martes, 29 de octubre de 2024

Acciones de competencia desleal basadas en infracciones en materia de datos personales

 

El Reglamento (UE) 2016/679 general de protección de datos (RGPD) potenció la aplicación privada -o private enforcement- en materia de protección de datos. No solo contempla el derecho de “todo interesado” (en el sentido del art. 4.1 RGPD) que considere que sus derechos en virtud del RGPD han sido infringidos (art. 79) a la tutela judicial efectiva -incluyendo nuevos fueros de competencia- frente al responsable o encargado, así como la posibilidad de reclamación no directamente por el interesado sino mediante el ejercicio de acciones por una entidad autorizada, mediando o no mandato a tal efecto, conforme al artículo 80 RGPD. Además, establece el derecho de “toda persona” que sufra daños y perjuicios como consecuencia de una infracción del RGPD a ser indemnizados por el responsable o el encargado del tratamiento (art. 82). La reciente sentencia del Tribunal de Justicia (Gran Sala) en el asunto Lindenapotheke, C-21/23, EU:C:2024:846 resulta de singular interés en relación con la aplicación privada del RGPD mediante el ejercicio de acciones de cesación frente al responsable del tratamiento, no por los propios interesados cuyos datos son objeto de tratamiento por el responsable -como contemplan las normas de los arts. 79 y 80 del RGPD-, sino por determinados terceros, en particular competidores del responsable. En concreto, el litigio principal va referido a una demanda de competencia desleal entre dos empresas de farmacia, en la que una de ellas pretende que se ordene a la otra cesar en la comercialización, a través de Amazon, de medicamentos de venta obligatoria en farmacias, mientras no se garantice que los clientes pueden dar su consentimiento explícito para el tratamiento de datos en los términos exigidos en el artículo 9.1.a) RGPD, al considerar la demandante que esa actividad implicaba el tratamiento de datos de salud, especialmente protegidos en virtud del artículo 9. La sentencia aclara la interacción entre las vías de recurso establecidas en el RGPD a favor de los interesados y el ejercicio de acciones (de cesación) con base en el incumplimiento de prohibiciones en materia de competencia desleal contenidas en las legislaciones de los Estados miembros -como el art. 15 de la Ley 3/1991 de Competencia Desleal (LCD)- derivadas de las infracciones por un competidor de las obligaciones previstas en el RGPD. No obstante, desde el punto de vista práctico, resulta de interés en qué medida el eventual ejercicio por los competidores de acciones de indemnización puede reclamar un análisis específico.


I. Compatibilidad entre las acciones de cesación en materia de competencia desleal y las vías de recurso previstas en el RGPD

         El Tribunal de Justicia establece que la regulación en el capítulo VIII del RGPD de las vías de recurso frente al responsable y al encargado del tratamiento de que dispone el interesado cuando sus datos personales han sido tratados con infracción de las normas del RGPD, no excluye que un competidor del responsable pueda ejercitar frente a éste ante la jurisdicción civil acciones de fundadas en la legislación de competencia desleal como consecuencia de la supuesta infracción del RGPD. Admitir la legitimación activa de los competidores en tales situaciones resulta relevante respecto de los ordenamientos nacionales que, como sucede en España, consideran un acto de competencia desleal prevalerse en el mercado de una ventaja competitiva adquirida mediante la infracción de normas (art. 15 LCD).

           Cabe recordar que en su sentencia en el asunto Meta Platforms y otros (Condiciones generales del servicio de una red social), C-252/21, EU:C:2023:537, el Tribunal de Justicia se pronunció ya acerca de la interacción entre la tutela jurídico-pública específica en materia de protección de datos por las autoridades de control, objeto de regulación en el RGPD, y la tutela jurídico-pública de normas sobre libre competencia en relación con el abuso de una posición de dominio. En aquel caso el litigio principal iba referido a la imposición por una autoridad nacional de competencia de una serie de medidas a Meta en relación con el tratamiento de datos personales de los usuarios de Facebook, con base en que el tratamiento constituía una explotación abusiva de la posición dominante de Meta con arreglo al artículo 102 TFUE. El Tribunal de Justicia consideró compatible con los mecanismos de aplicación del RGPD que una autoridad nacional de defensa de la competencia pueda establecer la vulneración del RGPD a los efectos de apreciar la explotación abusiva de una posición dominante. Las autoridades de control en materia de protección de datos y las autoridades nacionales de defensa de la competencia persiguen objetivos diferentes, pudiendo resultar necesario que al examinar un abuso de posición dominante las autoridades nacionales de defensa de la competencia examinen también la conformidad de las actividades de dicha empresa con normas incluidas en el RGPD, sin que ello suponga que suplanta a las autoridades de control en materia de protección de datos (apdos. 44 a 49). Esa sentencia puso también de relieve cómo ese análisis por las autoridades de defensa de la competencia puede ser oportuno en el marco de la economía digital, por la importancia para ciertos modelos de negocio del acceso a los datos personales y su explotación como parámetro de competencia (apdos. 50-51).

