SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 4 de octubre de 2024 ( *1 )

«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Capítulo VIII — Recursos — Comercialización de medicamentos por un farmacéutico a través de una plataforma en Internet — Recurso interpuesto ante la jurisdicción civil por un competidor de dicho farmacéutico sobre la base del incumplimiento de la prohibición de las prácticas comerciales desleales derivado de la infracción, por dicho farmacéutico, de las obligaciones previstas en el Reglamento — Legitimación activa — Artículos 4, punto 15, y 9, apartados 1 y 2 — Directiva 95/46/CE — Artículo 8, apartados 1 y 2 — Concepto de “datos relativos a la salud” — Condiciones para el tratamiento de estos datos»

En el asunto C‑21/23,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal, Alemania), mediante resolución de 12 de enero de 2023, recibida en el Tribunal de Justicia el 19 de enero de 2023, en el procedimiento entre

DR,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. K. Lenaerts, Presidente, el Sr. L. Bay Larsen, Vicepresidente, la Sra. K. Jürimäe y los Sres. C. Lycourgos, E. Regan, F. Biltgen y N. Piçarra, Presidentes de Sala, y los Sres. S. Rodin y P. G. Xuereb, la Sra. L. S. Rossi, los Sres. I. Jarukaitis y N. Jääskinen y la Sra. I. Ziemele (Ponente), Jueces;

Abogado General: Sr. M. Szpunar;

Secretaria: Sra. N. Mundhenke, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 9 de enero de 2024;

consideradas las observaciones presentadas:

–	en nombre de ND, por los Sres. A. Datta, M. Mogendorf y W. Spoerr, Rechtsanwälte;

–	en nombre de DR, por el Sr. M. Bahmann, Rechtsanwalt;

–	en nombre del Gobierno alemán, por los Sres. J. Möller y P.‑L. Krüger, en calidad de agentes;

–	en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, F. Erlbacher y H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 25 de abril de 2024;

dicta la siguiente

Sentencia

La presente petición de decisión prejudicial tiene por objeto la interpretación del artículo 9, apartado 1, y de las disposiciones del capítulo VIII del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1, corrección de errores en DO 2018, L 127, p. 3; en lo sucesivo, «RGPD»), así como del artículo 8, apartado 1, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

2	Dicha petición se ha presentado en el contexto de un litigio entre ND y DR, dos personas físicas que explotan sendas farmacias, relativo a la comercialización por ND, a través de una plataforma en Internet, de medicamentos de venta obligatoria en farmacias.

Marco jurídico

Derecho de la Unión

El artículo 8 de la Directiva 95/46, titulado «Tratamiento de categorías especiales de datos», disponía:

«1. Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad.

2. Lo dispuesto en el apartado 1 no se aplicará cuando:

a)	el interesado haya dado su consentimiento explícito a dicho tratamiento, salvo en los casos en los que la legislación del Estado miembro disponga que la prohibición establecida en el apartado 1 no pueda levantarse con el consentimiento del interesado […]

[…]».

Los considerandos 9 a 11, 13, 35, 51, 53, 141 y 142 del RGPD tienen el siguiente tenor:

«(9)

Aunque los objetivos y principios de la Directiva [95/46] siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión [Europea] se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva [95/46].

(10)

Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […] El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales (“datos sensibles”). […]

(11)

La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes.

[…]

(13)

Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros. […]

[…]

(35)	Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. […]

[…]

(51)

Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. […] Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

[…]

(53)

Las categorías especiales de datos personales que merecen mayor protección únicamente deben tratarse con fines relacionados con la salud cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad […]. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión o de los Estados miembros debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas. Los Estados miembros deben estar facultados para mantener o introducir otras condiciones, incluidas limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. […]

[…]

(141)

Todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro de su residencia habitual, y derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la [Carta de los Derechos Fundamentales de la Unión Europea; en lo sucesivo, “Carta”] si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que la autoridad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. […]

(142)

El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro que esté constituida con arreglo al Derecho de un Estado miembro, tenga objetivos estatutarios que sean de interés público y actúe en el ámbito de la protección de los datos personales, para que presente en su nombre una reclamación ante la autoridad de control, ejerza el derecho a la tutela judicial en nombre de los interesados o, si así lo establece el Derecho del Estado miembro, ejerza el derecho a recibir una indemnización en nombre de estos. Un Estado miembro puede reconocer a tal entidad, organización o asociación el derecho a presentar en él una reclamación con independencia del mandato de un interesado y el derecho a la tutela judicial efectiva, cuando existan motivos para creer que se han vulnerado los derechos de un interesado como consecuencia de un tratamiento de datos personales que sea contrario al presente Reglamento. Esa entidad, organización o asociación no puede estar autorizada a reclamar una indemnización en nombre de un interesado al margen del mandato de este último.»

El artículo 1 de este Reglamento, titulado «Objeto», dispone:

«1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.»

El artículo 4 de dicho Reglamento prevé:

«A efectos del presente Reglamento, se entenderá por:

“datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

“tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]

“responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

[…]

15)	“datos relativos a la salud”: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

[…]

21)	“autoridad de control”: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;

[…]».

7	En el capítulo II del RGPD, titulado «Principios», se incluyen los artículos 5 a 11.

8	El artículo 5 de dicho Reglamento establece los principios relativos al tratamiento de datos personales, mientras que su artículo 6 enuncia las condiciones para que dicho tratamiento sea lícito.

A tenor del artículo 9 del mismo Reglamento, titulado «Tratamiento de categorías especiales de datos personales»:

«1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a)	el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

[…]

el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

[…]».

El artículo 51 del mismo Reglamento, titulado «Autoridad de control», establece en su apartado 1:

«Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.»

11	El capítulo VIII del RGPD, titulado «Recursos, responsabilidad y sanciones», comprende los artículos 77 a 84.

El artículo 77 de dicho Reglamento, titulado «Derecho a presentar una reclamación ante una autoridad de control», dispone, en su apartado 1:

«Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.»

