* Catedrático de Derecho internacional privado Facultad de Derecho Universidad Complutense de Madrid E- 28040 MADRID pdmigue@ucm.es Documento depositado en el archivo institucional Docta Complutense https://docta.ucm.es MINIMIZACIÓN, LICITUD DEL TRATAMIENTO, CATEGORÍAS ESPECIALES Y VÍAS DE TUTELA: NOVEDADES EN MATERIA DE DATOS PERSONALES Pedro Alberto DE MIGUEL ASENSIO * Publicado en: La Ley Unión Europea, Número 130, noviembre 2024, pp. 1-19 ISSN 2255-551X Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 2 Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales Minimisation, lawfulness of processing, special categories, and remedies: new developments in personal data protection Pedro Alberto de Miguel Asensio Catedrático de Derecho internacional privado Universidad Complutense de Madrid SUMARIO: Se analizan las aportaciones realizadas por un conjunto de sentencias pronunciadas durante los meses de septiembre y octubre de 2024 por el Tribunal de Justicia relativas a la interpretación del RGPD. En concreto, sus contribuciones más relevantes van referidas a: ciertas implicaciones del principio de minimización de datos en relación con tratamientos que son característicos de las redes sociales; la interpretación de ciertas bases de licitud del tratamiento de datos personales, especialmente la relativa a que el tratamiento sea necesario para la satisfacción de intereses legítimos; las particularidades del tratamiento de ciertas categorías de datos personales objeto de especial protección; así como la tutela privada del RGPD, incluida su interacción con el ejercicio de acciones en materia de competencia desleal fundadas en la infracción del propio RGPD. PALABRAS CLAVE: datos personales, categorías especiales, minimización, tratamiento, licitud, tutela privada ABSTRACT: The contributions made by a set of judgments handed down during the months of September and October 2024 by the Court of Justice regarding the interpretation of the GDPR are analysed. Specifically, the most relevant contributions refer to: certain implications of the principle of data minimisation in relation to the processing made by social networks; the interpretation of certain grounds for the lawfulness of the processing of personal data, especially that relating to the processing being necessary for the purposes of legitimate interests; the particularities of the processing of certain special categories of personal data; as well as the private enforcement of the GDPR, including its interplay with claims brought against the controller by a competitor on the basis of the prohibition of unfair commercial practices for infringement of the GDPR. KEYWORDS: personal data, special categories, minimisation, processing, lawfulness, private enforcement I. Introducción 1. Durante los meses de septiembre y octubre de 2024 la jurisprudencia del Tribunal de Justicia ha realizado nuevas aportaciones significativas en relación con la interpretación Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 3 uniforme del RGPD. Entre esas resoluciones, se aborda a continuación el significado de su sentencia de 12 de septiembre de 2024, HTB Neunte Immobilien Portfolio, C-17/22 y C- 18/22;1 así como de las pronunciadas el 4 de octubre de 2024, en los asuntos Schrems (Communication de données au grand public), C-446/21;2 Koninklijke Nederlandse Lawn Tennisbond, C-621/22;3 Lindenapotheke, C-21/23;4 y Patērētāju tiesību aizsardzības centrs, C-507/23.5 2. En concreto, sus aportaciones más relevantes van referidas a ciertas implicaciones del principio de minimización de datos en relación con tratamientos que son característicos de las redes sociales (II, infra); la interpretación de ciertas bases de licitud del tratamiento de datos personales, especialmente la relativa a que el tratamiento sea necesario para la satisfacción de intereses legítimos (III, infra); las particularidades del tratamiento de ciertas categorías de datos personales objeto de especial protección (IV, infra); así como la tutela privada del RGPD, incluida su interacción con el ejercicio de acciones en materia de competencia desleal fundadas en la infracción del propio RGPD (V, infra). II. Minimización de datos y redes sociales 3. La sentencia del Tribunal de Justicia de 4 de octubre de 2024 en el asunto C- 446/21, Schrems (Communication de données au grand public), se enmarca en el contexto de uno de los litigios más notorios contra un prestador de servicio de red social por la pretendida infracción de la legislación de la Unión sobre datos personales. De hecho, ya la sentencia de 25 de enero de 2018, Schrems, C‑498/16,6 en la que el Tribunal de justicia abordó la delimitación del concepto de consumidor en relación con usuarios de Facebook y el alcance de las reglas de competencia de competencia judicial en materia de protección de los consumidores, tuvo su origen en el mismo litigio principal (apdo. 28 de la nueva sentencia). Por otra parte, la tramitación del procedimiento del asunto C-446/21, que ha dado lugar a la nueva sentencia, estuvo suspendida hasta la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21.7 Cabe recordar que en esa sentencia el Tribunal de Justicia se pronunció, entre otras cuestiones, sobre ciertos aspectos del tratamiento de datos sensibles por la misma red social, así como acerca de la insuficiencia de la ejecución del contrato de prestación del servicio de red social como pretendido fundamento de la licitud de ese tratamiento con base en el artículo 6.1.b) RGPD. Ese precedente condicionó que el órgano remitente retirara dos de sus cuatro cuestiones prejudiciales en el asunto C-446/21, incluida la relativa a la interpretación de los artículos 6.1.a) y 6.1.b) RGPD. 4. Más allá de su esclarecedor relato acerca del modelo de negocio de Meta y de la amplitud del tratamiento de datos personales para la elaboración de perfiles orientados a la eficacia y rentabilidad de la publicidad personalizada, mediante la utilización de cookies, social plug‑ins o complementos sociales y píxeles de seguimiento (apdos. 16 a 19), la 1 EU:C:2024:738. 2 EU:C:2024:834. 3 EU:C:2024:857. 4 EU:C:2024:846. 5 EU:C:2024:854. 6 EU:C:2018:37. 7 EU:C:2023:537. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 4 sentencia en el asunto C-446/21, Schrems (Communication de données au grand public), - que complementa especialmente a la recaída en el asunto C-252/21- presenta el interés de abordar las implicaciones del principio de minimización de datos (art. 5.1.c) RGPD) como fuente de restricciones a un tratamiento de datos tan amplio como el que ha venido siendo característico de la red social implicada con respecto a sus usuarios. Además, como se abordará más adelante, el Tribunal de Justicia realiza precisiones acerca de los límites a la circunstancia de que un tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos como excepción a la prohibición del tratamiento de las categorías especiales de datos personales del artículo 9 RGPD, incluidos los datos relativos a su vida sexual o su orientación sexual (art. 9.1 y 9.2.e) RGPD). 5. Con respecto a las implicaciones del principio de minimización de datos, el Tribunal de Justicia destaca su aplicación acumulativa con el resto de los principios del artículo 5 RGPD, incluido el de responsabilidad proactiva que requiere que el responsable sea capaz de demostrar el cumplimiento de tales principios, así como la circunstancia de que la minimización es reflejo del principio de proporcionalidad (apdos. 47, 49 y 51). Seguidamente, el Tribunal subraya la importancia a esos efectos de la limitación temporal del tratamiento de datos, pues las consecuencias sobre la vida privada del interesado son directamente proporcionales a la duración del tratamiento. Además, el principio de «limitación del plazo de conservación» del artículo 5.1.e) RGPD requiere que los datos sean mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento, de modo que el tratamiento deviene ilícito si supera ese límite temporal (apdos. 