Η υπόθεση 21/23 Lindenapotheke βασίζεται σε έναν εκτενή κατάλογο νομολογίας περί προστασίας δεδομένων, παραθέτοντας συχνά προηγούμενες αποφάσεις στην υπόθεση C-319/20 Meta Platforms Ireland (« Meta »), υπόθεση C-252/21 Bundeskartellamt (« Bundeskartellamt ») και υπόθεση C-184/20 OT κατά Vyriausioji tarnybinės etikos komisija (' ΟΤ '). Ελλείψει σημαντικών αποκλίσεων από αυτές τις υποθέσεις, η σημασία της ως απόφαση του Τμήματος Μείζονος Συνθήκης πηγάζει σε μεγάλο βαθμό από τις συνέπειες που θα επιφέρει ο συνδυασμός αυτής της υφιστάμενης νομολογίας στις έννοιες της υγείας και των ευαίσθητων δεδομένων και σε πιθανές ενέργειες βάσει του GDPR από ανταγωνιστές. Μετά από αυτήν την εισαγωγή, αυτή η ανάρτηση ιστολογίου θα διερευνήσει πώς το Δικαστήριο αποφάσισε να επιτρέψει ενέργειες από ανταγωνιστές και να επεκτείνει την έννοια των ευαίσθητων δεδομένων υγείας, πριν αναλύσει τους πιθανούς κινδύνους που έχει αυτή η ερμηνεία για τη συνεπή επιβολή του GDPR και την υπερβολική επέκταση της έννοιας των ευαίσθητων δεδομένων .

Γεγονότα – Lindenapotheke πουλά φάρμακα μέσω Amazon

Η υπόθεση Lindenapotheke δανείζεται το όνομά της από ένα γερμανικό φαρμακείο. Ως μέρος των εμπορικών της προσφορών, η Lindenapotheke πουλούσε προϊόντα στο Amazon Marketplace. Αυτά τα προϊόντα περιέχουν φάρμακα τα οποία σύμφωνα με τη γερμανική νομοθεσία μπορούν να πωληθούν μόνο από φαρμακεία, αλλά δεν χρειάζονται ιατρική συνταγή. Η DR, ο διαχειριστής ανταγωνιστικού φαρμακείου, ισχυρίστηκε ότι τέτοιες πωλήσεις συνιστούν αθέμιτη εμπορική πρακτική, η οποία απαγορεύεται από τη γερμανική νομοθεσία, ασκώντας έτσι αγωγή για παύση αυτής της εμπορίας κατά του διαχειριστή του Lindenapotheke ενώπιον γερμανικού περιφερειακού δικαστηρίου. Όπως υποστήριξε η DR ενώπιον του περιφερειακού δικαστηρίου και του ανώτερου περιφερειακού δικαστηρίου στις εφέσεις, ο άδικος χαρακτήρας της εμπορίας από τη Lindenapotheke έγκειται στην απουσία έγκυρης συγκατάθεσης από τους πελάτες για την επεξεργασία των δεδομένων υγείας τους.

Καθώς το επιχείρημα του DR βασίστηκε σε παραβίαση του νόμου περί προστασίας δεδομένων, το εφετείο στήριξε την ανάλυσή του για τον άδικο χαρακτήρα στις σχετικές διατάξεις του Κανονισμού 2016/679 («GDPR»). Στο άρθρο 9 παράγραφος 1, ο ΓΚΠΔ ορίζει μια απαγόρευση για την επεξεργασία ορισμένων ειδικών κατηγοριών προσωπικών δεδομένων (που περιγράφονται επίσης ως ευαίσθητα δεδομένα), συμπεριλαμβανομένων των δεδομένων υγείας. Το άρθρο 9 παράγραφος 2 του ΓΚΠΔ περιέχει ένα σύνολο εξαιρέσεων από αυτήν την απαγόρευση, οι οποίες περιλαμβάνουν τη ρητή συγκατάθεση (άρθρο 9 παράγραφος 2 στοιχείο α) ΓΚΠΔ). Το ανώτερο περιφερειακό δικαστήριο διαπίστωσε ότι η Lindenapotheke επεξεργαζόταν δεδομένα υγείας, ότι δεν μπορούσε να βασιστεί στη ρητή συγκατάθεσή της ως εξαίρεση και ότι αυτό συνιστά αθέμιτη εμπορική πρακτική. Μια τελική έφεση ενώπιον του Γερμανικού Ομοσπονδιακού Δικαστηρίου οδήγησε σε δύο προκαταρκτικά ερωτήματα ενώπιον του Δικαστηρίου.