          Al abordar la compatibilidad con el RGPD de la legitimación de competidores del responsable del tratamiento para ejercitar acciones de competencia desleal con base en la infracción por el responsable de normas del RGPD, el Tribunal de Justicia constata que se trata de un aspecto sobre el que no se pronuncia el Capítulo VIII del RGPD cuando regula las vías de recurso. Sus disposiciones se limitan a establecer las vías de recurso de los interesados -es decir, las personas físicas cuyos datos son objeto de tratamiento-, lo que es coherente con que son tales interesados los únicos destinatarios de la protección otorgada por el RGPD, cuyas disposiciones, además, dejan claro que las vías de recurso de tales interesados que establecen se entienden “«sin perjuicio» de cualquier otro recurso administrativo, acción judicial o recurso extrajudicial” (apdos. 53-54 de la sentencia Lindenapotheke).

La idea de que los únicos destinatarios de la protección de datos personales garantizada por el RGPD son los interesados y la constatación de que las vías de recurso de su capítulo VIII van referidas específicamente al los interesados, no impide al Tribunal poner de relieve que el derecho a indemnización se atribuye en el artículo 82 RGPD a “(t)oda persona que haya sufrido daños y perjuicios”. Lo subraya el Tribunal como elemento indicativo de que la infracción de las normas sustantivas del RGPD pueden en ocasiones perjudicar a terceros (apdo. 55 de la sentencia Lindenapotheke), lo que vincula con su jurisprudencia previa relativa a la posibilidad de que la infracción de una norma en materia de protección de datos personales implique simultáneamente la infracción de normas en materia de protección de los consumidores o de prácticas comerciales desleales (con referencia a la STJUE de 28 de abril de 2022, Meta Platforms Ireland, C319/20, EU:C:2022:322) o constituya un indicio para apreciar un abuso de posición dominante a los efectos del artículo 102 TFUE (con referencia a la ya mencionada Meta Platforms y otros (Condiciones generales del servicio de una red social), EU:C:2023:537).

       El criterio de que el RGPD no lleva a cabo una armonización exhaustiva de las vías de recurso disponibles en caso de infracción de sus normas y no priva de legitimación activa a los competidores del responsable para ejercitar acciones con base en el Derecho nacional de competencia desleal por infracción de normas del RGPD refuerza el nivel de protección de los datos personales. Ciertamente, ese criterio facilita el ejercicio por terceros -típicamente con más medios que el interesado- de acciones tendentes a poner fin a infracciones del RGPD y exigir el cumplimiento de sus normas. La relevancia adquirida por el acceso y explotación de datos personales en la economía digital refuerza esa constatación, habida cuenta de que condiciona la relevancia económica de las ventajas competitivas que pueden obtenerse mediante el tratamiento de datos personales con infracción del RGPD (apdos. 56, 62 y 69 a 17 de la sentencia Lindenapotheke).

         Valora el Tribunal de Justicia que la posibilidad de que en esas situaciones los competidores del responsable tengan legitimación activa para el ejercicio de acciones de competencia desleal contra él no desvirtúa el sistema de recursos del RGPD. Se destaca a este respecto que la acción de cesación ejercitada por un competidor, destinada a garantizar la competencia leal, no persigue, como tal, el objetivo de protección del derecho a la protección de datos de los interesados -aunque coadyuve también a su logro-, así como que es una posibilidad que se añade a las vías de recurso previstas en el propio RGPD. El Tribunal de Justicia destaca ahora que de los artículos 77 a 80 RGPD resulta que no se establece una competencia prioritaria o exclusiva ni ninguna regla de primacía de la apreciación efectuada por las autoridades de control o por los órganos jurisdiccionales -del orden contencioso-administrativo o del orden civil- (apdo. 67 de la sentencia Lindenapotheke, con referencia a su sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2). Cabe recordar que la sentencia en el asunto C-132/21 puso de relieve que las vías de tutela previstas en los artículos 78 -tutela jurídico-pública- y 79 -tutela jurídico-privada- RGPD “pueden ejercerse de manera concurrente e independiente”, sin que entre ellas exista relación jerárquica o excluyente alguna, así como que la posibilidad de ejercitar de forma concurrente e independiente esas dos vías de tutela se corresponde con los objetivos de garantizar tanto un nivel elevado de protección de datos personales como la tutela judicial efectiva en este ámbito (apdos. 35 y 42-44 de la sentencia en el asunto C-132/21).

