Introduzione: la sentenza della Corte di Giustizia UE e la protezione dei dati sanitari online.
La recente sentenza della corte di giustizia rappresenta una pietra miliare nella comprensione e nell’applicazione del regolamento generale sulla protezione dei dati nel contesto dinamico della vendita di farmaci online, un settore in rapida espansione che solleva questioni delicate in merito alla riservatezza delle informazioni personali soprattutto quando si tratta di dati concernenti la salute
Questa pronuncia emerge da una disputa legale originatasi in germania tra due farmacisti concorrenti uno dei quali la lindenapotheke commercializzava farmaci riservati alla vendita in farmacia attraverso la piattaforma amazon richiedendo ai clienti di inserire dati personali come nome indirizzo e dettagli necessari per l’acquisto.
Un altro farmacista contestava questa pratica sostenendo che la raccolta e il trattamento di tali dati avvenivano in violazione del gdpr in particolare per la mancanza di un consenso esplicito da parte dei clienti per il trattamento di dati considerati relativi alla salute.
La corte federale di giustizia tedesca investita della questione ha ritenuto opportuno rivolgersi alla corte di giustizia dell’unione europea con due quesiti fondamentali: il primo riguardava se il gdpr ostasse a normative nazionali che consentissero ai concorrenti di agire in giudizio contro presunte violazioni del gdpr sulla base del divieto di pratiche commerciali sleali; il secondo quesito interrogava la corte sulla classificazione dei dati forniti dai clienti durante l’acquisto online di farmaci soggetti a riserva farmaceutica ma non soggetti a prescrizione medica chiedendo se tali informazioni dovessero essere considerate dati relativi alla salute ai sensi del gdpr.
La risposta della corte è stata chiara e significativa. In primo luogo ha stabilito che il gdpr non preclude normative nazionali che consentano ai concorrenti di contestare in tribunale violazioni del gdpr come pratiche commerciali sleali riconoscendo che la mancata conformità alla normativa sulla protezione dei dati può costituire un vantaggio competitivo indebito e alterare le dinamiche del mercato.
In secondo luogo la corte ha affermato con forza che le informazioni fornite dai clienti al momento dell’ordine online di farmaci riservati alla farmacia inclusi nome indirizzo e dettagli del medicinale costituiscono dati relativi alla salute ai sensi dell’articolo nove paragrafo uno del gdpr anche quando tali farmaci non richiedono prescrizione medica.
La motivazione di questa decisione si basa sul fatto che tali dati sono idonei a rivelare informazioni sullo stato di salute di una persona fisica stabilendo un nesso tra l’identità dell’acquirente e il farmaco acquistato le sue indicazioni terapeutiche o i suoi usi indipendentemente dal fatto che l’acquisto sia per l’acquirente stesso o per terzi.
La corte ha sottolineato che la nozione di dati relativi alla salute deve essere interpretata in senso ampio per garantire un elevato livello di protezione conformemente agli obiettivi del gdpr di conseguenza la vendita online di medicinali anche quelli da banco richiede sempre l’acquisizione di un consenso esplicito da parte del cliente per il trattamento dei propri dati sanitari previa un’informativa chiara completa e facilmente comprensibile sulle caratteristiche e le finalità specifiche di tale trattamento
Questa sentenza ha implicazioni dirette per tutte le farmacie online operanti in europa inclusa l’italia che ora devono prestare ancora maggiore attenzione alle proprie procedure di raccolta e trattamento dei dati personali garantendo la piena conformità al gdpr non solo per evitare sanzioni da parte delle autorità di controllo ma anche per scongiurare azioni legali da parte dei concorrenti che potrebbero contestare pratiche commerciali ritenute sleali a causa di violazioni della normativa sulla protezione dei dati
In sintesi la pronuncia della cgue sottolinea come la protezione dei dati sanitari online sia un aspetto fondamentale non solo per la tutela della privacy degli individui ma anche per garantire una concorrenza leale nel mercato digitale farmaceutico inviando un chiaro messaggio alle aziende sull’importanza di una rigorosa compliance al gdpr
Il caso Lindenapotheke: Origine della controversia sulla vendita online di farmaci.
La genesi della controversia che ha portato alla sentenza della corte di giustizia ue nel caso Lindenapotheke affonda le proprie radici in un contesto di mercato farmaceutico tedesco caratterizzato dalla coesistenza di farmacie fisiche tradizionali e nuove forme di commercio online.
In questo scenario la farmacia denominata Lindenapotheke gestita dal suo titolare aveva intrapreso una strategia di vendita più ampia sfruttando la popolarità e la portata della piattaforma di e-commerce Amazon Marketplace per offrire al pubblico una selezione di prodotti farmaceutici. La peculiarità di questa offerta risiedeva nel fatto che includeva medicinali che sebbene non soggetti all’obbligo di presentazione di una ricetta medica erano tuttavia classificati dalla legislazione tedesca come riservati alla vendita esclusiva nelle farmacie fisiche.
Un’altra farmacia concorrente operante nello stesso mercato e identificata come DR il cui titolare esercitava l’attività nella città di monaco mentre la lindenapotheke aveva sede in sassonia-anhalt aveva percepito questa espansione commerciale online come una violazione delle normative vigenti e una forma di concorrenza sleale.
Secondo la prospettiva di DR la condotta della Lindenapotheke nel commercializzare farmaci riservati tramite una piattaforma online come Amazon non rispettava gli obblighi relativi alla protezione dei dati personali dei clienti. In particolare DR contestava l’assenza di un valido consenso espresso dai clienti per il trattamento dei loro dati sanitari.
