jurisdiccional remitente realizar un examen tanto de la esencia de los datos controvertidos como del conjunto de las circunstancias que rodean su tratamiento, con el fin de determinar si de ellos puede deducirse, con un cierto grado de certeza, información relativa al estado de salud del interesado.
50. Habida cuenta de los elementos contenidos en la resolución del órgano jurisdiccional remitente, no obstante, considero posible aportar precisiones destinadas a orientarle en la solución del litigio principal. (15)
3. Sobre los elementos pertinentes para el examen por parte del órgano jurisdiccional remitente de la posibilidad de deducir información sobre el estado de salud de un interesado
51. En primer lugar, en lo referente a los productos que son objeto del pedido, quisiera destacar que los medicamentos en cuestión, a saber, unos medicamentos no sujetos a receta médica, no están en principio destinados al tratamiento de un estado particular, sino que pueden utilizarse más en general para tratar afecciones cotidianas que cualquiera puede experimentar y que no son sintomáticas de una patología o de un estado de salud concretos. Además, estos medicamentos también se compran frecuentemente con carácter preventivo, para tenerlos a disposición en caso de necesidad o antes de marcharse de la residencia habitual, por ejemplo. A título ilustrativo, un pedido de paracetamol no permite ninguna deducción sobre el estado concreto de una persona, ya que esta molécula está indicada para el tratamiento de diversos dolores y estados febriles y frecuentemente forma parte de los medicamentos de los que disponen los particulares en sus domicilios, al margen de una necesidad particular.
52. En segundo lugar, como ha señalado ND, el hecho de que una persona haga un pedido por internet de un medicamento no sujeto a receta médica no implica necesariamente que esa persona, cuyos datos se tratan, sea quien vaya a utilizarlo y no otra persona de su hogar o de su círculo. En efecto, es frecuente que un pedido efectuado en un sitio de venta por internet sea realizado por una persona titular de una cuenta en dicho sitio en nombre y por cuenta de una persona que no disponga de esta. En ausencia de una receta médica que identifique por su nombre a la persona a quien está destinado el medicamento y en virtud de la cual se deba presumir que el usuario del medicamento y el comprador son la misma persona, no puede deducirse del pedido de un producto libremente accesible por internet que ese producto está destinado a ser utilizado por el comprador y solo por este. De ello resulta que no cabe razonablemente extraer de estos datos ninguna conclusión sobre el estado de salud de la persona cuyos datos se tratan, de manera que puedan calificarse de «datos relativos a la salud».
53. Esto es así máxime dado que, en tercer lugar, y sujeto a las comprobaciones que debe efectuar el órgano jurisdiccional remitente, una persona puede realizar un pedido por Internet sin que sea necesario proporcionar datos precisos sobre su identidad, en particular cuando la entrega del producto no se produzca en la dirección del interesado sino mediante un punto de entrega y no se exija ningún otro dato de identidad a efectos de facturación.
54. Por ello, opino que procede responder a la segunda cuestión prejudicial en el sentido de que los datos de los clientes de un farmacéutico transmitidos cuando se realiza un pedido en una plataforma de venta por internet de medicamentos de venta obligatoria en farmacias pero que no están sujetos a receta médica no constituyen «datos relativos a la salud», en el sentido del artículo 4, apartado 15, y del artículo 9 del RGPD, habida cuenta de que de ellos solo pueden extraerse conclusiones hipotéticas o imprecisas sobre el estado de salud de la persona que efectúa el pedido por internet, extremo que corresponde verificar al órgano jurisdiccional remitente.
55. Por lo demás, también debo precisar que, desde mi punto de vista, interpretar el concepto de «datos relativos a la salud» en el sentido de que incluye los datos transmitidos al realizar un pedido en una plataforma de venta por internet de medicamentos de venta obligatoria en farmacias pero que no están sujetos a receta médica puede conducir, paradójicamente, a desvelar más información sensible debido al régimen de protección reforzada previsto en el artículo 9, apartado 2, del RGPD. En efecto, la solicitud de consentimiento expreso para el tratamiento de datos ya identificados como sensibles podría in fine incitar al comprador a desvelar la identidad del usuario final del producto. En esta situación, podrían extraerse conclusiones más exactas sobre el estado de salud de esa persona.
