Toggle Side Panel
Close search

CELEX:62023CJ0021: Hotărârea Curții (Marea Cameră) din 4 octombrie 2024.#ND împotriva lui DR.#Cerere de decizie preliminară formulată de Bundesgerichtshof.#Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Capitolul VIII – Căi de atac – Comercializarea de medicamente de către un farmacist prin intermediul unei platforme online – Acțiune introdusă în fața instanțelor civile de către un concurent al acestui farmacist în temeiul interdicției practicilor comerciale neloiale, ca urmare a unei încălcări de către acesta a obligațiilor prevăzute de regulamentul menționat – Calitate procesuală activă – Articolul 4 punctul 15 și articolul 9 alineatele (1) și (2) – Directiva 95/46/CE – Articolul 8 alineatele (1) și (2) – Noțiunea de «date privind sănătatea» – Condiții pentru prelucrarea unor astfel de date.#Cauza C-21/23.

redactia-lex24
Redacția Lex24 26/10/2024
0 comentarii
Redacția Lex24
Publicat in CJUE: Decizii, Repertoriu EUR-Lex, 26/10/2024

Vă rugăm să vă conectați la marcaj Închide

Ediție provizorieHOTĂRÂREA CURȚII (Marea Cameră)4 octombrie 2024(*)„ Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Capitolul VIII – Căi de atac – Comercializarea de medicamente de către un farmacist prin intermediul unei platforme online –...

Informatii

Data documentului: 04/10/2024
Emitent: CJUE
Formă: CJUE: Decizii
Formă: Repertoriu EUR-Lex
Stat sau organizație la originea cererii: Germania

Procedura

Tribunal naţional: *A9* Bundesgerichtshof, beschluss vom 12/01/2023 (ECLI:DE:BGH:2023:120123UIZR223.19.0)

Ediție provizorie

HOTĂRÂREA CURȚII (Marea Cameră)

4 octombrie 2024(*)

„ Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Capitolul VIII – Căi de atac – Comercializarea de medicamente de către un farmacist prin intermediul unei platforme online – Acțiune introdusă în fața instanțelor civile de către un concurent al acestui farmacist în temeiul interdicției practicilor comerciale neloiale, ca urmare a unei încălcări de către acesta a obligațiilor prevăzute de regulamentul menționat – Calitate procesuală activă – Articolul 4 punctul 15 și articolul 9 alineatele (1) și (2) – Directiva 95/46/CE – Articolul 8 alineatele (1) și (2) – Noțiunea de «date privind sănătatea» – Condiții pentru prelucrarea unor astfel de date ”

În cauza C‑21/23,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Bundesgerichtshof (Curtea Federală de Justiție, Germania), prin decizia din 12 ianuarie 2023, primită de Curte la 19 ianuarie 2023, în procedura

ND

împotriva

DR,

CURTEA (Marea Cameră)

compusă din domnul K. Lenaerts, președinte, domnul L. Bay Larsen, vicepreședinte, doamna K. Jürimäe, domnii C. Lycourgos, E. Regan, F. Biltgen și N. Piçarra, președinți de cameră, domnii S. Rodin și P. G. Xuereb, doamna L. S. Rossi, domnii I. Jarukaitis și N. Jääskinen și doamna I. Ziemele (raportoare), judecători,

avocat general: domnul M. Szpunar,

grefier: doamna N. Mundhenke, administratoare,

având în vedere procedura scrisă și în urma ședinței din 9 ianuarie 2024,

luând în considerare observațiile prezentate:

– pentru ND, de A. Datta, M. Mogendorf și W. Spoerr, Rechtsanwälte;

– pentru DR, de M. Bahmann, Rechtsanwalt;

– pentru guvernul german, de J. Möller și P.‑L. Krüger, în calitate de agenți;

– pentru Comisia Europeană, de A. Bouchagiar, F. Erlbacher și H. Kranenborg, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 25 aprilie 2024,

pronunță prezenta

Hotărâre

1        Cererea de decizie preliminară privește interpretarea articolului 9 alineatul (1) și a dispozițiilor capitolului VIII din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”), precum și a articolului 8 alineatul (1) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

2        Această cerere a fost formulată în cadrul unui litigiu între ND, pe de o parte, și DR, pe de altă parte, două persoane fizice care exploatează fiecare o farmacie, în legătură cu comercializarea de către ND, prin intermediul unei platforme online, a unor medicamente a căror vânzare este rezervată farmaciilor.

Cadrul juridic

Dreptul Uniunii

3        Articolul 8 din Directiva 95/46, intitulat „Prelucrarea unor categorii speciale de date”, prevedea:

„(1) Statele membre interzic prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală.

(2) Alineatul (1) nu se aplică în oricare din următoarele situații:

(a) persoana vizată și‑a dat consimțământul explicit pentru prelucrarea acestor date, cu excepția cazului în care legislația statului membru prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate

[…]”

4        Considerentele (9)-(11), (13), (35), (51), (53), (141) și (142) ale RGPD au următorul cuprins:

„(9) Obiectivele și principiile [Directivei 95/46] rămân solide, dar aceasta nu a prevenit fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune, insecuritatea juridică sau percepția publică larg răspândită conform căreia există riscuri semnificative pentru protecția persoanelor fizice, în special în legătură cu activitatea online. Diferențele dintre nivelurile de protecție a drepturilor și libertăților persoanelor fizice, în special a dreptului la protecția datelor cu caracter personal, în ceea ce privește prelucrarea datelor cu caracter personal din statele membre pot împiedica libera circulație a datelor cu caracter personal în întreaga Uniune. Aceste diferențe pot constitui, prin urmare, un obstacol în desfășurarea de activități economice la nivelul Uniunii, pot denatura concurența și pot împiedica autoritățile să îndeplinească responsabilitățile care le revin în temeiul dreptului Uniunii. Această diferență între nivelurile de protecție este cauzată de existența unor deosebiri în ceea ce privește transpunerea și aplicarea [Directivei 95/46].

(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […] Prezentul regulament oferă, de asemenea, statelor membre o marjă de manevră în specificarea normelor sale, inclusiv în ceea ce privește prelucrarea categoriilor speciale de date cu caracter personal («date sensibile»). […]

(11) Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru infracțiuni în statele membre.

[…]

(13) În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderi și întreprinderi mici și mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi, obligații și responsabilități opozabile din punct de vedere juridic pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni echivalente în toate statele membre, precum și cooperarea eficace a autorităților de supraveghere ale diferitelor state membre. […]

[…]

(35) Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. […]

[…]

(51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. […] Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepția cazului în care prelucrarea este permisă în cazuri specifice prevăzute de prezentul regulament, ținând seama de faptul că dreptul statelor membre poate prevedea dispoziții specifice cu privire la protecția datelor în scopul adaptării aplicării normelor din prezentul regulament în vederea respectării unei obligații legale sau a îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul. Pe lângă cerințele specifice pentru o astfel de prelucrare, ar trebui să se aplice principiile generale și alte norme prevăzute de prezentul regulament, în special în ceea ce privește condițiile pentru prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicția generală de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizată își dă consimțământul explicit sau în ceea ce privește nevoile specifice în special atunci când prelucrarea este efectuată în cadrul unor activități legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale.