Durante il processo di acquisto online infatti al momento dell’ordine i clienti della Lindenapotheke su Amazon erano tenuti a inserire diverse informazioni personali come il loro nome l’indirizzo di consegna e gli elementi necessari per identificare i medicinali acquistati informazioni che secondo DR unite alla natura dei prodotti acquistati configuravano un trattamento di dati relativi alla salute che ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR) sarebbe stato illecito in assenza di un consenso esplicito da parte degli interessati. La vendita di farmaci da banco o otc su Amazon quindi rappresentava il cuore della disputa con DR che argomentava come tale modalità di commercializzazione aggirasse le tutele previste dal GDPR in materia di dati sanitari creando un vantaggio competitivo indebito per la Lindenapotheke che non si sobbarcava gli oneri legati alla corretta acquisizione e gestione del consenso per questa tipologia di dati sensibili
Di fronte a questa contestazione DR aveva intrapreso un’azione legale dinanzi al tribunale regionale tedesco chiedendo un’ingiunzione per far cessare tale attività di vendita online fino a quando la Lindenapotheke non avesse garantito la raccolta del consenso preventivo dei clienti per il trattamento dei loro dati relativi alla salute. I tribunali di grado inferiore avevano accolto le ragioni di DR ma il successivo ricorso della Lindenapotheke aveva portato la questione all’attenzione della corte federale di giustizia tedesca la quale ravvisando la necessità di un’interpretazione uniforme del diritto dell’unione europea aveva deciso di sottoporre alla corte di giustizia dell’ue le due questioni pregiudiziali che avrebbero poi portato alla significativa sentenza del quattro ottobre duemila ventiquattro.
La questione della vendita di farmaci da banco o OTC attraverso piattaforme online come Amazon è stata al centro del dibattito giuridico europeo in particolare nel contesto del caso Lindenapotheke che ha visto contrapporsi due farmacisti tedeschi in merito alla liceità della commercializzazione online di medicinali riservati alle farmacie ma non soggetti a prescrizione medica.
La farmacia Lindenapotheke aveva esteso la propria attività vendendo tali prodotti tramite Amazon, una pratica contestata da un farmacista concorrente DR il quale sosteneva che tale modalità di vendita costituiva una violazione del Regolamento Generale sulla Protezione dei Dati (GDPR) in quanto comportava il trattamento di dati relativi alla salute dei clienti senza il loro esplicito consenso richiesto dall’articolo 9 del GDPR per le categorie particolari di dati personali. La vendita di farmaci OTC online implica necessariamente la raccolta di informazioni sui clienti come il loro nome l’indirizzo di consegna e i dettagli dei medicinali acquistati.
Secondo DR e come poi confermato dalla Corte di Giustizia dell’Unione Europea (CGUE) queste informazioni creano un nesso tra l’identità dell’acquirente e il prodotto farmaceutico acquistato il che è sufficiente per qualificare tali dati come dati concernenti la salute ai sensi dell’articolo 4(15) e dell’articolo 9(1) del GDPR anche se i farmaci non richiedono una prescrizione medica.
L’argomentazione del farmacista ricorrente DR si basava sul fatto che la mancata richiesta del consenso esplicito per il trattamento di questi dati sanitari da parte della Lindenapotheke configurava una pratica commerciale sleale ai sensi della legge tedesca contro la concorrenza sleale (UWG) in quanto la violazione di una disposizione di legge come il GDPR che mira a tutelare gli interessi dei consumatori può essere considerata un atto di concorrenza sleale a danno dei concorrenti che invece rispettano tali normative.
la CGUE nella sua sentenza del 4 ottobre 2024 ha chiarito che il GDPR non osta a una normativa nazionale che consenta ai concorrenti di agire in giudizio contro chi viola le norme sulla protezione dei dati personali contestando tale violazione come pratica commerciale sleale vietata inoltre la corte ha statuito che le informazioni fornite dai clienti al momento dell’ordine online di farmaci riservati alla farmacia costituiscono dati relativi alla salute anche quando tali farmaci non sono soggetti a prescrizione medica ribaltando in parte le conclusioni dell’Avvocato Generale Szpunar che aveva espresso un parere più restrittivo sulla qualificazione di tali dati come sanitari.
La CGUE ha sottolineato che è irrilevante se i medicinali siano destinati all’acquirente stesso o a terzi in quanto il collegamento tra l’identità dell’acquirente e l’acquisto del farmaco è sufficiente per poter potenzialmente desumere informazioni sullo stato di salute. La conseguenza di questa sentenza è che le farmacie che vendono farmaci OTC online tramite piattaforme come Amazon sono obbligate a informare i clienti in modo trasparente sulle finalità del trattamento dei loro dati e a ottenere il loro consenso esplicito per tale trattamento.
La mancata ottemperanza a questi obblighi non solo può comportare sanzioni da parte delle autorità di controllo per la protezione dei dati ma può anche esporre il venditore ad azioni legali per concorrenza sleale da parte dei concorrenti rafforzando così la tutela dei dati sanitari degli individui anche nel contesto del commercio online di farmaci non soggetti a prescrizione.
La questione della concorrenza sleale e della protezione dei dati.
