El Reglamento (UE) 2016/679 general de
protección de datos (RGPD) potenció la aplicación privada -o private
enforcement- en materia de protección de datos. No solo contempla el
derecho de “todo interesado” (en el sentido del art. 4.1 RGPD) que considere
que sus derechos en virtud del RGPD han sido infringidos (art. 79) a la tutela judicial efectiva -incluyendo
nuevos fueros de competencia- frente al responsable o encargado, así como la
posibilidad de reclamación no directamente por el interesado sino mediante el
ejercicio de acciones por una entidad autorizada, mediando o no mandato a tal
efecto, conforme al artículo 80 RGPD. Además, establece el derecho de “toda
persona” que sufra daños y perjuicios como consecuencia de una infracción del
RGPD a ser indemnizados por el responsable o el encargado del tratamiento (art.
82). La reciente sentencia del Tribunal de Justicia (Gran Sala) en el
asunto Lindenapotheke, C-21/23, EU:C:2024:846 resulta de singular
interés en relación con la aplicación privada del RGPD mediante el ejercicio de
acciones de cesación frente al responsable del tratamiento, no por los propios interesados
cuyos datos son objeto de tratamiento por el responsable -como contemplan las
normas de los arts. 79 y 80 del RGPD-, sino por determinados terceros, en
particular competidores del responsable. En concreto, el litigio principal va
referido a una demanda de competencia desleal entre dos empresas de farmacia,
en la que una de ellas pretende que se ordene a la otra cesar en la comercialización,
a través de Amazon, de medicamentos de venta obligatoria en farmacias, mientras
no se garantice que los clientes pueden dar su consentimiento explícito para el
tratamiento de datos en los términos exigidos en el artículo 9.1.a) RGPD, al
considerar la demandante que esa actividad implicaba el tratamiento de datos de
salud, especialmente protegidos en virtud del artículo 9. La sentencia aclara
la interacción entre las vías de recurso establecidas en el RGPD a favor de los
interesados y el ejercicio de acciones (de cesación) con base en el
incumplimiento de prohibiciones en materia de competencia desleal contenidas en
las legislaciones de los Estados miembros -como el art. 15 de la Ley 3/1991 de
Competencia Desleal (LCD)- derivadas de las infracciones por un competidor de
las obligaciones previstas en el RGPD. No obstante, desde el punto de vista
práctico, resulta de interés en qué medida el eventual ejercicio por los
competidores de acciones de indemnización puede reclamar un análisis
específico.
I. Compatibilidad entre las acciones de cesación en materia de
competencia desleal y las vías de recurso previstas en el RGPD
El Tribunal de
Justicia establece que la regulación en el capítulo VIII del RGPD de las vías
de recurso frente al responsable y al encargado del tratamiento de que dispone el
interesado cuando sus datos personales han sido tratados con infracción de las
normas del RGPD, no excluye que un competidor del responsable pueda ejercitar
frente a éste ante la jurisdicción civil acciones de fundadas en la legislación
de competencia desleal como consecuencia de la supuesta infracción del RGPD.
Admitir la legitimación activa de los competidores en tales situaciones resulta
relevante respecto de los ordenamientos nacionales que, como sucede en España,
consideran un acto de competencia desleal prevalerse en el mercado de una
ventaja competitiva adquirida mediante la infracción de normas (art. 15 LCD).
Cabe recordar que en
su sentencia en el asunto Meta Platforms y otros (Condiciones generales del
servicio de una red social), C-252/21, EU:C:2023:537, el Tribunal de
Justicia se pronunció ya acerca
de la interacción entre la tutela jurídico-pública específica en materia de
protección de datos por las autoridades de control, objeto de regulación en el
RGPD, y la tutela jurídico-pública de normas sobre libre competencia en
relación con el abuso de una posición de dominio. En aquel caso el litigio principal iba
referido a la imposición por una autoridad nacional de competencia de una serie
de medidas a Meta en relación con el tratamiento de datos personales de los
usuarios de Facebook, con base en que el tratamiento constituía una explotación
abusiva de la posición dominante de Meta con arreglo al artículo 102 TFUE.
