Opinion of Advocate General Szpunar delivered on 25 April 2024.
Jurisdiction | European Union |
Date | 25 April 2024 |
Court | Court of Justice (European Union) |
Edición provisional
CONCLUSIONES DEL ABOGADO GENERAL
SR. MACIEJ SZPUNAR
presentadas el 25 de abril de 2024 (1)
Asunto C‑21/23
ND
contra
DR
[Petición de decisión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania)]
«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Recursos — Delimitación de los recursos — Tratamiento de categorías especiales de datos personales — Concepto de “datos relativos a la salud” en la Directiva 95/46/CE y en el Reglamento (UE) 2016/679»
I. Introducción
1. El presente asunto versa sobre la interpretación de varias disposiciones del Reglamento (UE) 2016/679 (2) (en lo sucesivo, «RGPD») relativas, por una parte, al sistema de vías de recurso establecido por este Reglamento y, por otra parte, a la categoría de datos especialmente sensibles que son los «datos relativos a la salud».
2. La petición de decisión prejudicial se inscribe en el contexto de una acción de cesación, basada en la prohibición, en el Derecho nacional, de los actos de competencia desleal e interpuesta por una empresa con el objetivo de poner fin a la comercialización en Internet, por parte de uno de sus competidores, de medicamentos no sujetos a receta médica. El presunto acto de competencia desleal está constituido, según esta empresa, por la inobservancia de los requisitos derivados del RGPD en lo referente al tratamiento de los «datos relativos a la salud».
3. Comenzaré mi análisis por el examen de la segunda cuestión prejudicial, que permitirá al Tribunal de Justicia precisar los límites del concepto de «datos relativos a la salud» que determinan la aplicación o no de un régimen especial de protección.
4. En efecto, en caso de que los datos controvertidos en el presente asunto no puedan calificarse de «datos relativos a la salud», en el sentido del artículo 9, apartado 1, del RGPD, de ello se deducirá que no se ha producido el presunto acto de competencia desleal. En tal caso, no será útil responder a la primera cuestión prejudicial, que versa sobre si el sistema de vías de recurso establecido por el RGPD permite la existencia, en el Derecho nacional, de un recurso basado en la infracción de las normas relativas a la prohibición de los actos de competencia desleal mediante el cual el recurrente invoca la violación de las disposiciones sustantivas del RGPD.
II. Marco jurídico
A. Derecho de la Unión
1. Directiva 95/46/CE
5. La Directiva 95/46/CE (3) establece, en su artículo 8, apartado 1:
«Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad.»
2. RGPD
6. Los considerandos 9, 10, 13, 35, 51 y 142 del RGPD están redactados como sigue:
«(9) Aunque los objetivos y principios de la [Directiva 95/46] siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la [Directiva 95/46].
(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]
[…]
(13) Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros. […]
[…]
(35) Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la [Directiva 2011/24/UE (4)]; todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.
[…]
(51) Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. […] Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.
[…]
(142) El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro que esté constituida con arreglo al Derecho de un Estado miembro, tenga objetivos estatutarios que sean de interés público y actúe en el ámbito de la protección de los datos personales, para que presente en su nombre una reclamación ante la autoridad de control, ejerza el derecho a la tutela judicial en nombre de los interesados o, si así lo establece el Derecho del Estado miembro, ejerza el derecho a recibir una indemnización en nombre de estos. Un Estado miembro puede reconocer a tal entidad, organización o asociación el derecho a presentar en él una reclamación con independencia del mandato de un interesado y el derecho a la tutela judicial efectiva, cuando existan motivos para creer que se han vulnerado los derechos de un interesado como consecuencia de un tratamiento de datos personales que sea contrario al presente Reglamento. Esa entidad, organización o asociación no puede estar autorizada a reclamar una indemnización en nombre de un interesado al margen del mandato de este último.»
7. El artículo 1 de este Reglamento, que lleva por título «Objeto», dispone:
«1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.»
8. El artículo 4 de dicho Reglamento prevé:
«A...
To continue reading
Request your trial