Un aspetto cruciale della sentenza riguarda la qualificazione dei dati raccolti durante la vendita online di farmaci anche quelli non soggetti a prescrizione medica. La CGUE ha statuito che tali informazioni come il nome l’indirizzo di consegna e i dettagli del medicinale acquistato costituiscono dati relativi alla salute ai sensi dell’articolo 4(15) e dell’articolo 9(1) del GDPR in quanto permettono di trarre conclusioni sullo stato di salute di una persona identificata o identificabile. Questa interpretazione ampia del concetto di dato relativo alla salute implica che anche per la vendita online di farmaci OTC è necessario ottenere il consenso esplicito dell’interessato per il trattamento di tali dati.
Per quanto riguarda l’ordinamento italiano, sebbene non esista una disposizione esplicita come nel diritto tedesco che preveda la violazione di legge come atto di concorrenza sleale, l’articolo 2598 del Codice Civile al comma 3 sanziona le condotte contrarie alla correttezza professionale idonee a nuocere all’attività di un concorrente.
La giurisprudenza italiana ha ammesso che violazioni di norme di diritto pubblico possono configurare concorrenza sleale se determinano un ingiustificato vantaggio competitivo pertanto la sentenza della CGUE nel caso Lindenapotheke fornisce un’importante precedente interpretativo che potrebbe influenzare la valutazione delle violazioni del GDPR come atti di concorrenza sleale anche in Italia.
Le imprese che non si conformano al GDPR e ottengono in tal modo un risparmio di costi o un vantaggio competitivo potrebbero esporsi ad azioni legali da parte dei concorrenti che rispettano le normative sulla protezione dei dati rafforzando così l’importanza della compliance al GDPR non solo come obbligo legale verso gli interessati ma anche come elemento fondamentale per garantire una concorrenza leale tra le imprese
Il rinvio pregiudiziale alla CGUE.
La Corte Federale di Giustizia tedesca (Bundesgerichtshof – BGH) si è trovata a dover dirimere una questione complessa che implicava l’applicazione di normative europee e nazionali e, di fronte a dubbi interpretativi, ha ritenuto opportuno sospendere il procedimento nazionale e sottoporre alla CGUE delle questioni pregiudiziali ai sensi dell’articolo 267 del Trattato sul Funzionamento dell’Unione Europea.
Questo meccanismo del rinvio pregiudiziale è fondamentale per garantire un’applicazione uniforme del diritto dell’UE in tutti gli Stati membri in quanto permette ai giudici nazionali di chiedere chiarimenti alla CGUE sull’interpretazione di norme europee quando una questione di diritto unionale si pone in un procedimento pendente a livello nazionale
Nel caso Lindenapotheke, il BGH ha identificato due quesiti principali che necessitavano della pronuncia della CGUE.
Il primo interrogativo verteva sull’interpretazione del Capo VIII del GDPR relativo ai mezzi di ricorso alla responsabilità e alle sanzioni e in particolare se tale capo ostasse a una normativa nazionale come quella tedesca che consentiva ai concorrenti del presunto autore di una violazione della protezione dei dati personali di agire in giudizio contro quest’ultimo per pratica commerciale sleale. Questo quesito era di fondamentale importanza per stabilire se un concorrente potesse invocare una violazione del GDPR come fondamento di un’azione per concorrenza sleale anche al di là dei meccanismi di tutela previsti direttamente dal GDPR per gli interessati e le autorità di controllo
Il secondo quesito pregiudiziale si concentrava sulla qualificazione dei dati forniti dai clienti al momento dell’ordine online di medicinali la cui vendita è riservata alle farmacie, ma non soggetti a prescrizione medica la domanda specifica era se tali dati come il nome l’indirizzo di consegna e le informazioni necessarie all’individualizzazione del medicinale acquistato dovessero essere considerati dati relativi alla salute ai sensi dell’articolo 9 del GDPR e dell’articolo 8 della direttiva 95/46/CE. Questa questione era cruciale per determinare se la vendita online di tali farmaci richiedesse l’acquisizione del consenso esplicito del cliente per il trattamento di tali dati sensibili come previsto dal GDPR per i dati relativi alla salute
La decisione del BGH di effettuare il rinvio pregiudiziale evidenziava l’incertezza interpretativa esistente a livello nazionale in merito all’applicazione congiunta del GDPR e del diritto della concorrenza nonché alla definizione di dati relativi alla salute nel contesto specifico della vendita online di farmaci.
Il rinvio alla CGUE mirava quindi a ottenere una interpretazione autorevole e vincolante del diritto dell’Unione su queste questioni al fine di consentire al giudice nazionale di risolvere la controversia in modo conforme al diritto europeo e di garantire una sua applicazione uniforme in futuro.
La decisione della Corte di Giustizia UE: I punti chiave della sentenza del 4 ottobre 2024.
Un punto chiave fondamentale della sentenza è l’affermazione che il GDPR non osta a una normativa nazionale che consenta ai concorrenti di un presunto violatore della protezione dei dati personali di agire in giudizio contro di lui per pratica commerciale sleale vietata.
