Corte di Giustizia dell’Unione Europea (CGUE) del 4 ottobre 2024, nella causa C-21/23, rappresenta un importante punto di svolta nel quadro normativo sulla protezione dei dati personali, in particolare nel settore dell’e-commerce farmaceutico.
**Contesto e motivazioni della sentenza**
L’origine del caso risiede in una disputa tra due farmacie in Germania, relativa alla vendita online di farmaci da banco tramite la piattaforma Amazon Marketplace. La parte ricorrente ha contestato al competitor di aver violato il GDPR, sostenendo che i dati raccolti durante le transazioni fossero stati trattati in modo improprio, e in particolare, che alcuni di essi potessero qualificarsi come dati relativi alla salute.
**Principale innovazione interpretativa**
La Corte europea ha adottato un’interpretazione estremamente ampia e funzionale del concetto di “dati relativi alla salute” ai sensi del GDPR. Tradizionalmente, si considerano dati sanitari quelli strettamente connessi a condizioni mediche o a trattamenti clinici. Tuttavia, la CGUE ha chiarito che anche informazioni apparentemente banali, quali il nome e l’indirizzo dell’acquirente, possono essere qualificati come dati relativi alla salute se, nel contesto specifico, consentono di trarre conclusioni sullo stato di salute di una persona.
Questo significa che, ad esempio, l’atto di acquistare determinati farmaci da banco può essere interpretato come un’indicazione indiretta di una condizione di salute, anche senza che il soggetto abbia espresso esplicitamente informazioni mediche. La Corte ha sottolineato che non è necessario che i dati siano accurati o che il trattamento sia stato effettuato con l’intenzione di trattare dati sensibili: basta una probabilità, anche non certa, che un farmaco sia destinato a un determinato soggetto, affinché i dati siano considerati “relativi alla salute”.
**Implicazioni per le aziende del settore**
Questa interpretazione estensiva comporta un aumento della responsabilità per le imprese attive nell’e-commerce di farmaci. Le piattaforme e i rivenditori devono assicurarsi che ogni trattamento di dati personali, anche quelli che sembrano innocui, sia conforme alle prescrizioni del GDPR riguardo ai dati sensibili. Ciò include l’adozione di misure di sicurezza più rigorose, la trasparenza nelle informative e, eventualmente, la limitazione o l’anonimizzazione dei dati per evitare che informazioni apparentemente non mediche possano essere ricondotte a uno stato di salute.
**Rafforzamento dell’enforcement e ruolo dei concorrenti**
Un altro aspetto rilevante riguarda la possibilità per i concorrenti di agire legalmente in presenza di violazioni del GDPR che integrano pratiche commerciali sleali. La Corte ha infatti stabilito che le normative nazionali possono attribuire ai concorrenti la legittimazione attiva per agire in giudizio contro comportamenti che, oltre a violare il GDPR, risultano anche pratiche commerciali scorrette. Questo rafforza il ruolo di enforcement orizzontale tra imprese, favorendo un controllo più efficace del rispetto delle norme sulla protezione dei dati nel settore.
**Conclusioni e raccomandazioni**
La sentenza della CGUE sottolinea l’importanza di una rigorosa conformità al GDPR, anche in settori come quello farmaceutico online dove i dati trattati possono essere facilmente interpretati come sensibili. Le aziende devono rivedere le proprie pratiche di raccolta, trattamento e conservazione dei dati, assicurandosi di rispettare tutte le disposizioni relative ai dati sensibili, anche quando i dati stessi sembrano di natura innocua.
Inoltre, è fondamentale rafforzare le misure di sicurezza, la trasparenza verso gli utenti e la formazione del personale, per prevenire rischi di violazioni e contenziosi. La sentenza evidenzia come la protezione dei dati non sia più solo una questione di privacy, ma anche di conformità legale e di tutela della reputazione aziendale.
**In sintesi**
La pronuncia della Corte di Giustizia UE del 2024 amplia significativamente l’interpretazione dei dati relativi alla salute, imponendo alle aziende del settore farmaceutico online di adottare una prospettiva più cautelativa e rigorosa nel trattamento dei dati personali. La tutela dei diritti degli utenti e il rispetto delle norme del GDPR diventano elementi imprescindibili per operare in un mercato sempre più digitale e regolamentato.
CONCLUSIONI DELL’AVVOCATO GENERALE
MACIEJ SZPUNAR
presentate il 25 aprile 2024 (1)
Causa C‑21/23
ND
contro
DR
[domanda di pronuncia pregiudiziale proposta dal Bundesgerichtshof (Corte federale di giustizia, Germania)]
« Rinvio pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – Mezzi di ricorso – Limitazione dei mezzi di ricorso – Trattamento di categorie particolari di dati personali – Nozioni di “dati relativi alla salute” »
I. Introduzione
1. La presente causa riguarda l’interpretazione di una serie di disposizioni del regolamento (UE) 2016/679 (2) (in prosieguo: il «RGPD») con riferimento, da un lato, al sistema dei mezzi di ricorso introdotto da tale regolamento e, dall’altro, alla categoria di dati particolarmente sensibili quali i «dati relativi alla salute».
2. La domanda di pronuncia pregiudiziale si inserisce nel contesto di un’azione inibitoria, fondata sul divieto, nel diritto nazionale, di atti di concorrenza sleale e promossa da un’impresa allo scopo di porre fine alla commercializzazione su Internet da parte di uno dei suoi concorrenti di medicinali non soggetti a prescrizione. Secondo tale impresa, l’asserito atto di concorrenza sleale consisterebbe nell’inosservanza dei requisiti derivanti dal RGPD per quanto riguarda il trattamento dei «dati relativi alla salute».
3. Inizierò la mia analisi dall’esame della seconda questione pregiudiziale, che consentirà alla Corte di precisare i contorni della nozione di «dati relativi alla salute», che determina l’applicazione o meno di un regime rafforzato di protezione.
4. Infatti, nell’ipotesi in cui i dati di cui trattasi nella presente causa non potessero essere qualificati come «dati relativi alla salute», ai sensi dell’articolo 9, paragrafo 1, del RGPD, ne conseguirebbe che l’asserito atto di concorrenza sleale non sussisterebbe. In tal caso, sarebbe quindi inutile rispondere alla prima questione pregiudiziale, che riguarda la questione se il sistema dei mezzi di ricorso istituito dal RGPD consenta l’esistenza, nel diritto nazionale, di un ricorso fondato su una violazione delle norme relative al divieto di atti di concorrenza sleale, con il quale il ricorrente faccia valere una violazione delle disposizioni sostanziali del RGPD.
II. Contesto normativo
A. Diritto dell’Unione
1. Direttiva 95/46/CE
5. La direttiva 95/46/CE (3) così prevede, al suo articolo 8, paragrafo 1:
«Gli Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale».
2. RGPD
6. I considerando 9, 10, 13, 35, 51 e 142 del RGPD recitano come segue:
«(9) Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la [direttiva 95/46].
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...)
(...)
(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un monitoraggio coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. (...)
(...)
(35) Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla [direttiva 2011/24/UE (4)]; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.
(...)
(51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (…) Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali.
(...)
(142) Qualora l’interessato ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un’organizzazione o un’associazione che non abbiano scopo di lucro, costituiti in conformità del diritto di uno Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore della protezione dei dati personali, per proporre reclamo per suo conto a un’autorità di controllo, esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o esercitare il diritto di ottenere il risarcimento del danno per conto degli interessati se quest’ultimo è previsto dal diritto degli Stati membri. Gli Stati membri possono prescrivere che tale organismo, organizzazione o associazione abbia il diritto di proporre reclamo in tale Stato membro, indipendentemente dall’eventuale mandato dell’interessato, e il diritto di proporre un ricorso giurisdizionale effettivo qualora abbia motivo di ritenere che i diritti di un interessato siano stati violati in conseguenza di un trattamento dei dati personali che violi il presente regolamento. tale organismo, organizzazione o associazione può non essere autorizzato a chiedere il risarcimento del danno per conto di un interessato indipendentemente dal mandato dell’interessato».