[…]

(53) Categoriile speciale de date cu caracter personal care necesită un nivel mai ridicat de protecție ar trebui prelucrate doar în scopuri legate de sănătate atunci când este necesar pentru realizarea acestor scopuri în beneficiul persoanelor fizice și al societății în general, în special în contextul gestionării serviciilor și sistemelor de sănătate sau de asistență socială […] Prin urmare, prezentul regulament ar trebui să prevadă condiții armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sănătatea, în ceea ce privește nevoile specifice, în special atunci când prelucrarea acestor date este efectuată în anumite scopuri legate de sănătate de către persoane care fac obiectul unei obligații legale de a păstra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui să prevadă măsuri specifice și adecvate pentru a proteja drepturile fundamentale și datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui să aibă posibilitatea de a menține sau de a introduce condiții suplimentare, inclusiv restricții, în ceea ce privește prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea. […]

[…]

(141) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o singură autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, precum și dreptul la o cale de atac eficientă în conformitate cu articolul 47 din [Carta drepturilor fundamentale a Uniunii Europene, denumită în continuare «carta»], în cazul în care persoana vizată consideră că drepturile sale în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere, respinge sau refuză parțial sau total o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. […]

(142) În cazul în care persoana vizată consideră că drepturile sale în temeiul prezentului regulament sunt încălcate, aceasta ar trebui să aibă dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ care este înființat(ă) în conformitate cu dreptul intern, ale cărui (cărei) obiective statutare sunt în interesul public și care își desfășoară activitatea în domeniul asigurării protecției datelor cu caracter personal, să depună o plângere în numele său la o autoritate de supraveghere, să exercite dreptul la o cale de atac în numele persoanelor vizate sau, în cazul în care se prevede în dreptul intern, să exercite dreptul de a primi despăgubiri în numele persoanelor vizate. Un stat membru poate prevedea ca un astfel de organism, organizație sau asociație să aibă dreptul de a depune o plângere în statul membru respectiv, independent de mandatul acordat de o persoană vizată, și să aibă dreptul la o cale de atac eficientă în cazul în care are motive să considere că drepturile unei persoane vizate au fost încălcate ca rezultat al unei prelucrări a datelor cu caracter personal care încalcă prezentul regulament. Organismul, organizația sau asociația în cauza nu poate pretinde despăgubiri în numele unei persoane vizate, independent de mandatul acordat de persoana vizată.”

5        Articolul 1 din acest regulament, intitulat „Obiect și obiective”, prevede:

„(1) Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.

(2) Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.

(3) Libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”

6        Articolul 4 din regulamentul menționat prevede:

„În sensul prezentului regulament:

1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

[…]

15. «date privind sănătatea» înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;

[…]

21. «autoritate de supraveghere» înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;

[…]”

7        Capitolul II din RGPD, intitulat „Principii”, cuprinde articolele 5-11 din acesta.

8        Articolul 5 din acest regulament prevede principiile referitoare la prelucrarea datelor cu caracter personal, în timp ce articolul 6 din acest regulament stabilește condițiile de legalitate a unei astfel de prelucrări.

9        Potrivit articolului 9 din regulamentul menționat, intitulat „Prelucrarea de categorii speciale de date cu caracter personal”:

„(1) Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

(2) Alineatul (1) nu se aplică în următoarele situații:

(a) persoana vizată și‑a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate;

[…]

(h) prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul (3);

[…]”

10      Articolul 51 din același regulament, intitulat „Autoritatea de supraveghere”, prevede la alineatul (1):

„Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii («autoritatea de supraveghere»).”

11      Capitolul VIII din RGPD, intitulat „Căi de atac, răspundere și sancțiuni”, cuprinde articolele 77-84 din acesta.

12      Articolul 77 din acest regulament, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede la alineatul (1):

„Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.”

13      Articolul 78 din regulamentul menționat, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere”, prevede la alineatul (1):

„Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.”

14      Articolul 79 din același regulament, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator”, prevede la alineatul (1):

„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”

15      Articolul 80 din RGPD, intitulat „Reprezentarea persoanelor vizate”, are următorul cuprins:

„(1) Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile menționate la articolele 77, 78 și 79, precum și să exercite dreptul de a primi despăgubiri menționat la articolul 82 în numele persoanei vizate, dacă acest lucru este prevăzut în dreptul intern.

(2) Statele membre pot prevedea că orice organism, organizație sau asociație menționată la alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere care este competentă în temeiul articolului 77 și de a exercita drepturile menționate la articolele 78 și 79, în cazul în care consideră că drepturile unei persoane vizate în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării.”

16      Articolul 82 din acest regulament, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatul (1):

„Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.”

17      Articolul 83 din regulamentul menționat, intitulat „Condiții generale pentru impunerea amenzilor administrative”, prevede la alineatul (1):

„Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menționate la alineatele (4), (5) și, (6) este, în fiecare caz, eficace, proporțională și disuasivă.”

18      Articolul 84 din același regulament, intitulat „Sancțiuni”, prevede la alineatul (1):

„Statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.”

19      Articolul 94 din RGPD prevede la alineatul (1):

„[Directiva 95/46] se abrogă cu efect de la 25 mai 2018.”

20      Potrivit articolului 99 din acest regulament:

„(1) Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2) Prezentul regulament se aplică de la 25 mai 2018.”

Dreptul german

Legea privind combaterea concurenței neloiale

21      Articolul 3 din Gesetz gegen den unlauteren Wettbewerb (Legea privind combaterea concurenței neloiale) din 3 iulie 2004 (BGBl. 2004 I, p. 1414), în versiunea aplicabilă litigiului principal (denumită în continuare „UWG”), intitulat „Interzicerea comportamentelor comerciale neloiale”, prevede la alineatul (1):

„Se interzic practicile comerciale neloiale.”

22      Articolul 3a din UWG, intitulat „Încălcarea dreptului”, are următorul cuprins:

„Constituie concurență neloială încălcarea de către o persoană a unei dispoziții legale adoptate cu scopul să reglementeze, în interesul operatorilor economici, comportamentul pe piață în măsura în care încălcarea în cauză afectează considerabil interesele consumatorilor, ale altor operatori economici sau ale concurenților.”

23      Articolul 8 din UWG, intitulat „Eliminare și omisiune”, prevede:

„(1) Orice practică comercială nelegală în temeiul articolului 3 sau al articolului 7 poate duce la o somație de încetare și, în caz de risc de recidivă, la o somație de a nu face sau la o interdicție. […]

[…]

(3) Somațiile menționate la alineatul (1) pot fi solicitate de:

1. orice concurent care comercializează sau solicită bunuri sau servicii într‑un mod care nu este neglijabil și nu este ocazional;

[…]”

Legea privind medicamentele

24      Circulația medicamentelor este reglementată de Gesetz über den Verkehr mit Arzneimitteln (Legea privind comercializarea medicamentelor) din 24 august 1976 (BGBl. 1976 I, p. 2444), în versiunea sa publicată la 12 decembrie 2005 (BGB1. 2005 I, p. 3394), astfel cum este aplicabilă situației de fapt din litigiul principal. Această lege face distincție între medicamentele vândute în farmacie și cele vândute pe bază de prescripție medicală, acestea din urmă făcând obiectul articolului 48, intitulat „Obligația privind prescripția medicală”.

