La Corte di Giustizia UE stabilisce che l’acquisto online di farmaci da banco, quindi senza ricetta, può comportare il trattamento di dati sensibili. Di conseguenza, i dati raccolti vanno trattati e gestiti alla luce di tutte le tutele rafforzate che il GDPR prevede per questa tipologia di dati. Attenzione quindi al GDPR, il cui rispetto ha effetti anche nella sfera economica e non solo della privacy.
L’origine della controversia
La vicenda ha avuto origine in Germania, dove un farmacista ha intentato una causa contro un concorrente, accusandolo di aver violato il GDPR nella vendita online di farmaci da banco attraverso la piattaforma Amazon Marketplace. Al centro della disputa vi era un interrogativo chiave: i dati raccolti durante tali acquisti possono essere qualificati come “dati relativi alla salute”?
Con la sentenza del 4 ottobre 2024, resa nella causa C-21/23, la Corte di Giustizia dell’Unione Europea ha fornito una risposta definitiva a questa questione.
Acquisto di farmaci online e GDPR: il parere della Corte UE
La Corte UE, dopo aver analizzato il caso, ha affermato che:
“nel caso in cui il gestore di una farmacia commercializzi, tramite una piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti di tale gestore inseriscono al momento dell’ordine online dei medicinali, quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione dei medicinali, costituiscono dati relativi alla salute, ai sensi di tali disposizioni, anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica”.
La Corte di Giustizia dell’Unione Europea ha adottato una visione ampia e funzionale nel definire cosa si intenda per “dati relativi alla salute”. Secondo la stessa, anche informazioni apparentemente neutre, come nome e indirizzo dell’acquirente, possono essere considerate dati sanitari se, nel contesto in cui sono raccolte, consentono di dedurre elementi legati allo stato di salute della persona. Non è rilevante né l’accuratezza effettiva di tali dati, né l’intenzione del titolare del trattamento di non trattare categorie particolari di dati. Anche la semplice possibilità, e non necessariamente la certezza, che i farmaci acquistati siano destinati all’uso personale dell’acquirente è sufficiente per attribuire a quei dati natura sensibile.
Violare il GDPR configura concorrenza sleale
Questa sentenza porta un cambio di paradigma piuttosto importante. Per la prima volta cioè la violazione del GDPR non va considerata solo come una questione di privacy oppure meramente afferente alla protezione dei dati. Per la Corte, violare il GDPR attiene anche alla sfera economica. I concorrenti, ad esempio, possono citare in giudizio il competitor per pratica commerciale sleale. Gli effetti della violazione del GDPR, in questo caso, si riflettono anche sul mercato. Il competitor “scorretto” rischia la fuoriuscita dal mercato per pratica commerciale sleale. In pratica, le aziende concorrenti possono fare causa a un operatore che non rispetti gli obblighi del GDPR, sostenendo che tale comportamento consenta al trasgressore di ottenere vantaggi competitivi ingiustificati.
Acquisto farmaci online e GDPR: in conclusione
Questa pronuncia ha implicazioni significative per le aziende attive nel commercio online di prodotti farmaceutici. Tali operatori sono ora tenuti ad assicurarsi che il trattamento dei dati personali raccolti durante la vendita online di medicinali senza obbligo di prescrizione sia pienamente conforme alle disposizioni del GDPR in materia di dati sensibili. Nel rispetto quindi dell’art. 9 del GDPR che prevede che i dati rientranti nella categoria di “dati particolari” possono essere trattati solo col consenso esplicito degli utenti e godono di tutte le misure tipiche di tutela rafforzata riservata ai dati particolari (sensibili).
Ciò significa che le imprese devono predisporre informative chiare e ottenere un’autorizzazione inequivocabile prima di raccogliere e utilizzare tali informazioni.
Le aziende del settore e-commerce farmaceutico devono quindi adottare misure rafforzate in materia di trasparenza, sicurezza e gestione dei consensi, al fine di ridurre i rischi legali e garantire un trattamento dei dati rispettoso dei diritti fondamentali degli utenti.
Per approfondire > Dati sensibili e GDPR: quali sono e come trattarli a norma di legge
La sentenza del 4 ottobre 2024 è disponibile qui.
Hai bisogno di chiarimenti sulla natura dei dati che stai trattando? Chiedilo ai nostri esperti, ti aiuteremo a raggiungere i tuoi obiettivi in conformità a tutti gli obblighi previsti dal GDPR!