El artículo 78 del citado Reglamento, titulado «Derecho a la tutela judicial efectiva contra una autoridad de control», precisa, en su apartado 1:

«Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.»

El artículo 79 del mismo Reglamento, titulado «Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento», establece, en su apartado 1:

«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.»

El artículo 80 del RGPD, que lleva por título «Representación de los interesados», dispone:

«1. El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, y ejerza en su nombre los derechos contemplados en los artículos 77, 78 y 79, y el derecho a ser indemnizado mencionado en el artículo 82 si así lo establece el Derecho del Estado miembro.

2. Cualquier Estado miembro [podrá] disponer que cualquier entidad, organización o asociación mencionada en el apartado 1 del presente artículo tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 y a ejercer los derechos contemplados en los artículos 78 y 79, si considera que los derechos del interesado con arreglo al presente Reglamento han sido vulnerados como consecuencia de un tratamiento.»

El artículo 82 de este Reglamento, titulado «Derecho a indemnización y responsabilidad», dispone, en su apartado 1:

«Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.»

El artículo 83 de dicho Reglamento, titulado «Condiciones generales para la imposición de multas administrativas», preceptúa, en su apartado 1:

«Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.»

El artículo 84 del citado Reglamento, que lleva por título «Sanciones», establece, en su apartado 1:

«Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.»

19	El artículo 94 del RGPD prevé, en su apartado 1: «Queda derogada la Directiva [95/46] con efecto a partir del 25 de mayo de 2018.»

20	En virtud del artículo 99 de dicho Reglamento: «1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. 2. Será aplicable a partir del 25 de mayo de 2018.»

Derecho alemán

Ley contra la Competencia Desleal

El artículo 3 de la Gesetz gegen den unlauteren Wettbewerb (Ley contra la Competencia Desleal), de 3 de julio de 2004 (BGBl. 2004 I, p. 1414), en su versión aplicable al litigio principal (en lo sucesivo, «UWG»), titulado «Prohibición de los comportamientos comerciales desleales», dispone, en su apartado 1:

«Las prácticas comerciales desleales son ilícitas.»

El artículo 3a de la UWG, que lleva por título «Infracción del Derecho», tiene la siguiente redacción:

«Actúa de forma desleal quien infringe una disposición legal destinada a regular, en particular, el comportamiento en el mercado en interés de los operadores económicos, siempre que dicha infracción pueda afectar sensiblemente a los intereses de los consumidores, de los demás operadores económicos o de los competidores.»

El artículo 8 de la UWG, titulado «Eliminación y omisión», dispone:

«(1) Podrá ejercitarse una acción de cesación y, en caso de riesgo de reiteración, una acción de cesación o de prohibición contra quien lleve a cabo una práctica comercial ilícita con arreglo a los artículos 3 o 7. […]

[…]

(3) Las acciones a las que se hace referencia en el apartado 1 podrán ser ejercitadas por:

1.	todo competidor que comercialice o demande bienes o servicios de manera significativa y que no sea ocasional,

[…]».

Ley del Medicamento

La circulación de los medicamentos se rige por la Gesetz über den Verkehr mit Arzneimitteln (Ley sobre la Comercialización de Medicamentos), de 24 de agosto de 1976 (BGBl. 1976 I, p. 2444), en su versión publicada el 12 de diciembre de 2005 (BGBl. 2005 I, p. 3394) y aplicable a los hechos del litigio principal, que establece una distinción entre los medicamentos de venta en farmacia y los que se venden con receta, a los que se refiere su artículo 48, titulado «Obligación de receta médica».

Procedimiento principal y cuestiones prejudiciales

ND, que explota una farmacia con la denominación comercial «Lindenapotheke», comercializa, desde el año 2017, medicamentos de venta obligatoria en farmacias a través de la plataforma en Internet Amazon-Marketplace (en lo sucesivo, «Amazon»). Cuando los clientes de ND realizan un pedido por Internet de medicamentos, deben introducir determinados datos, como su nombre, la dirección de envío y la información necesaria para determinar el medicamento solicitado.

DR, que también explota una farmacia, presentó ante el Landgericht Dessau-Roßlau (Tribunal Regional de lo Civil y Penal de Dessau-Roßlau, Alemania) una demanda por la que solicitaba que se ordenara a ND cesar, so pena de multa coercitiva, en la comercialización, a través de Amazon, de medicamentos de venta obligatoria en farmacias, mientras no se garantizase que el cliente puede dar su consentimiento previo al tratamiento de datos relativos a la salud.

En apoyo de su recurso, DR alegó que la comercialización a través de Amazon de medicamentos de venta obligatoria en farmacias es desleal, en la medida en que incumple los requisitos legales relativos a la obtención del consentimiento del cliente exigido por la normativa en materia de protección de datos personales.

28	Mediante resolución de 28 de marzo de 2018, el Landgericht Dessau-Roßlau (Tribunal Regional de lo Civil y Penal de Dessau-Roßlau) estimó la demanda.

29	ND interpuso recurso de apelación contra dicha resolución ante el Oberlandesgericht Naumburg (Tribunal Superior Regional de lo Civil y Penal de Naumburgo, Alemania), que lo desestimó mediante resolución de 7 de noviembre de 2019.

El tribunal de apelación consideró que la comercialización a través de Amazon de medicamentos de venta obligatoria en farmacias constituye una práctica desleal y, por tanto, ilícita, en virtud del artículo 3, apartado 1, de la UWG. En efecto, declaró que tal comercialización de medicamentos supone el tratamiento de datos relativos a la salud, prohibido por el artículo 9, apartado 1, del RGPD, a menos que los clientes que adquieran los medicamentos den su consentimiento explícito, de conformidad con el artículo 9, apartado 2, letra a), de dicho Reglamento. Pues bien, en su opinión, las normas establecidas en el Reglamento constituyen disposiciones legales destinadas a regular el comportamiento en el mercado, en el sentido del artículo 3a de la UWG. Además, señaló que, con arreglo al artículo 8, apartado 3, punto 1, de la UWG, DR tiene derecho, en su calidad de competidor, a entablar una acción de cesación ante la jurisdicción civil invocando la infracción de estas normas por parte de ND.