La Corte ha riconosciuto che la violazione delle norme sulla protezione dei dati può conferire a un’impresa un vantaggio competitivo indebito rispetto ai concorrenti che invece si conformano scrupolosamente al GDPR pertanto permettere ai concorrenti di contestare tali violazioni dinanzi ai tribunali civili non solo non pregiudica gli obiettivi del GDPR ma anzi ne rafforza l’efficacia pratica e contribuisce a garantire una concorrenza leale nel mercato. Questo apre nuove prospettive per le aziende che investono nella compliance al GDPR fornendo loro uno strumento aggiuntivo per contrastare i concorrenti che ottengono vantaggi illeciti attraverso la non conformità
Un altro punto cruciale della decisione riguarda la qualificazione dei dati raccolti durante la vendita online di medicinali riservati alle farmacie anche se non soggetti a prescrizione medica. La CGUE ha statuito inequivocabilmente che le informazioni che i clienti forniscono al momento dell’ordine online come il loro nome l’indirizzo di consegna e i dettagli dei medicinali acquistati costituiscono dati relativi alla salute ai sensi dell’articolo 4 punto 15 e dell’articolo 9 paragrafo 1 del GDPR. La Corte ha adottato un’interpretazione ampia del concetto di dato relativo alla salute ritenendo che l’acquisto di un farmaco anche OTC possa rivelare indirettamente informazioni sullo stato di salute dell’acquirente è irrilevante se il medicinale sia destinato all’acquirente stesso o a terzi.
Ciò implica che le farmacie che vendono farmaci online sono obbligate a ottenere il consenso esplicito dei clienti per il trattamento di tali dati sensibili conformemente all’articolo 9 del GDPR la mancata acquisizione di tale consenso non solo espone a sanzioni da parte delle autorità di controllo ma può anche configurare una pratica commerciale sleale contestabile dai concorrenti
La sentenza del 4 ottobre 2024 chiarisce che la protezione dei dati non è solo una questione di conformità legale verso gli interessati e le autorità di controllo ma ha anche una rilevante dimensione concorrenziale.
Le violazioni del GDPR come concorrenza sleale: la legittimazione dei concorrenti ad agire in giudizio.
la questione della legittimazione dei concorrenti ad agire in giudizio per violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR) configurate come concorrenza sleale rappresenta un aspetto centrale e innovativo emerso dalla sentenza della Corte di Giustizia dell’Unione Europea del 4 ottobre 2024 nel caso C-21/23 (Lindenapotheke)
La sentenza Lindenapotheke ha introdotto la possibilità per i concorrenti di un’impresa che viola il GDPR di adire i tribunali civili invocando la violazione come pratica commerciale sleale vietata
Questa legittimazione attiva dei concorrenti si fonda sul riconoscimento da parte della CGUE del fatto che una mancata conformità al GDPR può determinare un indebito vantaggio competitivo per l’impresa inadempiente che potrebbe risparmiare sui costi relativi alla compliance come consulenza formazione implementazione di misure di sicurezza e ottenendo così un beneficio economico a discapito dei concorrenti che invece investono nella piena osservanza della normativa sulla protezione dei dati.
la Corte ha quindi ritenuto che consentire ai concorrenti di agire in giudizio in questi casi non solo non pregiudica gli obiettivi del GDPR volti a garantire un elevato livello di protezione dei dati personali ma anzi può contribuire a rafforzare l’efficacia pratica del regolamento fornendo un ulteriore meccanismo di controllo e di deterrenza contro le violazioni
La CGUE ha sottolineato che i rimedi previsti dal Capo VIII del GDPR non devono essere considerati esaustivi e che pertanto non precludono la possibilità per gli Stati membri di prevedere ulteriori strumenti di tutela come l’azione per concorrenza sleale promossa dai concorrenti. La Corte ha anche evidenziato che una violazione del GDPR può simultaneamente costituire una violazione di altre normative tra cui quelle in materia di protezione dei consumatori o di concorrenza sleale richiamando precedenti giurisprudenziali in tal senso.
In definitiva la sentenza Lindenapotheke riconosce che l’interesse alla protezione dei dati personali non è solo individuale ma ha anche una dimensione collettiva e concorrenziale in quanto la violazione delle norme può distorcere il mercato e danneggiare le imprese virtuose
La classificazione dei dati di acquisto di farmaci online come dati relativi alla salute:
La classificazione dei dati di acquisto di farmaci online come dati relativi alla salute è un aspetto centrale della sentenza della Corte di Giustizia dell’Unione Europea (CGUE) del 4 ottobre 2024 nella causa C-21/23 (Lindenapotheke) e rappresenta un’interpretazione estensiva del concetto di “dati concernenti la salute” ai sensi dell’articolo 4 punto 15 e dell’articolo 9 del Regolamento Generale sulla Protezione dei Dati (GDPR)
Contrariamente all’opinione dell’Avvocato Generale Szpunar, la CGUE ha stabilito che le informazioni fornite dai clienti al momento dell’ordine online di medicinali riservati alla vendita in farmacia, anche se non soggetti a prescrizione medica, devono essere considerate dati relativi alla salute
Questa decisione si basa sul ragionamento che tali dati, come il nome del cliente, l’indirizzo di consegna e le informazioni sul medicinale acquistato, sono idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute di una persona fisica identificata o identificabile.
La Corte ha sottolineato che esiste un nesso tra il prodotto medicinale, le sue indicazioni terapeutiche o i suoi usi, e una persona fisica identificata o identificabile attraverso i dati forniti.
Questa classificazione prescinde dalla necessità di una prescrizione medica per il farmaco acquistato e dal fatto che l’acquirente possa non essere l’utilizzatore finale del medicinale.
La CGUE ha infatti chiarito che la protezione si applica indipendentemente dal fatto che le informazioni riguardino il cliente o qualsiasi altra persona per la quale quest’ultimo effettui l’ordine.