Litigiul principal și întrebările preliminare

25      ND, care exploatează o farmacie sub denumirea comercială „Lindenapotheke”, comercializează, din anul 2017, medicamente a căror vânzare este rezervată farmaciilor pe platforma online „Amazon‑Marketplace” (denumită în continuare „Amazon”). Atunci când comandă online aceste medicamente, clienții lui ND trebuie să introducă informații precum numele lor, adresa de livrare și elementele necesare pentru individualizarea medicamentelor menționate.

26      DR, care exploatează de asemenea o farmacie, a sesizat Landgericht Dessau‑Roßlau (Tribunalul Regional din Dessau‑Roßlau, Germania) cu o acțiune prin care a solicitat obligarea lui ND să înceteze, sub sancțiunea unor penalități cu titlu cominatoriu, comercializarea pe Amazon a unor medicamente a căror vânzare este rezervată farmaciilor, atât timp cât nu este garantat că clientul își poate da consimțământul prealabil pentru prelucrarea datelor privind sănătatea.

27      În susținerea acțiunii formulate, DR a arătat că comercializarea pe Amazon a unor medicamente a căror vânzare este rezervată farmaciilor era neloială ca urmare a nerespectării cerințelor legale referitoare la obținerea consimțământului clientului impuse de legislația privind protecția datelor cu caracter personal.

28      Prin decizia din 28 martie 2018, Landgericht Dessau‑Roßlau (Tribunalul Regional din Dessau‑Roßlau) a admis acțiunea.

29      ND a declarat apel împotriva acestei decizii la Oberlandesgericht Naumburg (Tribunalul Regional Superior din Naumburg, Germania), care l‑a respins prin decizia din 7 noiembrie 2019.

30      Instanța de apel a considerat că comercializarea pe Amazon a unor medicamente a căror vânzare este rezervată farmaciilor constituie o practică neloială și, așadar, nelegală în temeiul articolului 3 alineatul (1) din UWG. Astfel, o asemenea comercializare de medicamente ar conduce la o prelucrare de date privind sănătatea, care ar fi interzisă în temeiul articolului 9 alineatul (1) din RGPD, în lipsa unui consimțământ explicit din partea clienților care achiziționează medicamente, în conformitate cu articolul 9 alineatul (2) litera (a) din acest regulament. Or, normele prevăzute de regulamentul menționat ar constitui dispoziții legale adoptate cu scopul de a reglementa comportamentul pe piață, în sensul articolului 3a din UWG. În plus, în temeiul articolului 8 alineatul (3) punctul 1 din UWG, DR ar avea, în calitate de concurent, dreptul de a invoca o încălcare a acestor norme de către ND, prin intermediul unei cereri de somație de încetare în fața instanțelor civile.

31      ND a formulat recurs la Bundesgerichtshof (Curtea Federală de Justiție, Germania), instanța de trimitere.

32      Această instanță arată că soluționarea litigiului depinde de interpretarea dispozițiilor capitolului VIII din RGPD, a articolului 9 alineatul (1) din acest regulament, precum și a articolului 8 alineatul (1) din Directiva 95/46.

33      În primul rând, instanța de trimitere ridică problema dacă, de la abrogarea Directivei 95/46 cu efect de la 25 mai 2018, dată de la care a devenit aplicabil RGPD, statele membre mai au posibilitatea să prevadă, în dreptul național, că concurenții unei întreprinderi, precum cei menționați la articolul 8 alineatul (3) punctul 1 din UWG, dispun de calitatea de a obține încetarea, prin intermediul unei acțiuni în fața unei instanțe civile, a încălcărilor dispozițiilor RGPD săvârșite de această întreprindere, în temeiul interdicției practicilor comerciale neloiale.

34      Instanța de trimitere arată că această chestiune dă naștere unor răspunsuri divergente la nivel național. Astfel, un asemenea răspuns nu ar putea fi dedus în mod univoc nici din modul de redactare a dispozițiilor capitolului VIII din RGPD, nici din economia generală a acestor dispoziții și nici chiar din obiectivul urmărit de regulamentul menționat.

35      Astfel, mai întâi, în ceea ce privește modul de redactare a dispozițiilor capitolului VIII din RGPD, instanța de trimitere subliniază că, desigur, aceste dispoziții nu menționează în niciun loc posibilitatea concurenților unei întreprinderi de a introduce o acțiune împotriva acesteia, în special atunci când încălcarea legislației privind protecția datelor se constituie în practici comerciale neloiale. Totuși, în același timp, dispozițiile menționate nu ar exclude în mod formal această posibilitate.

36      În ceea ce privește, în continuare, economia generală a dispozițiilor capitolului VIII din RGPD, instanța de trimitere subliniază, pe de o parte, că, astfel cum a statuat Curtea în Hotărârea din 28 aprilie 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, punctul 57), acest regulament urmărește să asigure o armonizare a legislațiilor naționale referitoare la protecția datelor cu caracter personal care este, în principiu, completă. Cu toate acestea, pe de altă parte, faptul că articolul 77 alineatul (1), articolul 78 alineatele (1) și (2) și articolul 79 alineatul (1) din RGPD conțin fiecare expresia „fără a aduce atingere oricăror alte căi de atac” s‑ar putea opune concluziei potrivit căreia controlul aplicării dreptului a făcut obiectul unei reglementări exhaustive.

37      În sfârșit, în ceea ce privește obiectivul de armonizare și în special de uniformizare a nivelului de control al aplicării dreptului în cadrul Uniunii, urmărit de RGPD, instanța de trimitere subliniază, pe de o parte, că faptul că concurenții pot avea calitate procesuală activă în temeiul dreptului concurenței și, prin urmare, pot obține aplicarea dispozițiilor dreptului privind protecția datelor dincolo de instrumentele prevăzute de RGPD ar putea fi contrar acestui obiectiv. În plus, nu ar fi sigur că sistemul de control al aplicării dreptului prevăzut de regulamentul menționat conține o lacună care ar trebui acoperită de posibilitatea recunoscută concurenților de a avea calitate procesuală activă în temeiul dreptului concurenței. De asemenea, o concurență în materie de control al aplicării dreptului privind protecția datelor între autoritățile de supraveghere, pe de o parte, și instanțele civile, pe de altă parte, ar risca să aducă atingere competențelor autorităților de supraveghere și să conducă la divergențe, în cadrul Uniunii, în ceea ce privește controlul aplicării dreptului privind protecția datelor.

38      Pe de altă parte, potrivit instanței de trimitere, a permite concurenților să acționeze în temeiul dreptului concurenței ar putea constitui o posibilitate suplimentară de a controla aplicarea dreptului, care ar fi dezirabilă în conformitate cu principiul efectivității („effet utile”) în scopul de a asigura un nivel cât mai ridicat de protecție în domeniul datelor cu caracter personal, în conformitate cu considerentul (10) al RGPD.

