Il dottor A è titolare di una farmacia in Germania; per incrementare le vendite, decide di commercializzare, tramite Amazon Marketplace, medicinali la cui vendita era riservata alle famacie.
Per acquistare i farmaci sul Marketplace Amazon gestito dal dottor A, i clienti/pazienti dovevano inserire delle informazioni specifiche, come il loro nome, l'indirizzo di consegna e tutti gli elementi necessari per individuare, con esattezza, i medicinali da ordinare.
Il caso: farmacia online e privacy violata
Il dottor B, anche lui titolare di farmacia, ritiene che la condotta del collega dottor A sia scorretta sotto il profilo commerciale, tanto da essere contraria alle leggi tedesche in materia: in particolare, secondo il dottor B commercializzare medicinali la cui vendita è riservata alle farmacie rappresenterebbe una condotta sleale e scorretta, sotto il profilo commerciale, perché avverrebbe senza ottenere il previo consenso del paziente al trattamento dei suoi dati sanitari.
Il dottor B si rivolge al giudice tedesco e ottiene un'ingiunzione nei confronti del dottor A, con cui gli viene vietato di vendere i farmaci tramite Amazon, a meno che i clienti non possano esprimere preventivamente il loro consenso al trattamento dei dati sanitari.
La decisione del Tribunale tedesco di primo grado veniva confermata anche dal giudice d'appello; l'organo giurisdizionale incaricato di occuparsi del terzo grado di giudizio – il Bundesgerichtshof – decideva, tuttavia, di sospendere il procedimento per rivolgersi in via preliminare alla Corte di Giustizia Europea e ottenere un'interpretazione del Regolamento sui dati personali (GDPR), chiedendo alla Corte:
1) Se le disposizioni di cui al capo VIII del RGPD ostino a norme nazionali le quali – oltre ai poteri di intervento delle autorità di controllo preposte alla sorveglianza e all’attuazione del regolamento, e in aggiunta ai mezzi di ricorso a disposizione degli interessati – conferiscano ai concorrenti il potere di agire, in caso di violazioni di detto regolamento, contro l’autore della violazione, proponendo un ricorso dinanzi ai giudici civili fondato sul divieto di pratiche commerciali sleali,
2) Se i dati che i clienti di un farmacista, che interviene in qualità di venditore su una piattaforma di vendite online, forniscono su tale piattaforma, quando ordinano medicinali la cui vendita sia effettivamente riservata alle farmacie ma che non sono tuttavia soggetti a prescrizione medica (nome del cliente, indirizzo di consegna e informazioni necessarie all’individuazione del medicinale ordinato la cui vendita è riservata alle farmacie), siano dati relativi alla salute ai sensi dell’articolo 9, paragrafo 1, del RGPD e dell’articolo 8, paragrafo 1, della direttiva 95/46.
Il GDPR e la protezione dei dati sanitari
L'articolo 9 del GPDR annovera, tra i dati personali per i quali è prescritto il divieto di trattamento, i dati genetici e i dati relativi alla salute della persona, salvo le seguenti eccezioni:
- quando il titolare dei dati personali ha prestato il proprio consenso esplicito al trattamento di tali dati per una o più finalità specifiche (ad esempio per la diagnosi o la cura), salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il citato divieto,
- quando i dati personali sono necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale,
- i dati personali sono necessari per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso,
- il trattamento dei dati è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;
- i dati personali sono stati resi pubblici i n maniera manifesta dall'interessato;
- i dati sono necessari per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
- i dati sono necessari per motivi di interesse pubblico rilevante, proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;i dati sono necessari per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali,
- i dati sono necessari per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici,
- il trattamento dei dati è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
Il Considerando 35 del GDPR, che rappresenta una specie di “commento” al Regolamento sui dati personali redatto dagli stessi estensori della normativa, stabilisce che nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso.
