Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection

GDPR e farmacia online: quando la privacy diventa terreno di concorrenza

La Corte di Giustizia dell’Unione Europea è intervenuta su un caso nato in Germania tra due farmacisti in concorrenza, chiarendo un punto delicato: i dati forniti dagli utenti per acquistare medicinali online — anche quelli senza ricetta — possono rivelare informazioni sulla loro salute. E questo li rende dati sensibili e quindi soggetti a una protezione rafforzata secondo il GDPR.

Il 4 ottobre 2024, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) si è pronunciata sulla legittimità dell’azione proposta da un farmacista contro un proprio concorrente per la presunta violazione delle norme in materia di concorrenza sleale, derivante dalla violazione a sua volta delle norme in materia di protezione dei dati personali nell’ambito della vendita online di medicinali riservati alle farmacie fisiche.

L’iter giudiziario in Germania

La controversia trae origine in Germania, dove il farmacista ND commercializzava medicinali riservati alle farmacie attraverso la piattaforma Amazon Marketplace (“Amazon”). Un concorrente, DR, ha intentato un’azione civile (i) richiedendo l’inibizione alla vendita, finché non fosse garantita ai clienti di ND la possibilità di acconsentire al trattamento dei loro dati personali relativi alla salute, e allo stesso (ii) che venisse accertato che la vendita di farmaci online su Amazon fosse riservata alle farmacie e che quindi costituiva una pratica commerciale sleale, in quanto non rispettava i requisisti di legge relativi all’ottenimento del consenso del cliente richiesto dal GDPR.

Il 28 marzo 2018, il tribunale tedesco ha accolto l’istanza di DR, che veniva confermata in appello il 7 novembre 2019. ND ha quindi proposto ricorso per cassazione dinanzi alla Corte federale di giustizia tedesca, che ha ritenuto di sollevare questioni pregiudiziali alla CGUE.

Le domande pregiudiziali e la decisione della Corte

Il giudice del rinvio, nel sollevare le questioni alla CGUE, ha sospeso il procedimento, e posto i seguenti quesiti:

  1. il GDPR impedisce agli Stati membri di prevedere nel loro ordinamento norme che consentono ai concorrenti di un’impresa di fare causa a quest’ultima, davanti a un giudice civile, per violazione del GDPR, sostenendo che tale violazione costituisce anche una pratica commerciale sleale?

La Corte chiarisce che il GDPR non impedisce ad una normativa nazionale di consentire ad un concorrente di agire in giudizio contro un’impresa per presunte violazioni del GDPR, invocando il divieto delle pratiche commerciali sleali. Ancorché, pur riconoscendo che i mezzi previsti dal capo VIII del GDPR sono rivolti agli interessati, la Corte osserva che gli artt. 77-79 GDPR non escludono azioni fondate su normative nazionali autonome. La Corte sottolinea come l’accesso ai dati personali ed il loro uso siano oggi elementi cruciali per la concorrenza nell’economia digitale e che quindi eventuali violazioni del GDPR possono essere rilevanti anche nell’ambito delle pratiche commerciali sleali. Inoltre, l’art. 80, par. 2 GDPR, consente agli Stati membri di autorizzare enti, anche senza mandato, ad agire contro violazioni che ledono i diritti tutelati dal GDPR. Pur non essendoci una clausola analoga che menzioni esplicitamente i concorrenti, la Corte afferma che ciò non implica un divieto. Pertanto, una simile azione da parte di concorrente è compatibile con il GDPR, purché tale azione si fondi su una normativa nazionale autonoma, come quella sulle pratiche commerciali sleali, e non si sostituisca indebitamente ai meccanismi di tutela previsti dal GDPR.

  1. Quando un cliente acquista online un medicinale che si potrebbe vendere solo in una farmacia fisica (ma che non richiede ricetta medica), ed inserisce i propri dati personali come il nome, l’indirizzo e le informazioni sul medicinale ordinato, questi dati personali sono da considerarsi dati relativi alla salute?

La CGUE chiarisce che le informazioni inserite online dai clienti per acquistare medicinali riservati alle farmacie, anche se non soggetti a prescrizione, possono costituire dati relativi alla salute. Ai sensi dell’articolo 4, punto 15 del GDPR, rientrano tra i dati relativi alla salute tutte le informazioni che rivelano lo stato fisico o mentale, passato, presente o futuro, di una persona fisica, anche in relazione alla prestazione di servizi sanitari. Inoltre, è sufficiente che una persona sia identificata o identificabile, anche indirettamente, per qualificare l’informazione come dato personale.

Nel caso di specie, la Corte ha osservato che le informazioni fornite dagli utenti costituiscono dati personali, poiché permettono di identificare la persona e devono essere qualificati come dati relativi alla salute se permettono, anche solo mediante un’operazione intellettuale di deduzione, di ricavare informazioni sullo stato di salute dell’interessato. Infatti, l’associazione tra una persona identificabile e uno specifico medicinale, con le sue indicazioni terapeutiche, è sufficiente a far emergere informazioni sullo stato di salute.

La Corte ha inoltre chiarito che non rileva se il medicinale sia o meno soggetto a prescrizione medica, né se esso sia destinato all’utente che effettua l’ordine o a un terzo, ma ciò che conta è che il trattamento dei dati sia potenzialmente idoneo a rivelare informazioni sulla salute di qualsiasi persona fisica. Parimenti, non è rilevante l’intenzione del gestore della farmacia, né l’accuratezza delle informazioni desunte: il trattamento è vietato per principio, salvo eccezioni, proprio in considerazione della gravità dell’ingerenza che può comportare nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati. Ne deriva che le informazioni fornite online per l’acquisto di medicinali riservati alle farmacie, anche se non soggetti a prescrizione, sono da qualificare come dati relativi alla salute, rientrando così nel regime di protezione rafforzata previsto dalla normativa europea.

Hide comments

Leave a comment

You May Also Like

Privacy & Data Protection
Garante Privacy: no al trattamento dei dati giudiziari dei lavoratori in assenza di un’adeguata base giuridica
Privacy & Data Protection
Giuseppe Vaciago a C-Days 2015 – Evento di Cybersecurity internazionale tenutosi a Lisbona il 7 e 8 ottobre 2015.
Privacy & Data Protection
Smartworking o smart control? No del Garante Privacy alla geolocalizzazione “mascherata”

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.