B. Sobre la primera cuestión prejudicial
56. A la luz de la respuesta que propongo dar a la segunda cuestión prejudicial, considero que no procede responder a la primera cuestión prejudicial. No obstante, en aras de la exhaustividad y habida cuenta de la apreciación que corresponde llevar a cabo al órgano jurisdiccional remitente, analizaré esta cuestión, mediante la cual el órgano jurisdiccional remitente pregunta, en esencia, si las disposiciones del capítulo VIII del RGPD deben interpretarse en el sentido de que se oponen a unas normas nacionales que reconocen a las empresas el derecho a invocar, basándose en la prohibición de los actos de competencia desleal, las infracciones de las disposiciones sustantivas de este Reglamento presuntamente cometidas por sus competidores.
57. Las partes han dado respuestas diametralmente opuestas a esta cuestión. Por un lado, según la Comisión y ND, el sistema de vías de recurso establecido por las disposiciones del capítulo VIII del RGPD, interpretado a la luz de los objetivos de este reglamento, debe concebirse como un sistema exhaustivo, que excluye toda posibilidad de que los Estados miembros establezcan vías de recurso alternativas en el Derecho nacional.
58. Por otro lado, según el Gobierno alemán, el sistema de vías de recurso instaurado por las disposiciones del capítulo VIII del RGPD debe concebirse como un conjunto mínimo de vías de recurso que puede ser completado por los Estados miembros. El carácter no exhaustivo de tal sistema se ve justificado por el hecho de que el RGPD también tiene como objetivo proteger las condiciones de competencia e impedir las distorsiones que podrían derivarse de las diferencias en el nivel de protección de los datos y de que la posibilidad de que un competidor invoque la infracción por parte de otro competidor de las disposiciones sustantivas de dicho Reglamento refuerza la operatividad de este último.
59. Por lo tanto, las partes han articulado sus observaciones alrededor de si el sistema de vías de recurso previsto en el RGPD debe concebirse como un sistema de armonización exhaustiva, lo que condiciona, a su entender, la posibilidad de que los Estados miembros establezcan en sus Derechos nacionales recursos alternativos a los establecidos en dicho Reglamento.
60. Sin embargo, si bien la determinación del carácter exhaustivo o no del sistema de vías de recurso es un elemento pertinente para responder de manera útil a la primera cuestión prejudicial, considero, por las razones que me dispongo a exponer, que tal análisis exige en primer lugar examinar la cuestión subyacente de la identificación de las personas que gozan de la protección concedida por las normas, tanto sustantivas como procesales, del RGPD. En efecto, en el supuesto de que las empresas responsables del tratamiento de los datos debieran considerarse titulares de derechos otorgados por el RGPD, opino que este Reglamento deberá interpretarse en el sentido de que exige al Derecho nacional el establecimiento de recursos dirigidos a invocar estos derechos. Por consiguiente, comenzaré mi análisis por este punto, antes de responder a la cuestión de si el sistema de recursos establecido por el RGPD debe concebirse como un sistema exhaustivo en el sentido de que excluye la posibilidad que se ofrece en el Derecho nacional a una empresa de interponer una acción de cesación contra un competidor, presentada sobre la base de la prohibición de los actos de competencia desleal, invocando la infracción por parte de este último de las disposiciones de dicho Reglamento.
1. Identificación de los titulares de los derechos concedidos por el RGPD
61. En primer lugar, me centraré en precisar la necesidad de tal identificación, para a continuación proceder a realizarla y, por último, exponer la incidencia de la identificación de los interesados como los únicos beneficiarios de los derechos concedidos por el RGPD por lo que respecta a la respuesta a la primera cuestión prejudicial.
a) Sobre la necesidad de determinar los titulares de los derechos protegidos por el RGPD
62. La necesidad, con el fin de responder a la cuestión prejudicial, de identificar primero a los titulares de los derechos protegidos por el RGPD, antes de abordar la cuestión del carácter exhaustivo del sistema de vías de recurso que establece este Reglamento se explica, en mi opinión, de dos maneras.