Ερώτηση 1 – Υποστηρίξτε έναν ανταγωνιστή που βασίζεται σε παραβίαση του GDPR;

Το πρώτο ερώτημα που τέθηκε στο Δικαστήριο αφορά ουσιαστικά τον εξαντλητικό χαρακτήρα των ένδικων μέσων που προβλέπονται στον GDPR και τη σχέση τους με το δίκαιο των κρατών μελών. Σε σύγκριση με την Οδηγία 95/46/ΕΚ που αντικατέστησε, ο GDPR εισάγει μια σειρά από εναρμονισμένες επιλογές επιβολής στο Κεφάλαιο VIII. Αυτές περιλαμβάνουν δυνατότητες για διοικητικές κυρώσεις από τις αρχές προστασίας δεδομένων, ποινικές κυρώσεις από τα εθνικά δικαστήρια και μια σειρά ένδικων μέσων που είναι διαθέσιμα στα υποκείμενα των δεδομένων. Οι τελευταίες περιλαμβάνουν πιθανές αγωγές κατά των αρχών προστασίας δεδομένων, αλλά και επιτρέπουν στα υποκείμενα των δεδομένων να ασκήσουν αστική υπόθεση ενώπιον των εθνικών δικαστηρίων για να αναζητήσουν ένδικα μέσα (άρθρο 79 GDPR). Καθώς ο ανταγωνιστής της Lindenapotheke σαφώς δεν είναι υποκείμενο των δεδομένων, δεν θα μπορούσε να βασιστεί στα διορθωτικά μέτρα σύμφωνα με το Κεφάλαιο VIII του GDPR. Έτσι, η DR άσκησε προσφυγή βασισμένη σε αθέμιτες εμπορικές πρακτικές. Το Δικαστήριο κλήθηκε να διευκρινίσει εάν, ελλείψει διορθωτικών μέτρων που τους παρέχονται στον GDPR, οι ανταγωνιστές μπορούσαν να επικαλεστούν παραβίαση των ουσιαστικών διατάξεών του στο πλαίσιο εθνικής διαδικασίας για αθέμιτες εμπορικές πρακτικές.

Μερικά επιχειρήματα θα μπορούσαν να προβληθούν για έναν τέτοιο αποκλεισμό της θέσης των ανταγωνιστών. Ο ΓΚΠΔ εστιάζει αναμφίβολα στην εναρμονισμένη επιβολή, που αποτελεί παράδειγμα της επιλογής ενός κανονισμού ως μέσου, του δεδηλωμένου στόχου της εναρμόνισης και του ευρέος φάσματος διατάξεων για τα διορθωτικά μέτρα (αιτιολογική σκέψη 9 και 13 GDPR, παρ. 57). Προσθέτοντας σε αυτό, καμία από τις πολλές διατάξεις του Κεφαλαίου VIII του GDPR που περιέχει ρήτρες ανοίγματος, οι οποίες επιτρέπουν ρητά στα κράτη μέλη να συμπληρώσουν ή να παρεκκλίνουν ορισμένες διατάξεις, δεν επιτρέπουν μέτρα που να επιτρέπουν την αναγνώριση των ανταγωνιστών (παρ. 57).

Παρόλα αυτά, το Δικαστήριο έκρινε ότι το Κεφάλαιο VIII GDPR δεν αποκλείει την αγωγή κατά της Lindenapotheke. Το έκανε βασιζόμενος στην προϋπόθεση ότι τα διορθωτικά μέτρα που παρέχονται από το Κεφάλαιο VIII GDPR δεν είναι εξαντλητικά και στη λογική ότι το να επιτραπεί στους ανταγωνιστές να διατηρηθούν δεν θα υπονόμευε, αλλά αντίθετα θα ενίσχυε τους στόχους του GDPR.

