Ediție provizorie
CONCLUZIILE AVOCATULUI GENERAL
DOMNUL MACIEJ SZPUNAR
prezentate la 25 aprilie 2024(1)
Cauza C‑21/23
ND
împotriva
DR
[cerere de decizie preliminară formulată de Bundesgerichtshof (Curtea Federală de Justiție, Germania)]
„Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Căi de atac – Delimitarea căilor de atac – Prelucrare a unor categorii speciale de date cu caracter personal – Noțiunea de «date privind sănătatea»”
I. Introducere
1. Prezenta cauză privește interpretarea mai multor dispoziții ale Regulamentului (UE) 2016/679(2) (denumit în continuare „RGPD”) în ceea ce privește, pe de o parte, sistemul căilor de atac instituit prin acest regulament și, pe de altă parte, categoria de date cu un caracter deosebit de sensibil reprezentată de „datele privind sănătatea”.
2. Cererea de decizie preliminară se înscrie în contextul unei acțiuni în încetare, întemeiată pe interzicerea, în dreptul național, a actelor de concurență neloială și introdusă de o întreprindere în scopul de a pune capăt comercializării pe internet de către unul dintre concurenții săi a unor medicamente care se eliberează fără prescripție medicală. Actul de concurență neloială invocat ar fi constituit, potrivit acestei întreprinderi, de nerespectarea cerințelor care decurg din RGPD în ceea ce privește prelucrarea „datelor privind sănătatea”.
3. Vom începe analiza noastră prin examinarea celei de a doua întrebări preliminare, care va permite Curții să precizeze contururile noțiunii de „date privind sănătatea” care determină aplicarea sau neaplicarea unui regim consolidat de protecție.
4. Astfel, în ipoteza în care datele în discuție în prezenta cauză nu ar putea fi calificate drept „date privind sănătatea”, în sensul articolului 9 alineatul (1) din RGPD, ar rezulta că actul de concurență neloială invocat nu ar fi constituit. Prin urmare, nu ar fi util să se răspundă la prima întrebare preliminară, care privește aspectul dacă sistemul căilor de atac instituit prin RGPD permite existența, în dreptul național, a unei acțiuni întemeiate pe o încălcare a normelor referitoare la interzicerea actelor de concurență neloială, prin care reclamantul invocă o încălcare a dispozițiilor materiale ale RGPD.
II. Cadrul juridic
A. Dreptul Uniunii
1. Directiva 95/46/CE
5. Directiva 95/46/CE(3) prevede la articolul 8 alineatul (1):
„Statele membre interzic prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală.”
2. RGPD
6. Considerentele (9), (10), (13), (35), (51) și (142) ale RGPD au următorul cuprins:
„(9) Obiectivele și principiile [Directivei 95/46] rămân solide, dar aceasta nu a prevenit fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune, insecuritatea juridică sau percepția publică larg răspândită conform căreia există riscuri semnificative pentru protecția persoanelor fizice, în special în legătură cu activitatea online. Diferențele dintre nivelurile de protecție a drepturilor și libertăților persoanelor fizice, în special a dreptului la protecția datelor cu caracter personal, în ceea ce privește prelucrarea datelor cu caracter personal din statele membre pot împiedica libera circulație a datelor cu caracter personal în întreaga Uniune. Aceste diferențe pot constitui, prin urmare, un obstacol în desfășurarea de activități economice la nivelul Uniunii, pot denatura concurența și pot împiedica autoritățile să îndeplinească responsabilitățile care le revin în temeiul dreptului Uniunii. Această diferență între nivelurile de protecție este cauzată de existența unor deosebiri în ceea ce privește transpunerea și aplicarea [Directivei 95/46].
(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […]
[…]
(13) În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderi și întreprinderi mici și mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi, obligații și responsabilități opozabile din punct de vedere juridic pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni echivalente în toate statele membre, precum și cooperarea eficace a autorităților de supraveghere ale diferitelor state membre. […]
[…]
(35) Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informații despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt menționate în [Directiva 2011/24/UE(4)]; un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv din date genetice și eșantioane de material biologic; precum și orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.
[…]
(51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. […] Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepția cazului în care prelucrarea este permisă în cazuri specifice prevăzute de prezentul regulament, ținând seama de faptul că dreptul statelor membre poate prevedea dispoziții specifice cu privire la protecția datelor în scopul adaptării aplicării normelor din prezentul regulament în vederea respectării unei obligații legale sau a îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul. Pe lângă cerințele specifice pentru o astfel de prelucrare, ar trebui să se aplice principiile generale și alte norme prevăzute de prezentul regulament, în special în ceea ce privește condițiile pentru prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicția generală de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizată își dă consimțământul explicit sau în ceea ce privește nevoile specifice în special atunci când prelucrarea este efectuată în cadrul unor activități legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale.
[…]
(142) În cazul în care persoana vizată consideră că drepturile sale în temeiul prezentului regulament sunt încălcate, aceasta ar trebui să aibă dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ care este înființat(ă) în conformitate cu dreptul intern, ale cărui (cărei) obiective statutare sunt în interesul public și care își desfășoară activitatea în domeniul asigurării protecției datelor cu caracter personal, să depună o plângere în numele său la o autoritate de supraveghere, să exercite dreptul la o cale de atac în numele persoanelor vizate sau, în cazul în care se prevede în dreptul intern, să exercite dreptul de a primi despăgubiri în numele persoanelor vizate. Un stat membru poate prevedea ca un astfel de organism, organizație sau asociație să aibă dreptul de a depune o plângere în statul membru respectiv, independent de mandatul acordat de o persoană vizată, și să aibă dreptul la o cale de atac eficientă în cazul în care are motive să considere că drepturile unei persoane vizate au fost încălcate ca rezultat al unei prelucrări a datelor cu caracter personal care încalcă prezentul regulament. Organismul, organizația sau asociația în cauza nu poate pretinde despăgubiri în numele unei persoane vizate, independent de mandatul acordat de persoana vizată.”
7. Articolul 1 din acest regulament, intitulat „Obiect și obiective”, prevede:
„(1) Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.
(2) Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.
(3) Libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”
8. Articolul 4 din regulamentul menționat prevede:
„În sensul prezentului regulament:
1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
[…]
15. «date privind sănătatea» înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;
[…]”
9. Potrivit articolului 9 din același regulament, intitulat „Prelucrarea de categorii speciale de date cu caracter personal”:
„(1) Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
(2) Alineatul (1) nu se aplică în următoarele situații:
(a) persoana vizată și‑a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate;
[…]
(h) prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul (3);
[…]”
10. Articolele 77-84 figurează în capitolul VIII din RGPD, intitulat „Căi de atac, răspundere și sancțiuni”.
11. Articolul 77 din acest regulament, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede la alineatul (1):
„Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.”
12. Articolul 78 din regulamentul menționat, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere”, prevede la alineatul (1):
„Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.”
13. Articolul 79 din același regulament, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator”, prevede la alineatul (1):
„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”
14. Articolul 80 din RGPD, intitulat „Reprezentarea persoanelor vizate”, prevede:
„(1) Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile menționate la articolele 77, 78 și 79, precum și să exercite dreptul de a primi despăgubiri menționat la articolul 82 în numele persoanei vizate, dacă acest lucru este prevăzut în dreptul intern.