52 a 58). 6. Al proyectar esos presupuestos sobre el tratamiento de datos de sus usuarios llevado a cabo por Meta, el Tribunal, en línea con el planteamiento del Abogado General en sus conclusiones,8 establece, por una parte, la conservación, durante un período ilimitado de los datos personales de los usuarios de la plataforma de red social con el fin de proponerles publicidad específica resulta una injerencia desproporcionada en los derechos que el RGPD garantizados a tales usuarios (apdo. 58). Por otra parte, atribuye especial relevancia a los grandes riesgos inherentes al gran volumen de datos personales que trata una red social como Facebook y a la amplitud con la que ese tratamiento tiene lugar para ofrecer publicidad personalizada. Como puso ya de relieve en su sentencia Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, cuando el tratamiento de datos personales por parte de la red social, como los relativos a la consulta por el usuario de páginas de Internet y de aplicaciones, incluye datos que por sí solos, o mediante su puesta en relación con las cuentas de los usuarios afectados en la red social, permiten revelar información de datos sensibles o «categorías especiales de datos personales», objeto de especial protección conforme al artículo 9 RGPD, tanto de un usuario como de cualquier persona física, resultará de aplicación lo dispuesto en el artículo 9, sobre el que se volverá más adelante. 7. Tras recordar que el principio de minimización excluye que el responsable del tratamiento pueda proceder "de manera generalizada e indiferenciada, a la recogida de datos personales", debiendo abstenerse de recoger los que no sean estrictamente necesarios 8 EU:C:2024:366. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 5 en relación con los fines del tratamiento, el Tribunal concluye ahora que el uso indiferenciado de todos los datos personales en poder de una plataforma de red social con fines publicitarios, independientemente del grado de sensibilidad de tales datos, es una injerencia desproporcionada en el derecho a la protección de datos de sus usuarios (apdos. 59 y 63). 8. En este contexto, aunque no fuera de aplicación al litigio principal ni se aborde en la sentencia, resulta de interés que en la actualidad una red social como la que es objeto del litigio principal, en tanto que guardián de acceso conforme al Reglamento (UE) 2022/1925 sobre mercados disputables y equitativos en el sector digital (Reglamento de Mercados Digitales), está sometida a restricciones en este ámbito adicionales a las contenidas en el RGPD. En particular, el artículo 5.2 del Reglamento de Mercados Digitales impone significativas restricciones a los guardianes de acceso en relación con ciertas prácticas relativas a datos personales, como el tratamiento, con el fin de prestar servicios de publicidad en línea, de los datos personales de los usuarios finales que utilicen servicios de terceros que hagan uso de los servicios básicos de plataforma del guardián de acceso; y la combinación de datos personales procedentes de los servicios básicos de plataforma pertinentes con datos personales procedentes de otros servicios que proporcione el guardián de acceso o de servicios de terceros. Para que los guardianes de acceso puedan realizar cualquiera de esas prácticas es necesario que lo haya elegido libremente el usuario final dando su consentimiento en los términos de los artículos 4.11 y 7 RGPD después de que el guardián de acceso le hubiera ofrecido una alternativa menos personalizada, aunque equivalente (salvo que la degradación de la calidad sea consecuencia directa de que el guardián de acceso no pueda tratar esos datos personales ni iniciar la sesión de los usuarios finales en un servicio), y sin condicionar el uso del servicio básico de plataforma (o de algunas de sus funcionalidades) a ese consentimiento. III. Licitud del tratamiento 1. Fundamentos 9. Es conocido que la lista de condiciones de licitud del tratamiento de datos personales del artículo 6.1 RGPD es “exhaustiva y taxativa”, así como que la posibilidad de fundar el tratamiento en las bases alternativas al consentimiento del interesado -letras b) a f) del art. 6.1- debe ser objeto de interpretación restrictiva.9 La sentencia del Tribunal de Justicia de 12 de septiembre de 2024 en los asuntos C-17/22 y C-18/22, HTB Neunte Immobilien Portfolio, proporciona un nuevo ejemplo de aplicación de algunas de las bases de licitud del tratamiento de datos personales más relevantes y de más compleja interpretación, abundando en su reciente jurisprudencia en la materia. 10. La nueva sentencia vuelve sobre la interpretación, en particular, de las bases de licitud relativas a que el tratamiento sea necesario para la ejecución de un contrato (6.1.b) y a que se funde en la satisfacción de intereses legítimos que deban prevalecer sobre los del interesado (art. 6.1.f). Lo hace en el contexto peculiar de la pretensión de ciertas sociedades de inversión titulares de una participación indirecta en fondos de inversión organizados en 9 Vid., v.gr., STJUE de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apdos. 90 y 93. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 6 forma de sociedad comanditaria, abierta a la inversión del público, para obtener la divulgación de los nombres y direcciones de los socios que participan en tales fondos a través de otras sociedades de participación fiduciarias, que se oponen a tal divulgación. La solicitud de divulgación tiene por objeto poder entrar en contacto con esos otros partícipes indirectos y negociar la adquisición de sus participaciones sociales, o coordinarse en el contexto de los acuerdos de los socios. 11. La exigencia de interpretación restrictiva de esas condiciones de licitud restringe la posibilidad de que puedan ser invocadas con éxito -en particular, las de las letras b) y f)- para hacer posible la divulgación pretendida en el litigio principal. Con respecto al artículo 6.1.b) RGPD, el Tribunal de Justicia recuerda que para que resulte de aplicación esa base de licitud es necesario que el tratamiento de datos personales (en este caso, la eventual divulgación de datos personales de unos socios a otros socios) por el responsable del tratamiento sea esencial para permitir la correcta ejecución del contrato con el interesado. Seguidamente, establece que tal circunstancia no concurre en un supuesto en el que los contratos fiduciarios y de participación relevantes establecen expresamente la prohibición de comunicar los datos relativos a los inversores indirectos a otros titulares de participaciones, con el propósito precisamente de garantizar el anonimato de tales socios (apdos. 45-46). 12. En relación con el alcance como fundamento del tratamiento de datos personales de la base de licitud prevista en el artículo 6.1.f) RGPD reviste especial interés la STJUE de 4 de octubre de 2024 en el asunto Koninklijke Nederlandse Lawn Tennisbond, C-621/22, complementando la significativa jurisprudencia del Tribunal de Justicia sobre ese precepto. Precisamente, esa jurisprudencia, como no podía ser de otra manera, constituye también la base del Dictamen adoptado recientemente por el Comité Europeo de Protección de Datos (EDPB) sobre el tratamiento de datos personales con base en el interés legítimo, que incorpora ejemplos y ciertos desarrollos adicionales.10 En síntesis, la sentencia Koninklijke Nederlandse Lawn Tennisbond aborda en qué medida y, en su caso, bajo qué condiciones, una asociación puede comunicar a cambio de una remuneración datos personales de sus asociados sin su consentimiento a entidades que pretenden enviarles publicidad. La interpretación de la base de licitud del tratamiento previsto en el artículo 6.1.f) RGPD resulta determinante a tales efectos. 