Υποστηρίζοντας τον μη εξαντλητικό χαρακτήρα των ένδικων μέσων, το Δικαστήριο χρησιμοποιεί μια τελεολογική προσέγγιση με τρία κύρια επιχειρήματα. Πρώτον, δεν υπάρχει καμία διατύπωση που να αποκλείει ρητά τη δυνατότητα των ανταγωνιστών να ασκήσουν αγωγές (παρ. 53). Δεύτερον, το πλαίσιο του GDPR, όπου διατίθενται διορθωτικά μέτρα για τα υποκείμενα των δεδομένων ως δικαιούχους προστασίας δεδομένων, εξηγεί την απουσία διατάξεων που αναφέρονται σε ανταγωνιστές (παρ. 54). Τρίτον, το Δικαστήριο έκρινε προηγουμένως ότι οι παραβιάσεις του GDPR μπορούν επίσης να επηρεάσουν τρίτα μέρη, επιβεβαιώνοντας ότι «ενδέχεται ταυτόχρονα να προκαλέσουν παραβίαση κανόνων για την προστασία των καταναλωτών ή αθέμιτες εμπορικές πρακτικές» (παράγραφος 55, παραπέμποντας στο Meta , παράγραφος 78). και «μπορεί να αποτελεί ζωτικής σημασίας στοιχείο για τους σκοπούς της αξιολόγησης της ύπαρξης κατάχρησης δεσπόζουσας θέσης» (παρ. 55· παραπομπή σε Bundeskartellamt παρ. 47 και 62). Αυτό υποστηρίζεται περαιτέρω με την επισήμανση των εγγενών δεσμών μεταξύ της προστασίας δεδομένων, της ψηφιακής οικονομίας και του ανταγωνισμού (παρ. 56).

Λαμβάνοντας υπόψη κατά πόσον η αποδοχή ενεργειών από ανταγωνιστές θα υπονόμευε το σύστημα διορθωτικών μέτρων στον GDPR, το Δικαστήριο υπενθυμίζει ότι ο ανταγωνισμός δεν αποτελεί από μόνος του στόχο του GDPR (παρ. 65). Ωστόσο, όταν επιτρέπονται τέτοιες ενέργειες, θα συμπληρώνουν τα υφιστάμενα ένδικα μέσα (παρ. 66) ενώ θα ενισχύουν περαιτέρω τη συμμόρφωση μέσω πρόσθετης επιβολής (παρ. 69-70). Αυτό βοηθά τον στόχο υψηλού επιπέδου προστασίας δεδομένων που ορίζεται στο άρθρο 8 του Χάρτη (παρ. 71). Οι ανησυχίες για πιθανές αποκλίσεις μεταξύ των κρατών μελών διαψεύδονται καθώς οι ουσιαστικές διατάξεις του GDPR παραμένουν πλήρως συνεπείς, με αμφιβολίες ή αποκλίσεις μεταξύ των αρχών προστασίας δεδομένων και των δικαστηρίων διαφορετικών κρατών μελών να αντιμετωπίζονται από τη δυνατότητα για προδικαστικές αποφάσεις (παρ. 67).

Ερώτηση 2 – Περιέχουν όλες οι παραγγελίες φαρμάκων δεδομένα υγείας;

Το δεύτερο ερώτημα σχετίζεται με το εάν τα δεδομένα που επεξεργάζεται η Lindenapotheke πρέπει να θεωρούνται ως δεδομένα υγείας, και επομένως ευαίσθητα δεδομένα σύμφωνα με την ειδική απαγόρευση του άρθρου 9 του ΓΚΠΔ.

Από τον ορισμό των προσωπικών δεδομένων και δεδομένων υγείας στο άρθρο 4 παράγραφος 1 και το άρθρο 4 παράγραφος 15 του ΓΚΠΔ, το Δικαστήριο διαπιστώνει ότι τα δεδομένα υγείας πρέπει να νοούνται ως όλα τα προσωπικά δεδομένα που επιτρέπουν «να συνάγονται συμπεράσματα σχετικά με την κατάσταση υγείας ενός αναγνωρισμένου ή αναγνωρίσιμο πρόσωπο» (παρ. 76-78), με όλα τα δεδομένα υγείας να καλύπτονται από την ειδική απαγόρευση του άρθρου 9 παράγραφος 1 του ΓΚΠΔ (παρ. 80). Όπου η Lindenapotheke επεξεργάζεται μια παραγγελία, είναι σαφές ότι επεξεργάζεται προσωπικά δεδομένα (παρ. 79). Έτσι, το Δικαστήριο αφέθηκε να αξιολογήσει εάν η παραγγελία φαρμάκου επιτρέπει τη συναγωγή συμπερασμάτων σχετικά με την κατάσταση της υγείας ενός ατόμου και, εάν ναι, εάν τα συμπεράσματα αυτά σχετίζονται με αναγνωρισμένο ή αναγνωρίσιμο άτομο.