(2) Statele membre pot prevedea că orice organism, organizație sau asociație menționată la alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere care este competentă în temeiul articolului 77 și de a exercita drepturile menționate la articolele 78 și 79, în cazul în care consideră că drepturile unei persoane vizate în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării.”
15. Articolul 82 din acest regulament, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatul (1):
„Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.”
16. Articolul 84 din regulamentul menționat, intitulat „Sancțiuni”, prevede la alineatul (1):
„Statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.”
B. Dreptul german
1. Legea privind combaterea concurenței neloiale
17. Articolul 3 din Gesetz gegen den unlauteren Wettbewerb (Legea privind combaterea concurenței neloiale) din 3 iulie 2004(5), în versiunea aplicabilă litigiului principal (denumită în continuare „Legea privind combaterea concurenței neloiale”), intitulat „Interzicerea comportamentelor comerciale neloiale”, prevede la alineatul (1) că „[s]e interzic practicile comerciale neloiale”.
18. Articolul 3a din această lege, intitulat „Încălcarea dreptului”, are următorul cuprins:
„Constituie concurență neloială încălcarea de către o persoană a unei dispoziții legale adoptate cu scopul să reglementeze, în interesul operatorilor economici, comportamentul pe piață în măsura în care încălcarea în cauză afectează considerabil interesele consumatorilor, ale altor operatori economici sau ale concurenților.”
19. Articolul 8 din legea menționată, intitulat „Eliminare și omisiune”, prevede:
„(1) Orice practică comercială nelegală în temeiul articolului 3 sau al articolului 7 poate duce la o somație de încetare și, în caz de risc de recidivă, la o somație de a nu face sau la o interdicție. […]
[…]
(3) Somațiile menționate la alineatul (1) pot fi solicitate de:
1. orice concurent care comercializează sau solicită bunuri sau servicii într‑un mod care nu este neglijabil și nu este ocazional;
[…]”
2. Legea privind medicamentele
20. Circulația medicamentelor este reglementată de Arzneimittelgesetz (Legea privind medicamentele) din 24 august 1976, în versiunea sa publicată la 12 decembrie 2005(6), astfel cum a fost modificată ultima dată prin articolul 8c din Legea din 20 decembrie 2022(7). Această lege face distincție între medicamentele vândute în farmacie, prevăzute la articolele 43 (intitulat „Obligația de distribuire în farmacie”)-47, și cele vândute pe bază de prescripție medicală, prevăzute la articolul 48 din aceasta (intitulat „Obligația privind prescripția medicală”).
III. Situația de fapt din litigiul principal, procedura și întrebările preliminare
21. ND și DR exploatează fiecare o farmacie. Reclamantul din litigiul principal, ND, este în plus titularul unei autorizații de vânzare prin corespondență și comercializează produsele sale, inclusiv medicamente a căror vânzare este rezervată farmaciilor, și prin intermediul Amazon Marketplace (denumită în continuare „Amazon”), o platformă de comerț electronic prin care vânzătorii pot oferi spre vânzare produse direct consumatorilor.
22. Pârâtul din litigiul principal, DR, a introdus o acțiune în încetare pentru a i se interzice lui ND comercializarea pe platforma de vânzare online Amazon a medicamentelor a căror vânzare este rezervată farmaciilor. Potrivit DR, o astfel de comercializare constituie un act comercial neloial în măsura în care aceasta îl determină pe ND să încalce o dispoziție legală, în sensul articolului 3a din Legea privind combaterea concurenței neloiale, și anume, printre altele, articolul 9 din RGPD, referitor la obținerea consimțământului prealabil și expres al clientului pentru prelucrarea datelor sale cu caracter personal privind sănătatea.
23. Landgericht Dessau‑Roßlau (Tribunalul Regional din Dessau‑Roßlau, Germania) a admis această acțiune. Oberlandesgericht Naumburg (Tribunalul Regional Superior din Naumburg, Germania) a respins ulterior apelul formulat de ND, statuând că comercializarea de către acesta din urmă pe Amazon a unor medicamente a căror vânzare este rezervată farmaciilor este contrară Legii privind combaterea concurenței neloiale. Astfel, potrivit acestei instanțe, comercializarea respectivă constituie o prelucrare de date privind sănătatea, în sensul articolului 9 alineatul (1) din RGPD, pentru care clienții nu și‑ar fi dat consimțământul în mod expres. Or, dispozițiile RGPD ar trebui considerate norme de comportament pe piață în sensul dreptului național al concurenței, astfel încât, în calitate de concurent, DR ar avea dreptul de a formula o cerere de încetare întemeiată pe dreptul național al concurenței invocând o încălcare de către ND a dispozițiilor acestui regulament.
24. ND a formulat recurs în fața instanței de trimitere, Bundesgerichtshof (Curtea Federală de Justiție, Germania), prin care își menține concluziile de respingere a acțiunii în încetare.
25. Potrivit instanței de trimitere, soluționarea recursului depinde de interpretarea atât a capitolului VIII din RGPD, cât și a articolului 9 din acest regulament, precum și a articolului 8 alineatul (1) din Directiva 95/46.
26. Astfel, pe de o parte, această instanță subliniază că trebuie să se stabilească dacă reclamantul din litigiul principal, în calitate de concurent, dispune de calitatea necesară pentru a acționa, prin intermediul unei acțiuni în fața instanțelor civile, în ceea ce privește încălcările RGPD, împotriva autorului acestora, în temeiul interzicerii practicilor comerciale neloiale. Instanța de trimitere precizează că este vorba despre o chestiune controversată la care se poate răspunde că normele cuprinse în RGPD având ca obiect punerea în aplicare a dispozițiilor sale sunt exhaustive, astfel încât calitatea procesuală activă a concurenților în temeiul dreptului concurenței este exclusă. Cu toate acestea, se poate susține de asemenea că dispozițiile RGPD având ca obiect controlul aplicării dreptului nu sunt exhaustive și că, prin urmare, concurenții dispun de calitatea necesară pentru a pune în aplicare, prin intermediul unei acțiuni, drepturile la încetare, invocând încălcarea acestui regulament.
27. Pe de altă parte, instanța de trimitere susține că trebuie să se stabilească dacă datele pe care clienții trebuie să le introducă, cu ocazia comenzii online de medicamente a căror vânzare este rezervată farmaciștilor, dar care se eliberează fără prescripție medicală, constituie date privind sănătatea, în sensul articolului 9 alineatul (1) din RGPD și, anterior, al articolului 8 alineatul (1) din Directiva 95/46, în măsura în care dreptul la încetare există numai în cazul în care comportamentul lui ND era nelegal atât la momentul la care a fost adoptat, cât și la momentul ședinței de revizuire.
