Il mancato rispetto della normativa in materia di protezione dati personali diventa motivo, sollevabile in giudizio, a fondamento di una pratica commerciale scorretta. A decretarlo è la CGUE nella vicenda C-21/23, come da nota diffusa lo scorso 4 ottobre 2024.

Un cambio di paradigma importante che vede la violazione del GDPR non più una mera questione di “privacy” o meglio di protezione dati, ma una nuova leva di sbarramento o permanenza sul mercato.

Ma andiamo per gradi, scendendo più nel dettaglio.

La violazione del GDPR è concorrenza sleale

D’ora in poi, gli Stati membri danno la possibilità ai concorrenti che intravedano una presunta violazione della protezione dei dati personali, di avanzare una causa per pratica commerciale scorretta.

Si tratta di un principio innovativo nella misura in cui pensiamo alla compliance del GDPR come a una questione di “orticello”. Ancora una volta, con la pronuncia in parola, questa miope visione, viene clamorosamente smentita.

La grande novità: il cambio di paradigma

La grande novità è data da un cambio di paradigma, quindi.

Così la CGUE accende il riflettore sull’importanza di essere compliance al GDPR, e questa volta nel farlo mette di mezzo la sopravvivenza sul mercato.

Non sono più soltanto le Autorità o i clienti/diretti interessati a poter far valere i loro diritti, ma anche le organizzazioni concorrenti ben potendo portare in Tribunale quanti non rispettano la normativa sulla protezione dei dati.

Di qui, le (presunte) violazioni del GDPR diventano potenti leve se si vuole restare sul mercato.

La vicenda in fatto e in diritto

Scendiamo nel merito della questione che ha visto la Corte federale di giustizia tedesca dover risolvere una controversia insorta tra due farmacisti concorrenti, uno dei quali lamentava una violazione della protezione dei dati da parte dell’altro.

Per conseguenza, la stessa Autorità adita si è rivolta alla Corte di giustizia al fine di interpretare il GDPR, e l’interpretazione che ne deriva è lampante, come si legge nel Comunicato stampa, il GDPR “non osta a una normativa nazionale che consenta ai concorrenti del presunto autore di una violazione della protezione dei dati personali di contestarla in giudizio in quanto pratica commerciale sleale vietata”.

Inoltre, essa dichiara che costituiscono dati relativi alla salute ai sensi del RGPD le informazioni inserite dai clienti al momento dell’ordine online dei medicinali riservati alle farmacie, anche qualora la vendita di questi ultimi non sia soggetta a prescrizione medica.

Di conseguenza, il venditore deve informare tali clienti in modo accurato, completo e facilmente comprensibile in merito alle caratteristiche e alle finalità specifiche del trattamento di tali dati e chiedere loro il consenso esplicito a tale trattamento.

I fatti

Il farmacista titolare della farmacia “Lindenapotheke” commercializzava su Amazon, dal 2017, medicinali la cui vendita era ed è affare delle farmacie. Per completare l’acquisto online, invero, i clienti erano/sono tenuti a inserire diverse informazioni al momento (es. nome, indirizzo di consegna e gli elementi necessari per l’individuazione dei medicinali) dell’ordine online di tali medicinali.

Per contro, un farmacista concorrente, “basandosi sulla normativa tedesca in materia di pratiche commerciali sleali, […] ha chiesto alla giustizia tedesca di ordinare al titolare della Lindenapotheke di cessare tale attività finché non [fosse] garantito che i clienti [potessero] dare il loro consenso preventivo al trattamento di dati relativi alla salute”.

Le questioni pregiudiziali: competenza e tipologia dei dati

La questione pregiudiziale che la Corte federale di giustizia tedesca si pone è la seguente: la normativa nazionale che consenta a un concorrente di agire in giudizio contro il presunto autore delle violazioni del GDPR sulla base del divieto delle pratiche commerciali sleali è conforme a detto Regolamento (UE – 2016/679)?

La risposta è netta: sì. D’altra parte, spetta alle singole Autorità garanti per la protezione dei dati “sorvegliare e far applicare tale regolamento e agli interessati (in questo caso, i clienti) difendere i loro diritti”, scrivono i Giudici.