2. Cumplimiento de una obligación legal 13. Como elemento adicional, la sentencia HTB Neunte Immobilien Portfolio plantea el eventual recurso a la base de licitud del artículo 6.1.c) RGPD, relativa a que el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en relación con la jurisprudencia alemana que admite el derecho de un socio de una sociedad personalista a conocer el nombre y la dirección de los demás socios, como elemento necesario para que cada socio de una sociedad personalista abierta a la inversión del público pueda ejercer de manera efectiva sus derechos, con el único límite del abuso de derecho. En concreto, la sentencia aborda si el tratamiento 10 Vid. EDPB, “Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR”, https://www.edpb.europa.eu. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 7 consistente en la divulgación pretendida de los datos puede fundarse en la condición de licitud del artículo 6.1.c) RGPD, por poderse considerar necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, a partir de la jurisprudencia de los tribunales alemanes, incluido el Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal). Esa jurisprudencia establece un derecho de información de los socios de sociedades personalistas que solo se ve limitado por el abuso de derecho y que lleva a considerar nulas las cláusulas contractuales que garantizan la confidencialidad de los datos de contacto de los socios indirectos de una sociedad personalista abierta a la inversión del público. 14. Tras constatar que la jurisprudencia nacional puede resultar determinante para apreciar la existencia y el contenido de la obligación legal referida en el artículo 6.1.c) RGPD, el Tribunal destaca que esa jurisprudencia debe ser clara, precisa y de aplicación previsible para sus destinatarios (apdo. 72), limitándose a mencionar como requisitos adicionales, cuya concurrencia los órganos nacionales deben comprobar para poder aplicar la base jurídica del artículo 6.1.c) RGPD, el que la obligación en cuestión responda a un objetivo de interés público y que sea proporcionada a tal objetivo, así como que el tratamiento de datos se lleve a cabo dentro de los límites de lo estrictamente necesario (apdo. 73). 15. Frente a lo que pretendía el órgano jurisdiccional remitente, el Tribunal de Justicia no proporciona precisiones adicionales acerca de las implicaciones de esas exigencias en lo relativo a si el derecho de acceso a los datos de otros socios debe supeditarse a la existencia de un determinado umbral de participación y a la concurrencia de una razón concreta y precisa, vinculada a la sociedad, en relación con los socios por la que se solicita tal información. 3. Interés legítimo A) Requisitos 16. El artículo 6.1.f) RGPD considera lícito el tratamiento de datos personales cuando es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento (o por un tercero) sobre los que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. Conforme a la jurisprudencia del Tribunal de Justicia, para que el tratamiento de datos personales pueda resultar lícito con base en el artículo 6.1.f) RGPD deben cumplirse tres requisitos cumulativos. En concreto, esos requisitos son: el responsable (o algún tercero) debe perseguir un interés legítimo; el tratamiento debe resultar necesario para la satisfacción de tal interés; y los derechos y libertades del interesado en la protección de datos no deben prevalecer en el caso concreto sobre el interés legítimo en cuestión. 17. Con respecto al primero de esos requisitos, las sentencias reseñadas son ilustrativas de la amplitud de los intereses legítimos que pueden ser relevantes a efectos del artículo 6.1.f) RGPD. Así en la sentencia Koninklijke Nederlandse Lawn Tennisbond, el interés invocado por la federación deportiva responsable del tratamiento de los datos personales de sus miembros es su interés comercial en poder comunicar a título oneroso tales datos personales a dos de sus patrocinadores, con el fin de que éstos pudieran enviar Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 8 mensajes publicitarios y de promociones a los miembros de la federación. Uno de esos patrocinadores destinatarios de los datos es una empresa que vende productos deportivos, la otra es un proveedor de juegos de azar. Habida cuenta de que el considerando 47 del RGPD admite específicamente que el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo, al tiempo que el Tribunal de Justicia tiene establecido que una amplia gama de intereses es, en principio, susceptible de ser considerada legítima, siempre que se trate de intereses lícitos, la sentencia concluye que el mencionado interés comercial de la federación puede constituir un interés legítimo a los efectos del artículo 6.1.f) RGPD. 18. Por su parte, la sentencia HTB Neunte Immobilien Portfolio permite apreciar como el tratamiento basado en el artículo 6.1.f) puede responder a la satisfacción de intereses legítimos perseguidos no por el responsable sino por un tercero. En el caso concreto, se considera que puede serlo el interés de un socio que participa indirectamente en un fondo de inversión constituido en forma de sociedad comanditaria en obtener los datos personales de los demás socios indirectos de dicha sociedad con el fin de contactar con ellos o de negociar la adquisición de participaciones sociales (apdos. 56 y 57 de la sentencia). B) Necesidad para la satisfacción del interés legítimo 19. Mas problemático en ambos casos resulta el cumplimiento del segundo de los requisitos exigidos por el artículo 6.1.f) RGPD. Es conocido que la exigencia de que el tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido, requiere la comprobación de que tal interés no puede alcanzarse razonablemente de manera tan eficaz por otros medios que supongan una injerencia menor, en particular, en el derecho de los interesados a la protección de sus datos personales. 20. A este respecto, en relación con el tratamiento de los datos personales concernidos por parte de la federación deportiva responsable, la sentencia Koninklijke Nederlandse Lawn Tennisbond establece que en situaciones de este tipo existe normalmente una vía que permite una persecución eficaz del interés legítimo invocado por el responsable del tratamiento con un menoscabo menor del derecho a la protección de los interesados. En concreto, pone de relieve que la federación en cuestión tiene la posibilidad de, con carácter previo, a la comunicación remunerada de los datos personales de sus miembros a sus patrocinadores, informar a sus miembros y preguntarles si desean que sus datos se transmitan a tales terceros con fines de publicidad o de marketing (apdos. 51 a 53 de la sentencia). 21. Este planteamiento del Tribunal de Justicia parece privar en gran medida de aplicación práctica a la condición de licitud prevista en el artículo 6.1.f) RGPD, en la medida en que implique la obtención del consentimiento para ese ulterior tratamiento por parte de los interesados, lo que supondría que la base de licitud del tratamiento pudiera ser la del artículo 6.1.a) RGPD. No obstante, parece dejar abierta la posibilidad de que haya situaciones en las que el informar a los interesados y el preguntarles si desean que sus datos sean transmitidos a esos terceros puedan tener lugar en circunstancias -por ejemplo, en las que concurra el silencio o la mera inacción de los interesados- en las que, pese a no Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 9 concurrir los presupuestos exigidos al “consentimiento del interesado” en el artículo 4.11 RGPD (“manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”), sí pueda considerarse cumplido este segundo requisito y acreditar la necesidad del tratamiento en cuestión para la satisfacción del interés legitimo perseguido a los efectos del artículo 6.1.f) sin que existan medios menos lesivos para ello, al haber permitido a los interesados conservar el control sobre la divulgación de sus datos personales. 