1) La obligación de los Estados miembros de establecer recursos dirigidos a invocar un derecho derivado del Derecho de la Unión
63. Debo señalar que es pacífico en la jurisprudencia que el Derecho de la Unión, al igual que impone cargas a los particulares, también genera derechos que entran a formar parte de su patrimonio jurídico, (16) siendo así que el Tribunal de Justicia destaca a este respecto que estos derechos se crean en particular debido a obligaciones impuestas tanto a los particulares como a los Estados miembros y a las instituciones de la Unión. (17) En efecto, toda obligación impuesta a una persona física o jurídica, por norma general, tiene como efecto correlativo la concesión de un derecho en beneficio de otra persona.
64. Además, no se discute que todo derecho atribuido a un particular por el Derecho de la Unión implica también la existencia de un recurso dirigido precisamente a invocar ese derecho, en el bien entendido de que, a falta de normas específicas del Derecho de la Unión a tal efecto, corresponde a los Estados miembros garantizar el respeto de los derechos examinados en el marco de recursos de Derecho interno. (18) En efecto, se desprende claramente de la jurisprudencia que incumbe a los órganos jurisdiccionales nacionales proteger los derechos que las disposiciones del Derecho de la Unión confieren a los particulares. (19)
65. Si, como afirma el Gobierno alemán, el RGPD debe interpretarse en el sentido de que protege, más allá de a los interesados, las condiciones de competencia en el mercado y, por tanto, in fine, a las empresas, este Reglamento debe considerarse en el sentido de que genera derechos que entran a formar parte del patrimonio jurídico de estas últimas. (20)
66. En estas condiciones, a falta de disposiciones expresas del Derecho de la Unión a tal efecto, el respeto de los derechos que el RGPD confiere a las empresas debe poder garantizarse en virtud de los recursos establecidos por los Estados miembros.
67. De ello resulta que, a su entender, sin que sea necesario abordar el carácter exhaustivo o no del sistema de vías de recurso instaurado por el RGPD, procede responder a la primera cuestión prejudicial en el sentido de que no debe interpretarse el capítulo VIII de este Reglamento como que no se opone a que los Estados miembros puedan prever la posibilidad de que un competidor interponga una acción contra otra empresa invocando una infracción de dicho Reglamento, sino, más bien, en el sentido de que exige que pueda garantizarse el respeto de sus disposiciones en el marco de una acción ejercitada por una empresa contra un competidor invocando su infracción por este último. (21)
68. En consecuencia, considero que la respuesta a la primera cuestión prejudicial está efectivamente condicionada a la identificación de los titulares de los derechos conferidos por el RGPD.
2) La doble dimensión de la exhaustividad de un sistema de vías de recurso
69. El propio concepto de «exhaustividad de un sistema de vías de recurso» puede abarcar dos dimensiones distintas, que implican un análisis diferente y precisan que se haya identificado previamente a las personas titulares de los derechos cuyo respeto se garantiza mediante tal sistema.
70. La primera dimensión se refiere al carácter exhaustivo del sistema de vías de recurso respecto de cualquier otro recurso destinado a la protección del mismo derecho. En otras palabras, se trata de la exhaustividad de los recursos previstos en el Derecho de la Unión para la protección de los derechos que sus normas otorgan a los particulares. El Tribunal de Justicia ya se ha pronunciado, en su jurisprudencia, sobre la incidencia del carácter exhaustivo de los recursos previstos por el Derecho de la Unión para la protección de un derecho que a su vez haya sido establecido por el Derecho de la Unión. A modo de ejemplo, así pues, ha declarado de forma reiterada que un régimen de responsabilidad armonizado de manera exhaustiva por el Derecho de la Unión puede coexistir, no obstante, con otro régimen de responsabilidad de Derecho nacional basado en los mismos hechos y fundamentos en la medida en que este régimen alternativo no menoscabe el régimen armonizado y no afecte negativamente a sus objetivos ni a su efecto útil. (22) En consecuencia, el mero carácter exhaustivo de un sistema de vías de recurso previsto por el Derecho de la Unión no basta para excluir la posibilidad de que un Estado miembro establezca en el Derecho nacional un recurso alternativo basándose en el mismo derecho, siempre y cuando se cumplan ciertos requisitos.
