La Corte di Giustizia dell'Unione Europea (CGUE) si è pronunciata su un caso tedesco che ha coinvolto due farmacisti. Uno di essi contestava le modalità di vendita dell'altro, chiedendone la cessazione della vendita online. La motivazione alla base di questa richiesta era che il farmacista accusato raccoglieva dati personali dei clienti, come nome, indirizzo di consegna e tipi di medicinali, senza richiedere il loro consenso. Per la CGUE questo è un atto di concorrenza sleale. 

Per spiegarci meglio: la vicenda

La Corte di Giustizia dell'Unione Europea (CGUE) si è pronunciata su un caso che, in Germania, ha coinvolto due farmacisti concorrenti.

Uno di essi contestava le modalità di vendita dell'altro, chiedendone la cessazione della vendita online. In particolare, il farmacista "sotto accusa" rivendeva dal 2017 farmaci da banco online su Amazon. Per completare l'acquisto, gli utenti dovevano inserire numerosi dati personali e sensibili come indirizzo di consegna, nome e cognome nonchè gli elementi necessari per l'individuazione dei medicinali.

Il farmacista concorrente ha deciso di appelarsi alla giustizia tedesca ritenendo una pratica commerciale sleale quella di raccogliere e trattare tali dati, attinenti anche allo stato di salute degli utenti, senza ottenere un consenso preventivo al trattamento dei dati. Poco importa, osservava, se i farmaci venduti fossero da banco e non soggetti a prescrizione.

Il caso è approdato alla Corte di Giustizia UE perchè la Corte federale di giustizia tedesca si è posta un duplice interrogativo dei giudici tedeschi:

• la normativa tedesca che consente di ricorrere in giudizio contro i concorrenti sleali per violazioni del GDPR è, essa stessa, conforme al GDPR? Qui la risposta è un netto si, scrivono i Giudici, ma ma la vigilanza spetta alle singole autorità garanti;
• le informazioni inserite in occasione di acquisti di medicinali online, la cui vendita è riservata alle farmacie, sono dati relativi alla salute (quindi sensibili) ai sensi del GDPR?

Per approfondire > Dati sensibili e GDPR: quali sono e come trattarli a norma di legge

La risposta della Corte di Giustizia

La Corte di Giustizia dell'Unione Europea (CGUE) ha emesso un verdetto molto chiaro. I dati dei clienti, raccolti e trattati anche in caso di vendita di medicinali senza prescrizione (nome e cognome e ulteriori dati necessari a completare la vendia) sono da considerarsi dati relativi alla salute, quindi dati sensibili.

L'art.9 del GDPR specifica che i dati rientranti nella categoria di "dati particolari" possono essere trattati solo col consenso esplicito degli utenti e godono di tutte le misure tipiche di tutela rafforzata riservata ai dati particolari (sensibili).

Questo vale anche nel caso in cui i medicinali siano destinati a persone diverse da coloro che li hanno effettivamente acquistati, dato che, anche in questo caso, è possibile identificare i pazienti e venire a conoscenza del loro stato di salute.

La sentenza stabilisce che ottenere vantaggi economici violando le normative è un atto di concorrenza sleale. Il GDPR infatti non osta alla possibilità di agire in giudizio contro un concorrente per violazioni del Regolamento. Anzi al contrrario, spiega la corte europea:

“ciò contribuisce indubbiamente a rafforzare i diritti degli interessati e a garantire loro un elevato livello di protezione”.

Non più solo una questione di privacy, ma di permanenza nel mercato

La grande novità di tutta questa vicenda è il cambio di paradigma che questa sentenza rappresenta. Se prima la violazione del GDPR era considerata solo una questione di “privacy” e protezione dei dati che poteva portare a sanzioni salate ma non aveva effetti diretti nel mercato, ora rappresenta un elemento cruciale per la competitività e la sopravvivenza delle imprese nel mercato.

Con questa sentenza, infatti, una violazione dei dati può portare a conseguenze molto gravi, come la fuoriuscita dal mercato per pratica commerciale scorretta. In virtù di ciò, chi vende online o ha intenzione di farlo, deve, d’ora in poi, essere totalmente trasparente e acquisire il consenso esplicito da parte degli interessati. Il quale, ricordiamo, deve essere prestato liberamente.

Qui il comunicato stampa della CGUE > Regolamento generale sulla protezione dei dati: gli Stati membri possono prevedere la possibilità, per i concorrenti del presunto autore di una violazione della protezione dei dati personali, di contestarla in giudizio in quanto pratica commerciale sleale vietata