El Tribunal de Justicia consideró compatible
con los mecanismos de aplicación del RGPD que una autoridad nacional de defensa
de la competencia pueda establecer la vulneración del RGPD a los efectos de
apreciar la explotación abusiva de una posición dominante. Las autoridades de
control en materia de protección de datos y las autoridades nacionales de
defensa de la competencia persiguen objetivos diferentes, pudiendo resultar
necesario que al examinar un abuso de posición dominante las autoridades
nacionales de defensa de la competencia examinen también la conformidad de las
actividades de dicha empresa con normas incluidas en el RGPD, sin que ello
suponga que suplanta a las autoridades de control en materia de protección de
datos (apdos. 44 a 49). Esa sentencia puso también de relieve cómo ese análisis
por las autoridades de defensa de la competencia puede ser oportuno en el marco
de la economía digital, por la importancia para ciertos modelos de negocio del
acceso a los datos personales y su explotación como parámetro de competencia
(apdos. 50-51).
Al abordar la
compatibilidad con el RGPD de la legitimación de competidores del responsable
del tratamiento para ejercitar acciones de competencia desleal con base en la
infracción por el responsable de normas del RGPD, el Tribunal de Justicia
constata que se trata de un aspecto sobre el que no se pronuncia el Capítulo
VIII del RGPD cuando regula las vías de recurso. Sus disposiciones se limitan a
establecer las vías de recurso de los interesados -es decir, las personas
físicas cuyos datos son objeto de tratamiento-, lo que es coherente con que son
tales interesados los únicos destinatarios de la protección otorgada por el
RGPD, cuyas disposiciones, además, dejan claro que las vías de recurso de tales
interesados que establecen se entienden “«sin perjuicio» de cualquier otro
recurso administrativo, acción judicial o recurso extrajudicial” (apdos. 53-54
de la sentencia Lindenapotheke).
La idea de que los únicos destinatarios de la
protección de datos personales garantizada por el RGPD son los interesados y la
constatación de que las vías de recurso de su capítulo VIII van referidas
específicamente al los interesados, no impide al Tribunal poner de relieve que
el derecho a indemnización se atribuye en el artículo 82 RGPD a “(t)oda persona
que haya sufrido daños y perjuicios”. Lo subraya el Tribunal como elemento
indicativo de que la infracción de las normas sustantivas del RGPD pueden en
ocasiones perjudicar a terceros (apdo. 55 de la sentencia Lindenapotheke),
lo que vincula con su jurisprudencia previa relativa a la posibilidad de que la
infracción de una norma en materia de protección de datos personales implique
simultáneamente la infracción de normas en materia de protección de los
consumidores o de prácticas comerciales desleales (con referencia a la STJUE de
28 de abril de 2022, Meta Platforms Ireland, C‑319/20,
EU:C:2022:322) o constituya un indicio para apreciar un abuso de posición dominante a los efectos del artículo 102 TFUE (con
referencia a la ya mencionada Meta Platforms y otros
(Condiciones generales del servicio de una red social), EU:C:2023:537).
El criterio de que
el RGPD no lleva a cabo una armonización exhaustiva de las vías de recurso
disponibles en caso de infracción de sus normas y no priva de legitimación
activa a los competidores del responsable para ejercitar acciones con base en
el Derecho nacional de competencia desleal por infracción de normas del RGPD
refuerza el nivel de protección de los datos personales. Ciertamente, ese
criterio facilita el ejercicio por terceros -típicamente con más medios que el
interesado- de acciones tendentes a poner fin a infracciones del RGPD y exigir
el cumplimiento de sus normas. La relevancia adquirida por el acceso y
explotación de datos personales en la economía digital refuerza esa
constatación, habida cuenta de que condiciona la relevancia económica de las
ventajas competitivas que pueden obtenerse mediante el tratamiento de datos
personales con infracción del RGPD (apdos. 56, 62 y 69
a 17 de la sentencia Lindenapotheke).