22. La mencionada sentencia HTB Neunte Immobilien Portfolio proporciona otro ejemplo de control del requisito de que el tratamiento de los datos personales sea necesario para la satisfacción del interés legítimo en cuestión, que requiere comprobar que el interés legítimo perseguido por el responsable o el tercero no puede alcanzarse razonablemente de manera tan eficaz por otros medios menos lesivos para las libertades y los derechos fundamentales de los interesados (apdo. 51). La sentencia pone de relieve que esa exigencia para fundar el tratamiento en el artículo 6.1.f) RGPD típicamente puede no cumplirse en situaciones como la del litigio principal, en la medida en que el interés legítimo del tercero - el del socio indirecto participante en el fondo de inversión en entrar en contacto con los otros socios indirectos- puede satisfacerse mediante medios que supongan una injerencia menor en el derecho a la protección de los datos personales de las personas afectadas e igualmente adecuados que la divulgación pretendida de sus datos personales. 23. En particular, como alternativa menos lesiva y coherente con el principio de minimización de los datos se menciona la posibilidad de que el socio indirecto solicite directamente al fondo de inversión que transmita a los otros socios indirectos su solicitud de entrar en contacto con ellos para conocerlo o intercambiar opiniones, sin tener que proceder a la divulgación de los datos de éstos (apdos. 59 y 60). Además, con respecto al requisito adicional en la aplicación del artículo 6.1.f) RGPD de que sobre los intereses legítimos del tercero no prevalezcan los intereses o los derechos fundamentales del interesado (los partícipes indirectos cuyos datos se pretende que sean divulgados), la sentencia pone de relieve que puede no cumplirse en situaciones en las que tales partícipes indirectos en el fondo tienen interés en proteger su confidencialidad y la expectativa razonable de no divulgación de sus datos, como resulta de que su participación en el fondo tenga lugar mediante contratos que establecen expresamente la prohibición de comunicar los datos relativos a los inversores indirectos a otros titulares de participaciones (apdo. 64). C) Ponderación entre los intereses o derechos implicados 24. En lo relativo al tercero de los requisitos cumulativos que el responsable del tratamiento debe cumplir para que el tratamiento en cuestión pueda estar basado en el artículo 6.1.f) RGPD, la sentencia HTB Neunte Immobilien Portfolio proporciona criterios para valorar cuando sobre los intereses legítimos del tercero no prevalecen los intereses o los derechos fundamentales del interesado (en ese caso, los partícipes indirectos en el fondo de inversión cuyos datos se pretende que sean divulgados). El Tribunal de Justicia establece que ese requisito puede no cumplirse en situaciones en las que tales partícipes indirectos en el fondo tienen interés en proteger su confidencialidad, así como la expectativa razonable de no divulgación de sus datos. Tal parece ser el caso en situaciones en las que su Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 10 participación en el fondo tiene lugar mediante contratos que establecen expresamente la prohibición de comunicar los datos relativos a los inversores indirectos a otros titulares de participaciones (apdo. 64). 25. Por su parte, en la sentencia Koninklijke Nederlandse Lawn Tennisbond el Tribunal de Justicia insiste en la trascendencia de la previsión en el considerando 47 RGPD, según la cual normalmente los intereses y derechos del interesado prevalecerán sobre lo del responsable cuando el tratamiento en cuestión se produzca en circunstancias en las que no fuera razonablemente previsible para el interesado que se produjera ese ulterior tratamiento (apdo. 55). Por consiguiente, las expectativas razonables de los interesados acerca de si una comunicación de datos como la controvertida iba a tener lugar resultan de gran relevancia al llevar a cabo esa ponderación, favoreciendo que prevalezca la posición de los interesados cuando no fuera previsible para ellos que sus datos personales fueran a ser objeto de ese ulterior tratamiento. 26. Este elemento debe vincularse, además, con la circunstancia de que, conforme al artículo 13.1 RGPD cuando el responsable del tratamiento obtiene los datos personales del interesado debe informarle, entre otros extremos, de los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento, así como de los intereses legítimos perseguidos cuando el tratamiento se base en el artículo 6.1.f), y también de los destinatarios o las categorías de destinatarios de los datos personales. Además, en caso de que el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado, el responsable del tratamiento debe asegurarse de que el tratamiento con ese otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, de conformidad con el artículo 6.4 RGPD. 27. Como factor adicional a tomar en consideración al realizar la ponderación entre el interés legítimo perseguido por el responsable y los intereses y derechos del interesado en un supuesto como el del litigio principal, el Tribunal de Justicia destaca las implicaciones de que los datos personales se transmitan a un proveedor de juegos de azar (apdo. 56 de la sentencia Koninklijke Nederlandse Lawn Tennisbond). Por una parte, se trata de una actividad ajena a la relación existente entre la federación deportiva que invoca su interés legítimo y sus asociados; por otra, se trata de una actividad, la relativa a los juegos de azar, cuya promoción puede generar particulares riesgos sobre los interesados. Se trata de circunstancias que típicamente dificultan que pueda prevalecer el interés del responsable como requiere el artículo 6.1.f) RGPD. Cuanto mayor sea el riesgo de que el ulterior tratamiento de los datos personales afecte negativamente a la posición de los interesados menos probable será que el interés legítimo invocado por el responsable pueda prevalecer para fundar la licitud de ese tratamiento. IV. Tratamiento de categorías especiales de datos personales 1. Datos especialmente protegidos: caracterización 28. Las categorías de datos personales objeto de especial protección en el RGPD, ya que al ser particularmente sensibles su tratamiento va asociado a importantes riesgos para los derechos y las libertades fundamentales, se encuentran reguladas en su artículo 9. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 11 Comprende, conforme a la enumeración de su apartado 1, los datos personales relativos al origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los genéticos, ciertos datos biométricos, así como los relativos a la salud o a la vida sexual o las orientación sexuales. 29. La STJUE (Gran Sala) de 4 de octubre de 2024, en el asunto Lindenapotheke, C- 21/23, aborda, en su respuesta a la segunda cuestión planteada, cómo debe entenderse el concepto de “datos relativos a la salud”, en tanto que categoría de datos definida en el artículo 4.15 RGPD y objeto de especial protección en el artículo 9 RGPD. La duda planteada tenía que ver con el tratamiento a estos efectos de los datos que los clientes de un farmacéutico que vende a través de una plataforma en línea introducen al pedir medicamentos de venta obligatoria en farmacias, pero no sujetos a receta. 