7. L’articolo 1 di tale regolamento, intitolato «Oggetto e finalità», così dispone:
«1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».
8. L’articolo 4 di detto regolamento prevede quanto segue:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
(...)
15) “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
(...)».
9. Ai sensi dell’articolo 9 del medesimo regolamento, intitolato «Trattamento di categorie particolari di dati personali»:
«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
(...)
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
(...)».
10. Gli articoli da 77 a 84 figurano nel capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni».
11. L’articolo 77 di tale regolamento, intitolato «Diritto di proporre reclamo all’autorità di controllo», così dispone, al paragrafo 1:
«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».
12. L’articolo 78 di detto regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», enuncia quanto segue, al suo paragrafo 1:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda».
13. L’articolo 79 del medesimo regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», così prevede, al paragrafo 1:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».
14. L’articolo 80 del RGPD, intitolato «Rappresentanza degli interessati», enuncia quanto segue:
«1. L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82.
2. Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento».
15. L’articolo 82 di tale regolamento, intitolato «Diritto al risarcimento e responsabilità», così dispone, al paragrafo 1:
«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
16. L’articolo 84 di detto regolamento, intitolato «Sanzioni», enuncia quanto segue, al paragrafo 1:
«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».
B. Diritto tedesco
1. Legge contro la concorrenza sleale
17. L’articolo 3 del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale), del 3 luglio 2004 (5), nella sua versione applicabile alla controversia di cui al procedimento principale (in prosieguo: la «legge contro la concorrenza sleale»), intitolato «Divieto di comportamenti commerciali sleali», prevede, al suo paragrafo 1, che «[l]e pratiche commerciali sleali sono illecite».
18. L’articolo 3a di tale legge, intitolato «Violazione del diritto», è così formulato:
«Commette un atto sleale colui il quale violi una disposizione di legge che sia altresì destinata a disciplinare il comportamento sul mercato nell’interesse dei soggetti partecipanti al mercato stesso, nel caso in cui la violazione sia idonea a pregiudicare in maniera sensibile gli interessi dei consumatori, di altri soggetti partecipanti al mercato o dei concorrenti».
19. L’articolo 8 di detta legge, intitolato «Inibizione ed astensione», enuncia quanto segue:
«(1) Nei confronti di chiunque ponga in essere una pratica commerciale illecita ai sensi dell’articolo 3 o dell’articolo 7 può essere promossa un’azione inibitoria e, in caso di rischio di recidiva, un’azione diretta a imporre l’astensione da tale pratica in futuro (...).
(...)
(3) È legittimato ad agire ai sensi del paragrafo 1:
1. qualsiasi concorrente che commercializzi o richieda beni o servizi su base non trascurabile e non occasionale,
(...)».
2. Legge sui medicinali
20. La circolazione dei medicinali è disciplinata dall’Arzneimittelgesetz (legge sui medicinali), del 24 agosto 1976, nella versione pubblicata il 12 dicembre 2005 (6), quale da ultimo modificata dall’articolo 8c della legge del 20 dicembre 2022 (7). Tale legge opera una distinzione tra i medicinali venduti in farmacia, di cui agli articoli da 43 (intitolato «Obbligo di distribuzione in farmacia») a 47, e quelli venduti su prescrizione, di cui all’articolo 48 (intitolato «Obbligo di prescrizione»).
III. Fatti di cui al procedimento principale, procedimento e questioni pregiudiziali
21. ND e DR gestiscono ciascuno una farmacia. Il ricorrente nel procedimento principale, ND, è inoltre titolare di un’autorizzazione alla vendita per corrispondenza e commercializza i suoi prodotti, compresi i medicinali la cui vendita è riservata alle farmacie, anche attraverso l’intermediazione di Amazon Marketplace (in prosieguo: «Amazon»), una piattaforma di commercio elettronico attraverso la quale i venditori possono proporre prodotti in vendita direttamente ai consumatori.
22. Il resistente nel procedimento principale, DR, ha promosso un’azione inibitoria per vietare a ND la commercializzazione sulla piattaforma di vendita online Amazon di medicinali la cui vendita è riservata alle farmacie. Secondo DR, una tale commercializzazione costituisce una pratica commerciale sleale nella misura in cui comporta una violazione, da parte di ND, di una disposizione di legge, ai sensi dell’articolo 3a della legge sulla concorrenza sleale, ossia, segnatamente, l’articolo 9 del RGPD relativo all’ottenimento del consenso preventivo ed esplicito del cliente al trattamento dei suoi dati personali relativi alla salute.
23. Il Landgericht Dessau-Roßlau (Tribunale del Land di Dessau-Roßlau, Germania) ha accolto tale azione. L’Oberlandesgericht Naumburg (Tribunale superiore del Land di Naumburg, Germania) ha successivamente respinto il ricorso in appello proposto da ND, dichiarando che la commercializzazione su Amazon da parte di ND di medicinali la cui vendita è riservata alle farmacie è contraria alla legge contro la concorrenza sleale. Infatti, secondo tale giudice, tale commercializzazione costituisce un trattamento di dati relativi alla salute, ai sensi dell’articolo 9, paragrafo 1, del RGPD, a cui i clienti non avrebbero espressamente acconsentito. Orbene, le disposizioni del RGPD dovrebbero essere considerate come norme di condotta sul mercato ai sensi del diritto nazionale della concorrenza, cosicché, in quanto concorrente, DR avrebbe il diritto di intentare un’azione inibitoria fondata sul diritto nazionale della concorrenza invocando una violazione da parte di ND delle disposizioni di tale regolamento.
24. ND ha presentato ricorso per cassazione dinanzi al Bundesgerichtshof (Corte federale di giustizia, Germania), con cui conferma la sua richiesta di rigetto dell’azione inibitoria.
25. Secondo il giudice del rinvio, l’esito del ricorso per cassazione dipende dall’interpretazione tanto del capo VIII del RGPD quanto dell’articolo 9 di tale regolamento, nonché dell’articolo 8, paragrafo 1, della direttiva 95/46.
26. Infatti, da un lato, tale giudice sottolinea che occorre stabilire se il ricorrente nel procedimento principale, in quanto concorrente, abbia la legittimazione ad agire, tramite ricorso dinanzi ai giudici civili, per violazioni del RGPD, nei confronti dell’autore delle stesse, sulla base del divieto delle pratiche commerciali sleali. Il giudice del rinvio precisa che si tratta di una questione controversa alla quale si può rispondere che le norme contenute nel RGPD volte a far applicare le sue disposizioni sono tassative, così escludendo la legittimazione ad agire dei concorrenti in base al diritto della concorrenza. Tuttavia, si può anche sostenere che le disposizioni del RGPD dirette al controllo dell’applicazione del diritto non sono tassative e che i concorrenti hanno quindi la legittimazione necessaria per far applicare, tramite ricorso, i diritti a un’azione inibitoria, invocando la violazione di tale regolamento.
27. Dall’altro lato, il giudice del rinvio sostiene che è necessario stabilire se i dati che i clienti sono tenuti a fornire, al momento dell’ordine online di medicinali la cui vendita è riservata ai farmacisti ma che non sono soggetti a prescrizione medica, costituiscano dati relativi alla salute, ai sensi dell’articolo 9, paragrafo 1, del RGPD e, in precedenza, dell’articolo 8, paragrafo 1, della direttiva 95/46, in quanto il diritto di ottenere un provvedimento inibitorio sussiste solo se il comportamento di ND era illecito sia al momento della sua adozione sia al momento dell’udienza di cassazione.