Valora el Tribunal
de Justicia que la posibilidad de que en esas situaciones los competidores del
responsable tengan legitimación activa para el ejercicio de acciones de
competencia desleal contra él no desvirtúa el sistema de recursos del RGPD. Se
destaca a este respecto que la acción de cesación ejercitada por un competidor,
destinada a garantizar la competencia leal, no persigue, como tal, el objetivo
de protección del derecho a la protección de datos de los interesados -aunque
coadyuve también a su logro-, así como que es una posibilidad que se añade a
las vías de recurso previstas en el propio RGPD. El Tribunal de Justicia
destaca ahora que de los artículos 77 a 80 RGPD resulta que no se establece una
competencia prioritaria o exclusiva ni ninguna regla de primacía de la
apreciación efectuada por las autoridades de control o por los órganos
jurisdiccionales -del orden contencioso-administrativo o del orden civil-
(apdo. 67 de la sentencia Lindenapotheke, con referencia a su sentencia de
12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,
C-132/21, EU:C:2023:2). Cabe recordar que la sentencia en el asunto C-132/21 puso
de relieve que las vías de tutela previstas en los artículos 78 -tutela
jurídico-pública- y 79 -tutela jurídico-privada- RGPD “pueden ejercerse de
manera concurrente e independiente”, sin que entre ellas exista relación
jerárquica o excluyente alguna, así como que la posibilidad de ejercitar de
forma concurrente e independiente esas dos vías de tutela se corresponde con
los objetivos de garantizar tanto un nivel elevado de protección de datos
personales como la tutela judicial efectiva en este ámbito (apdos. 35 y 42-44
de la sentencia en el asunto C-132/21).
En Lindenapotheke subraya el Tribunal -con
referencia al punto 104 de las conclusiones del Abogado General referido
expresamente al ejercicio de acciones de cesación- que la posibilidad de
invocar con carácter incidental la infracción de normas del RGPD por personas
distintas de los interesados (en el sentido del art. 4 RGPD) y de las entidades
a las que va referido su artículo 80, no menoscaba el logro de un nivel
coherente de protección en materia de datos personales, pues las disposiciones
sustantivas del RGPD se exigen por igual a todos los responsables del
tratamiento, y las vías de recurso previstas en el RGPD garantizan su
cumplimiento (apdo. 68). Reitera seguidamente el Tribunal que el ejercicio de
acciones de cesación por competidores en estas situaciones, si bien persigue el
diferente objetivo de garantizar una competencia leal, contribuye a la
observancia de las normas del RGPD y a reforzar los derechos de los interesados
(apdo. 69 con error de traducción en la versión española).
II. Referencia a las acciones de indemnización de daños y perjuicios
Aclarado todo lo anterior, cabe hacer referencia a un aspecto que puede requerir un análisis específico tras la sentencia Lindenapotheke. Se trata del relativo al ejercicio de acciones no de cesación sino de indemnización, ámbito en el que en un ordenamiento como el nuestro podría plantearse un solapamiento entre, de una parte, lo dispuesto en los artículos 15 y 32.1.5ª LCD y, de otra, el artículo 82 RGPD.
El Tribunal de Justicia subraya expresamente que si bien solo los interesados, y no terceros como los competidores, son los únicos destinatarios de la protección de datos personales que garantiza el RGPD (y a quienes van referidas las vías de tutela establecidas en sus artículos 77 a 80), el Reglamento contempla que la infracción de sus disposiciones sustantivas puede perjudicar también a terceros, lo que tiene su reflejo en que el artículo 82.1 RGPD (a diferencia de la formulación de los arts. 77 a 80) reconozca un derecho a indemnización a «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción» del RGPD (apdos. 55 a 56 de la sentencia Lindenapotheke).