La Corte ha motivato questa ampia interpretazione con l’obiettivo del GDPR di garantire un elevato livello di protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali
Distinguere tra diverse categorie di medicinali in base alla necessità o meno di una prescrizione medica non sarebbe coerente con questo obiettivo. Di conseguenza, le farmacie online che trattano tali dati sono obbligate a informare i clienti in modo accurato, completo e facilmente comprensibile sulle caratteristiche e le finalità specifiche del trattamento e a ottenere il loro consenso esplicito.
Definizione di dati relativi alla salute ai sensi del GDPR.
la definizione di dati relativi alla salute ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR) è esplicitamente fornita dall’articolo 4 al punto 15 il quale stabilisce che si tratta di dati personali attinenti alla salute fisica o mentale di una persona fisica compresa la prestazione di servizi di assistenza sanitaria che rivelano informazioni relative al suo stato di salute
Questa definizione è ulteriormente chiarita dal considerando 35 del GDPR che specifica come i dati personali concernenti la salute dovrebbero includere tutti i dati riguardanti lo stato di salute di un interessato che rivelino informazioni relative alla salute fisica o mentale passata presente o futura dell’interessato.
Da queste disposizioni emerge chiaramente che il fattore determinante per stabilire se determinati dati personali rientrino nella categoria di dati relativi alla salute risiede nella possibilità di trarre da tali dati inferenze sullo stato di salute della persona a cui si riferiscono
In altre parole la nozione di dati relativi alla salute non è limitata ai soli dati medici in senso stretto o alle informazioni direttamente collegate a specifiche patologie ma abbraccia qualsiasi dato dal quale sia possibile desumere indicazioni concernenti la condizione di salute di un individuo che si tratti di uno stato patologico o fisiologico.
La Corte di Giustizia ha adottato un’interpretazione ampia di questa nozione precisando che essa include non solo i dati intrinsecamente sensibili ma anche quelli che rivelano informazioni di tale natura indirettamente a seguito di un’operazione intellettuale di deduzione o di raffronto. Questo approccio è condiviso anche dal Comitato Europeo per la Protezione dei Dati (EDPB) che evidenzia come non sia solo la natura intrinseca dell’informazione a determinarne la classificazione come dato relativo alla salute ma anche le circostanze della sua raccolta e del suo trattamento nonché il contesto in cui viene utilizzata.
L’irrilevanza della necessità di prescrizione medica.
L’irrilevanza della necessità di una prescrizione medica nell’ambito della classificazione dei dati relativi all’acquisto online di farmaci come dati concernenti la salute secondo il GDPR è un punto cruciale emerso con forza dalla sentenza della Corte di Giustizia dell’Unione Europea nel caso C-21/23 Lindenapotheke questa decisione segna un distacco significativo dall’approccio più restrittivo proposto dall’Avvocato Generale Szpunar il quale aveva inizialmente suggerito che i dati relativi all’acquisto di farmaci da banco non dovessero necessariamente essere considerati dati sanitari in quanto tali prodotti sono spesso destinati a disturbi comuni o acquistati a scopo preventivo e l’acquirente potrebbe non essere l’utilizzatore finale tuttavia la Corte ha nettamente respinto questa distinzione basata sulla presenza o assenza di una ricetta medica
La CGUE ha infatti affermato che la chiave per la classificazione come dato relativo alla salute risiede nella potenziale capacità delle informazioni di rivelare aspetti concernenti la salute di una persona identificata o identificabile indipendentemente dal fatto che il farmaco richieda o meno una prescrizione.
Il ragionamento della Corte si fonda sul fatto che anche l’acquisto di un farmaco non soggetto a prescrizione crea un nesso tra l’acquirente e un prodotto con specifiche indicazioni terapeutiche o usi. Da questo collegamento è possibile effettuare deduzioni sullo stato di salute dell’interessato sia esso l’acquirente o un terzo per il quale l’acquisto viene effettuato.
La Corte ha sottolineato che l’obiettivo primario del GDPR è garantire un elevato livello di protezione per i dati sensibili come quelli relativi alla salute e consentire una differenziazione basata sulla necessità di una prescrizione medica andrebbe contro questo obiettivo indebolendo la tutela in un contesto in cui le informazioni sull’acquisto online possono comunque rivelare aspetti delicati della vita privata
La protezione elevata sancita dall’articolo 9 del GDPR si estende a tutti i dati che possono essere collegati all’acquisto di farmaci online ribadendo l’importanza di considerare il contesto e la potenziale inferenza di informazioni sanitarie piuttosto che la mera classificazione amministrativa del farmaco.
La possibilità di dedurre informazioni sullo stato di salute.
la possibilità di dedurre informazioni sullo stato di salute è il fulcro della definizione di “dati relativi alla salute” secondo il GDPR e ha rappresentato un elemento determinante nella sentenza della Corte di Giustizia dell’Unione Europea.
Come abbiamo discusso in precedenza l’articolo 4 punto 15 del GDPR chiarisce che i dati relativi alla salute sono quei dati personali che attengono alla salute fisica o mentale di una persona fisica e che rivelano informazioni relative al suo stato di salute. Il considerando 35 del medesimo regolamento specifica ulteriormente che tale categoria include tutti i dati che permettono di desumere elementi sulla salute passata presente o futura dell’interessato
La Corte di Giustizia ha costantemente adottato un’interpretazione ampia di questa nozione sottolineando che non sono solo i dati medici in senso stretto a essere protetti ma anche quelle informazioni dalle quali è possibile inferire indirettamente lo stato di salute di un individuo.