31	ND interpuso recurso de casación ante el Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal, Alemania), el órgano jurisdiccional remitente.

32	Dicho órgano jurisdiccional subraya que la resolución del litigio depende de la interpretación del capítulo VIII y del artículo 9, apartado 1, del RGPD, así como del artículo 8, apartado 1, de la Directiva 95/46.

En primer lugar, el órgano jurisdiccional remitente se pregunta si, a partir del 25 de mayo de 2018, fecha en que quedó derogada la Directiva 95/46 y pasó a ser aplicable el RGPD, los Estados miembros siguen estando facultados para establecer, en el Derecho nacional, que los competidores de una empresa, como los contemplados en el artículo 8, apartado 3, punto 1, de la UWG, están legitimados para ejercitar ante la jurisdicción civil una acción de cesación de las infracciones de las disposiciones del RGPD cometidas por dicha empresa, sobre la base del incumplimiento de la prohibición de las prácticas comerciales desleales.

El órgano jurisdiccional remitente señala que esta cuestión suscita respuestas divergentes a nivel nacional. En efecto, considera que tal respuesta no puede deducirse de manera unívoca del tenor ni del sistema general de las disposiciones del capítulo VIII del RGPD, ni tampoco del objetivo perseguido por dicho Reglamento.

Así, antes de nada, por lo que respecta al tenor de las disposiciones del capítulo VIII del RGPD, el órgano jurisdiccional remitente observa que, en efecto, estas disposiciones no mencionan en ningún lugar la posibilidad de que los competidores de una empresa ejerciten una acción contra ella, en particular cuando la infracción de la normativa en materia de protección de datos sea constitutiva de prácticas comerciales desleales. Sin embargo, al mismo tiempo, dichas disposiciones tampoco excluyen formalmente esa posibilidad.

En lo tocante, a continuación, al sistema general de las disposiciones del capítulo VIII del RGPD, el órgano jurisdiccional remitente subraya, por un lado, que, como declaró el Tribunal de Justicia en la sentencia de 28 de abril de 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), apartado 57, este Reglamento aspira a garantizar una armonización de las legislaciones nacionales relativas a la protección de los datos personales, en principio, completa. Sin embargo, por otro lado, considera que el hecho de que los artículos 77, apartado 1, 78, apartados 1 y 2, y 79, apartado 1, del RGPD empleen la expresión «sin perjuicio de cualquier otro recurso» podría impedir que se concluya que el régimen de control de la aplicación del Derecho tiene carácter exhaustivo.

Por último, en lo que atañe al objetivo de armonización y, en particular, de uniformización del nivel de control de la aplicación del Derecho en la Unión, perseguido por el RGPD, el órgano jurisdiccional remitente afirma, por una parte, que el hecho de que los competidores tengan legitimación activa en virtud de las normas sobre competencia y, por tanto, puedan exigir el cumplimiento de las disposiciones del Derecho de protección de datos sobre la base de instrumentos que van más allá de los previstos en el RGPD podría resultar contrario a dicho objetivo. Además, a su juicio, no está claro que exista una laguna en el sistema de control de la aplicación del Derecho previsto por el Reglamento, la cual deba colmarse concediendo a los competidores la legitimación activa en materia de Derecho de la competencia. Del mismo modo, estima que el hecho de que tanto las autoridades de control como los tribunales civiles efectúen el control de la aplicación de la normativa en materia de protección de datos podría llevar a que se invadan las facultades de las autoridades de control y dar lugar a divergencias, dentro de la Unión, en el control de la aplicación de dicha normativa.

Por otro lado, en opinión del órgano jurisdiccional remitente, reconocer la legitimación activa de los competidores en materia de Derecho de la competencia podría suponer una posibilidad adicional, deseable en virtud del principio de efectividad («efecto útil»), de controlar la aplicación del Derecho con el fin de garantizar, de conformidad con el considerando 10 del RGPD, el nivel de protección de datos más elevado posible.

El órgano jurisdiccional remitente precisa que esta cuestión no ha sido aclarada por la jurisprudencia del Tribunal de Justicia y que, en particular, en la sentencia de 28 de abril de 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), el Tribunal de Justicia dejó expresamente abierta la cuestión de la legitimación activa de los competidores.

En segundo lugar, el órgano jurisdiccional remitente se pregunta si los datos que los clientes tienen que introducir en la plataforma de venta por Internet al realizar pedidos de medicamentos, como su nombre, la dirección de envío y la información necesaria para determinar el medicamento solicitado, constituyen «datos relativos a la salud», en el sentido del artículo 8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD.

Según dicho órgano jurisdiccional, la respuesta a esta cuestión no es evidente cuando los medicamentos solicitados no están sujetos a receta médica. En efecto, a su juicio, en tal caso, no puede excluirse que los destinatarios de los medicamentos no sean los propios clientes, sino terceros, que no son identificables.

42	El órgano jurisdiccional remitente subraya que el tenor de estas disposiciones y el del artículo 4, punto 15, del RGPD, en relación con el considerando 35 de dicho Reglamento, no permiten, por sí solos, responder a esta cuestión.

Con todo, dicho órgano jurisdiccional precisa que, en el apartado 125 de la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), el Tribunal de Justicia declaró que el concepto de «categorías especiales de datos personales», a que se refieren el artículo 8, apartado 1, de la Directiva 95/46 y el artículo 9, apartado 1, del RGPD, debe interpretarse en sentido amplio, habida cuenta del objetivo de dicho Reglamento de garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas y, en particular, el derecho al respeto de su vida privada, por lo que se refiere al tratamiento de sus datos personales. Observa que, si se acoge tal interpretación amplia de dicho concepto, podría llegarse a la conclusión de que los citados datos constituyen datos relativos a la salud cuando no es seguro, sino tan solo probable, que los clientes que realizan el pedido de los medicamentos sean los destinatarios de estos.