Por consiguiente, cabe entender que en lo
relativo al ejercicio de acciones de indemnización por los daños y perjuicios sufridos
como consecuencia de una infracción del RGPD, el artículo 82 de este
instrumento atribuye el derecho a recibir del responsable o el encargado del
tratamiento una indemnización también a sus competidores (lo que parece que constituiría
una excepción puntual al criterio expresado por el Abogado General en el punto
79 de sus conclusiones en el sentido de que los únicos beneficiarios de los
derechos derivados de la protección sustantiva del RGPD sean las personas cuyos
datos son tratados -o “interesados” en el sentido de su art. 4.1-). El artículo
79 RGPD se limita a proporcionar un cauce procesal, sin regular los requisitos ni
otros aspectos del derecho a indemnización, que se establecen en su artículo 82
(apdo. 39 de la sentencia de 11
de abril de 2024, juris, C‑741/21, EU:C:2024:288).
Los competidores del responsable del
tratamiento no son destinatarios de las vías de recurso previstas en los artículos
77 a 80 RGPD, de modo que, por ejemplo, no podrán utilizar los fueros de
competencia adicionales previstos en su art. 79.2, destinados específicamente a
tutelar la posición de los interesados. Ahora bien, con respecto a las acciones
de indemnización, en la medida en que quepa considerar que el artículo 82 RGPD
-referido a “toda persona que haya sufrido daños o perjuicios”- sí atribuye a
tales competidores el derecho a recibir del responsable del tratamiento una
indemnización. Esta situación contrasta con lo que sucede en materia de
acciones de cesación, lo que podría justificar la necesidad de un análisis
específico de la interacción con el artículo 82 RGPD de las acciones de
cesación derivadas de las normas sobre competencia desleal que sancionan la
adquisición de una ventaja competitiva adquirida mediante la infracción del
RGPD, de cara a valorar que su aplicación no menoscaba los objetivos
perseguidos ni el efecto útil del artículo 82 RGPD.
Si bien en la sentencia Lindenapotheke
el Tribunal, aunque sin contemplar las acciones de indemnización, se muestra
favorable a que la coexistencia de recursos en el RGPD y el Derecho de la
competencia no implica riesgos para la aplicación uniforme del Reglamento ni
menoscaba sus objetivos (arts. 67 y 68), en línea con el criterio de que el
RGPD no lleva a cabo una armonización exhaustiva de las vías de recurso en caso
de infracción del RGPD (apdo. 60), lo adecuado de un análisis específico
respecto de las acciones de indemnización encontraría apoyo adicional en otros
elementos. Cabe destacar la circunstancia de que la acción de cesación es el
único tipo de acción ejercitada en el litigio principal de la sentencia Lindenapotheke
(apdos. 23, 26, 30, 33, 44), así como la continua referencia únicamente a las
acciones de cesación en la argumentación de la sentencia (apdos. 54, 59, 62,
63, 65, 69 y 70). Además, conforme a la jurisprudencia del TJUE la aplicación
del artículo 82 RGPD debe asegurar que la reparación del daño sea total y
efectiva. La ausencia de función punitiva o compensatoria del derecho a
indemnización del artículo 82 RGPD determina que la cuantía de la indemnización
no puede exceder de la compensación completa de ese perjuicio (véase, por
ejemplo, SSTJUE de 4 de mayo de 2023, Österreichische Post (Préjudice moral
lié au traitement de données personnelles), C‑300/21, C:2023:370, apdo.
58; y de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21,
C:2023:1022, apdos. 86-87). La indemnización debe considerarse «total y
efectiva» -como requiere el considerando 146 del RGPD en relación con su
artículo 82- cuando permite compensar íntegramente los daños y perjuicios
sufridos como consecuencia de la infracción del RGPD de que se trate (apdo. 61 de la sentencia de
11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, con ulteriores
referencias).
