La farmacia online deve raccogliere il consenso esplicito dell’utente al trattamento dei suoi dati personali rilasciati per l’acquisto dei medicinali senza obbligo di prescrizione medica; la mancanza rappresenta addirittura una pratica commerciale sleale per violazione del regolamento sulla privacy, il cosiddetto Gdpr
Il nome, l’indirizzo di consegna e gli elementi necessari alla individuazione dei medicinali inseriti per l’ordine online sono da considerarsi dati relativi alla salute e, come tali, meritevoli di protezione, al punto che il mancato consenso per la loro raccolta rappresenta un comportamento illecito.
È quanto ha deciso la Corte di Giustizia dell’Unione europea nella vicenda C 21/23, stabilendo, in modo decisamente innovativo, che è consentito ai farmacisti concorrenti del presunto autore della violazione dei dati personali agire davanti ai giudici civili nazionali per pretendere il rispetto della normativa sulla privacy e ottenere che il comportamento illecito venga inibito.
Vediamo nel dettaglio cosa è accaduto. Il fatto: un farmacista tedesco titolare della farmacia “Lindenapotheke” commercializza su Amazon medicinali senza obbligo di prescrizione medica. I clienti devono inserire diverse informazioni personali, quali nome, indirizzo e identificazione del medicinale, per completare l’ordine online di tali medicinali. Un concorrente farmacista tedesco chiede alla giustizia di ordinare al titolare della farmacia “Lindenapotheke” di cessare tale attività perché non garantisce agli utenti la raccolta del loro consenso al trattamento di dati relativi alla salute, e questo integra una pratica commerciale sleale.
I tribunali tedeschi di primo e secondo grado accolgono la contestazione della farmacia concorrente, mentre la Corte federale di terzo grado si chiede, in prima battuta, se sia conforme al regolamento sulla privacy (Gdpr) consentire a un concorrente di agire in giudizio per divieto di pratiche commerciali sleali contro colui che non rispetta la normativa sulla tutela dei dati personali. In seconda battuta, la Corte tedesca si domanda se le informazioni personali inserite in occasione degli acquisti online costituiscano dati relativi alla salute, anche per il caso in cui i medicinali non siano soggetti a prescrizione medica e, dunque, non siano riconducibili a un soggetto specificato.
La Corte di Giustizia dell’Unione europea, con riguardo alla prima domanda, riconosce che consentire al concorrente farmacista di “controllare” il rispetto della privacy da parte di un altro farmacista è conforme al regolamento sulla privacy. Il controllo consente, infatti, non soltanto di garantire una concorrenza leale, ma rappresenta anche un rafforzamento del livello di protezione della privacy dell’interessato dei cui dati si tratta: l’utente/cliente interessato dal trattamento dei dati è addirittura “coadiuvato” da un nuovo soggetto che, pur perseguendo un obiettivo puramente “commerciale”, contribuisce a garantire il rispetto della sua privacy. Dunque, il diretto interessato non subisce un pregiudizio, ma, al contrario, riceve un’indiretta tutela dei suoi dati personali, poiché la possibilità di ricorso ai giudici per le farmacie concorrenti si aggiunge ai poteri di intervento delle autorità di vigilanza incaricate di sorvegliare e far applicare il Gdpr.
Con riguardo alla seconda domanda, la Corte riconosce che le informazioni -come il nome, l’indirizzo e gli elementi necessari per identificare i medicinali-, inserite dai clienti al momento dell’ordine tramite una piattaforma online, costituiscano un trattamento dei dati riguardanti la salute. Sono, infatti, dati “relativi alla salute” quelle informazioni sugli acquisti di medicinali che individuano o consentono di individuare un nesso tra la persona e il medicinale e, quindi, le sue indicazioni terapeutiche o i suoi usi. Questo consente di trarre conclusioni sullo stato di salute di un soggetto identificato, o anche solo identificabile attraverso un mero “raffronto o una deduzione intellettuale”.
Da qui la necessità, per la Corte, della raccolta del consenso dell’interessato anche se si tratta di medicinali Sop e Otc, non potendosi “escludere che sia possibile identificare tali persone e trarre conclusioni sul loro stato di salute” in assenza di prescrizione medica. In altre parole, non si può escludere che le informazioni fornite online, anche da chi non è il destinatario del medicinale ordinato, identifichino i soggetti realmente coinvolti con la possibilità di trarre conclusioni sul loro stato di salute.
In conclusione
La previsione della possibilità, anche per le farmacie concorrenti, di portare davanti a un giudice un soggetto che potenzialmente vìola le regole della privacy a titolo di concorrenza sleale è espressione della evidente volontà di conferire un elevato livello di protezione dei dati personali. Ciò conduce a un’ulteriore riflessione: il rispetto della normativa sulla privacy in tutte le sue forme diventa un’“arma cruciale” per la reputazione aziendale sul mercato.
Il Gdpr abbandona il ruolo di mera “compliance” per assurgere a quello di metro di valutazione di un comportamento corretto e leale dal punto di vista della concorrenza sul mercato e, come tale, eventualmente sanzionabile davanti ai giudici.
In conclusione, la farmacia online che trasgredisce le regole sulla privacy non rischia soltanto le contestazioni del diretto interessato o quelle delle autorità preposte al rispetto del Gdpr, ma anche la chiamata in tribunale dalle concorrenti farmacie che hanno ovviamente un interesse elevato a vigilare sui loro diretti competitor, tanto più -come nel caso in esame- se la trasgressione integra un comportamento sleale.