El órgano jurisdiccional remitente precisa que la acción de cesación, entablada por DR, presupone que la conducta en cuestión de ND era ilegal tanto en el momento de su comisión como cuando se celebró la vista del procedimiento de casación, y que el primero de esos momentos todavía estaba sujeto al artículo 8, apartado 1, de la Directiva 95/46, mientras que el segundo está comprendido en el ámbito de aplicación del artículo 9, apartado 1, del RGPD.

En este contexto el Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)

¿Se oponen las disposiciones del capítulo VIII del [RGPD] a una normativa nacional que (junto a las facultades de intervención de las autoridades de control competentes para la supervisión y ejecución del Reglamento, y a la tutela judicial a favor de los interesados), en caso de infracción del [RGPD], concede a los competidores la facultad de actuar contra el infractor presentando una demanda ante los tribunales civiles, en la que se invoque el incumplimiento de la prohibición de prácticas comerciales desleales?

¿Constituyen datos relativos a la salud en el sentido del artículo 9, apartado 1, del RGPD, y datos relativos a la salud en el sentido del artículo 8, apartado 1, de la Directiva 95/46 los datos que los clientes de un farmacéutico, que opera como vendedor en una plataforma de venta por Internet, introducen en dicha plataforma de venta (nombre del cliente, dirección de envío e información necesaria para determinar el medicamento de venta obligatoria en farmacias encargado) al realizar un pedido de medicamentos de venta obligatoria en farmacias pero no sujetos a receta médica?»

Sobre las cuestiones prejudiciales

Primera cuestión prejudicial

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente desea saber si las disposiciones del capítulo VIII del RGPD deben interpretarse en el sentido de que se oponen a una normativa nacional que, junto a las facultades de intervención de las autoridades de control competentes para la supervisión y ejecución de dicho Reglamento, y a la tutela judicial a favor de los interesados, concede a los competidores del presunto infractor de la normativa en materia de protección de datos personales la facultad de actuar contra dicho infractor entablando una acción ante la jurisdicción civil basada en infracciones de dicho Reglamento y en el incumplimiento de la prohibición de prácticas comerciales desleales.

Procede recordar, con carácter preliminar, que el capítulo VIII del RGPD regula, en particular, las vías de recurso que permiten proteger los derechos del interesado cuando los datos personales que le conciernen han sido objeto de un tratamiento supuestamente contrario a las disposiciones de dicho Reglamento. De este modo, la protección de estos derechos puede reclamarse, bien directamente por el interesado, con arreglo a los artículos 77 a 79 del Reglamento, bien por una entidad autorizada, mediando o no mandato a tal efecto, en virtud del artículo 80 del mismo Reglamento (véase, en este sentido, la sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 53).

En efecto, por un lado, el artículo 77, apartado 1, del RGPD dispone que, sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control. A tenor del artículo 78, apartado 1, de dicho Reglamento, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna, sin perjuicio de cualquier otro recurso administrativo o extrajudicial. El artículo 79, apartado 1, del citado Reglamento garantiza a todo interesado el derecho a la tutela judicial efectiva, sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77 del mismo Reglamento.

Por otro lado, de conformidad con el artículo 80, apartado 1, del RGPD, el interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro, con sujeción a ciertas condiciones, para que presente en su nombre la reclamación y ejerza en su nombre los derechos contemplados en los artículos 77 a 79 de dicho Reglamento. Además, con arreglo al artículo 80, apartado 2, del Reglamento, cualquier Estado miembro podrá disponer que cualquier entidad, organización o asociación tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado miembro tal reclamación ante la autoridad de control y a ejercer tales derechos, si considera que los derechos del interesado con arreglo al mismo Reglamento han sido vulnerados como consecuencia del tratamiento de datos personales que le conciernen.

En el presente asunto, de los autos que obran en poder del Tribunal de Justicia se desprende que ND, que explota una farmacia, comercializa a través de Amazon medicamentos de venta obligatoria en farmacias y que los clientes, al encargar en línea esos medicamentos, deben introducir determinados datos, como su nombre, la dirección de envío y la información necesaria para determinar el medicamento solicitado. No obstante, la acción que es objeto del litigio principal no fue ejercitada ante la jurisdicción civil por esos clientes, que son interesados en el sentido del artículo 4, punto 1, del RGPD, sobre la base del artículo 79 de este Reglamento, ni por una entidad, organización o asociación autorizada, mediando o no mandato a tal efecto, en virtud del artículo 80 de dicho Reglamento, sino por un competidor de ese farmacéutico, sobre la base del incumplimiento de la prohibición de las prácticas comerciales desleales derivado de la supuesta infracción, por dicho farmacéutico, de las obligaciones previstas en el citado Reglamento.

51	El litigio principal plantea, pues, la cuestión de si el RGPD se opone a que un competidor como DR, que no es un interesado en el sentido del artículo 4, punto 1, de dicho Reglamento, tenga legitimación activa para ejercitar tal acción ante los tribunales nacionales del orden civil.

A este respecto, procede recordar que, para interpretar una disposición del Derecho de la Unión, han de tenerse en cuenta no solo su tenor, sino también su contexto y los objetivos perseguidos por la normativa de la que forma parte (sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 32).

Por lo que respecta al tenor de las disposiciones del capítulo VIII del RGPD, cabe observar que ninguna de ellas excluye expresamente la posibilidad de que el competidor de una empresa ejercite una acción ante la jurisdicción civil contra dicha empresa sobre la base del incumplimiento de la prohibición de las prácticas comerciales desleales derivado de la supuesta infracción, por dicha empresa, de las obligaciones previstas en el Reglamento. Por el contrario, de los términos de los artículos 77, apartado 1, 78, apartado 1, y 79, apartado 1, del RGPD, reproducidos en el apartado 48 de la presente sentencia, se desprende que el derecho a presentar una reclamación ante una autoridad de control y el derecho a la tutela judicial efectiva contra dicha autoridad y contra un responsable o encargado del tratamiento, contemplados en esas disposiciones, se entiende «sin perjuicio» de cualquier otro recurso administrativo, acción judicial o recurso extrajudicial.