Για να αξιολογήσει τη δυνατότητα συναγωγής δεδομένων υγείας, το Δικαστήριο βασίστηκε στην προηγούμενη απόφασή του στην υπόθεση OT , όπου έκρινε ότι για να είναι ευαίσθητα δεδομένα, «αρκεί να είναι ικανά να αποκαλύψουν πληροφορίες σχετικά με την κατάσταση της υγείας του υποκειμένου των δεδομένων. μέσα μιας πνευματικής λειτουργίας που περιλαμβάνει αντιπαραβολή ή έκπτωση» (παρ. 83· η διατύπωση σε αυτόν τον ορισμό διαφέρει ελαφρώς και διευκρινίζει ό,τι ίσχυε προηγουμένως στην Ο.Τ. παρ. 123). Για το Lindenapotheke, τα δεδομένα σχετικά με τις παραγγελίες χαρακτηρίζονται ως δεδομένα υγείας όταν «η εν λόγω παραγγελία συνεπάγεται τη διαπίστωση σύνδεσης μεταξύ ενός φαρμάκου, των θεραπευτικών ενδείξεων ή χρήσεών του και ενός φυσικού προσώπου που έχει ταυτοποιηθεί ή μπορεί να εξακριβωθεί» (παράγραφος 84, δική μου έμφαση). Το Δικαστήριο επιβεβαιώνει ότι συμβαίνει αυτό, προσφέροντας μόνο περαιτέρω διευκρίνιση θεωρώντας ότι η διάκριση μεταξύ φαρμάκου που χορηγείται μόνο με συνταγή και φαρμάκου μόνο δεν θα συνάδει με υψηλό επίπεδο προστασίας δεδομένων (παρ. 89).

Όσον αφορά τη σχέση μεταξύ των δεδομένων αυτών και των φυσικών προσώπων, το Δικαστήριο προβαίνει σε περισσότερες λεπτομέρειες. Το αιτούν δικαστήριο έθεσε το ερώτημα κατά πόσον η σχέση αυτή υφίσταται για το φάρμακο χωρίς ιατρική συνταγή και, επομένως, χωρίς ρητή σχέση μεταξύ φυσικού προσώπου και του φαρμάκου (παρ. 85). Και πάλι, ακολουθώντας μια αυστηρή προσέγγιση, το Δικαστήριο διαπίστωσε ότι κατά την παραγγελία, ο «ορισμένος βαθμός πιθανότητας» ότι το φάρμακο προορίζεται για τον πελάτη αρκεί για να χαρακτηριστούν αυτά τα δεδομένα ως δεδομένα υγείας (παρ. 90). Επιπλέον, επανέλαβε τη δέσμευσή της στο Bundeskartellamt ότι τα ευαίσθητα δεδομένα δεν χρειάζεται να σχετίζονται με χρήστες μιας πλατφόρμας για την εφαρμογή της ειδικής απαγόρευσης βάσει του άρθρου 9 GDPR (παράγραφος 86, παραπομπή στην Bundeskartellamt παρ. 68). Όταν αυτά τα φάρμακα δεν προορίζονται για τον πελάτη αλλά για τρίτο μέρος, η δυνατότητα ταυτοποίησης μέσω συμπερασμάτων διευθύνσεων ή μελών της οικογένειας κρίνεται επαρκής για να είναι δεδομένα υγείας για ένα αναγνωρίσιμο άτομο, καλύπτοντας έτσι την ειδική απαγόρευση (παρ. 91).

