Corte di Giustizia, Sentenza del 04/10/2024, Vendita di farmaci su Amazon. Concorrenza e protezione dei dati

CGUE, Grande sez., 4 ottobre 2024, causa C-21/23

Pres. K. Lenaerts, Est. I. Ziemele

Vendita di farmaci – Commercializzazione su piattaforme online – Protezione dei dati personali – Trattamento di dati relativi alla salute – Tutela della concorrenza – Divieto di pratiche commerciali sleali – Coesistenza di rimedi

Vendita di farmaci – Commercializzazione su piattaforme online – Protezione dei dati personali – Trattamento di dati relativi alla salute – Definizione di dato relativo alla salute – Divieto di trattamento di particolari categorie di dati personali

«Nel caso in cui il gestore di una farmacia commercializzi, tramite una piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti di tale gestore inseriscono al momento dell’ordine online dei medicinali, quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione dei medicinali, costituiscono dati relativi alla salute, ai sensi di tali disposizioni, anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica». Questo è quanto afferma la Corte di giustizia dell’Unione europea, con la sentenza del 4 ottobre 2024, resa dalla grande sezione, nella causa C-21/23 (Lindenapotheke), sull’interpretazione dell’art. 9, par. 1, GDPR, e del corrispondente art. 8 della Direttiva madre, n. 46 del 1995.

Un tale, che gestiva una farmacia, a partire dal 2017 vendeva medicinali riservati alle farmacie sulla piattaforma online «Amazon-Marketplace». Ai clienti che ordinavano i farmaci in questo modo si richiedeva di inserire informazioni, come il loro nome, l’indirizzo di consegna e gli elementi necessari all’individuazione dei medicinali stessi. Il gestore di un’altra farmacia, sulla base alla legislazione tedesca in materia di pratiche commerciali sleali, chiedeva ed otteneva un’ingiunzione che vietava al concorrente di vendere tali farmaci tramite Amazon, a meno che i clienti non potessero esprimere preventivamente il loro consenso al trattamento dei dati sanitari. In particolare, il ricorrente aveva sostenuto che commercializzare medicinali di questo tipo sulla piattaforma fosse sleale, in quanto avveniva senza ottenere il previo esplicito consenso dell’interessato, richiesto invece ai sensi dell’art. 9, par. 2, GDPR.

Il giudice dell’appello poi respingeva l’impugnazione di tale decisione, ritenendo che tale commercializzazione online di medicinali costituisse effettivamente una pratica sleale, e quindi illecita ai sensi dell’art. 3, par. 1, del Gesetz gegen den unlauteren Wettbewerb, la legge tedesca contro la concorrenza sleale, in combinato disposto con l’art. 9 GDPR, e, ai sensi dell’art. 8, par. 3, punto 1, della legge menzionata, il concorrente può esperire un’azione inibitoria per avere tutela in sede civile.

Il Bundesgerichtshof, dinanzi al quale il provvedimento era impugnato, decideva di sospendere il procedimento, per sottoporre alla Corte di giustizia due questioni pregiudiziali, inerenti all’interpretazione del Regolamento generale sulla protezione dei dati: «1) Se le disposizioni di cui al capo VIII del RGPD ostino a norme nazionali le quali – oltre ai poteri di intervento delle autorità di controllo preposte alla sorveglianza e all’attuazione del regolamento, e in aggiunta ai mezzi di ricorso a disposizione degli interessati – conferiscano ai concorrenti il potere di agire, in caso di violazioni di detto regolamento, contro l’autore della violazione, proponendo un ricorso dinanzi ai giudici civili fondato sul divieto di pratiche commerciali sleali. 2) Se i dati che i clienti di un farmacista, che interviene in qualità di venditore su una piattaforma di vendite online, forniscono su tale piattaforma, quando ordinano medicinali la cui vendita sia effettivamente riservata alle farmacie ma che non sono tuttavia soggetti a prescrizione medica (nome del cliente, indirizzo di consegna e informazioni necessarie all’individuazione del medicinale ordinato la cui vendita è riservata alle farmacie), siano dati relativi alla salute ai sensi dell’articolo 9, paragrafo 1, del RGPD e dell’articolo 8, paragrafo 1, della direttiva 95/46».

Con riferimento alla prima questione, la Corte, in linea con le conclusioni dell’Avvocato generale, osserva che solo gli interessati rispetto al trattamento dei dati e non i soggetti della concorrenza sono destinatari della protezione dei dati personali garantita dal GDPR. Tuttavia nel GDPR non vi sono norme che escludono la possibilità per il concorrente di un’impresa di proporre ricorso dinanzi ai giudici civili, in base al divieto delle pratiche commerciali sleali, per la presunta violazione, da parte di un’altra impresa, degli obblighi previsti da tale regolamento, e anzi, dal tenore degli artt. 77, par. 1, 78, par. 1, e 79, par. 1, GDPR, risulta che il diritto di proporre reclamo a un’autorità di controllo, nonché il diritto a un ricorso giurisdizionale effettivo contro tale autorità e contro un titolare del trattamento o un responsabile del trattamento si intendono ‘fatti salvi’ eventuali altri ricorsi amministrativi, giurisdizionali o extragiudiziali. La Corte ribadisce così – richiamando la sentenza del 4 luglio 2023, Meta Platforms Ireland – che «l’accesso ai dati personali e il loro sfruttamento rivestono un’importanza fondamentale nell’ambito dell’economia digitale. Infatti, l’accesso ai dati personali e la possibilità di trattamento di tali dati sono diventati un parametro significativo della concorrenza fra imprese dell’economia digitale. Pertanto, per tener conto della realtà di questa evoluzione economica e garantire una concorrenza leale, può essere necessario tener conto delle norme in materia di protezione dei dati personali nell’ambito dell’applicazione del diritto della concorrenza e delle norme relative alle pratiche commerciali sleali».