En cuanto al contexto en el que se enmarca el capítulo VIII del RGPD, procede señalar que este Reglamento contiene, en su capítulo II, un conjunto de disposiciones sustantivas que establecen, entre otras cosas, los principios relativos al tratamiento de datos personales, en su artículo 5, y las condiciones para la licitud del tratamiento, en su artículo 6, que deben garantizar el pleno respeto, en particular, del derecho fundamental a la protección de los datos de carácter personal de los interesados, garantizado por el artículo 16 TFUE, apartado 1, y el artículo 8 de la Carta. Así pues, la inexistencia de disposiciones en el capítulo VIII del RGPD que prevean que los competidores de una empresa que supuestamente ha infringido las referidas disposiciones sustantivas están legitimados para entablar una acción dirigida a hacer cesar esa infracción se explica por el hecho de que, como señaló el Abogado General en el punto 80 de sus conclusiones, los interesados, y no esos competidores, son los únicos destinatarios de la protección de datos personales garantizada por el Reglamento.

Dicho esto, si bien la infracción de dichas disposiciones sustantivas puede afectar principalmente a los interesados a quienes conciernen los datos en cuestión, también puede perjudicar a terceros, como se deduce del hecho de que el artículo 82, apartado 1, del RGPD reconozca un derecho a indemnización a «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción [de dicho] Reglamento». El Tribunal de Justicia también ha tenido ocasión de declarar que la infracción de una norma en materia de protección de datos personales puede implicar simultáneamente la infracción de normas en materia de protección de los consumidores o de prácticas comerciales desleales (sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 78) y constituir un indicio importante para apreciar la existencia de un abuso de posición dominante en el sentido del artículo 102 TFUE [véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartados 47 y 62].

En este contexto, ha de señalarse que tanto el acceso a los datos personales como su explotación revisten gran importancia en el marco de la economía digital. En efecto, el acceso a los datos personales y la posibilidad del tratamiento de estos se han convertido en un parámetro significativo de la competencia entre empresas de la economía digital. Por tanto, para tener en cuenta la realidad de esta evaluación de la economía y garantizar una competencia leal, puede ser necesario tomar en consideración las normas en materia de protección de datos personales al aplicar el Derecho de la competencia y las normas relativas a las prácticas comerciales desleales [véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartados 50 y 51].

Por otra parte, si bien es cierto que del artículo 1, apartado 1, del RGPD, interpretado, en particular, a la luz de sus considerandos 9 y 13, se desprende que este Reglamento aspira a garantizar una armonización de las legislaciones nacionales relativas a la protección de los datos personales, en principio, completa, no lo es menos que varias disposiciones del citado Reglamento ofrecen expresamente a los Estados miembros la posibilidad de establecer normas nacionales adicionales, que sean más estrictas o prevean alguna excepción, lo que les deja un margen de apreciación en cuanto a la manera de aplicar dichas disposiciones («cláusulas de apertura») (sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 57).

El Tribunal de Justicia ya ha declarado que este es el caso, en particular, del artículo 80, apartado 2, del RGPD, que deja a los Estados miembros un margen de apreciación para su aplicación y no se opone a una normativa nacional que permite a una asociación de defensa de los intereses de los consumidores ejercitar acciones judiciales, sin mandato conferido a tal fin y con independencia de la vulneración de derechos concretos de los interesados, contra el presunto infractor de la normativa en materia de protección de datos personales, invocando, en particular, el incumplimiento de la prohibición de prácticas comerciales desleales, toda vez que el tratamiento de los datos de que se trate pueda afectar a los derechos que este Reglamento confiere a personas físicas identificadas o identificables (sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartados 59 y 83).

En efecto, las disposiciones del capítulo VIII del RGPD no prevén específicamente una cláusula de apertura que permita expresamente a los Estados miembros prever la posibilidad de que el competidor de una empresa que supuestamente infrinja las disposiciones sustantivas de dicho Reglamento ejercite una acción dirigida a hacer cesar esa infracción.

No obstante, de los términos y del contexto de las disposiciones de dicho capítulo VIII, expuestos en los apartados 53 a 58 de la presente sentencia, resulta que, mediante la adopción del RGPD, el legislador de la Unión no pretendió proceder a una armonización exhaustiva de las vías de recurso disponibles en caso de infracción de las disposiciones de dicho Reglamento y, en particular, no quiso privar de esa posibilidad de recurso a los competidores del presunto infractor de la normativa en materia de protección de datos, sobre la base del Derecho nacional relativo a la prohibición de las prácticas comerciales desleales.

Esta interpretación se ve confirmada por los objetivos del RGPD, que persigue, como se desprende, en particular, de su considerando 10, garantizar un nivel uniforme y elevado de protección de las personas físicas por lo que respecta al tratamiento de sus datos personales y eliminar los obstáculos a la circulación de dichos datos dentro de la Unión. El considerando 11 de dicho Reglamento dispone, además, que la protección efectiva de esos datos exige que se refuercen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes. El considerando 13 del citado Reglamento precisa que, para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros.

La posibilidad de que el competidor de una empresa ejercite una acción ante la jurisdicción civil, basada en el incumplimiento de la prohibición de las prácticas comerciales desleales, al objeto de hacer cesar una infracción de las disposiciones sustantivas del RGPD supuestamente cometida por dicha empresa no solo no menoscaba tales objetivos, sino que, por el contrario, puede reforzar el efecto útil de esas disposiciones y, en consecuencia, el elevado nivel de protección de los interesados por lo que respecta al tratamiento de sus datos personales al que se refiere el Reglamento.

En efecto, por un lado, una acción de cesación ejercitada por un competidor contra una empresa sobre la base del incumplimiento de la prohibición de las prácticas comerciales desleales derivado de la supuesta infracción de las disposiciones sustantivas del RGPD no desvirtúa en absoluto el sistema de recursos previsto en el capítulo VIII de dicho Reglamento ni el objetivo de garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior.