71. La segunda dimensión del concepto de «exhaustividad de un sistema de vías de recurso» previsto por el Derecho de la Unión es más amplia y se refiere a la exhaustividad respecto de cualquier otro recurso ejercitado por personas que no sean directamente titulares de derechos conferidos por el Derecho de la Unión, pero que los invocan, no obstante, en el marco de un recurso establecido por el Derecho nacional. Por consiguiente, tal concepción de la exhaustividad de un sistema de recursos instaurado por el Derecho de la Unión exige un análisis diferente. (23)
72. También en este caso es importante determinar previamente, con el fin de efectuar un análisis pertinente del posible carácter exhaustivo del sistema de vías de recurso previsto por el RGPD, los titulares de los derechos que concede este Reglamento, lo que me centraré en hacer en las siguientes consideraciones.
b) Sobre la identificación de los titulares de los derechos protegidos por el RGPD
73. El ámbito de aplicación personal de la protección otorgada por el RGPD debe determinarse, en mi opinión, a la luz tanto de los objetivos como del contenido de este Reglamento.
74. Por lo que respecta, en primer lugar, a los objetivos del RGPD, el Gobierno alemán alega que este Reglamento tiene por objeto, aparte del objetivo de garantizar un nivel elevado y uniforme de protección de las personas físicas, establecer unas condiciones iguales de competencia.
75. Es cierto que el considerando 9 del RGPD menciona el hecho de que las diferencias de protección del derecho a la protección de datos en lo que respecta a su tratamiento pueden falsear la competencia. No es menos cierto que, en mi opinión, tal puntualización no puede interpretarse en el sentido de que hace de la garantía de una competencia libre y no falseada un objetivo del RGPD. Me parece que el hecho de que las disparidades en las legislaciones entre los Estados miembros en cuanto a las normas impuestas a las empresas generan distorsiones de la competencia no es más que una mera constatación, que no es específica del RGPD. Siempre que unas disposiciones sustantivas enmarquen la acción de las empresas en el mercado de forma más estricta en un Estado miembro que en otro, de ello resulta necesariamente una cierta ventaja competitiva para las empresas que operan en este último respecto de las establecidas en el primero, que cualquier texto de armonización puede paliar.
76. Considero que tal interpretación se ve confirmada por la referencia que se hace en el considerando 9 del RGPD a la necesidad de garantizar «la libre circulación de los datos de carácter personal en la Unión», que resulta potencialmente amenazada debido a la disparidad de los marcos jurídicos nacionales
77. Por añadidura, como señaló la Comisión en la vista, el considerando 9 del RGPD no se refiere a la competencia existente entre todas las empresas sino ante todo a la competencia entre las empresas de dos Estados miembros diferentes generada por unos marcos jurídicos diferentes. Dicho de otro modo, se trata esencialmente de garantizar unas condiciones de competencia iguales en los distintos Estados miembros sometiendo a las empresas a normas armonizadas, si bien es cierto que estas normas contribuyen de forma incidental a que ninguna empresa disfrute de una ventaja competitiva respecto de las demás empresas en un mismo Estado miembro.
78. En consecuencia, opino que el RGPD no tiene como objetivo garantizar una competencia libre y no falseada en el mercado interior.
79. En segundo lugar, debo señalar que ninguna de las disposiciones sustantivas del RGPD pretende garantizar una competencia entre empresas libre y no falseada ni hacer que estas sean las destinatarias de la protección que establece este Reglamento. Al contrario, tienen por objeto esencialmente imponer obligaciones a las empresas responsables del tratamiento de los datos. Si bien es cierto, como he mencionado, que toda obligación impuesta a una persona física o jurídica tiene necesariamente como efecto correlativo la concesión de un derecho a otra persona, los únicos beneficiarios de los derechos examinados son, no obstante, no las empresas sino las personas cuyos datos son tratados por estas últimas. El título del RGPD resulta revelador al respecto, ya que solo se refiere a la protección de las personas físicas.