28. È in tale contesto che il Bundesgerichtshof (Corte federale di giustizia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se le disposizioni di cui al capo VIII del [RGPD] ostino a norme nazionali le quali – oltre ai poteri di intervento delle autorità di controllo preposte alla sorveglianza e all’attuazione del regolamento, e in aggiunta ai mezzi di ricorso a disposizione degli interessati – conferiscano ai concorrenti il potere di agire, in caso di violazioni [di detto regolamento], contro l’autore della violazione, proponendo un ricorso dinanzi ai giudici civili fondato sul divieto di pratiche commerciali sleali.
2) Se i dati che i clienti di un farmacista, che interviene in qualità di venditore su una piattaforma di vendite online, forniscono su tale piattaforma, quando ordinano medicinali la cui vendita sia effettivamente riservata alle farmacie ma che non sono tuttavia soggetti a prescrizione medica (nome del cliente, indirizzo di consegna e informazioni necessarie all’individuazione del medicinale ordinato la cui vendita è riservata alle farmacie), siano dati relativi alla salute ai sensi dell’articolo 9, paragrafo 1, del RGPD e dell’articolo 8, paragrafo 1, della direttiva 95/46».
29. La presente domanda di pronuncia pregiudiziale è pervenuta alla Corte il 19 gennaio 2023. Le parti nel procedimento principale, il governo tedesco e la Commissione europea hanno presentato osservazioni scritte. Le stesse parti erano rappresentate all’udienza che si è tenuta il 9 gennaio 2024.
IV. Analisi
30. Nella presente causa, DR sostiene che ND avrebbe violato l’articolo 9 del RGPD per aver trattato i dati dei clienti che hanno fatto un ordine online di medicinali non soggetti a prescrizione, senza conformarsi ai requisiti che impongono di ottenere il consenso esplicito dei clienti per il trattamento di tali dati.
31. Con la prima questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se le disposizioni del capo VIII del RGPD debbano essere interpretate nel senso che ostano a norme nazionali che conferiscono alle imprese il diritto di far valere, sulla base del divieto degli atti di concorrenza sleale, le violazioni delle disposizioni sostanziali del RGPD asseritamente commesse dai loro concorrenti. Nella seconda questione pregiudiziale, tale giudice chiede alla Corte se l’articolo 9 del RGPD debba essere interpretato nel senso che i dati di cui trattasi costituiscono dati relativi alla salute e rientrino pertanto nelle categorie particolari di dati menzionate in tale disposizione (8).
32. Innanzitutto, come ho già sottolineato, rilevo che, nell’ipotesi di una risposta negativa alla seconda questione, non sarebbe necessario rispondere alla prima, in quanto la risposta della Corte sarebbe sufficiente al giudice del rinvio per decidere la causa pendente dinanzi ad esso. Date tali circostanze, ritengo opportuno iniziare la mia analisi delle questioni pregiudiziali da tale seconda questione.
A. Sulla seconda questione pregiudiziale
33. Con la seconda questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se i dati dei clienti di un farmacista trasmessi al momento dell’ordine su una piattaforma di vendita online di medicinali, la cui vendita è riservata alle farmacie ma che non sono soggetti a prescrizione, costituiscano «dati relativi alla salute» ai sensi dell’articolo 9, paragrafo 1, del RGPD.
34. Occorre innanzitutto precisare che la nozione di «dati relativi alla salute» di cui all’articolo 9, paragrafo 1, del RGPD è definita all’articolo 4, punto 15, di tale regolamento. La risposta alla seconda questione pregiudiziale presuppone quindi un’interpretazione congiunta di tali due disposizioni.
1. Sull’interpretazione della nozione di «dati relativi alla salute» alla luce della giurisprudenza esistente
35. Ai sensi dell’articolo 4, punto 15, del RGPD, per «dati relativi alla salute» si intendono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
36. Tale definizione è inoltre supportata dal considerando 35 del RGPD. La Corte ha infatti sottolineato nella sua giurisprudenza che «secondo [tale considerando] nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che “rivelino” informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso» (9).
37. Dal testo dell’articolo 4, punto 15, del RGPD, come precisato dal considerando 35 di tale regolamento, emerge quindi che l’elemento determinante per stabilire che alcuni dati personali costituiscono dati relativi alla salute è il fatto che sia possibile trarre conclusioni sullo stato di salute dell’interessato dai dati in questione. In altri termini, i «dati relativi alla salute» non si limitano ai dati medici o a quelli direttamente connessi a problemi di salute, ma comprendono anche qualsiasi dato che consenta di trarre conclusioni sullo stato di salute dell’interessato, sia esso uno stato patologico o fisiologico.
38. Ciò è confermato alla luce dell’obiettivo perseguito all’articolo 9 del RGPD. Nella sua giurisprudenza la Corte ha infatti sottolineato che la finalità di tale disposizione è quella di garantire una protezione maggiore contro i trattamenti che, a causa della natura particolarmente sensibile dei dati che ne sono oggetto, possono costituire, come risulta dal considerando 51 del RGPD, un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (10).
39. La natura particolarmente sensibile dei dati relativi alla salute si spiega infatti con il fatto che si tratta di informazioni che appartengono alla sfera più intima delle persone e possono esporre le loro vulnerabilità. Tale particolare sensibilità e, di conseguenza, la loro particolare necessità di protezione sono del resto riconosciute non solo dal diritto dell’Unione, ma anche dalla giurisprudenza della Corte europea dei diritti dell’uomo, che sottolinea che «il rispetto della riservatezza delle informazioni relative alla salute costituisce un principio essenziale dell’ordinamento giuridico di tutte le parti contraenti della Convenzione [europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950]» (11).
40. Alla luce di tale obiettivo, occorre quindi, secondo la giurisprudenza della Corte, dare un’interpretazione estensiva alla nozione di «categorie particolari di dati personali», che comprende i dati relativi alla salute, in modo da riferirsi non solo a dati intrinsecamente sensibili, ma anche a dati che svelano indirettamente, al termine di un’operazione intellettuale di deduzione o di raffronto, informazioni di tale natura (12).
41. Al riguardo, rilevo che anche il comitato europeo per la protezione dei dati, istituito agli articoli 68 e seguenti del RGPD, adotta una tale concezione della nozione di «dati relativi alla salute», sottolineando che non è solo la natura intrinseca dell’informazione a determinare la sua qualificazione come «dati relativi alla salute», ma anche le circostanze che ne circondano la raccolta e il trattamento, e fornisce vari esempi al riguardo. Ad avviso di tale comitato, costituiscono quindi «dati relativi alla salute» le informazioni contenute in una cartella clinica, le informazioni che rivelano lo stato di salute sulla base di riferimenti incrociati ad altri dati, o i dati che diventano dati relativi alla salute a seguito del loro utilizzo in un contesto specifico, come le informazioni relative a un viaggio ed elaborate da un professionista sanitario per effettuare una diagnosi (13). Per contro, non costituiscono «dati relativi alla salute» i dati raccolti da un’applicazione che consente di misurare il numero di passi effettuati dall’interessato se tale applicazione non è in grado di collegare tali dati ad altri dati relativi a tale persona e nella misura in cui i dati raccolti non siano trattati in un contesto medico (14).
42. Dall’articolo 4, punto 15, e dall’articolo 9 del RGPD, come interpretati dalla giurisprudenza, emerge chiaramente che devono essere considerati «dati relativi alla salute», ai sensi di tali disposizioni, i dati da cui si possono trarre conclusioni quanto allo stato di salute dell’interessato.
43. Osservo quindi che, prima facie, non si può negare che l’ordine online di medicinali non soggetti a prescrizione comporti il trattamento di dati da cui si possono dedurre talune informazioni relative alla salute o che, quanto meno, fornisca talune indicazioni al riguardo, in quanto tale ordine implica un nesso tra l’acquisto di un medicinale – prodotto relativo alla salute per eccellenza – e l’identità del suo acquirente. Tuttavia, a mio avviso e per le ragioni che mi accingo ora ad esporre, dalle informazioni trasmesse alla Corte dal giudice del rinvio, tale nesso risulta troppo tenue e le indicazioni che se ne possono dedurre risultano troppo imprecise o ipotetiche perché i dati di cui trattasi possano essere qualificati come «dati relativi alla salute», ai sensi dell’articolo 4, punto 15, e dell’articolo 9 del RGPD.