La direttiva europea 95/06 (citata nel quesito posto dal giudice tedesco alla Corte Europea) è stata abrogata, a seguito dell'entrata in vigore del GDPR, a decorrere dal 25 maggio 2018.
La legge contro la concorrenza sleale vigente in Germania considera pratica commerciale sleale, come tale illecita, quella con cui venga violata una disposizione di legge che sia destinata a disciplinare il comportamento sul mercato nell'interesse dei soggetti partecipanti al mercato stesso, nell'ipotesi in cui tale violazione sia idonea a pregiudicare, in maniera sensibile, gli interessi dei consumatori, di altri soggetti partecipanti al mercato o dei concorrenti.
La decisione della Corte UE: tutela rafforzata per i dati sanitari
Una volta inquadrata la normativa di riferimento, è importante evidenziare che la Corte già in passato aveva evidenziato come l'accesso ai dati personali e il loro sfruttamento rivestano un'importanza fondamentale nell'ambito dell'economia digitale, trattandosi di un parametro significativo della concorrenza fra imprese dell'economia digitale. In tal senso, già nel 2023, con la sentenza Meta Platforms e a. del 4 luglio 2023 (C-252/21) la Corte Europea ha evidenziato che per tenere conto della realtà dell'evoluzione economica digitale e garantire una leale concorrenza può essere necessario tenere conto delle norme in materia di protezione dei dati personali – come il GDPR – nell'ambito dell'applicazione del diritto della concorrenza e delle norme relative alle pratiche commerciali sleali.
Ciò, in sostanza, legittima l'invocazione dell'applicazione della normativa in materia di privacy anche da un soggetto che non è titolare dei dati sanitari (come il dottor B, concorrente della farmacia del dottor A), i cui diritti possano comunque venire lesi, indirettamente, da un trattamento illecito dei dati sanitari: la lesione, nel caso di specie, si sostanzia nella concorrenza sleale che la farmacia del dottor A fa a quella del dottor B tramite le vendite online di farmaci riservati alla vendita fisica in farmacia.
La Corte Europea ha concluso il giudizio ritenendo, perciò, legittima la domanda di tutela invocata dal dottor B.
Nel merito, con riferimento alla qualificazione dei dati che un soggetto inserisca su una piattaforma online al momento dell'ordine di medicinali, li ha qualificati come dati relativi alla salute, poiché un ordine del genere implica la creazione di un nesso tra un medicinale, le sue indicazioni terapeutiche o i suoi usi, e una persona fisica identificata o identificabile da elementi come il nome o l'indirizzo di consegna.
La corte precisa, inoltre che non si può escludere che, anche nell’ipotesi in cui simili medicinali siano destinati a persone diverse dai clienti, sia possibile identificare tali persone e trarre conclusioni sul loro stato di salute. Ciò potrebbe verificarsi, ad esempio, quando i medicinali in questione sono consegnati non al domicilio del cliente che li ha ordinati, ma al domicilio di un’altra persona, o quando, indipendentemente dall’indirizzo di consegna, il cliente ha fatto riferimento, nell’ordine o nelle comunicazioni ad esso relative, ad un’altra persona identificabile, quale un suo familiare. Analogamente, quando l’ordine richiede l’identificazione e/o la registrazione del cliente, ad esempio mediante la creazione di un conto cliente o la sua adesione ad un programma di fidelizzazione, non si può escludere che le informazioni inserite dal cliente in tale contesto possano essere utilizzate per trarre conclusioni non solo sullo stato di salute di tale cliente, ma anche su quello di un’altra persona, in particolare in combinazione con le informazioni relative ai medicinali ordinati.
Alla luce di quanto sopra, la Corte ha stabilito che nel caso in cui il gestore di una farmacia commercializzi, tramite piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti di tale gestore inseriscono al momento dell'ordine online dei medicinali (nome, indirizzo di consegna, elementi necessari all'individualizzazione dei medicinali) costituiscono dati relativi alla salute, anche nell'ipotesi in cui i medicinali non siano soggetti all'obbligo di prescrizione medica.