30. El Tribunal parte de su jurisprudencia previa, según la cual, para considerar que se trata de datos relativos a la salud, al permitir extraer conclusiones sobre el estado de salud de una persona identificada o identificable (art. 4.15 RGPD), “basta con que puedan revelar, mediante un ejercicio intelectual de relación o deducción, información sobre el estado de salud del interesado” (apdo. 83 de la nueva sentencia con referencia a la sentencia Vyriausioji tarnybinės etikos komisija11). La nueva sentencia precisa - separándose del criterio propuesto por el Abogado General en sus conclusiones12- que esa circunstancia concurre con respecto a la información que los clientes introducen en la plataforma al realizar pedidos de medicamentos de venta obligatoria en farmacias, aunque no estén sujetos a receta médica, de modo que el cliente puede no ser el destinatario de los medicamentos. La circunstancia de que resulta probable que el cliente sea el destinatario se considera suficiente a esos efectos, al tiempo que se destaca que no cabe excluir que aunque el cliente no sea el destinario del medicamento, puedan extraerse conclusiones sobre los datos de salud de otras personas, como la persona en cuyo domicilio se solicita que se entregue la medicina u otras personas identificables mencionadas en las comunicaciones entre el cliente y el farmacéutico (apdos. 90 y 91 de la sentencia Lindenapotheke). 31. Con respecto a la licitud de los tratamientos en los que se incluye algún dato personal perteneciente a alguna de las categorías especiales de datos comprendidos en el artículo 9 RGPD, resulta clave valorar el alcance de las diez excepciones a la prohibición de principio del tratamiento de tales datos que se establecen en su apartado 2. En relación con las redes sociales -objeto de la sentencia de 4 de octubre de 2024, Schrems (Communication de données au grand public), C-446/21-, en la medida en que no puedan acreditar que “el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados” (art. 9.2.a RGP) o que se trate de una situación en la que "el Derecho de la Unión o de los Estados miembros establezca que la prohibición" de tratamiento de esa categoría de datos especialmente protegida "no puede ser levantada por el interesado" (art. 9.2.a RGP), reviste especial interés concretar en qué situaciones el interesado ha hecho manifiestamente públicos los datos personales en cuestión. De concurrir esta circunstancia conforme a lo previsto en el artículo 9.2.e) RGPD, 11 STJUE de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C 184/20, EU:C:2022:601, apdo. 123. 12 EU:C:2024:354. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 12 no resultará de aplicación respecto del tratamiento de tales datos personales la prohibición de tratamiento prevista en el artículo 9.1. (art. 9.2.e) RGPD). 32. La importancia del mencionado artículo 9.2.e) RGPD se refuerza habida cuenta de que conforme al artículo 9.2.a) RGPD, la posibilidad de que el interesado dé su consentimiento explícito para el tratamiento de tales datos personales no opera "cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición" de tratamiento de tales datos personales especialmente protegidos no puede ser levantada por el interesado. A este respecto, el artículo 9.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece que, a los efectos del artículo 9.2.a) RGPD, "el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico". Por lo tanto, el eventual recurso al consentimiento explícito del interesado para el tratamiento de sus datos personales es uno de los ámbitos en las que, en la medida en que existan diferencias entre las legislaciones de los Estados miembros, se puede plantear la necesidad de concretar en las situaciones transfronterizas la legislación o legislaciones a las que queda sometido el responsable. 2. Excepción: datos que el interesado ha hecho manifiestamente públicos 33. En su sentencia Meta Platforms y otros (Condiciones generales del servicio de una red social), C-252/21, el Tribunal de Justicia proporcionó una serie de pautas para abordar la cuestión de cuándo cabe entender que el interesado ha hecho manifiestamente públicos datos personales en relación con la actividad llevada a cabo por el interesado en la propia red social. Como criterio de base, tal excepción sólo puede operar en la medida en que se constate que el interesado “ha pretendido, de manera explícita y mediante un acto positivo claro, hacer accesibles al público en general los datos personales en cuestión” (apdo. 77 de la sentencia en el asunto C-252/21). 34. Cuando con su actividad relativa a la red social, incluyendo la interacción con sitios de Internet o aplicaciones de terceros, el usuario difunde ciertos datos (como sus preferencias, por ejemplo, mediante botones como “me gusta”) entre el público en general, en principio, puede haberlos hecho manifiestamente públicos. Ahora bien, el Tribunal de Justicia estableció que sólo cabe considerar que el usuario ha hecho manifiestamente públicos esos datos a los efectos del artículo 9.2.e) RGPD en el caso de que la configuración de la red social permita a los usuarios decidir que los datos introducidos en los sitios de Internet o en las aplicaciones en cuestión, incluidos los relativos a la activación de los botones de selección, resulten accesibles al público en general o, por el contrario, a un número más o menos limitado de personas seleccionadas. Ello requiere que la red social ofrezca al usuario una configuración individual mediante la que puede expresar claramente con pleno conocimiento de causa su decisión de que tales datos resulten accesibles a un número ilimitado de personas, (apdos. 82-83 de la sentencia en el asunto C-252/21). 35. La aportación sobre el particular de la sentencia del STJUE de 4 de octubre de 2024 en el asunto C-446/21, Schrems (Communication de données au grand public), radica, por una parte, en que aborda un supuesto de situación en el que una persona puede haber Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 13 hecho manifiestamente público un dato sensible a los efectos del artículo 9.2 RGPD al margen de su actividad en la red social. El Tribunal constata que tal puede ser el caso cuando una persona formula una declaración sobre su orientación sexual en una mesa redonda abierta al público, transmitida en directo y publicada después como pódcast y en un canal de Youtube (apdos. 78 y 79 de la nueva sentencia). 36. Por otra parte, la sentencia en el asunto C-446/21 aborda las implicaciones de esa circunstancia con respecto a la práctica de la red social de tratar conjuntamente otros datos relativos a la orientación sexual de esa persona que la red social ha obtenido incluso a partir de aplicaciones y de sitios de Internet de terceros asociados, agregando todos esos datos para proponerle publicidad personalizada. El Tribunal de Justicia establece que la circunstancia de que la excepción del artículo 9.2.e) RGPD resulte aplicable, en su caso, al concreto dato sobre su orientación sexual que el interesado hizo manifiestamente público en la mesa redonda, no permite a la red social el tratamiento de otros datos personales relativos a la orientación sexual de esta persona, pues, en particular, esa circunstancia no basta para considerar que esa persona ha dado su consentimiento explícito a la red social -a los efectos de la excepción del art. 9.2.a) RGPD- para el tratamiento de esos otros datos especialmente protegidos (apdos. 81 y 82 de la nueva sentencia). V. Vías de tutela: aplicación privada del RGPD 1. Derecho a indemnización de los interesados 37. El RGPD potencia la aplicación privada -o private enforcement- en materia de protección de datos. No solo contempla el derecho de “todo interesado” (en el sentido del art. 4.1 RGPD) que considere que sus derechos en virtud del RGPD han sido infringidos (art. 79) a la tutela judicial efectiva -incluyendo nuevos fueros de competencia- frente al responsable o encargado, así como la posibilidad de reclamación no directamente por el interesado sino mediante el ejercicio de acciones por una entidad autorizada, mediando o no mandato a tal efecto, conforme al artículo 80 RGPD. Además, establece el derecho de “toda persona” que sufra daños y perjuicios como consecuencia de una infracción del RGPD a ser indemnizados por el responsable o el encargado del tratamiento (art. 82). 