2. Sul requisito di un certo grado di certezza quanto alle conclusioni che si possono trarre sullo stato di salute di un interessato
44. È necessario fare alcune precisazioni per quanto riguarda tale interpretazione della nozione, in particolare, di «dati relativi alla salute» e della nozione di «categoria particolare di dati» in generale.
45. Da un lato, mi sembra che, sulla base di tali elementi interpretativi, un prodotto ordinato online possa essere considerato in grado di rivelare informazioni generali sullo stato di salute di una persona, ma anche, come risulta dall’articolo 9 del RGPD, sulla sua origine razziale o etnica, sulle sue opinioni politiche, sulle sue convinzioni religiose o filosofiche o sul suo orientamento sessuale. A mio avviso, alcune informazioni relative a tali diversi elementi riguardanti l’interessato possono essere dedotte dai prodotti ordinati online.
46. Vi sono diversi esempi a sostegno della mia tesi. L’ordine di un libro su una personalità politica può potenzialmente indicare l’adesione alle idee da essa difese; l’ordine di un capo di abbigliamento può essere un segno delle convinzioni religiose di un individuo, o l’ordine di materiale erotico può costituire un’indicazione dell’orientamento sessuale della persona. A meno di non sottoporre gran parte del trattamento dei dati relativi al commercio online al regime previsto dall’articolo 9, paragrafo 2, del RGPD, mi sembra quindi necessario affinare piuttosto l’interpretazione della nozione di «dati relativi alla salute», nel senso che le conclusioni che si possono trarre dai dati relativi a un ordine non devono essere solo potenziali. In altri termini, a mio avviso, le informazioni rivelate dai dati in questione sullo stato di salute dell’interessato non possono essere semplici supposizioni, ma devono presentare un certo grado di certezza.
47. Dall’altro lato, sono del parere che, a parte i casi in cui i dati sono intrinsecamente «dati relativi alla salute», la questione della qualificazione o meno dei dati in tal senso dipende dalle circostanze di ciascun caso di specie. Più precisamente, le conclusioni che si possono trarre da tali dati mi sembrano dipendere dal contesto in cui essi vengono raccolti e dal trattamento che ne viene effettuato. Come sottolineato dal comitato europeo per la protezione dei dati istituito agli articoli 68 e seguenti del RGPD, i dati a prima vista estranei al settore medico, quali le informazioni relative a un viaggio, possono tuttavia essere considerati come «dati relativi alla salute» se analizzati in un contesto medico e combinati con altre informazioni, al fine di stabilire, nell’esempio citato, una potenziale contaminazione con un batterio o un virus presente in una determinata regione.
48. In particolare, sottolineo che l’identità del titolare del trattamento dei dati è un elemento particolarmente rilevante al riguardo. Infatti, nel caso in cui i dati sono trattati da un organo del settore sanitario, mi sembra che ciò possa costituire un’indicazione del fatto che tali dati sono effettivamente «dati relativi alla salute». Per contro, gli stessi dati potrebbero essere qualificati diversamente per il fatto di non essere trattati da un ente del settore sanitario e di non poter essere collegati ad altri dati relativi all’interessato. In altri termini, il medesimo dato può rivelare più informazioni sullo stato di salute di una persona quando è trattato da un’istituzione del settore sanitario titolare di competenze per interpretarli o che dispone di altri dati che riguardano la persona rispetto a quando tale dato è trattato da un organo estraneo a tale settore.
49. Date tali circostanze, ritengo che spetti al giudice del rinvio effettuare un esame tanto del contenuto dei dati in questione quanto dell’insieme delle circostanze relative al loro trattamento, al fine di stabilire se da essi si possano trarre, con un certo grado di certezza, informazioni relative allo stato di salute dell’interessato.
50. Tuttavia, alla luce degli elementi contenuti nella decisione del giudice del rinvio, mi sembra si possano fornire precisazioni dirette a guidarlo nella decisione sul procedimento principale (15).
3. Sugli elementi rilevanti per l’esame, da parte del giudice del rinvio, della possibilità di dedurre informazioni sullo stato di salute dell’interessato
51. In primo luogo, per quanto concerne i prodotti oggetto dell’ordine, sottolineo che i medicinali in questione, cioè medicinali non soggetti a prescrizione, non sono in linea di principio destinati al trattamento di uno stato particolare, ma possono essere utilizzati più in generale per curare disturbi del quotidiano che possono essere riscontrati da ognuno e che non sono sintomatici di una patologia o di un particolare stato di salute. Inoltre, tali medicinali sono spesso acquistati anche a titolo preventivo, per averli a disposizione in caso di necessità o prima di un viaggio lontano dal luogo di residenza abituale, ad esempio. A titolo esemplificativo, un ordine di paracetamolo non permette di dedurre alcunché quanto allo stato esatto di una persona, essendo tale molecola indicata per il trattamento di diversi dolori e stati febbrili e rientrando spesso tra i medicinali di cui le persone dispongono nella propria abitazione, a prescindere da ogni particolare necessità.
52. In secondo luogo, come sottolinea ND, il fatto che una persona ordini online un medicinale non soggetto a prescrizione non implica necessariamente che tale persona, i cui dati sono trattati, ne sarà l’utilizzatore, piuttosto che un’altra persona del suo nucleo familiare o della sua cerchia. Infatti, è frequente che un ordine su un sito di vendita online venga effettuato da una persona titolare di un account su tale sito in nome e per conto di una persona che non ne ha uno. In assenza di prescrizione che indichi nominalmente la persona cui è destinato il medicinale e sulla cui base si deve presumere che l’utilizzatore del medicinale e l’acquirente siano la stessa persona, non si può dedurre dall’ordine di un prodotto liberamente accessibile online che tale prodotto sia destinato all’utilizzo da parte dell’acquirente, e solo da parte dell’acquirente. Di conseguenza, da tali dati non è legittimo trarre alcuna conclusione sullo stato di salute della persona i cui dati sono trattati, in modo da poterli qualificare come «dati relativi alla salute».
53. Ciò è tanto più vero in quanto, in terzo luogo, e fatte salve le verifiche di competenza del giudice del rinvio, una persona può effettuare un ordine via Internet senza che sia necessario fornire dati precisi sulla sua identità, in particolare quando la consegna del prodotto non avviene all’indirizzo dell’interessato ma tramite un punto di consegna, e quando non sono richiesti altri dati relativi all’identità civile ai fini della fatturazione.
54. Ritengo pertanto che occorra rispondere alla seconda questione pregiudiziale nel senso che i dati dei clienti di un farmacista trasmessi al momento dell’ordine su una piattaforma di vendita online di medicinali, la cui vendita è riservata alle farmacie ma che non sono soggetti a prescrizione, non costituiscono «dati relativi alla salute» ai sensi dell’articolo 4, punto 15, e dell’articolo 9 del RGPD, in quanto da essi si possono trarre solo conclusioni ipotetiche o imprecise sullo stato di salute della persona che effettua l’ordine online, la cui verifica spetta al giudice del rinvio.
55. Per il resto, occorre anche precisare che, a mio avviso, interpretare la nozione di «dati relativi alla salute» come comprensiva dei dati trasmessi al momento dell’ordine su una piattaforma di vendita online di medicinali la cui vendita è riservata alle farmacie ma che non sono soggetti a prescrizione, può, paradossalmente, portare a rivelare maggiori informazioni sensibili in considerazione del regime di protezione rafforzata previsto dall’articolo 9, paragrafo 2, del RGPD. Infatti, la richiesta di un consenso esplicito per il trattamento di dati già identificati come sensibili potrebbe in ultima analisi spingere l’acquirente a rivelare l’identità dell’utilizzatore finale del prodotto. In tal caso, si potrebbero trarre conclusioni più precise sullo stato di salute di tale persona.