28. În acest context, Bundesgerichtshof (Curtea Federală de Justiție) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Dispozițiile capitolului VIII din [RGPD] se opun unor reglementări naționale care conferă concurenților – în plus față de competențele de intervenție ale autorităților de supraveghere responsabile pentru supravegherea și punerea în aplicare a regulamentului menționat și față de căile de atac ale persoanelor în cauză – capacitatea de a formula împotriva contravenientului, în fața instanțelor civile, o acțiune având ca obiect încălcarea regulamentului menționat, invocând principiul interdicției practicilor comerciale neloiale?
2) Datele pe care clienții unui farmacist, care operează ca vânzător pe o platformă comercială de internet, trebuie să le introducă pe platforma comercială atunci când comandă medicamente disponibile numai în farmacii, dar care se eliberează fără prescripție medicală (numele clientului, adresa de livrare și informațiile necesare pentru individualizarea medicamentelor comandate disponibile numai în farmacii) sunt date privind sănătatea în sensul articolului 9 alineatul (1) din [RGPD] și în sensul articolului 8 alineatul (1) din Directiva 95/46?”
29. Prezenta cerere de decizie preliminară a fost primită la Curte la 19 ianuarie 2023. Părțile din procedura principală, guvernul german și Comisia Europeană au depus observații scrise. Aceleași părți au fost reprezentate în ședința care a avut loc la 9 ianuarie 2024.
IV. Analiză
30. În prezenta cauză, DR susține că ND ar fi încălcat articolul 9 din RGPD prin faptul că a prelucrat datele clienților care au comandat online medicamente care se eliberează fără prescripție medicală fără a se conforma cerințelor care impun obținerea consimțământului explicit al clienților pentru prelucrarea acestor date.
31. Prin intermediul primei întrebări preliminare, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile capitolului VIII din RGPD trebuie interpretate în sensul că se opun unor norme naționale care recunosc întreprinderilor dreptul de a invoca, în temeiul interzicerii actelor de concurență neloială, încălcări ale dispozițiilor materiale ale RGPD pretins săvârșite de concurenții lor. Prin intermediul celei de a doua întrebări preliminare, această instanță solicită Curții să se pronunțe cu privire la aspectul dacă articolul 9 din RGPD trebuie interpretat în sensul că datele în discuție constituie date privind sănătatea și, prin urmare, se încadrează în categoriile speciale de date prevăzute de această dispoziție(8).
32. De la bun început, astfel cum am subliniat deja, arătăm că, în ipoteza unui răspuns negativ la a doua întrebare, nu ar fi necesar să se răspundă la prima întrebare, întrucât răspunsul Curții ar fi suficient pentru ca instanța de trimitere să soluționeze litigiul pendinte în fața sa. În aceste condiții, considerăm oportun să începem analiza întrebărilor preliminare cu această a doua întrebare.
A. Cu privire la a doua întrebare preliminară
33. Prin intermediul celei de a doua întrebări preliminare, instanța de trimitere solicită în esență să se stabilească dacă datele clienților unui farmacist transmise cu ocazia comenzii pe o platformă de vânzare online de medicamente a căror vânzare este rezervată farmaciilor, dar care se eliberează fără prescripție medicală constituie „date privind sănătatea” în sensul articolului 9 alineatul (1) din RGPD.
34. Trebuie să precizăm de la bun început că noțiunea de „date privind sănătatea” care figurează la articolul 9 alineatul (1) din RGPD este definită la articolul 4 punctul 15 din acest regulament. Răspunsul la a doua întrebare preliminară presupune, așadar, o interpretare coroborată a acestor două dispoziții.
1. Cu privire la interpretarea noțiunii de „date privind sănătatea” în lumina jurisprudenței existente
35. Potrivit articolului 4 punctul 15 din RGPD, constituie „date privind sănătatea” datele cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acestei persoane.
36. Această definiție este susținută de asemenea de considerentul (35) al RGPD. Curtea a subliniat astfel în jurisprudența sa că „[acest considerent] prevede că datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care «dezvăluie» informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate”(9).
37. Reiese, așadar, din modul de redactare a articolului 4 punctul 15 din RGPD, precizat în considerentul (35) al acestui regulament, că elementul determinant pentru a stabili că anumite date cu caracter personal constituie date privind sănătatea este faptul că este posibil, pe baza datelor în discuție, să se tragă concluzii cu privire la starea de sănătate a persoanei vizate. Cu alte cuvinte, „datele privind sănătatea” nu se limitează la datele medicale sau direct legate de probleme de sănătate, ci includ de asemenea orice date care permit să se tragă concluzii cu privire la starea de sănătate a persoanei vizate, indiferent dacă este vorba, în plus, despre o stare patologică sau fiziologică.
38. Acest lucru este confirmat în lumina obiectivului urmărit la articolul 9 din RGPD. Curtea a subliniat astfel, în jurisprudența sa, că finalitatea acestei dispoziții este de a asigura o protecție sporită împotriva unor asemenea prelucrări care, din cauza caracterului deosebit de sensibil al acestor date, sunt susceptibile să constituie, așa cum reiese considerentul (51) al RGPD, o ingerință deosebit de gravă în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, garantate de articolele 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene(10).
39. Caracterul deosebit de sensibil al datelor privind sănătatea se explică astfel prin faptul că acestea se referă la informații care țin de sfera cea mai intimă a persoanelor și pot expune vulnerabilitatea lor. Acest caracter deosebit de sensibil și, în consecință, nevoia lor specială de protecție sunt de altfel recunoscute nu numai în dreptul Uniunii, ci și în jurisprudența Curții Europene a Drepturilor Omului, care subliniază că „respectarea caracterului confidențial al informațiilor privind sănătatea constituie un principiu esențial al sistemului juridic al tuturor părților contractante la [Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma la 4 noiembrie 1950]”(11).
40. Prin urmare, în lumina acestui obiectiv, potrivit jurisprudenței Curții, trebuie să se dea o interpretare în sens larg noțiunii de „categorii speciale de date cu caracter personal” din care fac parte datele privind sănătatea, în sensul că acestea nu vizează numai datele intrinsec sensibile, ci și date care, la finalul unei operațiuni intelectuale de deducție sau de suprapunere a informațiilor, dezvăluie indirect informații de această natură(12).
41. În această privință, arătăm că Comitetul european pentru protecția datelor instituit la articolul 68 și următoarele din RGPD adoptă de asemenea o astfel de concepție a noțiunii de „date privind sănătatea”, subliniind că nu numai natura intrinsecă a informației este cea care determină calificarea sa drept „date privind sănătatea”, ci și împrejurările colectării și prelucrării sale, și oferă în acest sens diferite exemple. În opinia acestui comitet, constituie, așadar, „date privind sănătatea „informațiile cuprinse într‑un dosar medical, informațiile care indică starea de sănătate ca urmare a trimiterilor încrucișate la alte date sau datele care devin date privind sănătatea ca urmare a utilizării lor într‑un anumit context, cum ar fi informații despre o deplasare, prelucrate de un cadru medical în vederea stabilirii unui diagnostic(13). În schimb, nu constituie „date privind sănătatea” datele colectate de o aplicație care permit măsurarea numărului de pași efectuați de persoana vizată, atunci când aplicația respectivă nu poate lega aceste date de alte date ale persoanei menționate și în măsura în care datele colectate nu sunt prelucrate într‑un context medical(14).