39      Instanța de trimitere precizează că această chestiune nu a fost clarificată de jurisprudența Curții și că, în special în Hotărârea din 28 aprilie 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), Curtea a lăsat în mod expres deschisă problema calității procesuale active a unui concurent.

40      În al doilea rând, instanța de trimitere ridică problema dacă datele pe care clienții trebuie să le introducă pe platforma de vânzare online atunci când comandă medicamente, precum numele lor, adresa de livrare și informațiile necesare individualizării medicamentelor comandate, constituie „date privind sănătatea” în sensul articolului 8 alineatul (1) din Directiva 95/46 și al articolului 9 alineatul (1) din RGPD.

41      Potrivit acestei instanțe, răspunsul la această întrebare nu s‑ar impune în mod evident în cazul în care medicamentele comandate se eliberează fără prescripție medicală. Astfel, într‑un asemenea caz, nu ar fi exclus ca aceste medicamente să nu fie destinate clienților înșiși, ci unor terți, care nu ar fi identificabili.

42      Instanța de trimitere subliniază că modul de redactare a acestor dispoziții și cel al articolului 4 punctul 15 din RGPD coroborat cu considerentul (35) al acestui regulament nu permit, prin ele însele, să se răspundă la această întrebare.

43      Cu toate acestea, la punctul 125 din Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), Curtea ar fi statuat că noțiunea de „categorii speciale de date cu caracter personal”, prevăzută la articolul 8 alineatul (1) din Directiva 95/46 și la articolul 9 alineatul (1) din RGPD, trebuie interpretată în sens larg, ținând seama de obiectivul acestui regulament, care este acela de a asigura un nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a vieții private a acestora, în ceea ce privește prelucrarea datelor cu caracter personal referitoare la acestea. Dacă s‑ar reține o astfel de interpretare largă a acestei noțiuni, s‑ar putea concluziona că asemenea informații constituie date privind sănătatea atunci când nu este cert, ci numai probabil că clienții care efectuează comanda medicamentelor sunt persoanele cărora acestea le sunt destinate.

44      Instanța de trimitere precizează că dreptul la încetare invocat de DR presupune că comportamentul în cauză al lui ND era nelegal atât la momentul la care a fost adoptat, cât și la momentul ședinței din cadrul procedurii de recurs și că primul dintre aceste momente era încă reglementat de articolul 8 alineatul (1) din Directiva 95/46, în timp ce al doilea intră în prezent în domeniul de aplicare al articolului 9 alineatul (1) din RGPD.

45      În acest context, Bundesgerichtshof (Curtea Federală de Justiție) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) Dispozițiile capitolului VIII din [RGPD] se opun unor reglementări naționale care conferă concurenților – în plus față de competențele de intervenție ale autorităților de supraveghere responsabile pentru supravegherea și punerea în aplicare a regulamentului menționat și față de căile de atac de care dispun persoanele vizate – calitatea procesuală activă pentru a formula, în fața instanțelor civile, o acțiune având ca obiect încălcarea regulamentului menționat împotriva autorului încălcării, invocând interdicția practicilor comerciale neloiale?

2) Datele pe care clienții unui farmacist, care operează ca vânzător pe o platformă comercială de internet, trebuie să le introducă pe platforma comercială atunci când comandă medicamente disponibile numai în farmacii, dar care se eliberează fără prescripție medicală (numele clientului, adresa de livrare și informațiile necesare pentru individualizarea medicamentelor comandate disponibile numai în farmacii) sunt date privind sănătatea în sensul articolului 9 alineatul (1) din [RGPD] și în sensul articolului 8 alineatul (1) din Directiva 95/46?”

Cu privire la întrebările preliminare

Cu privire la prima întrebare

46      Prin intermediul primei întrebări, instanța de trimitere solicită să se stabilească dacă dispozițiile capitolului VIII din RGPD trebuie interpretate în sensul că se opun unei reglementări naționale care, în plus față de competențele de intervenție ale autorităților de supraveghere responsabile pentru supravegherea și punerea în aplicare a acestui regulament, precum și față de căile de atac de care dispun persoanele vizate, conferă concurenților autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal calitatea procesuală activă pentru a formula împotriva acestuia o acțiune în fața instanțelor civile, ca urmare a încălcării regulamentului menționat și în temeiul interdicției practicilor comerciale neloiale.

47      Trebuie amintit, cu titlu introductiv, că capitolul VIII din RGPD reglementează printre altele căile de atac care permit protejarea drepturilor persoanei vizate atunci când datele cu caracter personal care o privesc fac obiectul unui tratament pretins contrar dispozițiilor regulamentului menționat. Protecția acestor drepturi poate fi astfel reclamată fie direct de persoana vizată, în temeiul articolelor 77-79 din acest regulament, fie de o entitate abilitată, în prezența sau în lipsa unui mandat în acest sens în temeiul articolului 80 din regulamentul menționat (a se vedea în acest sens Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctul 53).

48      Astfel, pe de o parte, articolul 77 alineatul (1) din RGDP prevede că, fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere. Potrivit articolului 78 alineatul (1) din acest regulament, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează, fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare. Articolul 79 alineatul (1) din regulamentul menționat garantează fiecărei persoane vizate dreptul la o cale de atac judiciară eficientă, fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77 din același regulament.

49      Pe de altă parte, conform articolului 80 alineatul (1) din RGPD, persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, în anumite condiții, să depună o plângere sau să exercite, în numele său, drepturile menționate la articolele 77-79 din acest regulament. În plus, în conformitate cu articolul 80 alineatul (2) din regulamentul menționat, statele membre pot prevedea că orice organism, organizație sau asociație, independent de mandatul unei persoane vizate, are dreptul de a depune în statul membru respectiv o astfel de plângere la autoritatea de supraveghere și de a exercita aceste drepturi în cazul în care consideră că drepturile unei persoane vizate în temeiul aceluiași regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal care o privesc.

50      În speță, din dosarul de care dispune Curtea reiese că ND, care exploatează o farmacie, comercializează pe Amazon medicamente a căror vânzare este rezervată farmaciilor și că, atunci când comandă online aceste medicamente, clienții trebuie să introducă date precum numele lor, adresa de livrare și informațiile necesare individualizării medicamentelor menționate. Cu toate acestea, acțiunea în cauza principală nu a fost introdusă în fața unei instanțe civile de acești clienți, care sunt persoane vizate în sensul articolului 4 punctul 1 din RGPD, în temeiul articolului 79 din acest regulament, nici de un organism, o organizație sau o asociație abilitată, în prezența sau în lipsa unui mandat primit de la o persoană vizată în acest scop, în temeiul articolului 80 din regulamentul menționat, ci de un concurent al acestui farmacist, invocând interdicția practicilor comerciale neloiale, ca urmare a încălcărilor dispozițiilor aceluiași regulament pe care le‑ar fi săvârșit farmacistul menționat.

51      Prin urmare, cauza principală ridică problema dacă RGPD se opune ca un concurent precum DR, care nu este o persoană vizată în sensul articolului 4 punctul 1 din acest regulament, să dispună de calitatea pentru a introduce o astfel de acțiune în fața instanțelor civile naționale.