B. Sulla prima questione pregiudiziale
56. Alla luce della risposta che propongo di dare alla seconda questione pregiudiziale, non ritengo necessario rispondere alla prima questione pregiudiziale. Per completezza e tenuto conto della valutazione che spetterà al giudice del rinvio, analizzerò tuttavia tale questione, con la quale il giudice del rinvio chiede, in sostanza, se le disposizioni del capo VIII del RGPD debbano essere interpretate nel senso che esse ostano a norme nazionali che riconoscono alle imprese il diritto di far valere, sulla base del divieto degli atti di concorrenza sleale, le violazioni delle disposizioni sostanziali di tale regolamento asseritamente commesse dai loro concorrenti.
57. Le parti hanno fornito risposte diametralmente opposte a tale questione. Da un lato, secondo la Commissione e DN, il sistema dei mezzi di ricorso introdotto dalle disposizioni del capo VIII del RGPD, interpretato alla luce degli obiettivi di tale regolamento, deve essere concepito come un sistema esaustivo, che esclude qualsiasi possibilità per gli Stati membri di prevedere mezzi di ricorso alternativi nel diritto nazionale.
58. Dall’altro lato, secondo il governo tedesco, il sistema dei mezzi di ricorso introdotto dalle disposizioni del capo VIII del RGPD deve essere concepito come un insieme minimo di mezzi di ricorso integrabile dagli Stati membri. La natura non esaustiva di un tale sistema sarebbe giustificata dal fatto che il RGPD ha anche l’obiettivo di proteggere le condizioni di concorrenza e di impedire le distorsioni che potrebbero derivare da differenze nel livello di protezione dei dati, e dal fatto che la possibilità per un concorrente di lamentare la violazione da parte di un altro concorrente delle disposizioni sostanziali di tale regolamento rafforzerebbe il carattere operativo di quest’ultimo.
59. Le parti hanno quindi articolato le loro osservazioni intorno alla questione se il sistema di mezzi di ricorso previsto dal RGPD dovesse essere concepito come un sistema di armonizzazione esaustiva, il che inciderebbe, a loro avviso, sulla possibilità per gli Stati membri di prevedere nel loro diritto nazionale mezzi di ricorso alternativi a quelli stabiliti da tale regolamento.
60. Tuttavia, se la decisione sulla natura o meno esaustiva del sistema dei mezzi di ricorso è un elemento rilevante per fornire una risposta utile alla prima questione pregiudiziale, mi sembra, per le ragioni che esporrò, che una tale analisi richieda innanzitutto l’esame della questione di fondo dell’identificazione dei soggetti che godono della protezione offerta dalle norme, sia sostanziali che procedurali, del RGPD. Infatti, nell’ipotesi in cui le imprese titolari del trattamento dei dati dovessero essere considerate titolari di diritti attribuiti dal RGPD, tale regolamento dovrebbe, a mio parere, essere interpretato nel senso di imporre al diritto nazionale di predisporre mezzi di ricorso volti a far valere tali diritti. Inizierò quindi la mia analisi da tale punto, prima di rispondere alla questione se il sistema dei mezzi di ricorso introdotto dal RGPD debba essere concepito come un sistema esaustivo, nel senso che esclude la possibilità, prevista dal diritto nazionale, per un’impresa di intentare un’azione inibitoria, promossa sulla base del divieto degli atti di concorrenza sleale, nei confronti di un concorrente facendo valere la violazione da parte di quest’ultimo delle disposizioni di tale regolamento.
1. Identificazione dei titolari dei diritti attribuiti dal RGPD
61. Mi accingerò, innanzitutto, a precisare la necessità di una tale identificazione, poi procedendovi, e infine esporrò le implicazioni dell’identificazione degli interessati come unici beneficiari dei diritti attribuiti dal RGPD in relazione alla risposta alla prima questione pregiudiziale.
a) Sulla necessità di individuare i titolari dei diritti protetti dal RGPD
62. La necessità, per rispondere alla questione pregiudiziale, di identificare innanzitutto i titolari dei diritti protetti dal RGPD prima di trattare la questione del carattere esaustivo del sistema dei mezzi di ricorso istituito da tale regolamento si spiega, a mio avviso, in due modi.
1) L’obbligo degli Stati membri di prevedere ricorsi diretti a far valere un diritto previsto dal diritto dell’Unione
63. Osservo che è giurisprudenza consolidata che il diritto dell’Unione, nello stesso modo in cui impone obblighi ai singoli, è altresì volto a creare diritti che entrano a far parte del loro patrimonio giuridico (16), la Corte sottolineando a tal proposito che tali diritti sorgono in particolare in relazione degli obblighi imposti sia ai singoli sia agli Stati membri e alle istituzioni dell’Unione (17). Infatti, qualsiasi obbligo imposto a una persona fisica o giuridica ha, come regola generale, l’effetto corrispondente di attribuire un diritto a beneficio di un’altra persona.
64. Inoltre, è pacifico che qualsiasi diritto conferito a un singolo dal diritto dell’Unione implica anche l’esistenza di un mezzo di ricorso volto precisamente a far valere tale diritto, fermo restando che, in assenza di norme specifiche del diritto dell’Unione in tal senso, spetta agli Stati membri garantire il rispetto dei diritti in questione nell’ambito di un ricorso di diritto interno (18). Infatti, dalla giurisprudenza emerge chiaramente che è compito dei giudici nazionali tutelare i diritti attribuiti ai singoli dalle disposizioni del diritto dell’Unione (19).
65. Se, come sostiene il governo tedesco, il RGPD dovesse essere interpretato nel senso che protegge, oltre agli interessati, anche le condizioni di concorrenza sul mercato e, quindi, in ultima analisi, le imprese, tale regolamento dovrebbe essere considerato come fonte di diritti che entrano a far parte del patrimonio giuridico di queste ultime (20).
66. In tal caso, in assenza di disposizioni esplicite in tal senso nel diritto dell’Unione, il rispetto dei diritti che le imprese trarrebbero dal RGPD dovrebbe poter essere garantito in base ai ricorsi previsti dagli Stati membri.
67. Ne conseguirebbe che, senza che occorra trattare la questione della natura o meno esaustiva del sistema dei mezzi di ricorso istituito dal RGPD, si dovrebbe rispondere alla prima questione pregiudiziale nel senso che il capo VIII di tale regolamento deve essere interpretato non nel senso che esso non osta a che gli Stati membri possano prevedere la possibilità per un concorrente di proporre un’azione nei confronti di un’altra impresa facendo valere una violazione di detto regolamento, ma, finanche, nel senso che esso impone che l’osservanza delle sue disposizioni possa essere garantita nell’ambito di un’azione promossa da un’impresa nei confronti di un concorrente invocando la loro violazione da parte di quest’ultimo (21).
68. A mio avviso, la risposta alla prima questione pregiudiziale dipende quindi effettivamente dall’identificazione dei titolari dei diritti conferiti dal RGPD.
2) La doppia accezione dell’esaustività di un sistema di mezzi di ricorso
69. La nozione stessa di «esaustività di un sistema di mezzi di ricorso» può avere due diverse accezioni, il che comporta un’analisi distinta e richiede la previa identificazione delle persone titolari dei diritti il cui rispetto è garantito da un tale sistema.
70. La prima accezione riguarda il carattere esaustivo del sistema dei mezzi di ricorso rispetto a qualsiasi altro ricorso diretto alla tutela dello stesso diritto. In altri termini, si tratta dell’esaustività dei ricorsi previsti dal diritto dell’Unione per la tutela dei diritti che le sue norme conferiscono ai singoli. La Corte si è già pronunciata, nella sua giurisprudenza, sulle implicazioni della natura esaustiva dei ricorsi previsti dal diritto dell’Unione per la tutela di un diritto a sua volta previsto dal diritto dell’Unione. A titolo esemplificativo, essa ha quindi costantemente dichiarato che un regime di responsabilità esaustivamente armonizzato dal diritto dell’Unione può tuttavia coesistere con un regime alternativo di responsabilità previsto dal diritto nazionale basato sugli stessi fatti e sullo stesso fondamento, a condizione che tale regime alternativo non pregiudichi il regime armonizzato e non ne comprometta gli obiettivi e l’effetto utile (22). Il mero carattere esaustivo di un sistema di mezzi di ricorso previsto dal diritto dell’Unione non è dunque sufficiente a escludere la possibilità per uno Stato membro di prevedere nel diritto nazionale un ricorso alternativo basato sullo stesso diritto, purché siano soddisfatte determinate condizioni.