Questo concetto di deduzione è cruciale infatti come evidenziato dalle fonti e ripreso nella nostra conversazione la classificazione di dati come “relativi alla salute” non dipende unicamente dalla loro natura intrinseca ma anche dalla possibilità di stabilire un collegamento o di effettuare un’operazione intellettuale di raffronto o deduzione che porti a rivelare informazioni sanitarie
Questa enfasi sulla deducibilità delle informazioni sanitarie evidenzia come il GDPR adotti un approccio orientato alla protezione sostanziale della privacy piuttosto che a una rigida categorizzazione formale dei dati. Anche informazioni apparentemente banali come l’acquisto di un farmaco da banco possono acquisire la qualifica di dato relativo alla salute se inserite in un contesto che ne permette la correlazione con lo stato di salute di una persona. Di conseguenza chiunque tratti dati relativi all’acquisto di farmaci online è tenuto a considerare attentamente la possibilità che da tali dati si possano dedurre informazioni sanitarie e ad adottare le misure di protezione previste dall’articolo 9 del GDPR tra cui l’ottenimento del consenso esplicito dell’interessato.
La sentenza sottolinea quindi che la mera assenza di una prescrizione medica non esclude la potenziale rivelazione di informazioni sulla salute attraverso i dati di acquisto e ribadisce l’importanza di valutare caso per caso la possibilità di effettuare tali deduzioni al fine di garantire una protezione elevata a questa categoria sensibile di dati personali
La necessità del consenso esplicito per il trattamento dei dati sanitari.
La necessità del consenso esplicito per il trattamento dei dati sanitari è un principio fondamentale sancito dall’articolo 9 del Regolamento Generale sulla Protezione dei Dati GDPR che stabilisce un divieto generale per il trattamento di categorie particolari di dati personali tra cui rientrano i dati relativi alla salute.
In virtù dell’articolo 9 paragrafo 1 del GDPR il trattamento di tali dati è vietato a meno che non ricorra una delle condizioni specifiche elencate nel paragrafo 2.
Tra queste condizioni spicca in modo particolare la prestazione di un consenso esplicito da parte dell’interessato. Questo significa che per poter legittimamente raccogliere utilizzare conservare o comunque trattare i dati sanitari dei clienti che acquistano farmaci online le farmacie e le piattaforme di vendita devono ottenere una manifestazione di volontà libera specifica informata ed inequivocabile con la quale l’interessato acconsente al trattamento dei propri dati di salute
Le farmacie online sono ora tenute a implementare meccanismi chiari e trasparenti per l’ottenimento del consenso esplicito al trattamento dei dati sanitari prima di poter procedere con la vendita dei medicinali.
Questo implica la necessità di fornire agli utenti un’informativa completa e facilmente comprensibile sulle finalità specifiche del trattamento dei loro dati sanitari sulle categorie di dati trattati sui tempi di conservazione e sui loro diritti in qualità di interessati.
Il consenso deve essere specifico per il trattamento dei dati sanitari e deve essere distinto da eventuali altri consensi che potrebbero essere richiesti per finalità diverse come ad esempio il marketing diretto
la mancata acquisizione di un consenso esplicito e validamente prestato per il trattamento dei dati sanitari nell’ambito della vendita online di farmaci configura una violazione del GDPR che può esporre il titolare del trattamento a sanzioni amministrative pecuniarie significative e come stabilito dalla stessa sentenza può anche essere oggetto di azioni legali per concorrenza sleale da parte dei concorrenti che vedano nel mancato rispetto della normativa un vantaggio competitivo illecito.
Implicazioni della sentenza: Conseguenze per le farmacie online e per la protezione dei dati.
Le farmacie online non possono più presumere che il trattamento dei dati relativi all’acquisto di farmaci da banco sia esente dalle stringenti disposizioni dell’articolo 9 del GDPR che regola il trattamento delle categorie particolari di dati personali è ora indispensabile implementare meccanismi di raccolta del consenso esplicito che siano specifici informati liberi ed inequivocabili per ogni trattamento di dati sanitari connesso alla vendita online questo comporta la necessità di fornire informative privacy chiare complete e facilmente accessibili che spieghino in dettaglio le finalità del trattamento i tipi di dati raccolti i tempi di conservazione e i diritti degli interessati.
Il consenso dovrà essere ottenuto prima di procedere con la transazione e dovrà riguardare specificamente il trattamento dei dati sanitari distinguendosi da eventuali altri consensi richiesti per finalità diverse come ad esempio il marketing
Obblighi di informazione e richiesta di consenso.
gli obblighi di informazione e la richiesta di consenso rappresentano due pilastri fondamentali nel trattamento dei dati personali in generale e in modo ancora più stringente quando si tratta di dati relativi alla salute.
Questa informativa precontrattuale deve adempiere ai requisiti previsti dagli articoli 12 e 13 del GDPR specificando in modo trasparente l’identità e i dati di contatto del titolare del trattamento le finalità specifiche del trattamento per cui i dati vengono raccolti inclusa la finalità di vendita e consegna del farmaco nonché eventuali altre finalità come ad esempio la gestione dell’account cliente o l’assistenza post-vendita. Le categorie di dati personali che verranno trattate che nel contesto della vendita di farmaci online includono come abbiamo visto il nome l’indirizzo di consegna i dettagli del medicinale ordinato e potenzialmente altri dati forniti dall’utente come l’età o informazioni utili alla personalizzazione del prodotto
L’informativa deve altresì indicare la base giuridica del trattamento che per i dati relativi alla salute come stabilito dall’articolo 9 del GDPR e confermato dalla sentenza è primariamente il consenso esplicito dell’interessato.