Καθώς το Δικαστήριο διαπιστώνει ότι τα δεδομένα παραγγελίας που επεξεργάζεται η Lindenapotheke επιτρέπουν την εξαγωγή συμπερασμάτων σχετικά με την υγεία είτε του ατόμου που προσδιορίζεται στην παραγγελία είτε τρίτων που είναι αναγνωρίσιμα, θεωρεί ότι η Lindenapotheke επεξεργάζεται δεδομένα υγείας που καλύπτονται από την ειδική απαγόρευση του άρθρου 9 GDPR (παρ. 94). Καθαρίζοντας ελαφρώς τον αντίκτυπο που μπορεί να έχει αυτό στην επεξεργασία από τη Lindenapotheke, το Δικαστήριο χρησιμοποιεί obiter dicta για να υπογραμμίσει ότι υπάρχουν εξαιρέσεις στο άρθρο 9 παράγραφος 2 GDPR που ενδέχεται να ισχύουν, όπως όταν οι χρήστες δίνουν ρητή συγκατάθεση ή όταν μια τέτοια επεξεργασία είναι απαραίτητη για η παροχή υγειονομικής περίθαλψης (παρ. 92-93).

Οι ανταγωνιστές ως άλλο κλειδί στο διαδικαστικό εργαλείο GDPR;

Ενώ η απάντηση που έδωσε το Δικαστήριο στην πρώτη προκαταρκτική ερώτηση σχετικά με τις ενέργειες των ανταγωνιστών είναι σύμφωνη με την προηγούμενη νομολογία του, οι συνέπειες ενδέχεται να είναι πιο ενοχλητικές, προσθέτοντας στην υπάρχουσα διαδικαστική πολυπλοκότητα που αντιμετωπίζει η επιβολή του GDPR.

Για να εξηγήσουμε γιατί, είναι σημαντικό να σημειώσουμε τους διαφορετικούς τύπους επιβολής του GDPR. Ο GDPR επιβάλλεται διοικητικά, μέσω δικαστικών διαδικασιών και με τη χρήση ποινικών κυρώσεων βάσει της νομοθεσίας των κρατών μελών. Στο Meta , το Δικαστήριο ερμήνευσε μια ρήτρα έναρξης που επιτρέπει στις αρχές προστασίας των καταναλωτών να κινούν δικαστικές διαδικασίες βάσει παραβιάσεων του GDPR. Στην Bundeskartellamt , το Δικαστήριο επέκτεινε τη διοικητική επιβολή στις αρχές ανταγωνισμού. Ο αντίκτυπος και των δύο αποφάσεων στην πολυπλοκότητα της εκτέλεσης παραμένει περιορισμένος. Η ερμηνεία στο Meta παρέμεινε παρόμοια με τις υπάρχουσες δυνατότητες εντός του GDPR που επιτρέπουν στους οργανισμούς να ενεργούν για λογαριασμό των υποκειμένων των δεδομένων (άρθρο 80 GDPR). Στην Bundeskartellamt , το Δικαστήριο δεν μπορούσε να βασιστεί σε μια ρήτρα έναρξης του GDPR, αλλά έλαβε δεόντως υπόψη την πολυπλοκότητα της επιβολής. Προέβλεπε απαιτήσεις συνεργασίας, συμπεριλαμβανομένης της σεβασμού προς τις αρχές προστασίας δεδομένων σε θέματα GDPR, γεγονός που καθιστά εξαιρετικά απίθανες τις ασυνέπειες μεταξύ των αρχών ανταγωνισμού και προστασίας δεδομένων ( Bundeskartellamt παρ. 52-59, βλ. επίσης Hriscu ).

