Vendita di medicinali tramite piattaforme online: sempre necessario il consenso al trattamento dei dati personali, anche per farmaci SOP. La violazione del GDPR può integrare un atto di concorrenza sleale

Con sentenza del 4 ottobre 2024 (Causa C-21/23), la Corte di Giustizia dell’Unione Europea (CGUE) ha stabilito che la violazione del regolamento generale sulla protezione dei dati personali (GDPR) può integrare una pratica di concorrenza sleale contro cui i concorrenti dell'autore della presunta violazione sono legittimati ad agire in giudizio mediante ricorso dinanzi ai giudici civili.

Inoltre, la CGUE ha chiarito che le informazioni richieste ai clienti per l'acquisto, tramite piattaforme online, di medicinali anche non soggetti a prescrizione medica, costituiscono dati relativi alla salute (e quindi "categorie particolari di dati personali" ai sensi dell'art. 9, par. 1 del GDPR).

Il caso tedesco

Dal 2017, il titolare della farmacia tedesca Lindenapotheke commercializza tramite Amazon medicinali la cui vendita è riservata alle farmacie. I clienti, per poter acquistare i farmaci, sono tenuti ad inserire una serie di dati, quali il nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione dei medicinali.

Il titolare di un'altra farmacia, ritenendo sleale l'attività del concorrente ai sensi della legge tedesca, perché compiuta in violazione di una disposizione di legge (il GDPR), ha adito il tribunale del Land. In particolare, ha richiesto al tribunale di far cessare la commercializzazione dei farmaci, fino al momento in cui il concorrente non avesse adottato misure volte a garantire che i clienti prestassero il proprio consenso al trattamento dei dati relativi alla salute (per la finalità di acquisto dei farmaci).

Il ricorso è stato accolto e la decisione è stata appellata davanti al Tribunale superiore del Land, che, confermando la sentenza dei giudici di primo grado, ha respinto l'appello. Infatti, secondo i giudici del Tribunale superiore, è sleale la pratica commerciale di vendita online dei farmaci, posta in essere dal farmacista in violazione del GDPR, che prevede il divieto di trattare categorie particolari di dati personali in assenza del ricorrere di determinate condizioni previste dall'art. 9, par. 2 del GDPR, ad esempio in assenza del consenso esplicito dell'interessato (art. 9, par. 2, lett. a) del GDPR). 

Il rinvio alla Corte di Giustizia dell'Unione Europea

Il titolare della farmacia Lindenapotheke ha proposto ricorso dinanzi alla Corte federale di giustizia, la quale ha sospeso il procedimento e sottoposto alla Corte di Giustizia dell'Unione Europea le seguenti questioni pregiudiziali:

• come interpretare le disposizioni di cui al capo VIII del GDPR ("Mezzi di ricorso, responsabilità e sanzioni") e, in particolare, se esse si pongano in contrasto con la normativa nazionale che, oltre ai poteri delle autorità di controllo e ai mezzi di ricorso a disposizione degli interessati, conferisce ai concorrenti del presunto autore di una violazione della normativa sulla protezione dei dati la legittimazione ad agire contro quest’ultimo mediante ricorso dinanzi ai giudici civili fondato sul divieto delle pratiche commerciali sleali;
• se i dati forniti tramite piattaforma online dai clienti per l'acquisto dei medicinali riservati alla farmacia, anche non soggetti a prescrizione medica, siano dati relativi alla salute. Infatti, in questo caso, non si può con certezza escludere che i medicinali siano stati acquistati dai clienti per conto di terzi non identificabili.

La decisione della Corte di Giustizia dell'Unione Europea

La CGUE, pronunciandosi sulle questioni pregiudiziali, ha chiarito che:

• Prevedere la possibilità per il concorrente di un’impresa di proporre un ricorso dinanzi ai giudici civili sulla base del divieto delle pratiche commerciali sleali per far cessare la violazione del GDPR non pregiudica gli obiettivi dello stesso Regolamento. Infatti, ferme restando le disposizioni di cui agli artt. da 77 a 80 del GDPR, che prevedono specifici mezzi di ricorso a tutela dei diritti degli interessati per la violazione dei dati, l’azione inibitoria proposta da un concorrente mira ad assicurare una concorrenza leale. In questo modo viene rafforzato il diritto degli interessati ad avere un livello di protezione elevato. Pertanto, le disposizioni del capo VIII del GDPR non sono in contrasto con la normativa nazionale.
• Nel caso in cui il gestore di una farmacia commercializzi, tramite una piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti inseriscono al momento dell’ordine (i.e. il loro nome, l’indirizzo di consegna gli elementi necessari all’individualizzazione dei medicinali) costituiscono dati relativi alla salute, anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica. 

Secondo i giudici della Corte di Giustizia dell'Unione Europea, i dati personali possono essere qualificati come dati relativi alla salute, ai sensi dell’art. 9, par.1 del GDPR, quando sono idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute dell’interessato. Tale condizione si verifica nel caso di specie in quanto l'ordine implica la creazione di un nesso tra un medicinale, le sue indicazioni terapeutiche o i suoi usi, e una persona fisica identificata o identificabile da elementi quali il nome di tale persona o l’indirizzo di consegna. Ciò vale anche nel caso della vendita di medicinali non soggetti a prescrizione medica. Infatti, non si può escludere che, anche nell’ipotesi in cui i medicinali siano destinati a persone diverse dai clienti, sia possibile identificare tali persone e trarre conclusioni sul loro stato di salute. In ogni caso, i dati relativi alla salute, pur soggetti a una tutela maggiormente rafforzata, devono essere oggetto di trattamento nel rispetto delle garanzie previste dall'art. 9, par. 2 del GDPR, tra cui il consenso esplicito dell'interessato. 

Commento di Osborne Clarke

Oltre alla qualificazione delle violazioni del GDPR come atto di concorrenza sleale, chiaramente applicabile in base al diritto tedesco e mutuabile nell'ordinamento italiano, in forza dell'art. 2598, n. 3) del codice civile, la sentenza è di interesse in quanto nella sostanza (se non si applicano le altre casistiche previste dall'art. 9, par. 2 del GDPR) stabilisce la necessità, nella vendita online di medicinali riservati alle farmacie, di ottenere il consenso al trattamento dei dati personali del cliente relativi alla salute, anche qualora si tratti di medicinali non soggetti a prescrizione medica.

A nulla rilevando il fatto che in caso di acquisto di farmaci senza obbligo di prescrizione medica, in realtà, l'acquirente potrebbe non essere chi assumerà il farmaco. L'acquisto del farmaco di per sé, a prescindere dalla prescrivibilità su ricetta o meno, può consentire, in linea di principio, di acquisire informazioni sulla salute del paziente e quindi, applicando il principio di precauzione, la CGUE ha scelto la soluzione più restrittiva a tutela dei cittadini/pazienti.