E’ fondamentale evidenziare i destinatari o le categorie di destinatari dei dati personali se ad esempio i dati vengono condivisi con fornitori di servizi di spedizione o con piattaforme di pagamento. Devono essere specificati i tempi di conservazione dei dati o i criteri utilizzati per determinarli e infine è obbligatorio informare gli utenti sui propri diritti in qualità di interessati quali il diritto di accesso rettifica cancellazione limitazione del trattamento opposizione e portabilità dei dati nonché il diritto di proporre reclamo a un’autorità di controllo
Parallelamente all’obbligo di fornire un’informativa esaustiva sussiste l’imperativo di ottenere il consenso esplicito dell’interessato per il trattamento dei dati relativi alla salute. Questo consenso come previsto dall’articolo 4 punto 11 e dall’articolo 9 paragrafo 2 lettera a) del GDPR deve essere libero specifico informato e inequivocabile e deve manifestarsi attraverso un’azione positiva e inequivocabile dell’interessato ad esempio mediante la spunta di una casella online o un altro meccanismo equivalente che dimostri chiaramente la sua volontà di acconsentire al trattamento dei propri dati sanitari per le finalità specificate nell’informativa.
Aumento della responsabilità per le aziende.
L’aumento della responsabilità per le aziende che operano nel settore della vendita online di farmaci emerge con forza dalle recenti decisioni della Corte di Giustizia dell’Unione Europea
In primo luogo vi è una responsabilità maggiore nel trattamento dei dati personali dei clienti poiché la Corte ha chiarito che le informazioni raccolte durante l’acquisto online di medicinali anche quelli senza prescrizione medica rientrano nella definizione di dati relativi alla salute ai sensi dell’articolo 9 del GDPR ciò implica che le aziende non possono più considerare superficialmente questi dati ma devono applicare standard di protezione elevatissimi comparabili a quelli richiesti per le informazioni sanitarie in senso stretto
Questa qualificazione dei dati di acquisto come dati sanitari comporta un obbligo più stringente di ottenere il consenso esplicito degli utenti prima di poterli trattare come abbiamo ampiamente esplorato nella nostra precedente interazione. Le aziende devono fornire informative privacy dettagliate trasparenti e facilmente accessibili che spieghino chiaramente le finalità del trattamento le categorie di dati raccolti i tempi di conservazione e i diritti degli interessati.
Il consenso deve essere specifico libero informato e inequivocabile e deve riguardare in modo particolare il trattamento dei dati sanitari distinguendosi da altri eventuali consensi richiesti per finalità diverse la mancanza di un consenso valido espone l’azienda a sanzioni amministrative pecuniarie significative da parte delle autorità di controllo competenti come previsto dall’articolo 83 del GDPR
Ciò significa che le aziende devono adottare un approccio molto più rigoroso alla compliance al GDPR investendo risorse adeguate per garantire la piena conformità a tutte le disposizioni normative in materia di protezione dei dati sanitari la trasparenza nei confronti dei clienti la corretta acquisizione e gestione del consenso e l’implementazione di misure di sicurezza tecniche e organizzative adeguate diventano elementi non più procrastinabili per evitare non solo sanzioni ma anche potenziali dispute legali con i concorrenti
Il parere dell’Avvocato Generale: Un approccio meno restrittivo.
il parere dell’Avvocato Generale nella causa C-21/23 relativa al caso Lindenapotheke presentava un approccio decisamente meno restrittivo rispetto alla successiva sentenza della Corte di Giustizia dell’Unione Europea.
In particolare l’Avvocato Generale Szpunar aveva espresso dubbi sull’ampia definizione di dati relativi alla salute sostenendo la necessità di un “certo grado di certezza” nel collegamento tra i dati personali trattati e lo stato di salute dell’interessato come evidenziato in diverse fonti l’Avvocato Generale temeva una sovraespansione del concetto di dati sensibili qualora un mero collegamento potesse essere sufficiente a qualificare un’informazione come dato sanitario
Nel contesto specifico dell’acquisto online di farmaci da banco venduti in farmacia ma senza obbligo di prescrizione l’Avvocato Generale aveva argomentato che non si potesse concludere con certezza che l’acquirente fosse anche l’utilizzatore finale del farmaco sollevando la possibilità che l’ordine venisse effettuato per conto di terzi in assenza di una prescrizione medica o di un’identificazione esplicita dell’utente finale qualsiasi deduzione sullo stato di salute dell’acquirente diventava a suo parere speculativa e ipotetica
L’Avvocato Generale aveva osservato che tali farmaci spesso sono acquistati anche a titolo preventivo o per averli a disposizione in caso di necessità e non necessariamente per il trattamento di una patologia specifica o di un particolare stato di salute
l’Avvocato Generale aveva quindi concluso che i dati trattati nell’ambito dell’acquisto online di medicinali senza prescrizione medica non rientrassero in modo netto nella categoria dei dati relativi alla salute ai sensi dell’articolo 9 del GDPR proprio perché il legame tra l’acquisto e lo stato di salute dell’acquirente era ritenuto troppo tenue e impreciso.