Non solo, apprendiamo sempre dalla lettura della pronuncia in commento, la corte tedesca si chiede anche “se le informazioni inserite in occasione degli acquisti online di medicinali la cui vendita è riservata alle farmacie costituiscano dati relativi alla salute ai sensi del RGPD, anche nel caso in cui tali medicinali non siano soggetti a prescrizione medica”.

Detto altrimenti, i dati (personali) inseriti in fase di ordine online possono rientrare nella “categoria particolare” (ex art. 9 GDPR) – ex sensibili – e per ciò stesso richiedono anzitutto il consenso esplicito nonché tutte le tipiche e rafforzate tutele (dalle misure di sicurezza, ecc.) affinché il trattamento sia legittimo ovvero compliance a tutto tondo al GDPR.

Il responso della Corte di giustizia e il principio di diritto

Il responso della CGUE è molto chiaro, arrivando a dire che “anche per la vendita di medicinali senza prescrizione, i dati dei clienti, come nome e indirizzo, sono considerati dati relativi alla salute e richiedono il loro consenso esplicito per essere trattati” e ancor prima ritiene che il GDPR non osta né pone limitazioni alcune a che “i concorrenti del presunto autore di una violazione della protezione dei dati personali di agire in giudizio nei suoi confronti, per violazioni di tale regolamento, sulla base del divieto delle pratiche commerciali sleali”.

Anzi, prosegue affermando come “ciò contribuisce indubbiamente a rafforzare i diritti degli interessati e a garantire loro un elevato livello di protezione”. Passaggio indubbiamente interessante.

Quanto poi al caso di specie, nel giungere alla conclusione che le informazioni/dati personali “idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute di una persona fisica identificata o identificabile, perché viene stabilito un nesso tra quest’ultima e un medicinale, le sue indicazioni terapeutiche o i suoi usi, indipendentemente dal fatto che tali informazioni riguardino il cliente o qualsiasi altra persona per la quale quest’ultimo effettui l’ordine” sono da ritenersi riconducibili alla categoria di “dati relativi alla salute”, con quanto per conseguenza come sopra accennato.

Dal lato pratico, significa anche che non rileva la presenza o meno di una ricetta o meglio non è la prescrizione medica a qualificare il dato personale particolare. Parimenti, non è a tipologia del farmaco da banco, il quale non necessita di ricetta medica, o quell’altro che invece la richiede a proteggere più o meno il dato inserito. Niente affatto la protezione deve sempre ritenersi elevata.

La mancanza di consenso determina la violazione del GDPR

Di conseguenza, il venditore è tenuto ad “informare tali clienti in modo accurato, completo e facilmente comprensibile in merito alle caratteristiche e alle finalità specifiche del trattamento di tali dati e chiedere il loro consenso esplicito a tale trattamento”.

Il precipitato: consenso e trasparenza prima di tutto

Ecco il precipitato di questa pronuncia:

1. da un lato, gli Stati membri possono prevedere che i concorrenti della persona presunta responsabile di una violazione delle norme sulla protezione dei dati personali possano impugnare tale violazione in Tribunale come pratica commerciale vietata;
2. dall’altro, quando una farmacia commercializza, attraverso una piattaforma web medicinali la cui vendita è appannaggio delle sole farmacie, le informazioni inserite dai clienti al momento dell’ordine costituiscono dati relativi alla salute, ai sensi del GDPR, con la conseguenza che i medesimi debbono essere informati circa le caratteristiche e le specifiche finalità del trattamento di tali dati, ben manifestando un loro esplicito consenso a tale trattamento.

Compliance GDPR: non è più solo una questione di legge

Con questa sentenza abbastanza epocale non si possono più addure giustificazioni quando la compliance al GDPR è debole se non anche contraria ai dettami di legge, portando anche a sanzioni amministrativo-pecuniarie (art. 83).

Le conseguenze possono essere drastiche come la fuoriuscite dal mercato per pratica commerciale scorretta avanzata giudizialmente e laddove il Paese lo preveda.

Quindi, chi intende vendere o già commercializza online deve, d’ora in avanti, essere assolutamente trasparente e acquisire il consenso esplicito, liberamente prestato.