Η απόφαση στο Lindenapotheke εισάγει μεγαλύτερους πιθανούς κινδύνους παρέμβασης μεταξύ της διοικητικής και της δικαστικής επιβολής. Ενώ ο GDPR προβλέπει συνεργασία μεταξύ των αρχών προστασίας δεδομένων, τα δικαστήρια που καλούνται να αποφανθούν για την παραβίαση του GDPR μπορούν να βασίζονται μόνο σε μακρές διαδικασίες ενώπιον του Δικαστηρίου για συνεπή ερμηνεία. Έτσι, πριν φτάσουν στο Δικαστήριο, παράλληλες διαδικασίες ενώπιον δικαστηρίων πολλών κρατών μελών και συνεργαζόμενων αρχών προστασίας δεδομένων θα μπορούσαν να οδηγήσουν σε αποκλίνουσες αποφάσεις για τις ίδιες δραστηριότητες επεξεργασίας δεδομένων. Αυτός και άλλοι κίνδυνοι ασυνέπειας στην επιβολή του GDPR έχουν προειδοποιηθεί από τον ακαδημαϊκό κόσμο (βλ. Hofmann and Gentile και Lynskey ) και το νομοθετικό σώμα της ΕΕ, το οποίο συζητά για περαιτέρω εναρμόνιση της επιβολής . Η διάρκεια και οι δυσκολίες που σχετίζονται με τις δικαστικές διαδικασίες βάσει του άρθρου 79-82 GDPR είναι εμφανείς όταν τα υποκείμενα των δεδομένων έχουν επιδιώξει αυτού του είδους την επιβολή, με ένα ευρύ φάσμα προδικαστικών αποφάσεων για αυτό το θέμα (π.χ. υπόθεση C-667/21 Krankenversicherung Nordrhein και υπόθεση C -456/22 Gemeinde Ummendorf ). Ως αποτέλεσμα, τα περισσότερα υποκείμενα των δεδομένων προτίμησαν έντονα τη διοικητική επιβολή μέσω καταγγελιών (σελ. 5), με αυτή τη μέθοδο επιβολής να είναι εγγενώς λιγότερο επιρρεπής σε ασυνέπειες λόγω των μηχανισμών συνεργασίας και συνέπειας στον GDPR. Δεν θα ισχύει το ίδιο για τους ανταγωνιστές στο πλαίσιο του μηχανισμού στο Lindenapotheke .

Σε αντίθεση με τα υποκείμενα των δεδομένων και τους εκπροσώπους τους, οι ανταγωνιστές θα μπορούν να καταγγέλλουν παραβάσεις του GDPR ενώπιον των δικαστηρίων των κρατών μελών μόνο στο πλαίσιο αθέμιτων εμπορικών πρακτικών, καθώς εξακολουθούν να μην μπορούν να υποβάλουν καταγγελίες ενώπιον των αρχών προστασίας δεδομένων. Σε συνδυασμό με τους διαφορετικούς στόχους που επιδιώκουν και τα σχετικά τεράστια μέσα που οι εταιρείες μπορούν να δαπανούν για διαδικασίες, θα ήταν δυνατό να δούμε ένα κύμα νέων δικαστικών διαδικασιών μετά το Lindenapotheke . Εάν αυτό υλοποιηθεί, θα υπάρχει μεγαλύτερη πιθανότητα ασυνέπειας μεταξύ των δικαστηρίων και της διοικητικής επιβολής. Ενώ οι προδικαστικές αποφάσεις του Δικαστηρίου θα έχουν πάντα ως αποτέλεσμα μια κυρίαρχη ερμηνεία και συνέπεια (βλ. σκέψη 67), η πιθανότητα χάους στα ενδιάμεσα έτη μεταξύ της πρώτης απόφασης και της τελικής ερμηνείας έχει αρκετές δυνατότητες για αταξία σε έναν ταχέως εξελισσόμενο ψηφιακό κόσμο . Το Δικαστήριο, κατά την άποψή μου, δεν αντιμετωπίζει επαρκώς αυτό το ζήτημα, το οποίο κινδυνεύει να υπονομεύσει τους εναρμονισμένους κανόνες του GDPR και τους οποίους επιδιώκει επί του παρόντος ο νομοθέτης και να δημιουργήσει πρόσθετες αποκλίσεις μεταξύ των κρατών μελών.