71. La seconda accezione della nozione di «esaustività di un sistema di mezzi di ricorso» previsto dal diritto dell’Unione è più ampia e si riferisce all’esaustività rispetto a qualsiasi altro ricorso proposto da persone che non sono direttamente titolari di diritti conferiti dal diritto dell’Unione, ma che tuttavia se ne avvalgono nel contesto di un ricorso previsto dal diritto nazionale. Una tale concezione dell’esaustività di un sistema di ricorso istituito dal diritto dell’Unione richiede pertanto un’analisi differente (23).
72. Ancora una volta, quindi, al fine di effettuare un’analisi pertinente dell’eventuale natura esaustiva del sistema dei mezzi di ricorso previsto dal RGPD, occorre individuare preventivamente i titolari dei diritti attribuiti da tale regolamento, cosa che mi accingerò a fare nelle considerazioni seguenti.
b) Sull’identificazione dei titolari dei diritti protetti dal RGPD
73. L’ambito di applicazione ratione personae della protezione offerta dal RGPD deve, a mio avviso, essere determinato alla luce sia degli obiettivi che del contenuto di tale regolamento.
74. Per quanto riguarda, innanzitutto, gli obiettivi del RGPD, il governo tedesco sostiene al riguardo che, oltre all’obiettivo di garantire un livello elevato e coerente di protezione delle persone fisiche, tale regolamento mira anche a stabilire pari condizioni di concorrenza.
75. Invero, il considerando 9 del RGPD fa riferimento al fatto che le differenze nella tutela del diritto alla protezione dei dati personali in relazione al loro trattamento possono falsare la concorrenza. Tuttavia, a mio avviso, una tale precisazione non può essere interpretata nel senso di rendere la garanzia di una concorrenza libera e non falsata un obiettivo del RGPD. Il fatto che disparità tra le legislazioni degli Stati membri relativamente a norme vincolanti per le imprese comportino distorsioni della concorrenza mi sembra una mera constatazione, che non è specifica del RGPD. La circostanza che il comportamento delle imprese sul mercato sia disciplinato da disposizioni materiali più rigorose in uno Stato membro rispetto a un altro non implica necessariamente un particolare vantaggio concorrenziale per le imprese attive in quest’ultimo rispetto a quelle aventi sede nel primo, vantaggio a cui qualsiasi testo di armonizzazione può porre rimedio.
76. Una tale interpretazione mi sembra confermata dal riferimento, al considerando 9 del RGPD, alla necessità di garantire «la libera circolazione dei dati personali all’interno dell’Unione», potenzialmente minacciata a causa della disparità dei contesti normativi nazionali.
77. Inoltre, come ha sottolineato la Commissione in udienza, il considerando 9 del RGPD non riguarda la concorrenza esistente tra imprese, ma, in primo luogo, la concorrenza tra le imprese di due Stati membri diversi, derivante da contesti normativi diversi. In altri termini, si tratta essenzialmente di garantire pari condizioni di concorrenza nei vari Stati membri sottoponendo le imprese a norme armonizzate, anche se tali norme contribuiscono incidentalmente a far sì che nessuna impresa goda di un vantaggio concorrenziale rispetto ad altre imprese all’interno dello stesso Stato membro.
78. Pertanto, mio avviso il RGPD non ha l’obiettivo di garantire una concorrenza libera e non falsata nel mercato interno.
79. Inoltre, rilevo che nessuna delle disposizioni sostanziali del RGPD mira a garantire una concorrenza libera e non falsata tra le imprese e a renderle destinatarie della protezione introdotta da tale regolamento. Al contrario, esse mirano essenzialmente a imporre obblighi alle imprese titolari del trattamento dei dati. Ancorché sia vero, come ho menzionato, che qualsiasi obbligo imposto a una persona fisica o giuridica ha necessariamente l’effetto corrispondente di attribuire un diritto a un’altra persona, i soli beneficiari dei diritti in questione non sono le imprese, ma le persone i cui dati sono trattati da queste ultime. Al riguardo, il titolo del RGPD è evocativo in quanto si riferisce esclusivamente alla protezione delle persone fisiche.
80. Infine, per quanto riguarda le disposizioni procedurali del capo VIII del RGPD, sottolineo, come ho già rilevato, che esse aprono alla possibilità di ricorso solo per gli interessati e per i soggetti incaricati di rappresentarli. Tale limitazione dei soggetti che possono, ai sensi delle disposizioni del RGPD, agire in giudizio invocando una violazione della protezione dei loro dati personali mi sembra indicare chiaramente che essi sono gli unici beneficiari di tale protezione. Infatti, a mio avviso, sarebbe incoerente fare del RGPD anche uno strumento di tutela dei diritti dei concorrenti senza che tale regolamento preveda alcun rimedio per consentire a questi ultimi di proporre ricorso contro una violazione di tali diritti, anche se ricorsi del genere sono espressamente previsti in relazione alla tutela dei diritti degli interessati.
81. Ritengo pertanto che le imprese non siano destinatarie della protezione prevista dal RGPD, in quanto tale regolamento conferisce diritti solo agli interessati.
c) Sulle implicazioni dell’interpretazione del RGPD in quanto norma di protezione dei soli interessati
82. L’interpretazione del RGPD, secondo la quale le disposizioni di tale regolamento non conferiscono diritti alle imprese ma solo agli interessati, mi porta a una serie di conclusioni.
83. In primo luogo, come ho già esposto, a mio avviso tale interpretazione esclude la possibilità di ritenere che il rispetto delle disposizioni del RGPD debba poter essere garantito nell’ambito di un’azione intentata da un’impresa nei confronti di un concorrente invocando la loro violazione da parte di quest’ultimo.
84. In secondo luogo, poiché la cerchia dei beneficiari dei diritti attribuiti dal RGPD è limitata ai soli interessati, la giurisprudenza della Corte relativa alla possibilità per gli Stati membri di prevedere, nel diritto nazionale, ulteriori ricorsi destinati ai titolari di tali diritti, a condizione che tali ricorsi non pregiudichino il sistema armonizzato dei mezzi di ricorso e che non compromettano i suoi obiettivi (24), non mi sembra direttamente applicabile alla situazione di cui trattasi. Tuttavia, come dimostrerò, la giurisprudenza in materia può servire come base per analizzare tale situazione.
85. Infatti, in base a tale accezione della nozione di «esaustività di un sistema dei mezzi di ricorso», è essenziale stabilire se il sistema dei mezzi di ricorso introdotto dal RGPD debba essere inteso come un sistema esaustivo nel senso che esso osta all’accesso, per gli interessati, ad altri mezzi di ricorso nel diritto nazionale, rispetto a quelli previsti da tale regolamento.
86. Orbene, la causa di cui al procedimento principale verte su un ricorso proposto da un’impresa che non rientra tra i titolari dei diritti attribuiti dal RGPD.
87. Ciò detto, dato che il RGPD non conferisce alcun diritto alle imprese e ai loro concorrenti, l’unica questione rilevante è se il sistema dei mezzi di ricorso istituito dal RGPD debba essere inteso come un sistema esaustivo, nel senso che tale regolamento osta anche a che le imprese facciano valere una violazione delle sue disposizioni nell’ambito di un ricorso previsto dal diritto nazionale, cosa che mi accingerò ora a precisare.