52      În această privință, trebuie amintit că, în vederea interpretării unei dispoziții de drept al Uniunii, trebuie să se țină seama nu numai de termenii acesteia, ci și de contextul său și de obiectivele urmărite de reglementarea din care face parte această dispoziție (Hotărârea din 12 ianuarie 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punctul 32).

53      În ceea ce privește modul de redactare a dispozițiilor capitolului VIII din RGPD, trebuie să se constate că niciuna dintre ele nu exclude în mod expres posibilitatea concurentului unei întreprinderi de a introduce o acțiune împotriva acestei întreprinderi în fața instanțelor civile în temeiul interdicției practicilor comerciale neloiale, ca urmare a încălcării invocate de această întreprindere a obligațiilor prevăzute de regulamentul menționat. Dimpotrivă, din termenii articolului 77 alineatul (1), ai articolului 78 alineatul (1) și ai articolului 79 alineatul (1) din RGPD, amintiți la punctul 48 din prezenta hotărâre, rezultă că dreptul de a depune o plângere la o autoritate de supraveghere, precum și dreptul la o cale de atac judiciară eficientă împotriva unei astfel de autorități și împotriva unui operator sau a unei persoane împuternicite de operator, cuprinse în aceste dispoziții, sunt prevăzute „fără a aduce atingere” oricăror alte căi de atac administrative, judiciare sau nejudiciare.

54      În ceea ce privește contextul în care se înscrie capitolul VIII din RGPD, trebuie arătat că acest regulament conține, în capitolul II, un ansamblu de dispoziții materiale legate printre altele de principiile referitoare la prelucrarea datelor cu caracter personal, care figurează la articolul 5, și la condițiile de legalitate a prelucrării, prevăzute la articolul 6, care sunt destinate să asigure respectarea deplină printre altele a dreptului fundamental la protecția datelor cu caracter personal al persoanelor vizate, garantat la articolul 16 alineatul (1) TFUE și la articolul 8 din cartă. Lipsa în capitolul VIII din RGPD a unor dispoziții care să prevadă posibilitatea concurenților unei întreprinderi despre care se pretinde că a încălcat aceste dispoziții materiale de a introduce o acțiune pentru a face să înceteze această încălcare se explică, astfel, prin faptul că numai persoanele vizate, iar nu acești concurenți, sunt, așa cum a arătat domnul avocat general la punctul 80 din concluzii, destinatare ale protecției datelor cu caracter personal asigurate de acest regulament.

55      În aceste condiții, deși încălcarea dispozițiilor materiale menționate este de natură să afecteze în primul rând persoanele vizate de datele în cauză, ea poate de asemenea să aducă atingere terților, ceea ce este ilustrat de faptul că articolul 82 alineatul (1) din RGPD prevede un drept la despăgubiri pentru „orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a [acestui] regulament”. Curtea a avut deja, de asemenea, ocazia să constate că încălcarea unei norme privind protecția datelor cu caracter personal poate determina simultan încălcarea unor norme privind protecția consumatorilor sau practicile comerciale neloiale (Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctul 78) și poate constitui un indiciu important pentru aprecierea existenței unui abuz de poziție dominantă în sensul articolului 102 TFUE [a se vedea în acest sens Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctele 47 și 62].

56      În acest context, este important să se amintească faptul că accesul la datele cu caracter personal, precum și exploatarea acestora au o importanță majoră în cadrul economiei digitale. Astfel, accesul la datele cu caracter personal și posibilitatea prelucrării acestor date au devenit un parametru semnificativ al concurenței între întreprinderi în economia digitală. Prin urmare, pentru a ține seama de realitatea acestei evoluții economice și pentru a asigura o concurență loială, poate fi necesar să se țină seama de normele în materie de protecție a datelor cu caracter personal în cadrul aplicării dreptului concurenței și de normele privind practicile comerciale neloiale [a se vedea în acest sens Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctele 50 și 51].

57      În plus, deși reiese din articolul 1 alineatul (1) din RGPD, interpretat în special în lumina considerentelor (9) și (13) ale acestuia, că acest regulament urmărește să asigure o armonizare a legislațiilor naționale referitoare la protecția datelor cu caracter personal care este, în principiu, completă, nu este mai puțin adevărat că mai multe dispoziții ale regulamentului menționat deschid în mod expres posibilitatea ca statele membre să prevadă norme naționale suplimentare, mai stricte sau derogatorii, care lasă acestora o marjă de apreciere asupra modului în care pot fi puse în aplicare aceste dispoziții („clauze de deschidere”) (Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctul 57).

58      Curtea a statuat deja că aceasta este situația articolului 80 alineatul (2) din RGPD, care lasă statelor membre o marjă de apreciere în ceea ce privește punerea sa în aplicare și care nu se opune unei reglementări naționale care permite unei asociații pentru apărarea intereselor consumatorilor să acționeze în justiție, în lipsa unui mandat care i‑a fost conferit în acest sens și independent de încălcarea unor drepturi concrete ale persoanelor vizate, împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, invocând printre altele încălcarea interdicției practicilor comerciale neloiale, în măsura în care prelucrarea datelor în cauză poate afecta drepturile conferite unor persoane fizice identificate sau identificabile de acest regulament (Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctele 59 și 83).

59      Desigur, dispozițiile capitolului VIII din RGPD nu prevăd în mod specific o asemenea clauză de deschidere care ar permite în mod expres statelor membre să prevadă posibilitatea concurentului unei întreprinderi despre care se pretinde că încalcă dispozițiile materiale ale acestui regulament de a introduce o acțiune pentru a face să înceteze această încălcare.

60      Totuși, din termenii și din contextul dispozițiilor acestui capitol VIII, amintite la punctele 53-58 din prezenta hotărâre, rezultă că, prin adoptarea regulamentului menționat, legiuitorul Uniunii nu a intenționat să realizeze o armonizare exhaustivă a căilor de atac disponibile în cazul încălcării dispozițiilor RGPD și în special nu a dorit să excludă o asemenea posibilitate de a formula o acțiune a concurenților autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, în temeiul dreptului național privind interzicerea practicilor comerciale neloiale.

61      Această interpretare este confirmată de obiectivele vizate de RGPD, care urmărește, astfel cum reiese în special din considerentul (10) al acestuia din urmă, să asigure un nivel consecvent și ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și să îndepărteze obstacolele din calea circulației acestor date în cadrul Uniunii. Considerentul (11) al acestui regulament enunță, în plus, că protecția efectivă a acestor date necesită nu numai consolidarea drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru infracțiuni în statele membre. Considerentul (13) al regulamentului menționat precizează că, în vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi, obligații și responsabilități opozabile din punct de vedere juridic pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal și sancțiuni echivalente în toate statele membre.

62      Posibilitatea concurentului unei întreprinderi de a introduce o acțiune în fața instanțelor civile în temeiul interdicției practicilor comerciale neloiale pentru a face să înceteze o încălcare a dispozițiilor materiale ale RGPD, pretins săvârșită de această întreprindere, nu numai că nu aduce atingere acestor obiective, ci este, dimpotrivă, de natură să consolideze efectul util al acestor dispoziții și, astfel, nivelul ridicat de protecție a persoanelor vizate în ceea ce privește prelucrarea datelor lor cu caracter personal, avută în vedere de acest regulament.

