Seguimos con sentencias del Tribunal de Justicia sobre categoría especial de datos, si anteriormente hablábamos sobre el hecho de hacerlos manifiestamente públicos, ahora comentamos el hecho de considerarlos por el simple hecho de venderlos por internet. El 4 de octubre de 2024, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia clave en el ámbito de la protección de datos y el comercio electrónico. El caso surgió a raíz de una demanda presentada por una farmacia contra otra competidora que vendía medicamentos a través de la plataforma Amazon. El demandante argumentaba que la farmacia online no cumplía con las normativas del Reglamento General de Protección de Datos (RGPD) al no obtener el consentimiento explícito de los clientes para el tratamiento de sus datos relativos a la salud.
Los detalles del medicamento y su clasificación como datos de salud
Uno de los puntos más importantes abordados por el TJUE en esta sentencia fue la clasificación de los detalles del medicamento solicitado como datos personales relativos a la salud. Estos detalles incluyen información clave sobre el producto comprado, como el nombre comercial, la dosis, la composición y las indicaciones del medicamento. A pesar de que algunos medicamentos no requieren prescripción médica, el hecho de que un cliente adquiera un determinado producto puede revelar información sensible sobre su salud.
Por ejemplo, si un cliente compra medicamentos como antihistamínicos, analgésicos o tratamientos para el colesterol, la farmacia que procesa la compra está accediendo a datos que, indirectamente, permiten inferir que el cliente padece una condición de salud concreta. Este vínculo entre el medicamento y la posible afección de salud hace que dicha información se clasifique como «datos relativos a la salud» según el artículo 9.1 del RGPD, que incluye cualquier información que revele el estado físico o mental de una persona.
Pero el TJUE va un poco más allá y también consideró la posibilidad de que los medicamentos comprados estén destinados a terceros y no al cliente que realiza la compra. En estos casos, aun cuando los medicamentos sean para otras personas, podría ser posible identificar a dichos terceros y deducir conclusiones sobre su estado de salud. Esto puede ocurrir, por ejemplo, si los medicamentos se envían a la dirección de otra persona o si el cliente menciona explícitamente a una persona identificable, como un miembro de su familia, durante el proceso de compra. Asimismo, si la plataforma requiere la creación de una cuenta o la inscripción en un programa de fidelidad, la información proporcionada por el cliente puede combinarse con los detalles del medicamento solicitado para inferir el estado de salud tanto del cliente como del tercero, lo que amplía la responsabilidad de la farmacia en la protección de estos datos sensibles.
El tratamiento de datos sensibles según el RGPD
El RGPD otorga a los datos relativos a la salud una protección especial debido a su naturaleza sensible. Estos datos solo pueden ser procesados bajo estrictas condiciones, como el consentimiento explícito del interesado o cuando el tratamiento sea necesario por razones específicas de interés público o para la prestación de servicios de atención sanitaria. En este contexto, el TJUE subrayó la importancia de que las farmacias en línea, y cualquier plataforma que comercialice productos relacionados con la salud, implementen medidas adecuadas para garantizar que los datos se manejen de manera legal y segura.
Además, el Tribunal recordó que el simple hecho de recoger datos como el nombre del cliente, la dirección de entrega y los detalles del medicamento solicitado implica el procesamiento de datos sensibles. Esto significa que el consentimiento explícito del cliente es un requisito indispensable para cumplir con el RGPD. No basta con asumir un consentimiento implícito por el simple hecho de que el cliente complete la compra; debe existir un proceso claro, mediante casillas de verificación o firmas electrónicas, que refleje el consentimiento para el tratamiento de estos datos.