2. La possibilità di ricorsi fondati sul diritto nazionale proposti da persone non titolari dei diritti attribuiti dal RGPD
88. La questione se le disposizioni relative al sistema dei mezzi di ricorso previsto dal RGPD ostino a che le imprese facciano valere una violazione delle disposizioni di tale regolamento nell’ambito dei ricorsi previsti dal diritto nazionale, mi sembra richieda una risposta in due fasi.
89. Infatti, la risposta a tale questione presuppone l’esame, da un lato, della possibilità per le imprese di invocare le disposizioni del RGPD pur non essendo titolari dei diritti da esse attribuiti, e, dall’altro, delle condizioni di interazione di tali ricorsi con il sistema dei mezzi di ricorso previsto da tale regolamento.
90. Per quanto riguarda, in primo luogo, la possibilità per le imprese di invocare le disposizioni del RGPD, rilevo che, nell’ambito dei ricorsi fondati sul diritto nazionale quale quello di cui trattasi nella causa di cui al procedimento principale, questa è solo incidentale. Più precisamente, l’impresa propone un ricorso sulla base del diritto nazionale, vale a dire il divieto degli atti di concorrenza sleale. La natura sleale dell’atto in questione deriverebbe quindi da una violazione del RGPD. In altri termini, il ricorso non si basa sulla violazione delle disposizioni del RGPD, ma tiene conto di una tale violazione in via incidentale (25).
91. Orbene, una tale considerazione incidentale è già stata ammessa dalla Corte, in un contesto certamente diverso. Infatti, nella sentenza Meta Platforms e a. (Condizioni generali di utilizzo di un social network), la Corte ha dichiarato che «la non conformità [al RGPD] di un trattamento di dati effettuato da un’impresa in posizione dominante [è] tale da costituire un abuso di tale posizione» (26) e, in generale, è necessario includere «le norme in materia di protezione dei dati personali [nel] contesto giuridico che le autorità garanti della concorrenza devono prendere in considerazione in sede di esame di un abuso di posizione dominante» (27). In altri termini, la Corte ammette la configurazione di una violazione del diritto della concorrenza a causa di una violazione delle disposizioni del RGPD.
92. Se tale constatazione è stata fatta non nell’ambito di una controversia tra privati, ma nel contesto dell’esame di una pratica anticoncorrenziale da parte di un’autorità nazionale garante della concorrenza, non vedo perché limitare solo a tale ipotesi la possibilità di tener conto in via incidentale della violazione delle disposizioni del RGPD.
93. Infatti, da un lato, per quanto riguarda il diritto della concorrenza, una volta ammessa una tale presa in considerazione in materia di public enforcement, mi sembra necessario renderla possibile anche nell’ambito del private enforcement e, quindi, nel caso di controversie tra singoli non fondate principalmente sulla violazione di un diritto attribuito dal RGPD, a meno che non si ammetta che i singoli non possano ottenere un risarcimento per i danni causati da una violazione del diritto della concorrenza per quanto accertata da un’autorità garante della concorrenza.
94. Dall’altro lato, come ha rilevato l’avvocato generale Richard de la Tour, la protezione dei dati personali può avere «ramificazioni (...) in altri settori concernenti, segnatamente, il diritto del lavoro, il diritto della concorrenza o, ancora, la normativa in materia di tutela dei consumatori» (28). Tale influenza del RGPD in altri settori mi sembra debba portare ad ammettere la presa in considerazione delle disposizioni di tale regolamento nel contesto di ricorsi fondati principalmente su disposizioni ad esso estranee.
95. Per quanto riguarda, in secondo luogo, la questione dell’interazione dei ricorsi nazionali che comportano la considerazione incidentale delle disposizioni del RGPD con il sistema dei mezzi di ricorso istituito da tale regolamento, a mio avviso siffatti ricorsi dovrebbero essere ammessi solo a condizione che non pregiudichino il sistema dei mezzi di ricorso di cui a detto regolamento o la realizzazione dei suoi obiettivi.
96. Tali requisiti sono stati elaborati nella giurisprudenza relativa all’esaustività di un sistema armonizzato di mezzi di ricorso rispetto a ricorsi nazionali fondati sul medesimo diritto (29). Mi sembra quindi che essi debbano a fortiori essere soddisfatti quando sono in gioco norme nazionali che riconoscono alle imprese il diritto di proporre ricorso non sulla base dello stesso diritto, ma sulla base del diritto nazionale, facendo tuttavia valere violazioni delle disposizioni sostanziali del RGPD asseritamente commesse da un’altra impresa.
97. Occorre quindi verificare se tali requisiti siano soddisfatti nel caso di specie.
98. Innanzitutto, per quanto riguarda la questione se un’azione inibitoria promossa da un’impresa nei confronti di un concorrente, asserendo che quest’ultimo ha violato le disposizioni del RGPD, sia pregiudizievole per il sistema dei mezzi di ricorso previsto dal capo VIII di tale regolamento, sono del parere che non sia così. Infatti, tali mezzi di ricorso consentono agli interessati, o a organismi, organizzazioni o associazioni senza scopo di lucro da essi incaricati, di proporre reclamo a un’autorità di controllo (articolo 77), di presentare ricorso contro una decisione di un’autorità di controllo (articolo 78), di intentare un’azione nei confronti di un titolare del trattamento o un responsabile del trattamento (articolo 79) o di ottenere dal titolare del trattamento o dal responsabile del trattamento il risarcimento del danno causato da una violazione del regolamento (articolo 82).
99. In altri termini, come sottolinea la Corte nella sua giurisprudenza, il capo VIII del RGPD «disciplina (...) i mezzi di ricorso che permettono di tutelare i diritti dell’interessato qualora i dati personali che lo riguardano siano stati oggetto di un trattamento asseritamente contrario alle disposizioni del regolamento stesso», la tutela di tali diritti potendo «essere reclamata o direttamente dall’interessato, oppure da un ente legittimato, in presenza o in assenza di un mandato a tal fine» (30).
100. Ciò detto, il ricorso che un’impresa potrebbe proporre nei confronti di un concorrente invocando una violazione del RGPD da parte di quest’ultimo si basa sì, in ultima analisi, su una violazione di una medesima disposizione, ma non persegue lo stesso obiettivo e non mette in opposizione le medesime parti. In altri termini, un tale ricorso previsto dal diritto nazionale non è concepito per garantire il rispetto dei diritti di cui sono destinatari gli interessati.
101. Ne consegue, a mio avviso, che i ricorsi accessibili agli interessati nell’ambito del sistema dei mezzi di ricorso introdotto dal RGPD sono preservati e sono sempre esercitabili, anche nell’ipotesi in cui un’impresa agisca nei confronti di un concorrente.
102. Al riguardo, devo anche precisare che non vedo in che misura, come sostiene la Commissione, siffatti ricorsi possano compromettere il sistema pubblico di controllo dell’applicazione del diritto istituito dal RGPD, poiché tale regolamento prevede già espressamente, accanto a un tale sistema pubblico, la possibilità per un interessato di far valere i diritti che gli derivano dal RGPD nell’ambito di un procedimento giudiziario.
103. Per quanto riguarda, poi, gli obiettivi perseguiti dal RGPD, dal considerando 10 si evince che tale regolamento mira, in particolare, a garantire tanto un livello elevato di protezione delle persone fisiche quanto un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali.
104. Il raggiungimento di nessuno di tali obiettivi mi sembra minacciato dalla possibilità offerta a un’impresa di intentare un’azione inibitoria, introdotta sulla base del divieto degli atti di concorrenza sleale, nei confronti di un concorrente lamentando la violazione da parte di quest’ultimo delle disposizioni del RGPD. Da un lato, l’elevato livello di protezione delle persone fisiche per quanto riguarda il trattamento dei loro dati personali mi sembra raggiunto, o addirittura rafforzato, grazie alla possibilità estesa a un’impresa di invocare la violazione delle disposizioni sostanziali del RGPD da parte di un concorrente. Dall’altro lato, una più ampia invocabilità di tali disposizioni, da parte di persone diverse dai soli interessati, non pregiudica la realizzazione dell’obiettivo di una protezione coerente e omogenea all’interno dell’Unione. Infatti, anche se alcuni Stati membri non prevedessero una tale possibilità, non ne deriverebbe comunque una frammentazione dell’attuazione della protezione dei dati all’interno dell’Unione, essendo le disposizioni sostanziali del RGPD parimenti vincolanti per tutte le imprese e la loro osservanza essendo garantita dai mezzi di ricorso previsti da tale regolamento.