Άλλο ένα βήμα προς την ευαισθησία όλων των προσωπικών δεδομένων;

Απαντώντας στο δεύτερο ερώτημα σχετικά με το εύρος των ευαίσθητων δεδομένων υγείας, το Δικαστήριο συνεχίζει την οδό που επέλεξε με τις αποφάσεις του στην υπόθεση OT και Bundeskartellamt . Ο ευρύς ορισμός που αποστάχθηκε και από τις δύο αποφάσεις διατηρήθηκε άθικτος. Ως εκ τούτου, ευαίσθητα δεδομένα είναι i) όλα τα προσωπικά δεδομένα που αποκαλύπτουν ευαίσθητα χαρακτηριστικά ενός αναγνωρισμένου ή αναγνωρίσιμου φυσικού προσώπου, ii) είτε άμεσα είτε έμμεσα μέσω πνευματικής λειτουργίας που περιλαμβάνει αφαίρεση ή διασταύρωση και iii) ανεξάρτητα από την πρόθεση του υπεύθυνου επεξεργασίας και του ορθότητα του συμπεράσματος (βλ. παρ. 82-87· ΟΤ παρ. 123· Bundeskartellamt παράγρ. 68-70). Όπως προσδιόρισε ο γενικός εισαγγελέας Szpunar στις προτάσεις του («AG»), αυτό άφησε ανοιχτό το ερώτημα κατά πόσον θα έπρεπε να είναι βέβαιος ο σύνδεσμος μεταξύ του ευαίσθητου χαρακτηριστικού και των υποκείμενων δεδομένων. Σύμφωνα με τον γενικό εισαγγελέα, θα πρέπει να υπάρχει «ορισμένος βαθμός βεβαιότητας», καθώς όπου αρκεί η ύπαρξη ενός απλού συνδέσμου, η έννοια των ευαίσθητων δεδομένων θα επεκταθεί υπερβολικά (AG, παρ. 40-49· παρόμοιες ανησυχίες συμμερίζεται και η Solove ) . Γνωμοδοτώντας συγκεκριμένα σχετικά με την επεξεργασία από τη Lindenapotheke, ο γενικός εισαγγελέας διαπίστωσε ότι ο σύνδεσμος αυτός ήταν υπερβολικά υποθετικός, ανακριβής και αδύναμος (AG, σκέψη 43).

Το Δικαστήριο διαφώνησε. Το πρώτο της αντεπιχείρημα είναι εύλογο, καθώς, για παράδειγμα, οι παραγγελίες που γίνονται για ένα μέλος της οικογένειας και παραδίδονται στη διεύθυνσή τους μπορούν να χρησιμοποιηθούν για την ταυτοποίηση αυτών των προσώπων (σύγκριση παρ. 91 με AG παρ. 52). Εκεί που το Δικαστήριο ζωγραφίζει με πολύ φαρδύ πινέλο είναι να εδραιώσει μια σύνδεση μεταξύ ιατρικής και δεδομένων υγείας. Υπενθυμίζουμε την παρ. 84, όταν το Δικαστήριο θεωρεί «μια σχέση μεταξύ ενός φαρμάκου, των θεραπευτικών ενδείξεων ή χρήσεών του και ενός φυσικού προσώπου» αρκετή για να θεωρούνται ευαίσθητα δεδομένα, και παρ. 89, όπου αρνείται να κάνει διάκριση μεταξύ φαρμάκων ανεξαρτήτως της ανάγκης για ιατρική συνταγή. Αυτό αναιρεί ότι ορισμένα φάρμακα που προορίζονται μόνο για φαρμακείο μπορούν να παραγγελθούν απλώς προληπτικά ή να μην παρέχουν καμία ένδειξη για την κατάσταση της υγείας, όπως η παρακεταμόλη (AG παρ. 51). Παρατηρώντας την ιδιαιτερότητά του στη διάκρισή του μεταξύ κατηγοριών φαρμάκων και επιλέγοντας αντ' αυτού να χρησιμοποιεί γενική διατύπωση όπως «ένας σύνδεσμος», το Δικαστήριο κινδυνεύει να επεκτείνει υπερβολικά τα ευαίσθητα δεδομένα όταν εφαρμόζονται σε άλλα ευαίσθητα χαρακτηριστικά.