42. Prin urmare, din articolul 4 punctul 15 și din articolul 9 din RGPD, astfel cum au fost interpretate în jurisprudență, reiese în mod clar că trebuie considerate „date privind sănătatea”, în sensul acestor dispoziții, datele care pot permite să se tragă concluzii cu privire la starea de sănătate a persoanei vizate.
43. Prin urmare, arătăm că, la prima vedere, nu se poate nega că o comandă online de medicamente care se eliberează fără prescripție medicală presupune prelucrarea unor date din care se pot deduce anumite informații referitoare la sănătate sau, cel puțin, oferă anumite indicii cu privire la aceasta în măsura în care comanda respectivă implică o legătură între cumpărarea unui medicament, produs care privește sănătatea prin excelență, și identitatea cumpărătorului său. Totuși, în opinia noastră și pentru motivele pe care le vom prezenta în continuare, din informațiile transmise Curții de instanța de trimitere reiese că legătura respectivă este prea slabă, iar indiciile care pot fi deduse din aceasta sunt prea imprecise sau ipotetice pentru ca datele în discuție să poată fi calificate drept „date privind sănătatea”, în sensul articolului 4 punctul 15 și al articolului 9 din RGPD.
2. Cu privire la cerința referitoare la un anumit grad de certitudine în ceea ce privește concluziile care pot fi trase cu privire la starea de sănătate a unei persoane vizate
44. Trebuie să facem câteva precizări în ceea ce privește această interpretare a noțiunii de „date privind sănătatea” în special și a celei de „categorie specială de date” în general.
45. Pe de o parte, considerăm că, pe baza acestor elemente de interpretare, un produs comandat online poate fi considerat susceptibil să dezvăluie informații generale privind starea de sănătate a unei persoane, dar și, astfel cum reiese din articolul 9 din RGPD, originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau orientarea sexuală ale unei persoane. În opinia noastră, din bunurile comandate online pot fi deduse anumite informații referitoare la aceste diferite elemente în ceea ce privește persoana vizată.
46. Mai multe exemple ne permit să susținem afirmațiile noastre. Comandarea unei cărți a unei personalități politice poate indica în mod potențial aderarea la ideile pe care aceasta le susține, comandarea unui articol de îmbrăcăminte poate fi un semn al convingerilor religioase ale unui individ sau comandarea unui material erotic poate constitui un indiciu al orientării sexuale a persoanei. Cu excepția cazului în care o mare parte din prelucrarea datelor legate de comerțul online ar fi supusă regimului prevăzut la articolul 9 alineatul (2) din RGPD, considerăm, prin urmare, că este necesar să se nuanțeze mai mult interpretarea noțiunii de „date privind sănătatea”, în sensul că concluziile care pot fi trase din datele legate de o comandă nu trebuie să fie doar potențiale. Cu alte cuvinte, în opinia noastră, informațiile dezvăluite de datele în cauză cu privire la starea de sănătate a persoanei vizate nu pot fi simple supoziții, ci trebuie să prezinte un anumit grad de certitudine.
47. Pe de altă parte, apreciem că, în afara cazurilor în care datele sunt în mod intrinsec „date privind sănătatea”, aspectul dacă datele pot fi calificate astfel depinde de împrejurările fiecărei cauze. Mai precis, considerăm că concluziile care pot fi trase din datele respective depind de contextul în care acestea sunt colectate și de prelucrarea care este efectuată asupra lor. Astfel cum subliniază Comitetul european pentru protecția datelor instituit la articolul 68 și următoarele din RGPD, date care la prima vedere nu au legătură cu domeniul medical, cum ar fi informațiile referitoare la o călătorie, pot fi totuși considerate „date privind sănătatea” atunci când sunt analizate într‑un context medical și sunt asociate cu alte informații, pentru a stabili, în exemplul menționat, o potențială contaminare cu o bacterie sau cu un virus prezent într‑o anumită regiune.
48. În special, subliniem că identitatea operatorului este un element deosebit de relevant în această privință. Astfel, în cazul în care datele sunt prelucrate de un organ din domeniul sănătății, considerăm că acest lucru poate constitui un indiciu că datele respective sunt într‑adevăr „date privind sănătatea”. În schimb, aceleași date ar putea fi calificate în mod diferit ca urmare a faptului că nu sunt prelucrate de o instituție din domeniul sănătății și nu pot fi legate de alte date ale persoanei vizate. Cu alte cuvinte, aceleași date pot dezvălui cu privire la starea de sănătate a unei persoane mai multe informații atunci când sunt prelucrate de o instituție din domeniul sănătății care dispune de competența de a le interpreta sau de alte date referitoare la persoană decât atunci când sunt prelucrate de un organ din afara acestui sector.
49. În aceste condiții, considerăm că revine instanței de trimitere sarcina de a efectua o examinare atât a substanței datelor în cauză, cât și a tuturor împrejurărilor prelucrării lor, pentru a stabili dacă se pot deduce, cu un anumit grad de certitudine, informații referitoare la starea de sănătate a persoanei vizate.
50. Având în vedere elementele conținute în decizia instanței de trimitere, considerăm totuși că este posibil să se aducă precizări pentru a o îndruma în soluționarea litigiului principal(15).
3. Cu privire la elementele relevante pentru examinarea de către instanța de trimitere a posibilității de a deduce informații referitoare la starea de sănătate a unei persoane vizate
51. În primul rând, în ceea ce privește produsele care fac obiectul comenzii, subliniem că medicamentele în discuție, și anume medicamentele care se eliberează fără prescripție medicală, nu vizează în principiu tratamentul unei anumite stări, ci pot fi utilizate în general pentru a trata afecțiuni cotidiene cu care se poate confrunta oricine și care nu sunt simptomatice pentru o anumită patologie sau stare de sănătate. În plus, aceste medicamente sunt de asemenea achiziționate în mod frecvent cu titlu preventiv, pentru a le avea la dispoziție în caz de nevoie sau înainte de plecarea de la reședința obișnuită, de exemplu. Cu titlu ilustrativ, o comandă de paracetamol nu permite nicio deducție cu privire la o anumită stare a unei persoane, această moleculă fiind indicată în tratamentul unei varietăți de dureri și de stări febrile și făcând parte în mod frecvent din medicamentele de care persoanele dispun la domiciliul lor, în afara oricărei necesități speciale.
52. În al doilea rând, astfel cum arată ND, faptul că o persoană comandă online un medicament care se eliberează fără prescripție medicală nu implică în mod necesar că persoana respectivă, ale cărei date sunt prelucrate, va fi utilizatorul acestuia, iar nu o altă persoană din gospodăria sau din cercul său. Astfel, se întâmplă frecvent ca o comandă pe un site de vânzări online să fie realizată de o persoană titulară a unui cont pe acest site în numele și pe seama unei persoane care nu dispune de un cont. În lipsa unei prescripții medicale care să desemneze nominal persoana căreia îi este destinat medicamentul și în temeiul căreia trebuie să se prezume că utilizatorul medicamentului și cumpărătorul sunt aceeași persoană, nu se poate deduce din comanda unui produs accesibil online în mod liber că acest produs are vocația de a fi utilizat exclusiv de cumpărător. Rezultă că din aceste date nu poate fi trasă în mod rezonabil nicio concluzie cu privire la starea de sănătate a persoanei ale cărei date sunt prelucrate, astfel încât acestea să poată fi calificate drept „date privind sănătatea”.