80. Por último, en cuanto a las disposiciones procesales del capítulo VIII del RGPD, quisiera destacar, como ya he señalado, que solo ofrecen recursos a los interesados y a las entidades encargadas de representarlos. Me parece que esta limitación de las personas que pueden entablar acciones judiciales en virtud de las disposiciones del RGPD invocando un menoscabo de la protección de sus datos personales indica claramente que son los únicos destinatarios de esta protección. En efecto, a mi entender sería incoherente convertir al RGPD también en un instrumento de protección de los derechos de los competidores sin que este Reglamento prevea ningún recurso para permitir a estos últimos entablar una acción contra una violación de estos derechos, siendo así que tales recursos están expresamente previstos en lo referente a la protección de los derechos de los interesados.
81. Por lo tanto, opino que las empresas no son destinatarias de la protección prevista en el RGPD, ya que este Reglamento solo concede derechos a los interesados.
c) Sobre la incidencia de la interpretación del RGPD como una norma que solo protege a los interesados
82. La interpretación del RGPD según la cual las disposiciones de este Reglamento no otorgan derechos a las empresas sino únicamente a los interesados me lleva a diversas conclusiones.
83. En primer lugar, como he mencionado, creo que esta interpretación excluye que pueda considerarse que el cumplimiento de las disposiciones del RGPD debe poder garantizarse en el marco de una acción entablada por una empresa contra un competidor invocando su infracción por parte de este último.
84. En segundo lugar, en la medida en que el círculo de los beneficiarios de los derechos concedidos por el RGPD está limitado únicamente a los interesados, la jurisprudencia del Tribunal de Justicia relativa a la posibilidad de que los Estados miembros establezcan, en el Derecho nacional, unos recursos adicionales destinados a los titulares de estos derechos en la medida en que dichos recursos no menoscaben el sistema de recursos armonizado y no afecten negativamente a sus objetivos (24) no me parece directamente aplicable a la situación controvertida. Sin embargo, como demostraré, la jurisprudencia de que se trata puede servir de base para el análisis de esta situación.
85. En efecto, según esta acepción del concepto de «exhaustividad de un sistema de recursos», procede determinar si el sistema de recursos establecido por el RGPD debe entenderse como un sistema exhaustivo en el sentido de que se opone a que puedan ofrecerse, en Derecho nacional, otros recursos distintos de los previstos en este Reglamento en beneficio de los interesados.
86. Pues bien, el asunto principal versa sobre un recurso interpuesto por una empresa que no figura entre los titulares de los derechos concedidos por el RGPD.
87. En estas condiciones, habida cuenta del hecho de que el RGPD no confiere ningún derecho a las empresas y a sus competidores, solo es pertinente la cuestión de si el sistema de vías de recurso establecido por el RGPD debe entenderse como un sistema exhaustivo en el sentido que dicho Reglamento excluye también que las empresas invoquen una infracción de sus disposiciones en el marco de recursos previstos en el Derecho nacional, lo que me concentraré en determinar a continuación.
2. La posibilidad de recursos basados en el Derecho nacional interpuestos por personas no titulares de los derechos concedidos por el RGPD
88. La cuestión de si las disposiciones relativas al sistema de vías de recurso previsto en el RGPD se oponen a que las empresas invoquen la infracción de las disposiciones de este Reglamento en el marco de recursos previstos por el Derecho nacional me parece que exige una respuesta en dos fases.
89. En efecto, la respuesta a esta cuestión supone examinar, por una parte, la posibilidad de que las empresas invoquen las disposiciones del RGPD aun cuando no son titulares de los derechos otorgados por estas y, por otra parte, las condiciones de la interacción de tales recursos con el sistema de vías de recurso previsto en dicho Reglamento.
90. En primer lugar, por lo que respecta a la invocabilidad de las disposiciones del RGPD por las empresas, quisiera señalar que, en el marco de los recursos basados en el Derecho nacional como el examinado en el litigio principal, esta es únicamente incidental. Más concretamente, la empresa interpone un recurso sobre la base del Derecho nacional, a saber, la prohibición de los actos de competencia desleal. El carácter desleal del acto en cuestión se deriva, por tanto, en su opinión, de una infracción del RGPD. En otras palabras, el recurso no se basa en la infracción de las disposiciones del RGPD, sino que tiene en cuenta tal infracción incidentalmente. (25)
91. Pues bien, tal toma en consideración incidental ya ha sido admitida por el Tribunal de Justicia, en un contexto ciertamente diferente. En efecto, el Tribunal de Justicia declaró, en la sentencia Meta Platforms y otros (Condiciones generales de servicio de una red social), que «un tratamiento de datos efectuado por una empresa en posición dominante y susceptible de constituir un abuso de esa posición no es conforme con [el RGPD]» (26) y que, de manera general, es necesario incluir «las normas en materia de protección de datos personales [en el] marco jurídico que las autoridades de defensa de la competencia deben tomar en consideración al examinar un abuso de posición dominante». (27) En otros términos, el Tribunal de Justicia admite que se produce una infracción del Derecho de la competencia debido a una infracción de las disposiciones del RGPD.