Es cierto que tal acción podría basarse, aunque sea de manera incidental, en la infracción de las mismas disposiciones del RGPD que aquellas en las que podría sustentarse una reclamación o un recurso presentados, en virtud de los artículos 77 a 79 de dicho Reglamento, por los interesados o por una entidad, organización o asociación, en el sentido del artículo 80 del citado Reglamento.

Sin embargo, en primer término, a diferencia de los artículos 77 a 80 del RGPD, la acción de cesación ejercitada por un competidor no persigue, como tal, un objetivo de protección de los derechos y libertades fundamentales de los interesados por lo que respecta al tratamiento de sus datos personales, sino que pretende garantizar una competencia leal, en interés, en particular, de dicho competidor.

En segundo término, la posibilidad de que un competidor ejercite tal acción ante la jurisdicción civil sobre la base del incumplimiento de la prohibición de las prácticas comerciales desleales se añade a los recursos previstos en los artículos 77 a 79 del RGPD, que se mantienen plenamente y pueden ser ejercitados siempre por los interesados o, en su caso, por las entidades, organizaciones o asociaciones, en el sentido del artículo 80 de dicho Reglamento.

En particular, como ha señalado el Gobierno alemán, la coexistencia de recursos comprendidos en el ámbito del Derecho de protección de datos y del Derecho de la competencia no entraña ningún riesgo para la aplicación uniforme del RGPD. En este contexto, es preciso señalar que de los artículos 77 a 80 de dicho Reglamento resulta que este no establece una competencia prioritaria o exclusiva ni ninguna regla de primacía de la apreciación efectuada por la autoridad o por los órganos jurisdiccionales a los que hace referencia en cuanto a la existencia de una vulneración de los derechos conferidos por ese Reglamento (véase, en este sentido, la sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 35). Por tanto, el hecho de que la acción de cesación sea ejercitada ante la jurisdicción civil por un competidor del presunto infractor de la normativa en materia de protección de datos personales no vulnera el sistema de recursos, tal como está concebido en el capítulo VIII del RGPD. Por otra parte, como ha observado el referido Gobierno, el procedimiento prejudicial previsto en el artículo 267 TFUE garantiza la interpretación uniforme de las disposiciones sustantivas del Reglamento, que pueden ser aplicadas a una misma infracción, por un lado, por la autoridad de control y los órganos jurisdiccionales que conocen del asunto, en virtud de los artículos 77 a 80 de dicho Reglamento, y, por el otro, por los tribunales ante los que tal competidor ha ejercitado una acción sobre la base del incumplimiento de la prohibición de las prácticas comerciales desleales.

En tercer término, como señaló en esencia el Abogado General en el punto 104 de sus conclusiones, la invocabilidad más amplia de las disposiciones sustantivas del RGPD por personas distintas de los propios interesados y de las entidades, organizaciones o asociaciones, en el sentido del artículo 80 de dicho Reglamento, no afecta negativamente a la realización del objetivo de garantizar un nivel coherente de protección de estas personas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior. En efecto, aun cuando los Estados miembros no prevean tal posibilidad, ello no daría lugar a una fragmentación en la aplicación de la normativa de protección de datos en la Unión, puesto que las disposiciones sustantivas del RGPD se exigen del mismo modo a todos los responsables del tratamiento, en el sentido del artículo 4, punto 7, de dicho Reglamento, y su respeto está garantizado por las vías de recurso previstas en el mismo Reglamento.

Por otra parte, en lo que atañe al objetivo de garantizar una protección efectiva de los interesados por lo que respecta al tratamiento de sus datos personales y al efecto útil de las disposiciones sustantivas del RGPD, procede señalar que, si bien una acción de cesación ejercitada por un competidor del presunto infractor de la normativa en materia de protección de datos personales no tiene por objeto, como se ha señalado en el apartado 65 de la presente sentencia, garantizar una competencia leal, no es menos cierto que contribuye indiscutiblemente a que se observen tales disposiciones y, por consiguiente, a reforzar los derechos de los interesados y a asegurarles un nivel elevado de protección (véase, en este sentido, la sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 74).

Por lo demás, tal acción de cesación ejercitada por un competidor podría resultar, al igual que una acción entablada por una asociación de defensa de los intereses de los consumidores, especialmente eficaz para garantizar dicha protección, en la medida en que puede evitar numerosas vulneraciones de los derechos de las personas afectadas por el tratamiento de sus datos personales (véase, en este sentido, la sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 75).

De ello se deduce que la interpretación adoptada en el apartado 60 de la presente sentencia es conforme con las exigencias derivadas del artículo 16 TFUE, apartado 1, y del artículo 8 de la Carta y, por lo tanto, con el objetivo perseguido por el RGPD de garantizar una protección eficaz de las libertades y de los derechos fundamentales de las personas físicas y, en particular, de garantizar un elevado nivel de protección del derecho de toda persona a la protección de los datos de carácter personal que le conciernan (véase, en este sentido, la sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 73).

En el presente asunto, corresponde al órgano jurisdiccional remitente comprobar si la supuesta infracción de las disposiciones sustantivas del RGPD controvertidas en el litigio principal, en la medida en que quede acreditada, también constituye un incumplimiento de la prohibición de las prácticas comerciales desleales con arreglo a la normativa nacional pertinente.

Habida cuenta de las consideraciones anteriores, procede responder a la primera cuestión prejudicial que las disposiciones del capítulo VIII del RGPD deben interpretarse en el sentido de que no se oponen a una normativa nacional que, junto a las facultades de intervención de las autoridades de control competentes para la supervisión y ejecución de dicho Reglamento, y a la tutela judicial a favor de los interesados, concede a los competidores del presunto infractor de la normativa en materia de protección de datos personales la facultad de actuar contra dicho infractor entablando una acción ante la jurisdicción civil basada en infracciones del citado Reglamento y en el incumplimiento de la prohibición de prácticas comerciales desleales.