Secondo il suo ragionamento la semplice transazione commerciale di un prodotto disponibile senza ricetta non implicava necessariamente la rivelazione di informazioni sensibili sulla salute dell’acquirente auspicando un’interpretazione che evitasse un’eccessiva estensione della protezione speciale prevista per i dati sanitari l’Avvocato Generale suggeriva che dovesse sussistere un collegamento più diretto e certo tra i dati raccolti e lo stato di salute dell’interessato per poterli qualificare come tali
Questo approccio meno restrittivo proposto dall’Avvocato Generale si discostava dall’orientamento della Corte che nella sua sentenza ha adottato una definizione più ampia di dati relativi alla salute ritenendo che le informazioni fornite dai clienti durante l’acquisto online di medicinali riservati alle farmacie costituiscano dati sanitari anche quando non soggetti a prescrizione medica
La Corte ha infatti posto l’accento sulla potenzialità dei dati di rivelare informazioni sullo stato di salute attraverso un’operazione intellettuale di raffronto o di deduzione indipendentemente dalla certezza che l’acquirente sia l’utilizzatore finale del farmaco o dalla necessità di una prescrizione medica.
L a divergenza tra il parere dell’Avvocato Generale e la sentenza finale evidenzia una differente valutazione del livello di protezione da accordare ai dati personali nel contesto della vendita online di farmaci con la Corte che ha privilegiato un approccio più cautelativo e orientato alla tutela della privacy degli interessati.
Conclusioni: consenso e trasparenza come principi fondamentali nella vendita online di farmaci.
le conclusioni sul consenso e la trasparenza come principi fondamentali nella vendita online di farmaci emergono con forza dalla sentenza della Corte di Giustizia dell’Unione Europea nel caso Lindenapotheke C-21/23 rappresentando un punto cruciale che ribalta in parte la prospettiva meno restrittiva espressa precedentemente dal parere dell’Avvocato Generale come discusso in precedenza la Corte ha infatti statuito che le informazioni fornite dai clienti al momento dell’ordine online di medicinali riservati alla farmacia costituiscono dati relativi alla salute ai sensi dell’articolo 9 del GDPR anche qualora tali medicinali non siano soggetti a prescrizione medica questa qualificazione ha un impatto diretto e significativo sui requisiti di consenso e trasparenza che devono essere osservati dai venditori online di farmaci
in primo luogo la classificazione dei dati di acquisto come dati relativi alla salute implica l’applicazione delle disposizioni più stringenti previste dal GDPR per il trattamento di categorie particolari di dati personali tra cui figura in primo piano la necessità di ottenere il consenso esplicito dell’interessato per il trattamento di tali dati come chiaramente indicato in diverse fonti ciò significa che le farmacie online non possono più presumere il consenso o basarsi su forme di consenso implicito ma devono richiedere attivamente una manifestazione di volontà specifica informata e inequivocabile da parte del cliente prima di procedere al trattamento dei dati relativi all’acquisto dei medicinali
in secondo luogo il principio di trasparenza assume un’importanza centrale i venditori online di farmaci sono tenuti a fornire ai clienti informazioni chiare complete e facilmente comprensibili in merito alle caratteristiche specifiche del trattamento dei loro dati sanitari e alle finalità perseguite da tale trattamento come sottolineato in più occasioni dalle fonti questa informativa deve precedere la richiesta di consenso e deve consentire al cliente di comprendere appieno a cosa sta acconsentendo e quali sono i rischi e le implicazioni del trattamento dei suoi dati
la sentenza della CGUE evidenzia dunque un approccio rigoroso a tutela della privacy degli individui nel contesto delicato dell’acquisto di prodotti farmaceutici anche quelli non soggetti a prescrizione medica la Corte riconosce che l’atto di acquistare un medicinale crea un nesso potenziale con lo stato di salute dell’acquirente o del destinatario del prodotto e pertanto i dati relativi a tale acquisto meritano una protezione elevata conformemente ai principi del GDPR
le implicazioni pratiche per le farmacie online sono significative esse dovranno rivedere e adeguare le proprie procedure di raccolta e trattamento dei dati personali implementando meccanismi efficaci per ottenere il consenso esplicito dei clienti per il trattamento dei dati relativi alla salute e garantendo una trasparenza completa sulle modalità e le finalità di tale trattamento ciò include la predisposizione di informative privacy chiare e accessibili e la progettazione di interfacce utente che consentano ai clienti di esprimere il proprio consenso in modo libero e consapevole
inoltre la sentenza della CGUE si inserisce in un contesto più ampio che riguarda la leale concorrenza tra imprese operanti nel settore farmaceutico online la Corte ha infatti riconosciuto la possibilità per i concorrenti di agire in giudizio contro chi viola il GDPR traendo da tale violazione un vantaggio competitivo illecito questo aspetto rafforza ulteriormente l’importanza della compliance al GDPR non solo come obbligo legale ma anche come elemento fondamentale per una concorrenza corretta e trasparente nel mercato
in definitiva le conclusioni della CGUE sottolineano come il consenso esplicito e la trasparenza non siano mere formalità burocratiche ma principi cardine che devono guidare la vendita online di farmaci garantendo un elevato livello di protezione dei dati sensibili degli individui e promuovendo un ambiente di fiducia e correttezza nel commercio elettronico di prodotti farmaceutici questo orientamento segna un cambio di passo significativo rispetto a interpretazioni meno restrittive e pone una maggiore responsabilità in capo ai venditori online di farmaci nel tutelare la privacy dei propri clienti.