53. Acest lucru este valabil cu atât mai mult cu cât, în al treilea rând și sub rezerva verificărilor care trebuie efectuate de instanța de trimitere, o persoană poate realiza o comandă pe internet fără a fi necesar să furnizeze date precise cu privire la identitatea sa, în special atunci când livrarea produsului nu are loc la adresa persoanei vizate, ci prin intermediul unui punct de livrare, și nu sunt solicitate alte date de identitate civilă în scopul facturării.
54. Prin urmare, considerăm că trebuie să se răspundă la a doua întrebare preliminară în sensul că datele clienților unui farmacist transmise cu ocazia comenzii pe o platformă de vânzare online de medicamente a căror vânzare este rezervată farmaciilor, dar care se eliberează fără prescripție medicală nu constituie „date privind sănătatea”, în sensul articolului 4 punctul 15 și al articolului 9 din RGPD, în măsura în care din acestea pot fi trase numai concluzii ipotetice sau imprecise cu privire la starea de sănătate a persoanei care efectuează comanda online, aspect a cărui verificare revine instanței de trimitere.
55. În plus, mai trebuie să precizăm că, în opinia noastră, interpretarea noțiunii de „date privind sănătatea” în sensul că include datele transmise cu ocazia comenzii pe o platformă de vânzare online de medicamente a căror vânzare este rezervată farmaciilor, dar care se eliberează fără prescripție medicală poate, în mod paradoxal, să conducă la dezvăluirea mai multor informații sensibile ca urmare a regimului de protecție consolidată prevăzut la articolul 9 alineatul (2) din RGPD. Astfel, cererea de consimțământ expres pentru prelucrarea datelor deja identificate ca fiind sensibile ar putea in fine să determine cumpărătorul să dezvăluie identitatea utilizatorului final al produsului. În această situație, ar putea fi trase concluzii mai certe cu privire la starea de sănătate a persoanei respective.
B. Cu privire la prima întrebare preliminară
56. În lumina răspunsului pe care îl propunem la a doua întrebare preliminară, nu este necesar, în opinia noastră, să se răspundă la prima întrebare preliminară. Din motive de exhaustivitate și ținând seama de aprecierea pe care va trebui să o efectueze instanța de trimitere, vom analiza totuși această întrebare, prin intermediul căreia instanța de trimitere solicită în esență să se stabilească dacă dispozițiile capitolului VIII din RGPD trebuie interpretate în sensul că se opun unor norme naționale care recunosc întreprinderilor dreptul de a invoca, în temeiul interzicerii actelor de concurență neloială, încălcări ale dispozițiilor materiale ale acestui regulament pretins săvârșite de concurenții lor.
57. Părțile au dat răspunsuri diametral opuse la această întrebare. Pe de o parte, potrivit Comisiei și ND, sistemul căilor de atac instituit prin dispozițiile capitolului VIII din RGPD, interpretat în lumina obiectivelor acestui regulament, trebuie să fie conceput ca un sistem exhaustiv, care exclude orice posibilitate a statelor membre de a prevedea căi de atac alternative în dreptul național.
58. Pe de altă parte, potrivit guvernului german, sistemul căilor de atac instituit prin dispozițiile capitolului VIII din RGPD trebuie să fie conceput ca un set minim de căi de atac care poate fi completat de statele membre. Caracterul neexhaustiv al unui astfel de sistem ar fi justificat de faptul că RGPD are de asemenea ca obiectiv protejarea condițiilor de concurență și împiedicarea denaturărilor care ar putea rezulta din diferențe de nivel de protecție a datelor și că posibilitatea unui concurent de a invoca încălcarea de către un alt concurent a dispozițiilor materiale ale regulamentului menționat ar consolida caracterul operațional al acestuia din urmă.
59. Prin urmare, părțile și‑au structurat observațiile în jurul aspectului dacă sistemul căilor de atac prevăzut de RGPD ar trebui să fie conceput ca un sistem de armonizare exhaustivă, ceea ce ar limita, în opinia lor, posibilitatea statelor membre de a prevedea în dreptul lor național căi de atac alternative față de cele stabilite de acest regulament.
60. Totuși, deși determinarea caracterului exhaustiv sau neexhaustiv al sistemului căilor de atac este un element relevant pentru a răspunde în mod util la prima întrebare preliminară, considerăm, pentru motivele pe care le vom prezenta, că o asemenea analiză necesită mai întâi să se examineze problema subiacentă a identificării persoanelor care beneficiază de protecția acordată de normele, atât materiale, cât și procedurale, ale RGPD. Astfel, în ipoteza în care întreprinderile responsabile de prelucrarea datelor ar fi considerate titulare ale drepturilor acordate de RGPD, apreciem că acest regulament ar trebui interpretat în sensul că impune dreptului național instituirea unei acțiuni care să aibă ca obiect valorificarea acestor drepturi. Prin urmare, vom începe analiza noastră cu acest aspect, înainte de a răspunde la problema dacă sistemul căilor de atac instituit prin RGPD trebuie să fie conceput ca fiind un sistem exhaustiv în sensul că exclude posibilitatea oferită în dreptul național unei întreprinderi de a intenta o acțiune în încetare, introdusă în temeiul interzicerii actelor de concurență neloială, împotriva unui concurent, invocând încălcarea de către acesta a dispozițiilor regulamentului menționat.
1. Identificarea titularilor drepturilor acordate de RGPD
61. Vom încerca mai întâi să precizăm necesitatea unei asemenea identificări, procedând în continuare la efectuarea acesteia și prezentând, în sfârșit, incidența identificării persoanelor vizate ca fiind singurii beneficiari ai drepturilor acordate de RGPD în ceea ce privește răspunsul la prima întrebare preliminară.
a) Cu privire la necesitatea de a determina titularii drepturilor protejate de RGPD
62. Necesitatea, pentru a răspunde la întrebarea preliminară, de a identifica mai întâi titularii drepturilor protejate de RGPD înainte de a aborda problema caracterului exhaustiv al sistemului căilor de atac pe care îl stabilește acest regulament se explică, în opinia noastră, prin două modalități.
1) Obligația statelor membre de a prevedea acțiuni care să aibă ca obiect valorificarea unui drept întemeiat pe dreptul Uniunii
63. Subliniem că, potrivit unei jurisprudențe constante, dreptul Uniunii nu creează doar obligații în sarcina particularilor, ci este destinat să le confere și drepturi acestora care intră în patrimoniul lor juridic(16), Curtea subliniind în această privință că drepturile respective iau naștere printre altele ca urmare a unor obligații impuse atât particularilor, cât și statelor membre și instituțiilor Uniunii(17). Astfel, orice obligație impusă unei persoane fizice sau juridice are, de regulă, ca efect corelativ acordarea unui drept în beneficiul unei alte persoane.