Segunda cuestión prejudicial

Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente desea saber, en esencia, si el artículo 8, apartado 1, de la Directiva 95/46 y el artículo 9, apartado 1, del RGPD deben interpretarse en el sentido de que, en una situación en la que un farmacéutico comercializa a través de una plataforma en Internet medicamentos de venta obligatoria en farmacias, los datos que los clientes de dicho farmacéutico introducen en la plataforma cuando realizan un pedido por Internet de medicamentos, tales como su nombre, la dirección de envío y la información necesaria para determinar el medicamento solicitado, constituyen datos relativos a la salud en el sentido de las citadas disposiciones, aun cuando la venta de esos medicamentos no esté sujeta a receta médica.

El artículo 8, apartado 1, de la Directiva 95/46 y el artículo 9, apartado 1, del RGPD, que tienen un alcance similar a efectos de la interpretación que el Tribunal de Justicia ha de proporcionar (sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartados 58 y 117) y se refieren, como indica el título de ambas disposiciones, al tratamiento de «categorías especiales» de datos personales, establecen el principio de prohibición de dicho tratamiento. En efecto, como dispone expresamente el considerando 51 del citado Reglamento, merecen especial protección los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales.

Entre estas categorías especiales de datos personales, que se enumeran en el artículo 8, apartado 1, de la Directiva 95/46 y en el artículo 9, apartado 1, del RGPD, figuran los datos relativos a la salud. Estos incluyen, de conformidad con el artículo 4, punto 15, del Reglamento, en relación con su considerando 35, todos los datos personales que revelen información sobre el estado de salud física o mental pasado, presente o futuro de una persona física, incluidos los datos relativos a la prestación de servicios de atención sanitaria a esa persona.

Por otra parte, del artículo 4, punto 1, del RGPD se desprende que el concepto de «datos personales» comprende toda información sobre una persona física identificada o identificable, y que para que una persona física pueda ser calificada de identificable basta con que su identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

78	Por consiguiente, cuando los datos sobre las compras de medicamentos permiten extraer conclusiones sobre el estado de salud de una persona identificada o identificable, deben considerarse datos relativos a la salud en el sentido del artículo 4, punto 15, del RGPD.

En el presente asunto, de los autos que obran en poder del Tribunal de Justicia se desprende que los clientes de ND, cuando realizan un pedido en Internet, a través de Amazon, de medicamentos de venta obligatoria en farmacias, introducen determinados datos, como su nombre, la dirección de envío y la información necesaria para determinar el medicamento solicitado. Pues bien, no cabe duda de que estos datos constituyen «datos personales», en la medida en que se refieren a personas físicas identificadas o identificables.

En estas circunstancias, procede determinar si tales datos pueden revelar información sobre el estado de salud de esas personas, en el sentido del artículo 4, punto 15, del RGPD, y, en consecuencia, constituyen datos relativos a la salud, en el sentido del artículo 8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, de dicho Reglamento.

A este respecto, el Tribunal de Justicia ya ha declarado que, a la vista del objetivo de la Directiva 95/46 y del RGPD de asegurar un alto nivel de protección de las libertades y de los derechos fundamentales de las personas físicas, en particular, de su intimidad, en relación con el tratamiento de los datos personales que las afectan, el concepto de «datos relativos a la salud» previsto en el artículo 9, apartado 1, de dicho Reglamento y en el artículo 8, apartado 1, de la citada Directiva debe interpretarse de forma amplia (véanse, en este sentido, las sentencias de 6 de noviembre de 2003, Lindqvist, C‑101/01, EU:C:2003:596, apartado 50, y de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 125).

En particular, no cabe interpretar tales disposiciones en el sentido de que el tratamiento de datos personales que puedan desvelar indirectamente informaciones sensibles sobre una persona física queda fuera del régimen de protección reforzado establecido por las mencionadas disposiciones, pues de quedar fuera se menoscabaría el efecto útil de ese régimen y la protección de las libertades y de los derechos fundamentales de las personas físicas que pretende garantizar (sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 127).

Por tanto, para que los datos personales puedan ser calificados de datos relativos a la salud, en el sentido del artículo 8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD, basta con que puedan revelar, mediante un ejercicio intelectual de relación o deducción, información sobre el estado de salud del interesado (véase, en este sentido, la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 123).

Pues bien, los datos que un cliente introduce en una plataforma en Internet cuando realiza un pedido de medicamentos de venta obligatoria en farmacias pueden revelar, mediante un ejercicio intelectual de relación o deducción, información sobre el estado de salud del interesado, en el sentido del artículo 4, punto 1, del RGPD, en la medida en que dicho pedido implica el establecimiento de un vínculo entre un medicamento, sus indicaciones terapéuticas o usos, y una persona física identificada o identificable por elementos como su nombre o la dirección de entrega.

No obstante, el órgano jurisdiccional remitente se pregunta si el hecho de que la venta de los medicamentos encargados no esté sujeta a receta médica resulta pertinente, en la medida en que, en tal caso, el destinatario de los medicamentos podría no ser el cliente que realiza el pedido, sino un tercero.

A este respecto, ha de observarse que, a efectos de la aplicación del artículo 8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD, es preciso comprobar, en el caso de un tratamiento de datos personales efectuado por un farmacéutico en el contexto de una actividad desarrollada a través de una plataforma en Internet, si esos datos permiten revelar información comprendida en alguna de las categorías contempladas en dichas disposiciones, ya se refiera esa información a un usuario de esa plataforma o a cualquier otra persona física. En caso afirmativo, tal tratamiento de datos personales está prohibido, sin perjuicio de las excepciones previstas en el apartado 2 de las referidas disposiciones [véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 68].