63      Astfel, pe de o parte, o acțiune în încetare introdusă de un concurent împotriva unei întreprinderi în temeiul interdicției practicilor comerciale neloiale, ca urmare a pretinsei încălcări a dispozițiilor materiale ale RGPD, nu aduce nicidecum atingere sistemului căilor de atac prevăzut în capitolul VIII din acest regulament și nici obiectivului de a asigura un nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și de a preîntâmpina discrepanțele care împiedică libera circulație a datelor cu caracter personal în cadrul pieței interne.

64      Desigur, o astfel de acțiune este susceptibilă să se întemeieze, chiar dacă în mod incident, pe încălcarea acelorași dispoziții ale RGDP precum cele pe care s‑ar putea întemeia o plângere sau o acțiune introdusă, în temeiul articolelor 77-79 din acest regulament, de persoanele vizate sau de un organism, de o organizație sau de o asociație, în sensul articolului 80 din regulamentul menționat.

65      Cu toate acestea, în primul rând, spre deosebire de articolele 77-80 din RGPD, acțiunea în încetare introdusă de un concurent nu urmărește, ca atare, un obiectiv de protecție a drepturilor și libertăților fundamentale ale persoanelor vizate în ceea ce privește prelucrarea datelor lor cu caracter personal, ci urmărește să asigure o concurență loială, în special în interesul acestui concurent.

66      În al doilea rând, posibilitatea unui concurent de a introduce o astfel de acțiune în fața instanțelor civile în temeiul interdicției practicilor comerciale neloiale se adaugă căilor de atac instituite la articolele 77-79 din RGPD, care sunt menținute pe deplin și pot fi exercitate întotdeauna de persoanele vizate, precum și, dacă este cazul, de organisme, organizații sau asociații, în sensul articolului 80 din acest regulament.

67      În special, după cum a arătat guvernul german, coexistența unor căi de atac care țin de dreptul protecției datelor și de dreptul concurenței nu creează un risc pentru aplicarea uniformă a RGPD. În acest context, trebuie să se arate că din articolele 77-80 din acest regulament rezultă că acesta nu prevede o competență prioritară sau exclusivă și nici vreo normă de prioritate a aprecierii efectuate de autoritatea sau de instanțele care sunt vizate de aceste articole cu privire la existența unei încălcări a drepturilor conferite de regulamentul menționat (a se vedea în acest sens Hotărârea din 12 ianuarie 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punctul 35). Prin urmare, faptul că acțiunea în încetare este introdusă în fața instanțelor civile de un concurent al autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal nu afectează sistemul căilor de atac, astfel cum este conceput în capitolul VIII din RGPD. În plus, după cum a observat guvernul respectiv, interpretarea uniformă a dispozițiilor materiale ale acestui regulament, care pot fi aplicate aceleiași încălcări de autoritatea de supraveghere și de instanțele sesizate în temeiul articolelor 77-80 din regulamentul menționat, pe de o parte, și de instanțele sesizate de un astfel de concurent în temeiul interdicției practicilor comerciale neloiale, pe de altă parte, este asigurată de procedura preliminară prevăzută la articolul 267 TFUE.

68      În al treilea rând, așa cum a arătat în esență domnul avocat general la punctul 104 din concluzii, posibilitatea mai largă de invocare a dispozițiilor materiale ale RGPD de către alte persoane decât persoanele vizate și organismele, organizațiile și asociațiile în sensul articolului 80 din acest regulament nu aduce atingere realizării obiectivului de a asigura un nivel uniform de protecție a acestor persoane în întreaga Uniune și de a preîntâmpina discrepanțele care împiedică libera circulație a datelor în cadrul pieței interne. Astfel, chiar dacă statele membre nu ar prevedea o asemenea posibilitate, nu ar rezulta totuși de aici o fragmentare a punerii în aplicare a protecției datelor în Uniune, dispozițiile materiale ale RGPD impunându‑se în același mod tuturor operatorilor în sensul articolului 4 punctul 7 din acest regulament, iar respectarea lor fiind asigurată prin căile de atac prevăzute de regulamentul menționat.

69      Pe de altă parte, în ceea ce privește obiectivul de a asigura o protecție eficientă a persoanelor vizate în ceea ce privește prelucrarea datelor lor cu caracter personal și a efectului util al dispozițiilor materiale ale RGPD, trebuie să se constate că, deși o acțiune în încetare introdusă de un concurent al autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal nu urmărește acest obiectiv, astfel cum s‑a arătat la punctul 65 din prezenta hotărâre, ci pe acela de a asigura o concurență loială, nu este mai puțin adevărat că ea contribuie în mod incontestabil la respectarea acestor dispoziții și, așadar, la consolidarea drepturilor persoanelor vizate și la realizarea unui nivel ridicat de protecție pentru acestea (a se vedea în acest sens Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctul 74).

70      De altfel, o asemenea acțiune în încetare a unui concurent se poate dovedi, asemenea celei a asociațiilor pentru apărarea intereselor consumatorilor, deosebit de eficientă pentru a asigura o astfel de protecție, în măsura în care este susceptibilă să prevină un număr ridicat de încălcări ale drepturilor persoanelor vizate prin prelucrarea datelor lor cu caracter personal (a se vedea în acest sens Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctul 75).

71      Rezultă că interpretarea reținută la punctul 60 din prezenta hotărâre este conformă cu cerințele care decurg din articolul 16 alineatul (1) TFUE și din articolul 8 din cartă și, în acest mod, cu obiectivul urmărit de RGPD care constă în a asigura o protecție eficientă a drepturilor și a libertăților fundamentale ale persoanelor fizice, precum și în special în a realiza un nivel ridicat de protecție a dreptului oricărei persoane la protecția datelor cu caracter personal care o privesc (a se vedea în acest sens Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctul 73).

72      În speță, revine instanței de trimitere sarcina de a verifica dacă încălcarea prezumată a dispozițiilor materiale ale RGPD în discuție în litigiul principal, în măsura în care este stabilită, constituie de asemenea o încălcare a interdicției practicilor comerciale neloiale, astfel cum este prevăzută de reglementarea națională relevantă.

73      Având în vedere considerațiile care precedă, este necesar să se răspundă la prima întrebare că dispozițiile capitolului VIII din RGPD trebuie interpretate în sensul că nu se opun unei reglementări naționale care, în plus față de competențele de intervenție ale autorităților de supraveghere responsabile pentru supravegherea și punerea în aplicare a acestui regulament, precum și față de căile de atac de care dispun persoanele vizate, conferă concurenților autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal calitatea procesuală activă pentru a formula o acțiune împotriva acestuia în fața instanțelor civile, ca urmare a încălcărilor regulamentului menționat și în temeiul interdicției practicilor comerciale neloiale.