64. În plus, este cert că orice drept conferit unui particular de dreptul Uniunii determină de asemenea existența unei căi de atac având ca obiect tocmai valorificarea acestui drept, înțelegându‑se că, în lipsa unor norme specifice ale dreptului Uniunii în acest scop, revine statelor membre sarcina de a asigura respectarea drepturilor în cauză în cadrul unor căi de atac de drept intern(18). Reiese astfel în mod clar din jurisprudență că revine instanțelor naționale sarcina de a proteja drepturile pe care dispozițiile dreptului Uniunii le conferă particularilor(19).
65. În cazul în care, astfel cum susține guvernul german, RGPD ar fi interpretat în sensul că protejează, dincolo de persoanele vizate, condițiile de concurență de pe piață și, prin urmare, in fine, întreprinderile, trebuie să se considere că acest regulament conferă drepturi care intră în patrimoniul juridic al acestora din urmă(20).
66. În aceste condiții, în lipsa unor dispoziții exprese ale dreptului Uniunii în acest scop, respectarea drepturilor pe care întreprinderile le‑ar avea în temeiul RGPD ar trebui să poată fi asigurată pe baza căilor de atac prevăzute de statele membre.
67. Ar rezulta de aici că, fără a fi necesar să se examineze caracterul exhaustiv sau neexhaustiv al sistemului căilor de atac instituit prin RGPD, ar trebui să se răspundă la prima întrebare preliminară în sensul că capitolul VIII din acest regulament nu trebuie interpretat în sensul că nu împiedică statele membre să prevadă posibilitatea unui concurent de a introduce o acțiune împotriva unei alte întreprinderi invocând o încălcare a regulamentului menționat, ci, mai mult, în sensul că impune ca respectarea dispozițiilor sale să poată fi asigurată în cadrul unei acțiuni intentate de o întreprindere împotriva unui concurent invocând încălcarea lor de către acesta din urmă(21).
68. Prin urmare, răspunsul la prima întrebare preliminară este, în opinia noastră, condiționat de identificarea titularilor drepturilor conferite de RGPD.
2) Dubla dimensiune a exhaustivității unui sistem de căi de atac
69. Însăși noțiunea de „exhaustivitate a unui sistem de căi de atac” poate acoperi două dimensiuni distincte, care presupun o analiză diferită și care necesită identificarea în prealabil a persoanelor titulare ale drepturilor a căror respectare este asigurată printr‑un astfel de sistem.
70. Prima dimensiune vizează caracterul exhaustiv al sistemului căilor de atac în privința oricărei alte căi de atac destinate protecției aceluiași drept. Cu alte cuvinte, este vorba despre exhaustivitatea căilor de atac prevăzute de dreptul Uniunii pentru protecția drepturilor pe care normele sale le acordă particularilor. Curtea s‑a pronunțat deja, în jurisprudența sa, cu privire la incidența caracterului exhaustiv al căilor de atac prevăzute de dreptul Uniunii pentru protecția unui drept, el însuși prevăzut de dreptul Uniunii. Cu titlu ilustrativ, ea a statuat astfel în mod constant că un regim de răspundere armonizat în mod exhaustiv de dreptul Uniunii poate totuși să coexiste cu un regim alternativ de răspundere prevăzut de dreptul național care are la bază aceleași fapte și același temei cu condiția ca acest regim alternativ să nu aducă atingere regimului armonizat și să nu afecteze obiectivele și efectul util ale acestuia(22). Prin urmare, simplul caracter exhaustiv al unui sistem de căi de atac prevăzut de dreptul Uniunii nu este suficient pentru a exclude posibilitatea unui stat membru de a prevedea în dreptul național o cale de atac alternativă care se întemeiază pe același drept, cu condiția respectării anumitor condiții.
71. A doua dimensiune a noțiunii de „exhaustivitate a unui sistem de căi de atac” prevăzut de dreptul Uniunii este mai largă și vizează exhaustivitatea în privința oricărei alte acțiuni exercitate de persoane care nu sunt direct titulare ale unor drepturi conferite de dreptul Uniunii, dar care le invocă totuși în cadrul unei căi de atac prevăzute de dreptul național. O asemenea concepție a exhaustivității unui sistem de căi de atac instituit de dreptul Uniunii necesită, așadar, o analiză diferită(23).
72. Prin urmare, pentru a efectua o analiză pertinentă a eventualului caracter exhaustiv al sistemului căilor de atac prevăzut de RGPD, trebuie de asemenea să se stabilească în prealabil titularii drepturilor pe care le acordă acest regulament, ceea ce vom încerca să facem în considerațiile care urmează.
b) Cu privire la identificarea titularilor drepturilor protejate de RGPD
73. Domeniul de aplicare personal al protecției acordate de RGPD trebuie, în opinia noastră, să fie determinat atât în lumina obiectivelor, cât și a conținutului acestui regulament.
74. În ceea ce privește, mai întâi, obiectivele RGPD, guvernul german arată în această privință că regulamentul menționat urmărește, pe lângă obiectivul de a asigura un nivel ridicat și consecvent de protecție a persoanelor fizice, să stabilească condiții de concurență echitabile.
75. Desigur, considerentul (9) al RGPD evocă faptul că diferențele de protecție a dreptului la protecția datelor cu caracter personal în ceea ce privește prelucrarea lor pot denatura concurența. Nu este mai puțin adevărat că, în opinia noastră, o asemenea precizare nu poate fi interpretată ca făcând din garanția privind o concurență liberă și nedenaturată un obiectiv al RGPD. Faptul că disparitățile dintre legislațiile statelor membre în ceea ce privește normele impuse întreprinderilor determină denaturări ale concurenței este, în opinia noastră, doar o simplă constatare, care nu este proprie RGPD. Din moment ce dispozițiile materiale reglementează acțiunea întreprinderilor pe piață mai strict într‑un stat membru decât în altul, rezultă în mod necesar un anumit avantaj concurențial pentru întreprinderile care își desfășoară activitatea în acesta din urmă în raport cu cele stabilite în primul stat membru, pe care orice text de armonizare îl poate atenua.
76. Considerăm că o asemenea interpretare este confirmată de referirea, în considerentul (9) al RGPD, la necesitatea de a asigura „libera circulație a datelor cu caracter personal în întreaga Uniune”, potențial amenințată ca urmare a disparității cadrelor juridice naționale.
77. În plus, astfel cum a arătat Comisia în ședință, considerentul (9) al RGPD nu vizează concurența care există între orice întreprinderi, ci, înainte de toate, concurența dintre întreprinderile din două state membre diferite determinată de cadre juridice diferite. Cu alte cuvinte, este vorba în esență despre garantarea unor condiții de concurență echitabile în diferitele state membre aplicând întreprinderilor standarde armonizate, chiar dacă aceste standarde contribuie în mod incident la faptul că nicio întreprindere nu beneficiază de un avantaj concurențial în raport cu alte întreprinderi în cadrul aceluiași stat membru.
78. Prin urmare, în opinia noastră, RGPD nu urmărește obiectivul de a asigura o concurență liberă și nedenaturată în cadrul pieței interne.