Esta prohibición de principio es independiente de que la información revelada por el tratamiento en cuestión sea o no exacta y de que dicho farmacéutico actúe con el fin de obtener información comprendida en alguna de las categorías especiales contempladas en el artículo 8, apartado 1, de la Directiva 95/46 y el artículo 9, apartado 1, del RGPD. En efecto, teniendo en cuenta los riesgos significativos para las libertades fundamentales y los derechos fundamentales de los interesados, generados por cualquier tratamiento de datos personales comprendidos en tales categorías, estas disposiciones tienen por objeto prohibir dichos tratamientos, con independencia de la finalidad que expresen y de la exactitud de la información en cuestión [véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartados 69 y 70].

De ello se sigue que, cuando el usuario de una plataforma en Internet introduce datos personales al realizar un pedido de medicamentos de venta obligatoria en farmacias pero no sujetos a receta médica, el tratamiento de esos datos por un farmacéutico que vende dichos medicamentos a través de la plataforma en Internet debe considerarse un tratamiento de datos relativos a la salud, en el sentido del artículo 8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD, dado que dicho tratamiento de datos puede revelar información sobre el estado de salud de una persona física, con independencia de que la información proporcionada se refiera al propio usuario o a otra persona para la que este realiza el pedido [véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 73].

En efecto, una interpretación de estas disposiciones que llevara a establecer una distinción en función del tipo de medicamentos de que se trate y del hecho de que su venta esté o no sujeta a receta médica no sería coherente con el objetivo de un alto nivel de protección, recordado en el apartado 81 de la presente sentencia. Más aún, esta interpretación se opondría a la finalidad del artículo 8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD, que consiste en garantizar una mayor protección frente a tales tratamientos, que, en atención a la particular sensibilidad de los datos objeto de ellos, pueden constituir, como se desprende en particular del considerando 51 del RGPD, una injerencia especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta (sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 126 y jurisprudencia citada).

Por consiguiente, los datos que los clientes de un farmacéutico introducen al realizar un pedido por Internet de medicamentos de venta obligatoria en farmacias pero no sujetos a receta médica constituyen datos relativos a la salud, en el sentido del artículo 8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD, también cuando no es seguro, sino tan solo probable, que los destinatarios de dichos medicamentos sean esos clientes.

Además, no puede excluirse que, incluso en el supuesto de que las personas destinatarias de tales medicamentos no sean los referidos clientes, sea posible identificar a esas personas y extraer conclusiones sobre su estado de salud. Esto podría suceder, por ejemplo, cuando los medicamentos en cuestión no se entreguen en el domicilio del cliente que los ha encargado, sino en el de otra persona, o cuando, con independencia de la dirección de entrega, el cliente mencione, en su pedido o en las comunicaciones relativas a este, a otra persona identificable, como un miembro de su familia. Del mismo modo, cuando para realizar el pedido se exige que el cliente se identifique o registre, por ejemplo mediante la creación de una cuenta de cliente o dándolo de alta en un programa de fidelidad, no se excluye que los datos proporcionados por el cliente a tal fin puedan utilizarse para extraer conclusiones no solo sobre su propio estado de salud, sino también sobre el de otra persona, en particular si esos datos se combinan con la información relativa a los medicamentos encargados.

Por último, como se ha recordado en el apartado 86 de la presente sentencia, el hecho de que datos como los que son objeto del litigio principal constituyan datos relativos a la salud, en el sentido del artículo 8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD, no impide, como se desprende en concreto del considerando 53 de este último, que puedan ser tratados, en particular en el contexto de la gestión de los servicios y sistemas sanitarios, cuando concurra una de las dos circunstancias previstas en el apartado 2 de las citadas disposiciones.

Así puede ocurrir, en particular, por un lado, cuando, de conformidad con la letra a) de dicho apartado 2, y sin perjuicio de la excepción prevista en ella, el interesado dé su consentimiento explícito para uno o varios tratamientos de dichos datos personales cuyas características y fines específicos se le hayan comunicado de manera exacta, completa y fácilmente comprensible. Por otro lado, el tratamiento puede ser admisible en virtud del artículo 9, apartado 2, letra h), del RGPD cuando sea necesario para la prestación de asistencia o tratamiento de tipo sanitario sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario.

Habida cuenta de lo anterior, procede responder a la segunda cuestión prejudicial que el artículo 8, apartado 1, de la Directiva 95/46 y el artículo 9, apartado 1, del RGPD deben interpretarse en el sentido de que, en una situación en la que un farmacéutico comercializa a través de una plataforma en Internet medicamentos de venta obligatoria en farmacias, los datos que los clientes de dicho farmacéutico introducen en la plataforma cuando realizan un pedido por Internet de medicamentos, tales como su nombre, la dirección de envío y la información necesaria para determinar el medicamento solicitado, constituyen datos relativos a la salud en el sentido de las citadas disposiciones, aun cuando la venta de esos medicamentos no esté sujeta a receta médica.

Costas

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:

Las disposiciones del capítulo VIII del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

deben interpretarse en el sentido de que

no se oponen a una normativa nacional que, junto a las facultades de intervención de las autoridades de control competentes para la supervisión y ejecución de dicho Reglamento, y a la tutela judicial a favor de los interesados, concede a los competidores del presunto infractor de la normativa en materia de protección de datos personales la facultad de actuar contra dicho infractor entablando una acción ante la jurisdicción civil basada en infracciones del citado Reglamento y en el incumplimiento de la prohibición de prácticas comerciales desleales.

El artículo 8, apartado 1, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y el artículo 9, apartado 1, del Reglamento 2016/679

deben interpretarse en el sentido de que,

en una situación en la que un farmacéutico comercializa a través de una plataforma en Internet medicamentos de venta obligatoria en farmacias, los datos que los clientes de dicho farmacéutico introducen en la plataforma cuando realizan un pedido por Internet de medicamentos, tales como su nombre, la dirección de envío y la información necesaria para determinar el medicamento solicitado, constituyen datos relativos a la salud en el sentido de las citadas disposiciones, aun cuando la venta de esos medicamentos no esté sujeta a receta médica.

Firmas

( *1 ) Lengua de procedimiento: alemán.