Cu privire la a doua întrebare

74      Prin intermediul celei de a doua întrebări, instanța de trimitere solicită să se stabilească în esență dacă articolul 8 alineatul (1) din Directiva 95/46 și articolul 9 alineatul (1) din RGPD trebuie interpretate în sensul că, în situația în care operatorul unei farmacii comercializează, prin intermediul unei platforme online, medicamente a căror vânzare este rezervată farmaciilor, informațiile pe care clienții acestui operator le introduc atunci când comandă online medicamente, precum numele lor, adresa de livrare și informațiile necesare individualizării medicamentelor, constituie date privind sănătatea, în sensul acestor dispoziții, chiar și atunci când vânzarea medicamentelor respective nu este condiționată de o prescripție medicală.

75      Articolul 8 alineatul (1) din Directiva 95/46 și articolul 9 alineatul (1) din RGPD, care au un domeniu de aplicare similar în vederea interpretării pe care Curtea o va da (Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punctele 58 și 117) și se referă, după cum indică titlul acestor articole, la prelucrări de „categorii speciale” de date cu caracter personal, instituie principiul interzicerii acestor prelucrări. Astfel, după cum se arată în mod expres în considerentul (51) al acestui regulament, datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale.

76      Printre aceste categorii speciale de date cu caracter personal, a căror listă este prevăzută la articolul 8 alineatul (1) din Directiva 95/46 și la articolul 9 alineatul (1) din RGPD, figurează datele privind sănătatea. Acestea includ, în conformitate cu articolul 4 punctul 15 din acest regulament coroborat cu considerentul (35) al regulamentului menționat, toate datele cu caracter personal care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a unei persoane fizice, inclusiv date referitoare la acordarea de servicii de asistență medicală acestei persoane.

77      În plus, rezultă printre altele din articolul 4 punctul 1 din RGPD că noțiunea de „date cu caracter personal” vizează orice informații privind o persoană fizică identificată sau identificabilă și că, pentru a fi „identificabilă”, este suficient ca persoana vizată să poată fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

78      Astfel, atunci când datele privind achizițiile de medicamente permit să se tragă concluzii cu privire la starea de sănătate a unei persoane identificate sau identificabile, acestea trebuie considerate date privind sănătatea în sensul articolului 4 punctul 15 din RGPD.

79      În speță, din dosarul de care dispune Curtea reiese că clienții lui ND introduc, atunci când comandă online pe Amazon medicamente a căror vânzare este rezervată farmaciilor, informații precum numele lor, adresa de livrare și elementele de individualizare a medicamentelor. Astfel de informații constituie în mod cert „date cu caracter personal”, întrucât se raportează la persoane fizice identificate sau identificabile.

80      În aceste condiții, trebuie să se stabilească dacă astfel de date sunt de natură să dezvăluie informații cu privire la starea de sănătate a acestor persoane, în sensul articolului 4 punctul 15 din RGPD și, prin urmare, dacă constituie date privind sănătatea, în sensul articolului 8 alineatul (1) din Directiva 95/46 și al articolului 9 alineatul (1) din regulamentul menționat.

81      În această privință, Curtea a statuat deja că, având în vedere obiectivul Directivei 95/46 și al RGPD, care este acela de a asigura un nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a vieții private a acestora, în ceea ce privește prelucrarea datelor cu caracter personal referitoare la acestea, noțiunea de „date privind sănătatea” prevăzută la articolul 9 alineatul (1) din acest regulament, care corespunde noțiunii de „date privind sănătatea” prevăzută la articolul 8 alineatul (1) din directiva menționată, trebuie interpretată în sens larg (a se vedea în acest sens Hotărârea din 6 noiembrie 2003, Lindqvist, C‑101/01, EU:C:2003:596, punctul 50, și Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punctul 125).

82      În special, aceste dispoziții nu pot fi interpretate în sensul că prelucrarea datelor cu caracter personal care pot dezvălui, în mod indirect, informații sensibile referitoare la o persoană fizică este exceptată de la regimul de protecție consolidată prevăzut de aceste dispoziții, în caz contrar aducându‑se atingere efectului util al acestui regim și protecției drepturilor și libertăților fundamentale ale persoanelor fizice pe care acesta vizează să le asigure (Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punctul 127).

83      Prin urmare, pentru ca datele cu caracter personal să poată fi calificate drept date privind sănătatea, în sensul articolului 8 alineatul (1) din Directiva 95/46 și al articolului 9 alineatul (1) din RGPD, este suficient ca acestea să fie de natură să dezvăluie, printr‑o operațiune intelectuală de combinare sau de deducție, informații cu privire la starea de sănătate a persoanei vizate (a se vedea în acest sens Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punctul 123).

84      Or, datele pe care un client le introduce pe o platformă online atunci când comandă medicamente a căror vânzare este rezervată farmaciilor sunt de natură să dezvăluie, printr‑o operațiune intelectuală de combinare sau de deducție, informații cu privire la starea de sănătate a persoanei vizate, în sensul articolului 4 punctul 1 din RGPD, în măsura în care această comandă implică stabilirea unei legături între un medicament, indicațiile sale terapeutice sau utilizările sale și o persoană fizică identificată sau identificabilă prin elemente precum numele acestei persoane sau adresa de livrare.

85      Instanța de trimitere ridică totuși problema dacă faptul că vânzarea medicamentelor comandate nu este condiționată de o prescripție medicală este relevant, în măsura în care, în acest caz, medicamentele respective ar putea fi destinate nu clientului care efectuează comanda, ci unor terți.

86      În această privință, este necesar să se arate că, în scopul aplicării articolului 8 alineatul (1) din Directiva 95/46 și a articolului 9 alineatul (1) din RGPD, trebuie să se verifice, în cazul unei prelucrări de date cu caracter personal efectuate de operatorul unei farmacii în cadrul unei activități desfășurate prin intermediul unei platforme online, dacă aceste date pot dezvălui informații care se încadrează într-una dintre categoriile menționate de această dispoziție, indiferent dacă informațiile respective privesc un utilizator al acestei platforme sau orice altă persoană fizică. În cazul unui răspuns afirmativ, o astfel de prelucrare a datelor cu caracter personal este atunci interzisă, sub rezerva derogărilor prevăzute la alineatul (2) al acestor dispoziții [a se vedea în acest sens Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 68].

87      Această interdicție de principiu este independentă de aspectul dacă informația dezvăluită de prelucrarea în cauză este sau nu exactă și dacă acest operator acționează în scopul de a obține informații care se încadrează într-una dintre categoriile speciale prevăzute la articolul 8 alineatul (1) din Directiva 95/46 și la articolul 9 alineatul (1) din RGPD. Astfel, ținând seama de riscurile importante pentru libertățile fundamentale și drepturile fundamentale ale persoanelor vizate, generate de orice prelucrare a datelor cu caracter personal care se încadrează în aceste categorii, dispozițiile menționate au ca obiectiv interzicerea prelucrărilor respective, independent de scopul lor declarat și de exactitatea informațiilor în cauză [a se vedea în acest sens Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctele 69 și 70].

88      Rezultă că, în cazul în care un utilizator al unei platforme online comunică date cu caracter personal atunci când comandă medicamente a căror vânzare este rezervată farmaciilor fără a fi condiționată de o prescripție medicală, prelucrarea acestor date de către operatorul unei farmacii care vinde aceste medicamente prin intermediul platformei online respective trebuie să fie considerată o prelucrare a unor date privind sănătatea, în sensul articolului 8 alineatul (1) din Directiva 95/46 și al articolului 9 alineatul (1) din RGPD, dat fiind că această prelucrare de date este de natură să dezvăluie informații cu privire la starea de sănătate a unei persoane fizice, indiferent dacă informațiile respective privesc utilizatorul menționat sau orice altă persoană pentru care acesta efectuează comanda [a se vedea în acest sens Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 73].

