La decisione della Corte di giustizia europea chiarisce, tra l'altro, in che misura i concorrenti di un'azienda possono far valere violazioni della protezione dei dati ai sensi del diritto civile e come deve essere valutato il trattamento dei dati sanitari personali nel commercio online.
La controversia legale tra due farmacisti concorrenti finisce davanti al BGH
L'oggetto del procedimento C-21/23 era una controversia tra due farmacisti in merito alla vendita di medicinali solo in farmacia, ma senza prescrizione medica, tramite la piattaforma Amazon. Lindenapotheke vendeva i suoi prodotti tramite Amazon, dove i clienti dovevano fornire dati personali come il nome e l'indirizzo di consegna, oltre alle informazioni necessarie per la personalizzazione. Un concorrente ha presentato un'ingiunzione contro questa distribuzione. Il farmacista sosteneva che il consenso dei clienti al trattamento dei loro dati sanitari non era stato sufficientemente ottenuto, il che costituiva una violazione dell'art. 9 del GDPR.
Il Tribunale regionale e il Tribunale regionale superiore di Naumburg si sono pronunciati a favore del concorrente nei tribunali inferiori. Hanno ritenuto che la vendita fosse un atto commerciale non autorizzato ai sensi della legge sulla concorrenza sleale (UWG). Lindenapotheke ha quindi presentato ricorso e il caso è finito davanti alla Corte Federale di Giustizia (BGH). Il BGH ha infine richiesto una pronuncia pregiudiziale alla CGUE.
Il procedimento era incentrato su due questioni giuridiche sollevate dal BGH, alle quali la CGUE ha risposto:
- La posizione giuridica dei concorrenti in caso di violazione della protezione dei dati: Il GDPR consente ai concorrenti di un'azienda di intentare cause civili per violazioni del regolamento?
- Classificazione dei dati durante l'ordinazione online di medicinali da parte di una farmacia: I dati inseriti dal cliente nel contesto di un ordine online (come il nome, l'indirizzo e le informazioni sull'individualizzazione del medicinale) sono dati sanitari ai sensi dell'articolo 9, paragrafo 1, della sentenza della Corte di giustizia?
La Corte di giustizia europea interpreta in modo ampio i dati sanitari
La Corte di giustizia europea ha dichiarato nella causa C-21/23 | Lindenapotheke:
- Diritto dei concorrenti di intentare una causa per violazione della protezione dei dati personali
La Corte di giustizia europea ha chiarito che le disposizioni del capitolo VIII del GDPR non precludono una normativa nazionale che consenta ai concorrenti di far valere le violazioni del GDPR dinanzi ai tribunali civili sulla base di pratiche commerciali sleali. Questo dà ai concorrenti il diritto di fare causa, anche se non sono direttamente interessati ai sensi del GDPR.Questa decisione è particolarmente importante nell'ambito del diritto della concorrenza, poiché le violazioni della protezione dei dati possono ora essere classificate come comportamenti anticoncorrenziali da parte dei concorrenti e perseguite in tribunale. Secondo la CGUE, ciò contribuisce a rafforzare i diritti degli interessati e a garantire loro un elevato livello di protezione. "Inoltre, ciò può rivelarsi particolarmente efficace, in quanto consentirà di prevenire numerose violazioni del Regolamento generale sulla protezione dei dati", ha proseguito la CGUE.
- Classificazione dei dati quando si ordinano online farmaci di sola farmacia
Per quanto riguarda la seconda questione, la Corte di giustizia europea ha stabilito che i dati inseriti al momento dell'ordine di medicinali solo in farmacia ma senza prescrizione medica sono da considerarsi dati sanitari ai sensi dell'art. 9 par. 1 del GDPR. Non importa se un farmaco è soggetto a prescrizione o meno. Ciò vale indipendentemente dal fatto che i farmaci siano destinati all'acquirente stesso o a terzi.
La Corte di giustizia europea ha chiarito che i dati sulla salute non devono essere solo direttamente disponibili, ma possono anche essere ricavati indirettamente dalle informazioni inserite. L'inserimento di nomi, indirizzi e informazioni sui farmaci consente di trarre conclusioni sullo stato di salute di una persona, il che classifica questi dati come particolarmente degni di protezione ai sensi del GDPR.
Suggerimento di lettura: La Corte di giustizia europea interpreta il "legittimo interesse" ai sensi dell'art. 6 par. 1 lett. f GDPR
Attenzione alle aziende: Anche i concorrenti possono sanzionare le violazioni della protezione dei dati personali
La sentenza della Corte di giustizia europea ha implicazioni significative per le farmacie online e altre aziende che trattano dati sanitari sensibili:
- Aumento della responsabilità a causa della posizione giuridica dei concorrenti
Le aziende devono essere preparate al fatto che le violazioni della protezione dei dati possono essere perseguite non solo dagli interessati o dalle autorità di protezione dei dati, ma anche dai concorrenti. Ciò comporta un aumento del rischio di responsabilità, poiché le violazioni del Regolamento generale sulla protezione dei dati possono essere considerate sempre più come pratiche commerciali scorrette.Per le aziende, ciò significa un maggiore controllo e conformità alle normative sulla protezione dei dati, poiché anche i concorrenti economici possono imporre la conformità al GDPR in base al diritto civile. Questo può portare a un aumento delle controversie legali, soprattutto in mercati altamente competitivi come quello delle farmacie.
- Sensibilizzazione sui dati sanitari
La decisione chiarisce che le aziende che trattano dati personali che consentono indirettamente di trarre conclusioni sullo stato di salute nell'ambito delle loro attività commerciali devono trattare questi dati con particolare attenzione. Ai sensi dell'art. 9 del GDPR, il trattamento di tali dati sulla salute richiede il consenso esplicito della persona interessata oppure deve basarsi su una delle eccezioni elencate nell'art. 9 par. 2 del GDPR, come la fornitura di servizi sanitari.Per le farmacie online, ciò significa che devono garantire l'ottenimento di un consenso effettivo al trattamento di questi dati al momento della raccolta dei dati degli ordini. Non è sufficiente ottenere dichiarazioni di consenso generiche. Il consenso deve fare esplicito riferimento al trattamento dei dati sanitari.
La sentenza della Corte di giustizia europea sottolinea l'importanza di una gestione completa della protezione dei dati nelle aziende. Le violazioni della protezione dei dati possono portare non solo a multe elevate, ma anche a ingiunzioni da parte dei concorrenti. Le aziende devono quindi esaminare i loro processi interni, in particolare per quanto riguarda il consenso e il trattamento dei dati sanitari, e adattarli se necessario.
Fonte: Sentenza della Corte di giustizia nella causa C-21/23 | Lindenapotheke