79. În continuare, subliniem că niciuna dintre dispozițiile materiale ale RGPD nu urmărește să asigure o concurență între întreprinderi liberă și nedenaturată și să facă din acestea destinatarii protecției instituite prin regulamentul menționat. Dimpotrivă, acestea urmăresc în esență să impună obligații întreprinderilor responsabile de prelucrarea datelor. Deși este adevărat, astfel cum am menționat, că orice obligație impusă unei persoane fizice sau juridice are în mod necesar ca efect corelativ acordarea unui drept unei alte persoane, singurii beneficiari ai drepturilor în cauză nu sunt însă întreprinderile, ci persoanele ale căror date sunt prelucrate de acestea din urmă. Titlul RGPD este evocator în această privință, acesta referindu‑se numai la protecția persoanelor fizice.
80. În sfârșit, în ceea ce privește dispozițiile procedurale din capitolul VIII din RGPD, subliniem, astfel cum am arătat deja, că acestea nu deschid căi de atac decât persoanelor vizate și entităților însărcinate să le reprezinte. Considerăm că această limitare a persoanelor care pot, în temeiul dispozițiilor RGPD, să acționeze în justiție invocând o atingere adusă protecției datelor lor cu caracter personal indică în mod clar că ele sunt singurele destinatare ale acestei protecții. Astfel, în opinia noastră, ar fi incoerent ca RGPD să fie considerat de asemenea un instrument de protecție a drepturilor concurenților fără ca acest regulament să prevadă vreo cale de atac pentru a permite acestora din urmă să introducă o cale de atac împotriva unei încălcări a acestor drepturi, în condițiile în care astfel de căi de atac sunt prevăzute în mod expres în ceea ce privește protecția drepturilor persoanelor vizate.
81. Prin urmare, apreciem că întreprinderile nu sunt destinatare ale protecției prevăzute de RGPD, întrucât acest regulament acordă drepturi numai persoanelor vizate.
c) Cu privire la incidența interpretării RGPD ca normă care protejează numai persoanele vizate
82. Interpretarea RGPD potrivit căreia dispozițiile acestui regulament nu acordă drepturi întreprinderilor, ci numai persoanelor vizate ne conduce la mai multe concluzii.
83. În primul rând, astfel cum am arătat, această interpretare exclude, în opinia noastră, să se considere că respectarea dispozițiilor RGPD trebuie să poată fi asigurată în cadrul unei acțiuni intentate de o întreprindere împotriva unui concurent invocând încălcarea lor de către acesta din urmă.
84. În al doilea rând, apreciem că, în măsura în care cercul beneficiarilor drepturilor acordate de RGPD este limitat numai la persoanele vizate, jurisprudența Curții referitoare la posibilitatea statelor membre de a prevedea, în dreptul național, căi de atac suplimentare destinate titularilor acestor drepturi, cu condiția ca aceste căi de atac să nu aducă atingere sistemului căilor de atac armonizat și să nu afecteze obiectivele sale(24), nu poate fi transpusă în mod direct la situația în discuție. Jurisprudența în cauză poate totuși, astfel cum vom demonstra, să servească drept bază pentru analiza acestei situații.
85. Astfel, potrivit acestei accepțiuni a noțiunii de „exhaustivitate a unui sistem de căi de atac”, trebuie să se stabilească dacă sistemul căilor de atac instituit prin RGPD trebuie înțeles ca un sistem exhaustiv în sensul că se opune posibilității ca alte căi de atac decât cele prevăzute de acest regulament să fie disponibile, în dreptul național, în beneficiul persoanelor vizate.
86. Or, în cauza principală este în discuție o acțiune formulată de o întreprindere care nu figurează printre titularii drepturilor acordate de RGPD.
87. În aceste condiții, ținând seama de faptul că RGPD nu conferă niciun drept întreprinderilor și concurenților acestora, este pertinent numai aspectul dacă sistemul căilor de atac instituit prin RGPD trebuie înțeles ca un sistem exhaustiv în sensul că acest regulament exclude de asemenea ca întreprinderile să invoce o încălcare a dispozițiilor sale în cadrul căilor de atac prevăzute de dreptul național, ceea ce vom încerca să stabilim în continuare.
2. Posibilitatea unor căi de atac întemeiate pe dreptul național introduse de persoane care nu sunt titulare ale drepturilor acordate de RGPD
88. Considerăm că problema dacă dispozițiile referitoare la sistemul căilor de atac prevăzut de RGPD se opun ca întreprinderile să invoce o încălcare a dispozițiilor acestui regulament în cadrul căilor de atac prevăzute de dreptul național necesită un răspuns în două etape.
89. Astfel, răspunsul la această întrebare presupune să se examineze, pe de o parte, posibilitatea întreprinderilor de a invoca dispozițiile RGPD, deși nu sunt titulare ale drepturilor acordate de acestea și, pe de altă parte, condițiile interacțiunii unor asemenea căi de atac cu sistemul căilor de atac prevăzut de acest regulament.
90. În ceea ce privește, în primul rând, posibilitatea întreprinderilor de a invoca dispozițiile RGPD, arătăm că, în cadrul căilor de atac întemeiate pe dreptul național precum acțiunea principală, aceasta nu este decât incidentă. Mai precis, întreprinderea introduce o acțiune în temeiul dreptului național, și anume în temeiul interzicerii actelor de concurență neloială. Caracterul neloial al actului în cauză ar decurge, așadar, dintr‑o încălcare a RGPD. Cu alte cuvinte, acțiunea nu se întemeiază pe încălcarea dispozițiilor RGPD, ci ia în considerare o astfel de încălcare în mod incident(25).
91. Or, o asemenea luare în considerare incidentă a fost admisă deja de Curte, într‑un context, desigur, diferit. Astfel, Curtea a statuat, în Hotărârea Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), că „neconformitatea cu [RGPD] a unei prelucrări de date, efectuată de o întreprindere în poziție dominantă […] poate să constituie un abuz de această poziție”(26) și că, în general, este necesară includerea „normelor în materie de protecție a datelor cu caracter personal din cadrul juridic care trebuie luat în considerare de autoritățile de concurență cu ocazia examinării unui abuz de poziție dominantă”(27). Cu alte cuvinte, Curtea admite constituirea unei încălcări a dreptului concurenței ca urmare a unei încălcări a dispozițiilor RGPD.
92. Deși această constatare nu a fost efectuată în cadrul unui litigiu între particulari, ci în cadrul examinării unei practici anticoncurențiale de către o autoritate națională de concurență, nu vedem niciun motiv pentru a limita numai la această ipoteză posibilitatea unei luări în considerare incidente a încălcării dispozițiilor RGPD.
93. Astfel, pe de o parte, în ceea ce privește dreptul concurenței, din moment ce se admite o asemenea luare în considerare în materie de public enforcement, considerăm că este necesar ca aceasta să fie posibilă și în ceea ce privește private enforcement și, prin urmare, în ceea ce privește litigiile dintre particulari care nu au ca temei principal încălcarea unui drept acordat de RGPD, cu excepția cazului în care s‑ar admite că particularii nu pot obține repararea prejudiciului cauzat printr‑o încălcare a dreptului concurenței constatată totuși de o autoritate de concurență.
