Pronunciamiento del TJUE sobre la consideración de la información relacionada con la compraventa de medicamentos sin receta como datos de salud

Nota informativa del área de Protección de Datos de ECIJA Madrid.

El Tribunal de Justicia de la Unión Europea (en adelante, “TJUE”) ha resuelto la cuestión prejudicial planteada por el Tribunal Supremo de lo Civil y Penal Alemán (en adelante, “TSA”), en el asunto C-21/23, sobre si los datos asociados a la compra de medicamentos sin receta deben considerarse datos de salud.

Lo que necesitas saber: 

• El Tribunal de Justicia de la Unión Europea ha resulto una cuestión prejudicial planteada por tribunales alemanes, en la que concluye que los datos asociados a la compra de un medicamento sin receta médica (OTC) deben ser considerados datos de salud.
• Interpreta que, a estos efectos, carece de relevancia que puedan ser comprados sin receta médica, que no siempre puedan vincularse de forma directa a una persona en concreto y el hecho de que algunos de estos medicamentos puedan ser empleados para una generalidad de patologías.
• Considera que la información relacionada con la compra ya establece un vínculo entre un medicamento, indicaciones terapéuticas o sus usos y una persona o dirección de entrega concreta.
• A la vista de la consideración anterior, debe revisarse el cumplimiento de las obligaciones en materia de protección de datos relacionadas con el tratamiento de datos de salud. Entre ellas, la necesidad de contar con una de las circunstancias o bases de legitimación establecidas en la normativa.

Esta cuestión prejudicial surge en el marco de un litigio por competencia desleal en Alemania, en el que una oficina de farmacia ha solicitado que se ordene poner fin a la actividad de un competidor que vende medicamentos sin receta médica (en adelante, “OTC”) a través de una plataforma online. En este sentido, la oficina de farmacia demandante ha considerado que los datos asociados a la compraventa de un OTC son datos de salud por lo que, a su juicio, su competidor ha incumplido la normativa. El demandante entiende que su competidor debía haber recabado el consentimiento expreso y explícito de cada uno de los compradores para tratar esta información.

 

Antes de entrar a analizar el pronunciamiento del TJUE, conviene señalar que:

• El artículo 4 del Reglamento (UE) 2016/679, relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de los datos (en adelante, “RGPD”), define datos de salud como «los relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud».
• La venta de OTC mediante plataformas online cuenta con respaldo legal, a través de la Directiva 2011/62/UE del Parlamento Europeo y del Consejo de 8 de junio de 2011, que modifica la Directiva 2001/83/CE por la que se establece un código comunitario sobre medicamentos de uso humano, en lo relativo a la prevención de la entrada de medicamentos falsificados en la cadena de suministro legal.
• Esta normativa no se pronuncia respecto de la categorización de este tipo información como datos de salud.

En contra de la interpretación realizada por el Abogado General, el TJUE concluye que carece de relevancia el hecho de que los OTC no requieran una receta médica que los vincule a una persona en concreto, y que no exista certeza absoluta sobre si el medicamente será consumido por el comprador. En este sentido, ha considerado que el hecho de que un OTC pueda ser comprado de forma preventiva, o ser empleado para una generalidad de patologías o síntomas, como un paracetamol, o ser empleado por un tercero, como un familiar o persona de su círculo, no impacta en esta cuestión.

En este sentido, interpreta el Tribunal que, mediante un ejercicio de deducción, puede obtenerse información sobre el estado de salud de una persona física identificada o identificable. Por tanto, la información relacionada con la compra de un OTC ya establece un vínculo entre un medicamento, indicaciones terapéuticas, o sus usos y una persona concreta o una dirección de entrega, por lo que, a su juicio, debe ser considerada datos de salud. Es más, según el TJUE, establecer diferencias en función de la naturaleza del medicamento que se compre, no sería conforme con la normativa, ya que debe ofrecerse un nivel de protección elevado para el tratamiento de esta información, requiera o no receta.

En este contexto, resulta relevante que el RGPD establece una prohibición general para llevar a cabo el tratamiento de datos de categoría especial, como son los datos de salud. Para exceptuar esta prohibición, resulta necesario contar con una de las circunstancias o excepciones habilitadoras establecidas en el artículo 9.2, que a estos efectos, podrían ser:

• El consentimiento expreso del afectado.
• El tratamiento resulta necesario para fines de asistencia sanitaria sobre la base de Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario.

En definitiva, tras este pronunciamiento no hay duda de que los datos tratados para la compraventa de OTC se encuadran dentro de los datos de categoría especial.

Consecuentemente, las entidades del sector deberán tener en cuenta esta categorización y, en caso de resultar necesario, implementar las garantías oportunas. Para ello, deberán analizar las circunstancias habilitadoras del artículo 9.2, sin perjuicio de que también deberán cumplir con el resto de las obligaciones establecidas en el RGPD que resulten de aplicación, como el cumplimiento del principio de transparencia y el deber de información.

Descargar el PDF completo más abajo.