Protezione dei dati personali nel settore dell'e-commerce farmaceutico

Con la sentenza del 4 ottobre 2024 nella causa C-21/23, la Corte di Giustizia dell'Unione Europea (CGUE) ha stabilito che anche l'acquisto online di farmaci da banco può generare "dati relativi alla salute" ai sensi del GDPR. Questa interpretazione estensiva amplia in modo significativo la portata della protezione dei dati personali nel settore dell'e-commerce farmaceutico.

La controversia aveva avuto origine in Germania, dove un farmacista aveva citato in giudizio un concorrente per presunte violazioni del GDPR nell'ambito della vendita online di medicinali senza obbligo di prescrizione tramite la piattaforma Amazon Marketplace. La questione dirimente era se i dati raccolti durante tali transazioni potessero essere qualificati o meno come "dati sanitari".

La Corte europea ha adottato un approccio funzionale e ampio nella definizione di "dati relativi alla salute". Secondo la Corte, infatti, anche informazioni apparentemente innocue, come il nome e l'indirizzo dell'acquirente, possono rientrare in questa categoria se, nel contesto specifico, permettono di trarre conclusioni sullo stato di salute di una persona. Non è rilevante che i dati siano effettivamente accurati o che il titolare del trattamento non avesse intenzione di trattare dati sensibili. Anche una probabilità, e non una certezza, che i medicinali siano destinati all'acquirente è quindi sufficiente per qualificare il dato come relativo alla salute.

L'impatto sulle aziende che operano nel nel settore dell'e-commerce farmaceutico

Questa sentenza ha un impatto di rilievo sulle aziende attive nel settore dell'e-commerce farmaceutico, che devono garantire che il trattamento dei dati personali raccolti durante la vendita online di farmaci da banco sia conforme alle disposizioni del GDPR relative ai dati sensibili.

Un altro aspetto importante della sentenza riguarda la possibilità per i concorrenti di intraprendere azioni legali in caso di violazioni del GDPR che costituiscano anche pratiche commerciali sleali. La Corte ha stabilito che il GDPR non impedisce a normative nazionali di attribuire legittimazione attiva ai concorrenti in tali circostanze, rafforzando così le dinamiche di enforcement orizzontale tra imprese.

In definitiva, questa sentenza della CGUE afferma l'importanza di una rigorosa conformità al GDPR nel contesto dell'e-commerce farmaceutico. Da parte delle imprese vi deve essere consapevolezza che anche dati in apparenza innocui possono essere considerati sensibili e quindi soggetti a specifici obblighi di protezione.