Il fatto che coesistano più mezzi di ricorso, secondo il diritto della protezione dei dati e secondo il diritto della concorrenza, non pregiudica l’applicazione uniforme del Regolamento. Anzi, un’azione inibitoria di un concorrente del presunto autore di una lesione della protezione dei dati personali partecipa del rispetto di tali disposizioni e rafforza i diritti degli interessati, assicurando loro un elevato livello di protezione.

Perciò la Corte dichiara che «le disposizioni del capo VIII del RGPD devono essere interpretate nel senso che esse non ostano a una normativa nazionale che, parallelamente ai poteri di intervento delle autorità di controllo incaricate di sorvegliare e di far applicare tale regolamento e parallelamente alle possibilità di ricorso degli interessati, conferisce ai concorrenti del presunto autore di una violazione della protezione dei dati personali la legittimazione ad agire contro quest’ultimo mediante un ricorso dinanzi ai giudici civili, per violazione di detto regolamento e sul fondamento del divieto delle pratiche commerciali sleali».

Relativamente alla seconda questione, la Corte afferma che, in conformità agli artt. 4, nn. 1) e 15), e 9, par. 1, GDPR, letti alla luce dei considerando 35 e 51, «quando i dati sugli acquisti dei medicinali consentono di trarre conclusioni sullo stato di salute di una persona identificata o identificabile, essi devono essere considerati dati relativi alla salute».

La nozione di ‘dati relativi alla salute’, tanto del GDPR quanto della Direttiva madre, va intesa in senso ampio, come già precisato con le sentenze 6 novembre 2003, Lindqvist, e del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija. In particolare, riprendendo le argomentazioni espresse in tale ultima pronuncia, la Corte ribadisce che, «affinché dati personali possano essere qualificati come dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, è sufficiente che essi siano idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute dell’interessato» (punto 83).

Secondo la Corte, i dati che un cliente inserisce in una piattaforma online al momento dell’ordine di medicinali sono idonei a rivelare così informazioni sullo stato di salute dell’interessato, poiché «tale ordine implica la creazione di un nesso tra un medicinale, le sue indicazioni terapeutiche o i suoi usi, e una persona fisica identificata o identificabile da elementi quali il nome di tale persona o l’indirizzo di consegna».

Con riguardo alla circostanza per cui i medicinali potrebbero essere destinati non al cliente che procede all’ordine bensì a terzi, legata al fatto che la vendita dei medicinali ordinati non sia soggetta a prescrizione medica, la Corte osserva che gli artt. 8 della Direttiva n. 46 del 1995 e 9 GDPR sono diretti a vietare il trattamento di particolari categorie di dati personali «a prescindere da quale sia la loro finalità dichiarata e dall’accuratezza delle informazioni in questione», tenuto conto dei rischi significativi per le libertà fondamentali e i diritti fondamentali degli interessati, generati da qualsivoglia trattamento proprio di questi dati. «Un’interpretazione di tali disposizioni che porti a distinguere in base al tipo di medicinale in questione e al fatto che la sua vendita sia o meno soggetta a prescrizione medica non sarebbe coerente con l’obiettivo di un elevato livello di protezione», che è lo scopo della Direttiva e del Regolamento. «Del resto – aggiunge – non si può escludere che, anche nell’ipotesi in cui simili medicinali siano destinati a persone diverse dai clienti, sia possibile identificare tali persone e trarre conclusioni sul loro stato di salute. Ciò potrebbe verificarsi, ad esempio, quando i medicinali in questione sono consegnati non al domicilio del cliente che li ha ordinati, ma al domicilio di un’altra persona, o quando, indipendentemente dall’indirizzo di consegna, il cliente ha fatto riferimento, nell’ordine o nelle comunicazioni ad esso relative, ad un’altra persona identificabile, quale un suo familiare. Analogamente, quando l’ordine richiede l’identificazione e/o la registrazione del cliente, ad esempio mediante la creazione di un conto cliente o la sua adesione ad un programma di fidelizzazione, non si può escludere che le informazioni inserite dal cliente in tale contesto possano essere utilizzate per trarre conclusioni non solo sullo stato di salute di tale cliente, ma anche su quello di un’altra persona, in particolare in combinazione con le informazioni relative ai medicinali ordinati» (punto 91).

Perciò, diversamente da quanto prospettato dall’Avvocato generale, secondo cui i dati dei clienti di un farmacista non sono classificabili come dati relativi alla salute se è possibile trarre solo conclusioni ipotetiche o imprecise sull’interessato, la Corte ritiene che «le informazioni che i clienti di un gestore di una farmacia immettono quando ordinano online medicinali la cui vendita è riservata alle farmacie senza essere soggetta a prescrizione medica costituiscono dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, anche se è solo con una certa probabilità, e non con assoluta certezza, che tali medicinali siano destinati a tali clienti».

S.C.