92. Si bien esta constatación no se ha llevado a cabo en el marco de un litigio entre particulares sino en el marco del examen de una práctica anticompetitiva por una autoridad nacional de competencia, no veo ninguna razón para limitar únicamente a este supuesto la posibilidad de que se tenga en cuenta de forma incidental la infracción de las disposiciones del RGPD.
93. En efecto, por una parte, en lo referente al Derecho de la competencia, comoquiera que se admite tal toma en consideración en materia de public enforcement, considero necesario hacerla igualmente posible en lo que atañe al private enforcement y, por tanto, en cuanto a los litigios entre particulares que no tienen como base principal la vulneración de un derecho otorgado por el RGPD, a menos que se admita que los particulares no pueden recibir una indemnización por los daños y perjuicios ocasionados por una infracción del Derecho de la competencia que, no obstante, haya sido constatada por una autoridad de competencia.
94. Por otra parte, como ha señalado el Abogado General Richard de la Tour, la protección de los datos personales puede tener «ramificaciones […] en otros ámbitos relativos, en particular, al Derecho laboral, al Derecho de la competencia o bien al Derecho del consumo». (28) Esta influencia del RGPD en otros ámbitos me parece que debe conducir a admitir que se tengan en cuenta las disposiciones de este Reglamento en el marco de recursos basados de manera principal en disposiciones que le son ajenas.
95. En segundo lugar, en lo que atañe a la cuestión de la interacción de los recursos nacionales que implican la toma en consideración incidental de las disposiciones del RGPD con el sistema de recursos establecido por este Reglamento, considero que tales recursos solo deberían admitirse a condición de que no menoscaben el sistema de recursos de dicho Reglamento ni la realización de sus objetivos.
96. Estas condiciones se han desarrollado en la jurisprudencia relativa a la exhaustividad de un sistema de recursos armonizado respecto de los recursos nacionales basados en el mismo derecho. (29) Por consiguiente, me parece que, a fortiori, deben cumplirse cuando se trate de normas nacionales que reconocen a las empresas el derecho a interponer un recurso no sobre la base del mismo derecho sino fundadas en el Derecho nacional, invocando, no obstante, infracciones de las disposiciones sustantivas del RGPD presuntamente cometidas por otra empresa.
97. Por lo tanto, procede comprobar si, en el presente caso, se cumplen estas condiciones.
98. Para empezar, en lo referente a si una acción de cesación interpuesta por una empresa contra un competidor invocando la infracción por parte de este de las disposiciones del RGPD menoscaba el sistema de vías de recurso previsto en el capítulo VIII de dicho Reglamento, opino que no es así. En efecto, estas vías de recurso permiten a los interesados, o a las entidades, organizaciones o asociaciones sin ánimo de lucro a las que estos hayan dado mandato, presentar una reclamación ante una autoridad de control (artículo 77), ejercer su derecho a la tutela judicial efectiva contra una decisión de una autoridad de control (artículo 78), ejercitar una acción contra un responsable o encargado del tratamiento (artículo 79) o recibir del responsable o el encargado del tratamiento una indemnización por daños y perjuicios debido a la infracción del Reglamento (artículo 82).