Για να αποφευχθεί η υπερβολική επέκταση, το Δικαστήριο ενδέχεται να παρεκκλίνει από το Lindenapotheke σε μεταγενέστερο στάδιο για να καθορίσει ένα πρότυπο βεβαιότητας για άλλα ευαίσθητα χαρακτηριστικά, όπως προτείνει ο γενικός εισαγγελέας. Εάν δεν το κάνει, η έννοια των ευαίσθητων δεδομένων θα έχει σημαντική επέκταση. Όπως σωστά προειδοποίησε ο γενικός εισαγγελέας, η παραγγελία ενός βιβλίου από έναν πολιτικό συνεπάγεται μια αβέβαιη σχέση με μια πολιτική άποψη (παρ. 46). Τώρα φανταστείτε ένα σούπερ μάρκετ που αποθηκεύει αποδείξεις πελατών, με κάποιες αποδείξεις να περιέχουν μόνο αγορές φαγητού halal ή kosher ή αυξημένη αγορά αυγών πριν από το Πάσχα. Με αρκετό χρόνο ή ένα ικανό σύστημα τεχνητής νοημοσύνης που εκτελεί μια «διανοητική λειτουργία», θα μπορούσαν να δημιουργηθούν αβέβαιοι δεσμοί μεταξύ του πελάτη και των θρησκευτικών του πεποιθήσεων. Χωρίς περαιτέρω διευκρίνιση από το Συνέδριο, θα παραμείνει αβέβαιο πόσες λεπτομέρειες απαιτούνται για τη δημιουργία μιας σύνδεσης και σε ποια πλαίσια αυτά τα δεδομένα πρέπει να θεωρούνται ευαίσθητα. Επομένως, η εφαρμογή του προτύπου στο Lindenapotheke σε άλλα δεδομένα που συνδέονται με ευαίσθητα χαρακτηριστικά ενδέχεται να μην είναι ο καλύτερος τρόπος για να προχωρήσουμε, εκτός εάν το Συνέδριο κρίνει ότι οι υψηλοί κίνδυνοι συμπερασμάτων που ενέχουν τα μεγάλα σύνολα δεδομένων και η τεχνητή νοημοσύνη θα πρέπει να οδηγήσουν στην παροχή στα περισσότερα προσωπικά δεδομένα της πρόσθετης προστασίας βάσει του άρθρου 9 GDPR.

Σύναψη

Συμπερασματικά, το Δικαστήριο στην υπόθεση Lindenapotheke προσθέτει ένα νέο επίπεδο σε δύο συνεχιζόμενες εξελίξεις στη νομοθεσία περί προστασίας δεδομένων. Πρώτον, αφού επέτρεψε στις αρχές ανταγωνισμού να λαμβάνουν υπόψη παραβιάσεις του GDPR στο Bundeskartellamt και επέτρεψε σε ενώσεις προστασίας καταναλωτών να εδρεύουν στο Meta , το Δικαστήριο επιτρέπει τώρα στους ανταγωνιστές να ισχυρίζονται αθέμιτες εμπορικές πρακτικές που βασίζονται σε παραβιάσεις του GDPR. Δεύτερον, αφού κατέληξε στο συμπέρασμα ότι τα δεδομένα προσωπικού χαρακτήρα που θα μπορούσαν να χρησιμοποιηθούν για την εξαγωγή ευαίσθητων χαρακτηριστικών εμπίπτουν στο πεδίο εφαρμογής του άρθρου 9 GDPR στο OT , το Δικαστήριο αποφάσισε ότι αρκεί η «σύνδεση» μεταξύ των παραγγελιών φαρμάκων, της χρήσης τους και ενός αναγνωρισμένου ή αναγνωρίσιμου προσώπου ώστε τα δεδομένα αυτά να θεωρηθούν ως δεδομένα υγείας. Οι συνέπειες αυτής της απόφασης προστίθενται έτσι σε ένα περίπλοκο δίκτυο διαδικασιών για την επιβολή του GDPR και μπορούν να οδηγήσουν σε αύξηση των δεδομένων που θεωρούνται ευαίσθητα.

Ο Michaël Van den Poel είναι Ερευνητής Μηχανικός στο Ινστιτούτο Επαυξημένου Δικαίου EDHEC, όπου εργάζεται στο Διεπιστημονικό Έργο για την Ιδιωτικότητα (IPoP). Παρακολουθεί διδακτορικό στην Ερευνητική Ομάδα Νομικής, Επιστήμης, Τεχνολογίας και Κοινωνίας στο VUB, όπου είναι μέλος της εκτελεστικής ομάδας στο Βρυξέλλες Privacy Hub.