          En Lindenapotheke subraya el Tribunal -con referencia al punto 104 de las conclusiones del Abogado General referido expresamente al ejercicio de acciones de cesación- que la posibilidad de invocar con carácter incidental la infracción de normas del RGPD por personas distintas de los interesados (en el sentido del art. 4 RGPD) y de las entidades a las que va referido su artículo 80, no menoscaba el logro de un nivel coherente de protección en materia de datos personales, pues las disposiciones sustantivas del RGPD se exigen por igual a todos los responsables del tratamiento, y las vías de recurso previstas en el RGPD garantizan su cumplimiento (apdo. 68). Reitera seguidamente el Tribunal que el ejercicio de acciones de cesación por competidores en estas situaciones, si bien persigue el diferente objetivo de garantizar una competencia leal, contribuye a la observancia de las normas del RGPD y a reforzar los derechos de los interesados (apdo. 69 con error de traducción en la versión española).

II. Referencia a las acciones de indemnización de daños y perjuicios

      Aclarado todo lo anterior, cabe hacer referencia a un aspecto que puede requerir un análisis específico tras la sentencia Lindenapotheke. Se trata del relativo al ejercicio de acciones no de cesación sino de indemnización, ámbito en el que en un ordenamiento como el nuestro podría plantearse un solapamiento entre, de una parte, lo dispuesto en los artículos 15 y 32.1.5ª LCD y, de otra, el artículo 82 RGPD.

        El Tribunal de Justicia subraya expresamente que si bien solo los interesados, y no terceros como los competidores, son los únicos destinatarios de la protección de datos personales que garantiza el RGPD (y a quienes van referidas las vías de tutela establecidas en sus artículos 77 a 80), el Reglamento contempla que la infracción de sus disposiciones sustantivas puede perjudicar también a terceros, lo que tiene su reflejo en que el artículo 82.1 RGPD (a diferencia de la formulación de los arts. 77 a 80) reconozca un derecho a indemnización a «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción» del RGPD (apdos. 55 a 56 de la sentencia Lindenapotheke).

Por consiguiente, cabe entender que en lo relativo al ejercicio de acciones de indemnización por los daños y perjuicios sufridos como consecuencia de una infracción del RGPD, el artículo 82 de este instrumento atribuye el derecho a recibir del responsable o el encargado del tratamiento una indemnización también a sus competidores (lo que parece que constituiría una excepción puntual al criterio expresado por el Abogado General en el punto 79 de sus conclusiones en el sentido de que los únicos beneficiarios de los derechos derivados de la protección sustantiva del RGPD sean las personas cuyos datos son tratados -o “interesados” en el sentido de su art. 4.1-). El artículo 79 RGPD se limita a proporcionar un cauce procesal, sin regular los requisitos ni otros aspectos del derecho a indemnización, que se establecen en su artículo 82 (apdo. 39 de la sentencia de 11 de abril de 2024, juris, C741/21, EU:C:2024:288).

Los competidores del responsable del tratamiento no son destinatarios de las vías de recurso previstas en los artículos 77 a 80 RGPD, de modo que, por ejemplo, no podrán utilizar los fueros de competencia adicionales previstos en su art. 79.2, destinados específicamente a tutelar la posición de los interesados. Ahora bien, con respecto a las acciones de indemnización, en la medida en que quepa considerar que el artículo 82 RGPD -referido a “toda persona que haya sufrido daños o perjuicios”- sí atribuye a tales competidores el derecho a recibir del responsable del tratamiento una indemnización. Esta situación contrasta con lo que sucede en materia de acciones de cesación, lo que podría justificar la necesidad de un análisis específico de la interacción con el artículo 82 RGPD de las acciones de cesación derivadas de las normas sobre competencia desleal que sancionan la adquisición de una ventaja competitiva adquirida mediante la infracción del RGPD, de cara a valorar que su aplicación no menoscaba los objetivos perseguidos ni el efecto útil del artículo 82 RGPD.

