Concorrenza sleale e GDPR: la violazione di dati sanitari nell’e-commerce di farmaci legittima il ricorso in giudizio se il competitor lucra ingiusti vantaggi commerciali

La Corte federale di giustizia tedesca, che deve risolvere la controversia tra due farmacisti concorrenti, chiede alla Corte di giustizia di interpretare il regolamento sulla protezione dei dati personali (GDPR). La Corte dichiara che il GDPR non osta a una normativa nazionale che consenta ai concorrenti del presunto autore di una violazione della protezione dei dati personali di contestarla in giudizio in quanto pratica commerciale sleale vietata. Siffatta possibilità di ricorso per i concorrenti si aggiunge ai poteri di intervento delle autorità di vigilanza incaricate di sorvegliare e far applicare il GDPR, nonché alle possibilità di ricorso degli interessati, previste da tale regolamento.

Inoltre, essa dichiara che costituiscono dati relativi alla salute ai sensi del GDPR le informazioni inserite dai clienti al momento dell'ordine onlinedei medicinali riservati alle farmacie, anche qualora la vendita di questi ultimi non sia soggetta a prescrizione medica. Di conseguenza, il venditore deve informare tali clienti in modo accurato, completo e facilmente comprensibile in merito alle caratteristiche e alle finalità specifiche del trattamento di tali dati e chiedere loro il consenso esplicito a tale trattamento.

La Corte federale di giustizia tedesca è chiamata a risolvere una controversia tra due farmacisti tedeschi. Il farmacista titolare di una farmacia commercializza su una piattaforma di vendita  online  statunitense, dal 2017, medicinali la cui vendita è riservata alle farmacie. I clienti devono inserire diverse informazioni all'atto dell'ordine online di tali medicinali.

Basandosi sulla normativa tedesca in materia di pratiche commerciali sleali, un farmacista concorrente ha chiesto alla giustizia tedesca di ordinare al titolare della farmacia oggetto di controversia di cessare tale attività finché non sia garantito che i clienti possano dare il loro consenso preventivo al trattamento di dati relativi alla salute. I tribunali di primo e secondo grado hanno ritenuto che tale commercializzazione costituisse effettivamente una pratica sleale e illecita, in quanto contraria al regolamento sulla protezione dei dati personali (GDPR). Infatti, in assenza di un consenso esplicito da parte dei clienti che acquistano medicinali, la vendita comporterebbe il trattamento di dati relativi alla salute, vietato ai sensi di tale regolamento.

La Corte federale di giustizia tedesca si chiede se la normativa nazionale, che consente a un concorrente di agire in giudizio contro il presunto autore delle violazioni del GDPR sulla base del divieto delle pratiche commerciali sleali, sia conforme a tale regolamento. Infatti, secondo il GDPR, in linea di principio spetta alle autorità nazionali di controllo sorvegliare e far applicare tale regolamento e agli interessati (in questo caso, i clienti) difendere i loro diritti. La corte tedesca chiede inoltre se le informazioni inserite in occasione degli acquisti online di medicinali la cui vendita è riservata alle farmacie costituiscano dati relativi alla salute ai sensi del GDPR, anche nel caso in cui tali medicinali non siano soggetti a prescrizione medica. Si è quindi rivolta alla Corte di giustizia.

La Corte risponde, in primo luogo, che il GDPR non osta a una normativa nazionale che, al di là dei diritti e dei poteri conferiti dal GDPR alle autorità nazionali di controllo, agli interessati e alle associazioni che rappresentano tali persone, consenta ai concorrenti del presunto autore di una violazione della protezione dei dati personali di agire in giudizio nei suoi confronti, per violazioni di tale regolamento, sulla base del divieto delle pratiche commerciali sleali. Al contrario, ciò contribuisce indubbiamente a rafforzare i diritti degli interessati e a garantire loro un elevato livello di protezione. Inoltre, ciò può rivelarsi particolarmente efficace, in quanto si potrebbero, in tal modo, prevenire un gran numero di violazioni del GDPR.

In secondo luogo, per la Corte costituiscono dati relativi alla salute ai sensi del GDPR le informazioni inserite dai clienti (quali il loro nome, l'indirizzo di consegna e gli elementi necessari all'individuazione dei medicinali) al momento dell'ordine online dei medicinali riservati alle farmacie, anche qualora la vendita di questi ultimi non sia soggetta a prescrizione medica.

Infatti, tali dati sono idonei a rivelare, mediante un'operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute di una persona fisica identificata o identificabile, perché viene stabilito un nesso tra quest'ultima e un medicinale, le sue indicazioni terapeutiche o i suoi usi, indipendentemente dal fatto che tali informazioni riguardino il cliente o qualsiasi altra persona per la quale quest'ultimo effettui l'ordine. Pertanto, è indifferente che, in mancanza di prescrizione medica, sia solo con una certa probabilità, e non con certezza assoluta, che tali medicinali siano destinati ai clienti che li hanno ordinati. Distinguere in base al tipo di medicinali e al fatto che la loro vendita sia o meno soggetta a prescrizione medica sarebbe contrario all'obiettivo di protezione elevata previsto dal GDPR. Di conseguenza, il venditore deve informare tali clienti in modo accurato, completo e facilmente comprensibile in merito alle caratteristiche e alle finalità specifiche del trattamento di tali dati e chiedere il loro consenso esplicito a tale trattamento.