38. La STJUE de 4 de octubre de 2024, Patērētāju tiesību aizsardzības centrs, C- 507/23, aborda nuevamente la interpretación del artículo 82 RGPD, relativo al derecho de toda persona que haya sufrido daños como consecuencia de una infracción del RGPD a recibir una indemnización del responsable o el encargado del tratamiento. Se trata de un tema recurrente en la reciente jurisprudencia del Tribunal de Justicia.13. A la luz de las anteriores sentencias sobre esta materia, el principal interés de la nueva sentencia deriva de su aclaración de que, en determinadas circunstancias, la presentación de una disculpa puede constituir una reparación adecuada del daño moral. Por otra parte, el supuesto de hecho del 13 Vid., en particular, SSTJUE de 4 de mayo de 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370; 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986; 14 de diciembre de 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988; 21 de diciembre de 2023, Krankenversicherung Nordrhein, C 667/21, EU:C:2023:1022; 25 de enero de 2024, MediaMarktSaturn, C 687/21, EU:C:2024:72; 11 de abril de 2024, juris, C 741/21, EU:C:2024:288; 20 de junio de 2024, C-182/22 y C-189/22, Scalable Capital, EU:C:2024:531; y 20 de junio de 2024, C-590/22, PS (Adresse erronée), EU:C:2024:536. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 14 litigio principal resulta ilustrativo de la amplitud de las situaciones sobre las que puede proyectarse el artículo 82 RGPD, así como su eventual concurrencia con otros fundamentos con base en los que puede plantearse la exigencia de responsabilidad por el perjudicado, como la tutela prevista frente a intromisiones en otros derechos de la personalidad, ámbito en el que subsisten diferencias notables entre los ordenamientos de los Estados miembros. El supuesto litigioso en este caso va referido básicamente a la difusión de un video en varios sitios de Internet que ponía en escena un personaje que imitaba al demandante en el litigio principal, sin que este último hubiera dado su consentimiento. 39. La respuesta a la primera cuestión prejudicial resultaba obvia a la luz de sentencias pronunciadas por el Tribunal de Justicia sobre este mismo tema en los últimos meses, donde ya había manifestado de manera reiterada que la mera infracción de disposiciones del RGPD no es suficiente para constituir un «daño» indemnizable con base en el artículo 82 RGPD. Por ello, los apdos. 22 a 29 de la nueva sentencia se limitan, básicamente, a reproducir la jurisprudencia previa acerca de los tres requisitos cumulativos que deben concurrir para que exista ese derecho a indemnización: infracción del RGPD, daño y relación de causalidad entre ese daño y la infracción 40. Los otros aspectos de la sentencia van referidos a la determinación de la indemnización. En su respuesta a la tercera cuestión prejudicial, el Tribunal se remite a su criterio consolidado de que la función de esa norma es exclusivamente compensatoria, lo que le lleva a rechazar que “la actitud y la motivación del responsable del tratamiento” (como antes había hecho con otros elementos) puedan tenerse en cuenta en el marco del artículo 82 RGPD para, en su caso, conceder una indemnización distinta (en este caso, inferior) al perjuicio sufrido. Ciertamente de su jurisprudencia anterior ya resultaba que el artículo 82 exige que la indemnización permita compensar íntegramente el perjuicio sufrido (sin tampoco excederlo). 41. La respuesta a la segunda cuestión obliga al Tribunal a volver sobre la espinosa cuestión de la determinación del importe de la indemnización o la cuantificación del daño, en particular del daño moral, y las carencias del RGPD sobre el particular. Reitera su jurisprudencia previa en el sentido de que los tribunales de los Estados miembros deben aplicar “las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión” (apdo. 32 de la nueva sentencia). Destaca una vez más que el principio de efectividad exige que la reparación sea total y efectiva. Complementa su jurisprudencia previa en el sentido de que a tal fin puede ser suficiente una “indemnización mínima” cuando en el caso concreto suponga una reparación total y efectiva (apdo. 35), con la afirmación de que también puede serlo la “presentación de una disculpa” (apdo. 36). Para el Tribunal, el Derecho de la Unión no se opone a que -como sucede en el Derecho letón- “la presentación de una disculpa pueda constituir una reparación autónoma o complementaria de un daño moral”. Por lo tanto, puede constituir la indemnización a que tiene derecho el perjudicado con base en el artículo 82.1 RGPD cuando la legislación aplicable contemple esa medida, si bien el que la reparación se limite a esa medida sólo será acorde con el artículo 82 cuando esa medida permita compensar íntegramente el daño moral concretamente sufrido como consecuencia de la infracción del RGPD. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 15 42. Más allá del contenido de la nueva sentencia, el caso pone de relieve cómo la pretendida unificación mediante el artículo 82 RGPD y sus limitaciones plantea significativos elementos de incertidumbre. Por un lado, como consecuencia de que la infracción del RGPD como base para exigir responsabilidad puede concurrir con otros fundamentos, como la eventual infracción de otros derechos de la personalidad (por ejemplo, a la propia imagen), ámbito en el que las diferencias son notables entre los Estados miembros. Por otro lado, también las medidas para reparar el daño moral (incluida, en su caso, su cuantificación) varían de manera significativa entre los Estados miembros. 43. Por cierto, en situaciones transfronterizas ambas circunstancias pueden condicionar la opción entre los varios fueros que el supuesto perjudicado puede tener a su disposición (art. 79 RGPD y otras normas de competencia relevantes). Además, la referencia a la correlación entre el tribunal competente y sus normas internas sobre cuantificación del daño (apdo. 32 de la sentencia) solo parece resultar cierta con respecto a las normas procesales, pero no a las normas sobre determinación de los daños (véase, por analogía, art. 15 c) Reglamento (CE) 864/2007 relativo a la ley aplicable a las obligaciones extracontractuales o Roma II). Por el contrario, esta última cuestión deberá en principio determinarse por la ley designada por las reglas de conflicto nacionales (habida cuenta precisamente de la exclusión prevista en el art. 1.2.g) Reglamento Roma II), que también resultan dispares. 2. Ejercicio de acciones por competidores del responsable A) Compatibilidad entre las acciones de cesación en materia de competencia desleal y las vías de recurso previstas en el RGPD 44. La STJUE (Gran Sala) en el asunto Lindenapotheke resulta de singular interés en relación con la aplicación privada del RGPD mediante el ejercicio de acciones de cesación frente al responsable del tratamiento, no por los propios interesados cuyos datos son objeto de tratamiento por el responsable -como contemplan las normas de los arts. 79 y 80 del RGPD-, sino por determinados terceros, en particular competidores del responsable. En concreto, el litigio principal va referido a una demanda de competencia desleal entre dos empresas de farmacia, en la que una de ellas pretende que se ordene a la otra cesar en la comercialización, a través de Amazon, de medicamentos de venta obligatoria en farmacias, mientras no se garantice que los clientes pueden dar su consentimiento explícito para el tratamiento de datos en los términos exigidos en el artículo 9.1.a) RGPD, al considerar la demandante que esa actividad implicaba el tratamiento de datos de salud, especialmente protegidos en virtud del artículo 9. 