99. En otras palabras, como destaca el Tribunal de Justicia en su jurisprudencia, el capítulo VIII del RGPD «regula […] las vías de recurso que permiten proteger los derechos del interesado cuando los datos personales que le conciernen han sido objeto de un tratamiento supuestamente contrario a las disposiciones de dicho Reglamento», siendo así que la protección de estos derechos puede «reclamarse, bien directamente por el interesado, bien por una entidad autorizada, mediando o no mandato a tal efecto». (30)
100. En estas condiciones, el recurso que una empresa podría interponer contra un competidor invocando la infracción del RGPD por este último se basa ciertamente in fine en la infracción de una misma disposición, pero no persigue el mismo objetivo y no involucra a las mismas partes. Dicho de otro modo, tal recurso previsto en el Derecho nacional no se ha concebido para garantizar el respeto de los derechos de los que son destinatarios los interesados.
101. De lo anterior resulta que, en mi opinión, se salvaguardan los recursos disponibles para los interesados en el sistema de vías de recurso instaurado por el RGPD y siempre pueden ejercitarse, incluso en el supuesto de que una empresa entable una acción contra un competidor.
102. A este respecto, también considero necesario precisar que no percibo en qué medida, como sostiene la Comisión, tales recursos pueden comprometer el sistema público de control de la aplicación del Derecho establecido por el RGPD, habida cuenta de que este Reglamento ya prevé expresamente, junto a tal sistema público, la posibilidad de que un interesado alegue los derechos que le confiere el RGPD en el marco de procedimientos judiciales.
103. En lo referente, a continuación, a los objetivos perseguidos por el RGPD, de su considerando 10 se desprende que este Reglamento pretende garantizar, en particular, tanto un nivel elevado de protección de las personas físicas como una aplicación coherente y homogénea de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos personales.
104. No me parece que la realización de ninguno de estos objetivos se vea amenazada por la posibilidad ofrecida a una empresa de entablar una acción de cesación, presentada sobre la base de la prohibición de los actos de competencia desleal, contra un competidor invocando la infracción por parte de este de las disposiciones del RGPD. Por una parte, considero que el nivel elevado de protección de las personas físicas en relación con el tratamiento de sus datos personales se alcanza, o incluso se ve reforzado, mediante la posibilidad ofrecida a una empresa de invocar una infracción de las disposiciones sustantivas del RGPD por un competidor. Por otra parte, la invocabilidad más amplia de estas disposiciones, por personas distintas de los propios interesados, no afecta negativamente a la realización del objetivo de una protección coherente y homogénea en la Unión. En efecto, aunque los Estados miembros no prevean tal posibilidad, no por ello se derivaría de esta omisión una fragmentación de la aplicación de la protección de datos en la Unión, ya que las disposiciones sustantivas del RGPD son oponibles de igual modo a todas las empresas y su cumplimiento se ve garantizado por las vías de recurso establecidas en dicho Reglamento.
105. Por último, en cuanto al efecto útil del RGPD, lejos de verse puesto en entredicho debido a la posibilidad ofrecida a una empresa de interponer una acción de cesación contra un competidor invocando una infracción del RGPD, me parece, como he mencionado, que se ve reforzado por el hecho de que el cumplimiento de las disposiciones de este Reglamento también pueda garantizarse en el marco de procedimientos judiciales distintos de los previstos por el sistema de vías de recurso instaurado por dicho Reglamento.
106. En estas condiciones, opino que una acción de cesación interpuesta por una empresa contra un competidor invocando la infracción por parte de este de las disposiciones del RGPD puede coexistir con las vías de recurso instauradas en el capítulo VIII del RGPD en la medida en que no las menoscabe y no afecte negativamente a los objetivos y al efecto útil de este Reglamento.
107. Por lo tanto, propongo al Tribunal de Justicia que declare que las disposiciones del capítulo VIII del RGPD no se oponen a unas normas nacionales que reconocen a las empresas el derecho a invocar, basándose en la prohibición de los actos de competencia desleal, las infracciones de las disposiciones sustantivas de este Reglamento presuntamente cometidas por sus competidores.
V. Conclusión
108. A la luz del conjunto de las consideraciones anteriores, propongo responder a las cuestiones prejudiciales planteadas por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania) de la siguiente manera:
El artículo 4, punto 15, y el artículo 9, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
deben interpretarse en el sentido de que
los datos de los clientes de un farmacéutico transmitidos cuando se realiza un pedido en una plataforma de venta por internet de medicamentos de venta obligatoria en farmacias pero que no están sujetos a receta médica no constituyen «datos relativos a la salud».