89      Astfel, o interpretare a acestor dispoziții care ar conduce la efectuarea unei distincții în funcție de tipul medicamentelor în cauză și de faptul că vânzarea lor este sau nu condiționată de o prescripție medicale nu ar fi în concordanță cu obiectivul unui nivel ridicat de protecție, amintit la punctul 81 din prezenta hotărâre. O asemenea interpretare ar fi, în plus, contrară finalității articolului 8 alineatul (1) din Directiva 95/46 și a articolului 9 alineatul (1) din RGPD, care constă în a asigura o protecție sporită împotriva prelucrărilor care, din cauza caracterului deosebit de sensibil al datelor care fac obiectul acestora, sunt susceptibile să constituie, astfel cum reiese printre altele din considerentul (51) al RGPD, o ingerință deosebit de gravă în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, garantate de articolele 7 și 8 din cartă (Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punctul 126 și jurisprudența citată).

90      Prin urmare, informațiile pe care clienții unui operator al unei farmacii le introduc atunci când comandă online medicamente a căror vânzare este rezervată farmaciilor fără a fi condiționată de o prescripție medicală constituie date privind sănătatea, în sensul articolului 8 alineatul (1) din Directiva 95/46 și al articolului 9 alineatul (1) din RGDP, chiar dacă medicamentele respective sunt destinate acestor clienți numai cu o anumită probabilitate, iar nu cu o certitudine absolută.

91      În plus, nu se poate exclude că, inclusiv în ipoteza în care astfel de medicamente sunt destinate altor persoane decât clienții, este posibil să se identifice aceste persoane și să se tragă concluzii cu privire la starea lor de sănătate. Aceasta ar putea fi situația, de exemplu, atunci când medicamentele în cauză nu sunt livrate la domiciliul clientului care le‑a comandat, ci la domiciliul unei alte persoane sau atunci când, indiferent de adresa de livrare, clientul a făcut referire, în comanda sa ori în comunicările sale referitoare la aceasta, la o altă persoană identificabilă, cum ar fi un membru al familiei sale. De asemenea, atunci când comanda impune identificarea și/sau înregistrarea clientului, de exemplu prin crearea unui cont de client sau prin aderarea acestuia la un program de fidelitate, nu este exclus ca informațiile introduse de client în acest context să poată fi utilizate pentru a trage concluzii nu numai cu privire la starea de sănătate a clientului respectiv, ci și cu privire la cea a unei alte persoane, în special în combinație cu informațiile referitoare la medicamentele comandate.

92      În sfârșit, astfel cum s‑a amintit la punctul 86 din prezenta hotărâre, faptul că informații precum cele în discuție în litigiul principal constituie date privind sănătatea în sensul articolului 8 alineatul (1) din Directiva 95/46 și al articolului 9 alineatul (1) din RGPD nu se opune, așa cum reiese printre altele din considerentul (53) al acestuia din urmă, ca ele să poată face obiectul unei prelucrări, în special în contextul gestionării serviciilor și sistemelor de sănătate, dacă este îndeplinită una dintre condițiile prevăzute la alineatul (2) al acestor dispoziții.

93      Aceasta poate fi situația în special, pe de o parte, atunci când, în conformitate cu litera (a) a acestui alineat (2) și sub rezerva excepției prevăzute la acesta, persoana vizată își dă consimțământul explicit pentru una sau mai multe prelucrări ale datelor cu caracter personal menționate ale căror caracteristici și scopuri specifice i‑au fost prezentate într‑un mod exact, complet și ușor de înțeles. Pe de altă parte, un astfel de tratament poate fi admisibil în temeiul articolului 9 alineatul (2) litera (h) din RGPD atunci când acest tratament este necesar în scopuri legate de furnizarea de asistență medicală în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical.

94      Ținând seama de ceea ce precedă, trebuie să se răspundă la a doua întrebare că articolul 8 alineatul (1) din Directiva 95/46 și articolul 9 alineatul (1) din RGPD trebuie interpretate în sensul că, în situația în care operatorul unei farmacii comercializează, prin intermediul unei platforme online, medicamente a căror vânzare este rezervată farmaciilor, informațiile pe care clienții acestui operator le introduc atunci când comandă online medicamente, precum numele lor, adresa de livrare și elementele necesare individualizării medicamentelor, constituie date privind sănătatea, în sensul acestor dispoziții, chiar și atunci când vânzarea medicamentelor respective nu este condiționată de o prescripție medicală.

Cu privire la cheltuielile de judecată

95      Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară:

1)      Dispozițiile capitolului VIII din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretate în sensul că

nu se opun unei reglementări naționale care, în plus față de competențele de intervenție ale autorităților de supraveghere responsabile pentru supravegherea și punerea în aplicare a acestui regulament, precum și față de căile de atac de care dispun persoanele vizate, conferă concurenților autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal calitatea procesuală activă pentru a formula o acțiune împotriva acestuia în fața instanțelor civile, ca urmare a încălcărilor regulamentului menționat și în temeiul interdicției practicilor comerciale neloiale.

2)      Articolul 8 alineatul (1) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și articolul 9 alineatul (1) din Regulamentul 2016/679

trebuie interpretate în sensul că,

în situația în care operatorul unei farmacii comercializează, prin intermediul unei platforme online, medicamente a căror vânzare este rezervată farmaciilor, informațiile pe care clienții acestui operator le introduc atunci când comandă online medicamente, precum numele lor, adresa de livrare și elementele necesare individualizării medicamentelor, constituie date privind sănătatea, în sensul acestor dispoziții, chiar și atunci când vânzarea medicamentelor respective nu este condiționată de o prescripție medicală.

Semnături

*      Limba de procedură: germana.

Top

Redacția Lex24
Drept la Sursa!
Articole Urmărește
Categorii: Politica internă a UE
Abonati-va
Anunțați despre
0 Discuții
Cel mai vechi
Cel mai nou Cele mai votate
Feedback-uri inline
Vezi toate comentariile

Raport

Conține informații înșelătoare sau false
Hărțuire sau comportament de intimidare
Conține materiale pentru adulți sau sensibile
Conține conținut abuziv sau disprețuitor
Conține spam, conținut fals sau potențial malware

Blocare membru?

Vă rugăm să confirmați că doriți să blocați acest membru.

Nu vei mai putea:

  • Vedeți postările membrilor blocați
  • Menționați acest membru în postări
  • Invitați acest membru în grupuri
  • Trimite mesaj acestui membru
  • Adăugați acest membru ca conexiune

Vă rugăm să rețineți: Această acțiune va elimina și acest membru din conexiunile dvs. și va trimite un raport administratorului site-ului. Vă rugăm să acordați câteva minute pentru finalizarea acestui proces.

Raport

Ai raportat deja acest lucru .
Post
Filter
Apply Filters
Close