45. La sentencia aclara la interacción entre las vías de recurso establecidas en el RGPD a favor de los interesados y el ejercicio de acciones (de cesación) con base en el incumplimiento de prohibiciones en materia de competencia desleal contenidas en las legislaciones de los Estados miembros -como el art. 15 de la Ley 3/1991 de Competencia Desleal (LCD)- derivadas de las infracciones por un competidor de las obligaciones previstas en el RGPD. 46. El Tribunal de Justicia establece que la regulación en el capítulo VIII del RGPD de las vías de recurso frente al responsable y al encargado del tratamiento de que dispone el Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 16 interesado cuando sus datos personales han sido tratados con infracción de las normas del RGPD, no excluye que un competidor del responsable pueda ejercitar frente a éste ante la jurisdicción civil acciones de fundadas en la legislación de competencia desleal como consecuencia de la supuesta infracción del RGPD. Admitir la legitimación activa de los competidores en tales situaciones resulta relevante respecto de los ordenamientos nacionales que, como sucede en España, consideran un acto de competencia desleal prevalerse en el mercado de una ventaja competitiva adquirida mediante la infracción de normas (art. 15 LCD). 47. En la sentencia en el asunto Meta Platforms y otros (Condiciones generales del servicio de una red social), C-252/21, antes mencionada, el Tribunal de Justicia se pronunció ya acerca de la interacción entre la tutela jurídico-pública específica en materia de protección de datos por las autoridades de control, objeto de regulación en el RGPD, y la tutela jurídico-pública de normas sobre libre competencia en relación con el abuso de una posición de dominio. En aquel caso el litigio principal iba referido a la imposición por una autoridad nacional de competencia de una serie de medidas a Meta en relación con el tratamiento de datos personales de los usuarios de Facebook, con base en que el tratamiento constituía una explotación abusiva de la posición dominante de Meta con arreglo al artículo 102 TFUE. El Tribunal de Justicia consideró compatible con los mecanismos de aplicación del RGPD que una autoridad nacional de defensa de la competencia pueda establecer la vulneración del RGPD a los efectos de apreciar la explotación abusiva de una posición dominante. Las autoridades de control en materia de protección de datos y las autoridades nacionales de defensa de la competencia persiguen objetivos diferentes, pudiendo resultar necesario que al examinar un abuso de posición dominante las autoridades nacionales de defensa de la competencia examinen también la conformidad de las actividades de dicha empresa con normas incluidas en el RGPD, sin que ello suponga que suplanta a las autoridades de control en materia de protección de datos (apdos. 44 a 49). Esa sentencia puso también de relieve cómo ese análisis por las autoridades de defensa de la competencia puede ser oportuno en el marco de la economía digital, por la importancia para ciertos modelos de negocio del acceso a los datos personales y su explotación como parámetro de competencia (apdos. 50-51). 48. Al abordar la compatibilidad con el RGPD de la legitimación de competidores del responsable del tratamiento para ejercitar acciones de competencia desleal con base en la infracción por el responsable de normas del RGPD, en la sentencia Lindenapotheke el Tribunal de Justicia constata que se trata de un aspecto sobre el que no se pronuncia el Capítulo VIII del RGPD cuando regula las vías de recurso. Sus disposiciones se limitan a establecer las vías de recurso de los interesados -es decir, las personas físicas cuyos datos son objeto de tratamiento-, lo que es coherente con que son tales interesados los únicos destinatarios de la protección otorgada por el RGPD, cuyas disposiciones, además, dejan claro que las vías de recurso de tales interesados que establecen se entienden “«sin perjuicio» de cualquier otro recurso administrativo, acción judicial o recurso extrajudicial” (apdos. 53-54). 49. La idea de que los únicos destinatarios de la protección de datos personales garantizada por el RGPD son los interesados y la constatación de que las vías de recurso de Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 17 su capítulo VIII van referidas específicamente a los interesados, no impide al Tribunal poner de relieve que el derecho a indemnización se atribuye en el artículo 82 RGPD a “(t)oda persona que haya sufrido daños y perjuicios”. Lo subraya el Tribunal como elemento indicativo de que la infracción de las normas sustantivas del RGPD pueden en ocasiones perjudicar a terceros (apdo. 55 de la sentencia Lindenapotheke), lo que vincula con su jurisprudencia previa relativa a la posibilidad de que la infracción de una norma en materia de protección de datos personales implique simultáneamente la infracción de normas en materia de protección de los consumidores o de prácticas comerciales desleales (con referencia a la STJUE de 28 de abril de 2022, Meta Platforms Ireland, C-319/20)14 o constituya un indicio para apreciar un abuso de posición dominante a los efectos del artículo 102 TFUE (con referencia a la ya mencionada Meta Platforms y otros (Condiciones generales del servicio de una red social)).15 50. El criterio de que el RGPD no lleva a cabo una armonización exhaustiva de las vías de recurso disponibles en caso de infracción de sus normas y no priva de legitimación activa a los competidores del responsable para ejercitar acciones con base en el Derecho nacional de competencia desleal por infracción de normas del RGPD refuerza el nivel de protección de los datos personales. Ciertamente, ese criterio facilita el ejercicio por terceros -típicamente con más medios que el interesado- de acciones tendentes a poner fin a infracciones del RGPD y exigir el cumplimiento de sus normas. La relevancia adquirida por el acceso y explotación de datos personales en la economía digital refuerza esa constatación, habida cuenta de que condiciona la relevancia económica de las ventajas competitivas que pueden obtenerse mediante el tratamiento de datos personales con infracción del RGPD (apdos. 56, 62 y 69 a 17 de la sentencia Lindenapotheke). 51. Valora el Tribunal de Justicia que la posibilidad de que en esas situaciones los competidores del responsable tengan legitimación activa para el ejercicio de acciones de competencia desleal contra él no desvirtúa el sistema de recursos del RGPD. Se destaca a este respecto que la acción de cesación ejercitada por un competidor, destinada a garantizar la competencia leal, no persigue, como tal, el objetivo de protección del derecho a la protección de datos de los interesados -aunque coadyuve también a su logro-, así como que es una posibilidad que se añade a las vías de recurso previstas en el propio RGPD. El Tribunal de Justicia destaca ahora que de los artículos 77 a 80 RGPD resulta que no se establece una competencia prioritaria o exclusiva ni ninguna regla de primacía de la apreciación efectuada por las autoridades de control o por los órganos jurisdiccionales -del orden contencioso-administrativo o del orden civil- (apdo. 67 de la sentencia Lindenapotheke, con referencia a su sentencia Nemzeti Adatvédelmi és Információszabadság Hatóság)16. Cabe recordar que la sentencia Nemzeti Adatvédelmi és Információszabadság Hatóság (apdos. 35 y 42-44) puso de relieve que las vías de tutela previstas en los artículos 78 -tutela jurídico-pública- y 79 -tutela jurídico-privada- RGPD “pueden ejercerse de manera concurrente e independiente”, sin que entre ellas exista relación jerárquica o excluyente alguna, así como que la posibilidad de ejercitar de forma 14 EU:C:2022:322. 15 EU:C:2023:537. 16 STJUE de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C- 132/21,EU:C:2023:2. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 18 concurrente e independiente esas dos vías de tutela se corresponde con los objetivos de garantizar tanto un nivel elevado de protección de datos personales como la tutela judicial efectiva en este ámbito. 