Corte di Giustizia UE: i dati personali dell'utente che acquista online farmaci da banco possono diventare «sensibili» ai sensi del GDPR
La Corte di Giustizia dell'Unione Europea (CGUE), con la sentenza del 4 ottobre 2024 nella causa C-21/23, ha stabilito che anche l'acquisto online di farmaci da banco può generare "dati relativi alla salute" ai sensi del GDPR. Questa interpretazione estensiva amplia significativamente la portata della protezione dei dati personali nel settore dell'e-commerce farmaceutico.
La controversia aveva avuto origine in Germania, dove un farmacista aveva citato in giudizio un concorrente per presunte violazioni del GDPR nell'ambito della vendita online di medicinali senza obbligo di prescrizione tramite la piattaforma Amazon Marketplace. La questione dirimente era se i dati raccolti durante tali transazioni potessero essere qualificati o meno come "dati sanitari".
La Corte europea ha adottato un approccio funzionale e ampio nella definizione di "dati relativi alla salute". Infatti, secondo la Corte anche informazioni apparentemente innocue, come il nome e l'indirizzo dell'acquirente, possono rientrare in questa categoria se, nel contesto specifico, permettono di trarre conclusioni sullo stato di salute di una persona. È irrilevante che i dati siano effettivamente accurati o che il titolare del trattamento non avesse intenzione di trattare dati sensibili. Anche una probabilità, e non una certezza, che i medicinali siano destinati all'acquirente è quindi sufficiente per qualificare il dato come relativo alla salute.
Questa sentenza assume adesso rilevanti impatti per le aziende operanti nel settore dell'e-commerce farmaceutico, le quali devono garantire che il trattamento dei dati personali raccolti durante la vendita online di farmaci da banco sia conforme alle disposizioni del GDPR relative ai dati sensibili.
Un ulteriore aspetto rilevante della sentenza riguarda la possibilità per i concorrenti di intraprendere azioni legali in caso di violazioni del GDPR che costituiscano anche pratiche commerciali sleali. La Corte ha stabilito che il GDPR non impedisce a normative nazionali di attribuire legittimazione attiva ai concorrenti in tali circostanze, rafforzando così le dinamiche di enforcement orizzontale tra imprese.
In conclusione, la sentenza della CGUE nella causa C-21/23 sottolinea l'importanza di una rigorosa conformità al GDPR nel contesto dell'e-commerce farmaceutico. Le imprese devono essere consapevoli che anche dati apparentemente innocui possono essere considerati sensibili e, pertanto, soggetti a specifici obblighi di protezione.