Habida cuenta del contenido del artículo 82
RGPD a la luz de la jurisprudencia que lo interpreta, parece cuestionable que la
disponibilidad de las acciones indemnizatorias derivadas de la normativa sobre
competencia desleal por infracción de normas del RGPD refuerce el nivel de
protección de los datos personales o contribuya a la observancia de las normas
del RGPD y a reforzar los derechos de los interesados. La posibilidad de conceder
al competidor una indemnización superior a la reparación total y efectiva
prevista en el artículo 82.1 RGPD sólo parece aceptable en la medida en que la indemnización
fundada en la legislación sobre competencia desleal no sea consecuencia de que
la práctica desleal deriva de la infracción de las normas del RGPD sino
eventualmente de otras disposiciones del Derecho aplicable o de otras prácticas
deslealed (véase, por analogía, el apartado 49 de la STJUE de 20 de junio de
2024, C-590/22. PS (Adresse erronée), EU:C:2024:536.)
Ahora bien, no cabe desconocer que el fallo
de la sentencia Lindenapotheke -tal vez condicionado por la formulación
de la primera cuestión planteada (apdos. 45 y 46)- no hace referencia
específica a las acciones de cesación. Su formulación resulta más general, al
proclamar que las disposiciones del capítulo VIII del RGPD (entre las que se
incluye su art. 82) “no se oponen a una normativa nacional que, junto a las
facultades de intervención de las autoridades de control competentes para la
supervisión y ejecución de dicho Reglamento, y a la tutela judicial a favor de
los interesados, concede a los competidores del presunto infractor de la
normativa en materia de protección de datos personales la facultad de actuar
contra dicho infractor entablando una acción ante la jurisdicción civil basada
en infracciones del citado Reglamento y en el incumplimiento de la prohibición
de prácticas comerciales desleales”.
III. Precisiones sobre datos relativos a la salud
Al margen de lo anterior, para concluir, cabe
hacer referencia a que en su respuesta a la segunda cuestión planteada el
Tribunal de Justicia interpreta -separándose del criterio propuesto por el
Abogado General en sus conclusiones- cómo debe entenderse el concepto de “datos
relativos a la salud”, en tanto que categoría de datos definida en el artículo
4.15 RGPD y objeto de especial protección en el artículo 9 RGPD. La duda tenía
que ver con el tratamiento a estos efectos de los datos que los clientes de un
farmacéutico que vende a través de una plataforma en línea introducen al pedir
medicamentos de venta obligatoria en farmacias, pero no sujetos a receta.
El Tribunal parte de su jurisprudencia
previa, según la cual, para considerar que se trata de datos relativos a la
salud, al permitir extraer conclusiones sobre el estado de salud de una persona
identificada o identificable (art. 4.15 RGPD), “basta con que puedan revelar,
mediante un ejercicio intelectual de relación o deducción, información sobre el
estado de salud del interesado” (apdo. 83 de la nueva sentencia con referencia
a la STJUE de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija,
C‑184/20, EU:C:2022:601, apdo. 123). La nueva sentencia precisa que esa
circunstancia concurre con respecto a la información que los clientes
introducen en la plataforma al realizar pedidos de medicamentos de venta
obligatoria en farmacias, aunque no estén sujetos a receta médica, de modo que
el cliente puede no ser el destinatario de los medicamentos. La circunstancia
de que resulta probable que el cliente sea el destinatario se considera suficiente a esos efectos, al
tiempo que se destaca que no cabe excluir que aunque el cliente no sea el destinario
del medicamento, puedan extraerse conclusiones sobre los datos de salud de
otras personas, como la persona en cuyo domicilio se solicita que se entregue
la medicina u otras personas identificables mencionadas en las comunicaciones
entre el cliente y el farmacéutico (apdos. 90 y 91 de la sentencia Lindenapotheke).