52. En Lindenapotheke subraya el Tribunal -con referencia al punto 104 de las conclusiones Abogado General17 referido expresamente al ejercicio de acciones de cesación- que la posibilidad de invocar con carácter incidental la infracción de normas del RGPD por personas distintas de los interesados (en el sentido del art. 4 RGPD) y de las entidades a las que va referido su artículo 80, no menoscaba el logro de un nivel coherente de protección en materia de datos personales, pues las disposiciones sustantivas del RGPD se exigen por igual a todos los responsables del tratamiento, y las vías de recurso previstas en el RGPD garantizan su cumplimiento (apdo. 68). Reitera seguidamente el Tribunal que el ejercicio de acciones de cesación por competidores en estas situaciones, si bien persigue el diferente objetivo de garantizar una competencia leal, contribuye a la observancia de las normas del RGPD y a reforzar los derechos de los interesados (apdo. 69 con error de traducción en la versión española). B) Acciones de indemnización 53. Seguidamente cabe hacer referencia a un aspecto que puede requerir un análisis específico tras la sentencia Lindenapotheke. Se trata del relativo al ejercicio de acciones no de cesación sino de indemnización, ámbito en el que en un ordenamiento como el nuestro podría plantearse un solapamiento entre, de una parte, lo dispuesto en los artículos 15 y 32.1.5ª LCD y, de otra, el artículo 82 RGPD. 54. El Tribunal de Justicia subraya expresamente que si bien solo los interesados, y no terceros como los competidores, son los únicos destinatarios de la protección de datos personales que garantiza el RGPD (y a quienes van referidas las vías de tutela establecidas en sus artículos 77 a 80), el Reglamento contempla que la infracción de sus disposiciones sustantivas puede perjudicar también a terceros, lo que tiene su reflejo en que el artículo 82.1 RGPD (a diferencia de la formulación de los arts. 77 a 80) reconozca un derecho a indemnización a «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción» del RGPD (apdos. 55 a 56 de la sentencia Lindenapotheke). 55. Por consiguiente, en lo relativo al ejercicio de acciones de indemnización por los daños y perjuicios sufridos como consecuencia de una infracción del RGPD, el artículo 82 de este instrumento atribuye el derecho a recibir del responsable o el encargado del tratamiento una indemnización también a sus competidores (lo que parece que constituiría una excepción puntual al criterio expresado por el Abogado General en el punto 79 de sus conclusiones en el sentido de que los únicos beneficiarios de los derechos derivados de la protección sustantiva del RGPD sean las personas cuyos datos son tratados -o “interesados” en el sentido de su art. 4.1-). El artículo 79 RGPD se limita a proporcionar un cauce 17 EU:C:2024:354. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 19 procesal, sin regular los requisitos ni otros aspectos del derecho a indemnización, que se establecen en su artículo 82.18 56. Los competidores del responsable del tratamiento no son destinatarios de las vías de recurso previstas en los artículos 77 a 80 RGPD, de modo que, por ejemplo, no podrán utilizar los fueros de competencia adicionales previstos en su art. 79.2, destinados específicamente a tutelar la posición de los interesados. Ahora bien, con respecto a las acciones de indemnización, en la medida en que quepa considerar que el artículo 82 RGPD -referido a “toda persona que haya sufrido daños o perjuicios”- sí atribuye a tales competidores el derecho a recibir del responsable del tratamiento una indemnización. Esta situación contrasta con lo que sucede en materia de acciones de cesación, lo que podría justificar la necesidad de un análisis específico de la interacción con el artículo 82 RGPD de las acciones de cesación derivadas de las normas sobre competencia desleal que sancionan la adquisición de una ventaja competitiva adquirida mediante la infracción del RGPD, de cara a valorar que su aplicación no menoscaba los objetivos perseguidos ni el efecto útil del artículo 82 RGPD. 57. Si bien en la sentencia Lindenapotheke el Tribunal, aunque sin contemplar las acciones de indemnización, se muestra favorable a que la coexistencia de recursos en el RGPD y el Derecho de la competencia no implica riesgos para la aplicación uniforme del Reglamento ni menoscaba sus objetivos (arts. 67 y 68), en línea con el criterio de que el RGPD no lleva a cabo una armonización exhaustiva de las vías de recurso en caso de infracción del RGPD (apdo. 60), lo adecuado de un análisis específico respecto de las acciones de indemnización encontraría apoyo adicional en otros elementos. Cabe destacar la circunstancia de que la acción de cesación es el único tipo de acción ejercitada en el litigio principal de la sentencia Lindenapotheke (apdos. 23, 26, 30, 33, 44), así como la continua referencia únicamente a las acciones de cesación en la argumentación de la sentencia (apdos. 54, 59, 62, 63, 65, 69 y 70). Además, conforme a la jurisprudencia del TJUE, la aplicación del artículo 82 RGPD debe asegurar que la reparación del daño sea total y efectiva. La ausencia de función punitiva o compensatoria del derecho a indemnización del artículo 82 RGPD determina que la cuantía de la indemnización no puede exceder de la compensación completa de ese perjuicio.19 La indemnización debe considerarse «total y efectiva» -como requiere el considerando 146 del RGPD en relación con su artículo 82- cuando permite compensar íntegramente los daños y perjuicios sufridos como consecuencia de la infracción del RGPD de que se trate.20 58. Habida cuenta del contenido del artículo 82 RGPD a la luz de la jurisprudencia que lo interpreta, parece cuestionable que la disponibilidad de las acciones indemnizatorias derivadas de la normativa sobre competencia desleal por infracción de normas del RGPD refuerce el nivel de protección de los datos personales o contribuya a la observancia de las normas del RGPD y a reforzar los derechos de los interesados. La posibilidad de conceder 18 STJUE de 11 de abril de 2024, juris, C 741/21, EU:C:2024:288, apdo. 39. 19 Vid., por ejemplo, SSTJUE de 4 de mayo de 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C 300/21, C:2023:370, apdo. 58; y de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C 667/21, C:2023:1022, apdos. 86-87). 20 STJUE de 11 de abril de 2024, juris, C 741/21, EU:C:2024:288, apdo. 61, con ulteriores referencias. Pedro A. De Miguel Asensio “Minimización, licitud del tratamiento, categorías especiales y vías de tutela: novedades en materia de datos personales” La Ley Unión Europea, número 130, noviembre 2024 20 al competidor una indemnización superior a la reparación total y efectiva prevista en el artículo 82.1 RGPD sólo parece aceptable en la medida en que la indemnización fundada en la legislación sobre competencia desleal no sea consecuencia de que la práctica desleal deriva de la infracción de las normas del RGPD sino eventualmente de otras disposiciones del Derecho aplicable o de otras prácticas desleales.21 59. Ahora bien, no cabe desconocer que el fallo de la sentencia Lindenapotheke -tal vez condicionado por la formulación de la primera cuestión planteada (apdos. 45 y 46)- no hace referencia específica a las acciones de cesación. Su formulación resulta más general, al proclamar que las disposiciones del capítulo VIII del RGPD (entre las que se incluye su art. 82) “no se oponen a una normativa nacional que, junto a las facultades de intervención de las autoridades de control competentes para la supervisión y ejecución de dicho Reglamento, y a la tutela judicial a favor de los interesados, concede a los competidores del presunto infractor de la normativa en materia de protección de datos personales la facultad de actuar contra dicho infractor entablando una acción ante la jurisdicción civil basada en infracciones del citado Reglamento y en el incumplimiento de la prohibición de prácticas comerciales desleales”. 21 Vid., por analogía, el apartado 49 de la STJUE de 20 de junio de 2024, C-590/22, PS (Adresse erronée), EU:C:2024:536.