Si bien en la sentencia Lindenapotheke el Tribunal, aunque sin contemplar las acciones de indemnización, se muestra favorable a que la coexistencia de recursos en el RGPD y el Derecho de la competencia no implica riesgos para la aplicación uniforme del Reglamento ni menoscaba sus objetivos (arts. 67 y 68), en línea con el criterio de que el RGPD no lleva a cabo una armonización exhaustiva de las vías de recurso en caso de infracción del RGPD (apdo. 60), lo adecuado de un análisis específico respecto de las acciones de indemnización encontraría apoyo adicional en otros elementos. Cabe destacar la circunstancia de que la acción de cesación es el único tipo de acción ejercitada en el litigio principal de la sentencia Lindenapotheke (apdos. 23, 26, 30, 33, 44), así como la continua referencia únicamente a las acciones de cesación en la argumentación de la sentencia (apdos. 54, 59, 62, 63, 65, 69 y 70). Además, conforme a la jurisprudencia del TJUE la aplicación del artículo 82 RGPD debe asegurar que la reparación del daño sea total y efectiva. La ausencia de función punitiva o compensatoria del derecho a indemnización del artículo 82 RGPD determina que la cuantía de la indemnización no puede exceder de la compensación completa de ese perjuicio (véase, por ejemplo, SSTJUE de 4 de mayo de 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C300/21, C:2023:370, apdo. 58; y de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C667/21, C:2023:1022, apdos. 86-87). La indemnización debe considerarse «total y efectiva» -como requiere el considerando 146 del RGPD en relación con su artículo 82- cuando permite compensar íntegramente los daños y perjuicios sufridos como consecuencia de la infracción del RGPD de que se trate (apdo. 61 de la sentencia de 11 de abril de 2024, juris, C741/21, EU:C:2024:288, con ulteriores referencias).

Habida cuenta del contenido del artículo 82 RGPD a la luz de la jurisprudencia que lo interpreta, parece cuestionable que la disponibilidad de las acciones indemnizatorias derivadas de la normativa sobre competencia desleal por infracción de normas del RGPD refuerce el nivel de protección de los datos personales o contribuya a la observancia de las normas del RGPD y a reforzar los derechos de los interesados. La posibilidad de conceder al competidor una indemnización superior a la reparación total y efectiva prevista en el artículo 82.1 RGPD sólo parece aceptable en la medida en que la indemnización fundada en la legislación sobre competencia desleal no sea consecuencia de que la práctica desleal deriva de la infracción de las normas del RGPD sino eventualmente de otras disposiciones del Derecho aplicable o de otras prácticas deslealed (véase, por analogía, el apartado 49 de la STJUE de 20 de junio de 2024, C-590/22. PS (Adresse erronée), EU:C:2024:536.)

Ahora bien, no cabe desconocer que el fallo de la sentencia Lindenapotheke -tal vez condicionado por la formulación de la primera cuestión planteada (apdos. 45 y 46)- no hace referencia específica a las acciones de cesación. Su formulación resulta más general, al proclamar que las disposiciones del capítulo VIII del RGPD (entre las que se incluye su art. 82) “no se oponen a una normativa nacional que, junto a las facultades de intervención de las autoridades de control competentes para la supervisión y ejecución de dicho Reglamento, y a la tutela judicial a favor de los interesados, concede a los competidores del presunto infractor de la normativa en materia de protección de datos personales la facultad de actuar contra dicho infractor entablando una acción ante la jurisdicción civil basada en infracciones del citado Reglamento y en el incumplimiento de la prohibición de prácticas comerciales desleales”.

III. Precisiones sobre datos relativos a la salud

Al margen de lo anterior, para concluir, cabe hacer referencia a que en su respuesta a la segunda cuestión planteada el Tribunal de Justicia interpreta -separándose del criterio propuesto por el Abogado General en sus conclusiones- cómo debe entenderse el concepto de “datos relativos a la salud”, en tanto que categoría de datos definida en el artículo 4.15 RGPD y objeto de especial protección en el artículo 9 RGPD. La duda tenía que ver con el tratamiento a estos efectos de los datos que los clientes de un farmacéutico que vende a través de una plataforma en línea introducen al pedir medicamentos de venta obligatoria en farmacias, pero no sujetos a receta.

El Tribunal parte de su jurisprudencia previa, según la cual, para considerar que se trata de datos relativos a la salud, al permitir extraer conclusiones sobre el estado de salud de una persona identificada o identificable (art. 4.15 RGPD), “basta con que puedan revelar, mediante un ejercicio intelectual de relación o deducción, información sobre el estado de salud del interesado” (apdo. 83 de la nueva sentencia con referencia a la STJUE de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C184/20, EU:C:2022:601, apdo. 123). La nueva sentencia precisa que esa circunstancia concurre con respecto a la información que los clientes introducen en la plataforma al realizar pedidos de medicamentos de venta obligatoria en farmacias, aunque no estén sujetos a receta médica, de modo que el cliente puede no ser el destinatario de los medicamentos. La circunstancia de que resulta probable que el cliente sea el destinatario se considera suficiente a esos efectos, al tiempo que se destaca que no cabe excluir que aunque el cliente no sea el destinario del medicamento, puedan extraerse conclusiones sobre los datos de salud de otras personas, como la persona en cuyo domicilio se solicita que se entregue la medicina u otras personas identificables mencionadas en las comunicaciones entre el cliente y el farmacéutico (apdos. 90 y 91 de la sentencia Lindenapotheke).