94. Pe de altă parte, astfel cum a arătat avocatul general Richard de la Tour, protecția datelor cu caracter personal poate avea „ramificații[…] în alte domenii referitoare, printre altele, la dreptul muncii, la dreptul concurenței sau la dreptul consumatorilor”(28). Considerăm că această influență a RGPD în alte domenii ar conduce la admiterea luării în considerare a dispozițiilor regulamentului menționat în cadrul unor căi de atac care au ca temei principal dispoziții care nu fac parte din acesta.
95. În ceea ce privește, în al doilea rând, problema interacțiunii căilor de atac naționale care implică luarea în considerare incidentă a dispozițiilor RGPD cu sistemul căilor de atac instituit prin acest regulament, apreciem că astfel de căi de atac ar trebui admise numai cu condiția să nu aducă atingere sistemului de căi de atac al regulamentului menționat sau realizării obiectivelor sale.
96. Aceste condiții au fost dezvoltate în jurisprudență în ceea ce privește exhaustivitatea unui sistem de căi de atac armonizat în privința acțiunilor naționale întemeiate pe același drept(29). Prin urmare, considerăm că ele trebuie îndeplinite a fortiori atunci când sunt în discuție norme naționale care recunosc întreprinderilor dreptul de a formula o acțiune nu în temeiul aceluiași drept, ci în temeiul dreptului național, invocând totuși încălcări ale dispozițiilor materiale ale RGPD pretins săvârșite de o altă întreprindere.
97. Prin urmare, trebuie să se verifice dacă, în speță, sunt îndeplinite aceste condiții.
98. În ceea ce privește, mai întâi, aspectul dacă o acțiune în încetare introdusă de o întreprindere împotriva unui concurent invocând încălcarea de către acesta a dispozițiilor RGPD aduce atingere sistemului căilor de atac prevăzut în capitolul VIII din regulamentul respectiv, considerăm că nu aceasta este situația. Astfel, căile de atac menționate permit persoanelor vizate sau organismelor, organizațiilor sau asociațiilor fără scop lucrativ mandatate de acestea să depună o plângere la o autoritate de supraveghere (articolul 77), să formuleze o cale de atac împotriva unei decizii a unei autorități de supraveghere (articolul 78), să introducă o acțiune împotriva unui operator sau a unei persoane împuternicite de operator (articolul 79) sau să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit ca urmare a unei încălcări a regulamentului (articolul 82).
99. Cu alte cuvinte, astfel cum subliniază Curtea în jurisprudența sa, capitolul VIII din RGPD „reglementează […] căile de atac care permit protejarea drepturilor persoanei vizate atunci când datele cu caracter personal care o privesc fac obiectul unui tratament pretins contrar dispozițiilor regulamentului menționat”, protecția acestor drepturi putând „fi […] reclamată fie direct de persoana vizată, fie de o entitate abilitată, în prezența sau în lipsa unui mandat în acest sens”(30).
100. În aceste condiții, acțiunea pe care o întreprindere ar putea să o formuleze împotriva unui concurent invocând o încălcare a RGPD de către acesta din urmă se întemeiază desigur, in fine, pe încălcarea aceleiași dispoziții, dar nu urmărește același obiectiv și nu opune aceleași părți. Cu alte cuvinte, o astfel de acțiune prevăzută de dreptul național nu este concepută pentru a asigura respectarea drepturilor ale căror destinatari sunt persoanele vizate.
101. În consecință, în opinia noastră, căile de atac deschise persoanelor vizate de sistemul căilor de atac instituit prin RGPD sunt păstrate și pot fi exercitate în continuare, chiar și în ipoteza introducerii unei acțiuni de către o întreprindere împotriva unui concurent.
102. În această privință, trebuie să precizăm de asemenea că nu înțelegem în ce măsură, după cum susține Comisia, asemenea acțiuni ar putea compromite sistemul public de control al aplicării dreptului instituit prin RGPD, în măsura în care acest regulament prevede deja în mod expres, alături de un astfel de sistem public, posibilitatea unei persoane vizate de a‑și valorifica drepturile pe care le are în temeiul RGPD în cadrul procedurilor judiciare.
103. În ceea ce privește, în continuare, obiectivele urmărite de RGPD, din considerentul (10) al acestuia reiese că regulamentul menționat urmărește printre altele să asigure atât un nivel ridicat de protecție a persoanelor fizice, cât și o aplicare consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.
104. Apreciem că posibilitatea oferită unei întreprinderi de a intenta o acțiune în încetare, introdusă în temeiul interzicerii actelor de concurență neloială, împotriva unui concurent, invocând încălcarea de către acesta a dispozițiilor RGPD, nu amenință realizarea niciunuia dintre aceste obiective. Pe de o parte, considerăm că nivelul ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal este atins sau chiar consolidat prin posibilitatea extinsă la o întreprindere de a invoca o încălcare a dispozițiilor materiale ale RGPD de către un concurent. Pe de altă parte, posibilitatea mai largă de invocare a acestor dispoziții de către alte persoane decât persoanele vizate nu aduce atingere realizării obiectivului unei protecții consecvente și omogene în cadrul Uniunii. Astfel, chiar dacă statele membre nu ar prevedea o asemenea posibilitate, nu ar rezulta totuși de aici o fragmentare a punerii în aplicare a protecției datelor în Uniune, dispozițiile materiale ale RGPD impunându‑se în același mod tuturor întreprinderilor, iar respectarea lor fiind asigurată prin căile de atac prevăzute de acest regulament.
105. În ceea ce privește, în sfârșit, efectul util al RGPD, departe de a fi pus în discuție ca urmare a posibilității oferite unei întreprinderi de a introduce o acțiune în încetare împotriva unui concurent invocând o încălcare a RGPD, considerăm, astfel cum am menționat, că el este consolidat de faptul că respectarea dispozițiilor acestui regulament poate fi asigurată și în cadrul unor proceduri judiciare distincte de cele prevăzute de sistemul căilor de atac instituit prin acest regulament.
106. În aceste condiții, apreciem că o acțiune în încetare introdusă de o întreprindere împotriva unui concurent, invocând încălcarea de către acesta a dispozițiilor RGPD, poate coexista cu căile de atac instituite în capitolul VIII din RGPD în măsura în care nu le aduce atingere și nu afectează obiectivele și efectul util al acestui regulament.
107. Prin urmare, propunem Curții să statueze că dispozițiile capitolului VIII din RGPD nu se opun unor norme naționale care recunosc întreprinderilor dreptul de a invoca, în temeiul interzicerii actelor de concurență neloială, încălcări ale dispozițiilor materiale ale acestui regulament pretins săvârșite de concurenții lor.
V. Concluzie
108. Având în vedere ansamblul considerațiilor care precedă, propunem să se răspundă la întrebările preliminare adresate de Bundesgerichtshof (Curtea Federală de Justiție, Germania) după cum urmează:
Articolul 4 punctul 15 și articolul 9 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretate în sensul că
datele clienților unui farmacist transmise cu ocazia comenzii pe o platformă de vânzare online de medicamente a căror vânzare este rezervată farmaciilor, dar care se eliberează fără prescripție medicală nu constituie „date privind sănătatea”.