105. Infine, per quanto riguarda l’effetto utile del RGPD, lungi dall’essere messo in discussione dalla possibilità offerta a un’impresa di intentare un’azione inibitoria nei confronti di un concorrente sulla base di una violazione del RGPD, esso mi sembra, come ho già esposto, rafforzato dal fatto che il rispetto delle disposizioni di tale regolamento possa essere garantito anche nell’ambito di procedimenti giudiziari distinti da quelli previsti dal sistema dei mezzi di ricorso introdotto da tale regolamento.
106. Ciò detto, ritengo che un’azione inibitoria promossa da un’impresa nei confronti di un concorrente invocando una violazione delle disposizioni del RGPD da parte di quest’ultimo possa coesistere con i mezzi di ricorso introdotti al capo VIII del RGPD, in quanto non li pregiudica né compromette gli obiettivi e l’effetto utile di tale regolamento.
107. Pertanto, propongo alla Corte di dichiarare che le disposizioni del capo VIII del RGPD non ostano a norme nazionali che riconoscono alle imprese il diritto di far valere, sulla base del divieto degli atti di concorrenza sleale, le violazioni delle disposizioni sostanziali di tale regolamento asseritamente commesse dai loro concorrenti.
V. Conclusione
108. Alla luce di tutte le considerazioni che precedono, propongo di rispondere come segue alle questioni pregiudiziali sollevate dal Bundesgerichtshof (Corte federale di giustizia, Germania):
L’articolo 4, punto 15, e l’articolo 9, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
deve essere interpretato nel senso che:
i dati dei clienti di un farmacista trasmessi al momento dell’ordine su una piattaforma di vendita online di medicinali, la cui vendita è riservata alle farmacie ma che non sono soggetti a prescrizione, non costituiscono «dati relativi alla salute».
1 Lingua originale: il francese.
2 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).
3 Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).
4 Direttiva del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (GU 2011, L 88, pag. 45).
5 BGBl. 2004 I, pag. 1414.
6 BGBl. 2005 I, pag. 3394.
7 BGBl. 2022 I, pag. 2793.
8 Al riguardo, vorrei sottolineare che il giudice del rinvio interroga la Corte anche sulla nozione di «dati relativi alla salute» ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46. Tuttavia, ritengo che non si debbano operare distinzioni tra tale disposizione e l’articolo 9, paragrafo 1, del RGPD in quanto tali disposizioni devono essere considerate avere una portata simile ai fini dell’interpretazione che la Corte è chiamata a fornire nell’ambito della presente causa. V., al riguardo, sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punto 58). Pertanto, nella mia analisi farò riferimento esclusivamente all’articolo 9, paragrafo 1, del RGPD, applicandosi essa anche all’articolo 8, paragrafo 1, della direttiva 95/46.
9 Sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punto 124).
10 Sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punto 126).
11 Corte EDU, 25 febbraio 1997, Z c. Finlandia (EC:ECHR:1997:0225 JUD002200993, punto 95). La Corte europea dei diritti dell’uomo sottolinea inoltre che la protezione maggiore dei dati sanitari è «fondamentale non solo per proteggere la vita privata dei pazienti, ma anche per preservare la loro fiducia nella professione medica e nei servizi sanitari in generale».
12 Sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punto 123).
13 Linee-guida 03/2020 del comitato europeo per la protezione dei dati sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19, pag. 4.
14 V. Bygrave, L. A., e Tosoni, L., «Article 4(15)», The EU General Data Protection Regulation (GDPR), a Commentary, Kuner, C., Bygrave, L.A., and Docksey, C., (a cura di), Oxford University Press, 2020, pag. 222.
15 Sentenza del 24 febbraio 2022, Glavna direktsia «Pozharna bezopasnost i zashtita na naselenieto» (C‑262/20, EU:C:2022:117, punto 71).
16 Sentenze del 19 novembre 1991, Francovich e a. (C‑6/90 e C‑9/90, EU:C:1991:428, punto 31), nonché del 20 settembre 2001, Courage e Crehan (C‑453/99, EU:C:2001:465, punto 19).
17 Sentenza del 20 settembre 2001, Courage e Crehan (C‑453/99, EU:C:2001:465, punto 19).
18 V., al riguardo, Van Gerven, W., «Of Rights, Remedies and Procedures», Common Market Law Review, vol. 37, n. 3, 2000, pagg. da 501 a 536.
19 Sentenza del 20 settembre 2001, Courage e Crehan (C‑453/99, EU:C:2001:465, punto 25).
20 Sentenze del 19 novembre 1991, Francovich e a. (C‑6/90 e C‑9/90, EU:C:1991:428, punto 31), nonché del 20 settembre 2001, Courage e Crehan (C‑453/99, EU:C:2001:465, punto 19).
21 Una soluzione simile è già stata adottata dalla Corte in relazione, segnatamente, al regolamento (CEE) n. 1035/72 del Consiglio, del 18 maggio 1972, relativo all’organizzazione comune dei mercati nel settore degli ortofrutticoli (GU 1972, L 118, pag. 1). Essa si basava esclusivamente sul fatto che tale testo era diretto anche a garantire la lealtà degli scambi e la trasparenza dei mercati, in modo che un’azione civile intentata da un’impresa nei confronti di un concorrente allo scopo di costringerlo a rispettare gli obblighi previsti da tale regolamento rafforzava il carattere operativo della normativa comunitaria. In altri termini, il regolamento n. 1035/72 era interpretato nel senso di imporre alle imprese di rispettare le norme dell’organizzazione comune dei mercati, affinché esse beneficiassero di relazioni commerciali basate sulla concorrenza leale, e le rendeva quindi beneficiarie dei diritti derivanti dagli obblighi imposti ad esse stesse. V. sentenza del 17 settembre 2002, Muñoz e Superior Fruiticola (C‑253/00 (EU:C:2002:497, punti 29 e 31).
22 Sentenze del 21 dicembre 2011, Dutrueux (C‑495/10, EU:C:2011:869, punti 29 e 30), e del 16 marzo 2023, Beobank (C‑351/21, EU:C:2023:215, punto 38).
23 Tale duplice accezione dell’esaustività di un sistema dei mezzi di ricorso che dipende dall’identificazione dei titolari di un diritto derivante dal diritto dell’Unione mi sembra trasparire, nella giurisprudenza della Corte, dalla sentenza del 2 settembre 2021, CRCAM (C‑337/20, EU:C:2021:671). In tale sentenza, la Corte ha esaminato la compatibilità con la direttiva 2007/64/CE del Parlamento europeo e del Consiglio, del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE e 2006/48/CE, che abroga la direttiva 97/5/CE (GU 2007, L 319, pag. 1, e rettifica GU 2009, L 187, pag. 5) di un regime nazionale di responsabilità che consenta al fideiussore di un utente di servizi di pagamento di invocare, a causa di un inadempimento da parte del prestatore di servizi di pagamento dei suoi obblighi derivanti da tale direttiva, la responsabilità civile di un tale prestatore conformemente a un regime di responsabilità contrattuale di diritto comune. La Corte ha iniziato la sua analisi constatando che detta direttiva stabilisce diritti non in relazione a un fideiussore, ma solo in relazione ai prestatori di servizi di pagamento e agli utenti di tali servizi, prima di analizzare se il regime di responsabilità introdotto dalla medesima direttiva osti a un regime alternativo fondato sul diritto nazionale.
24 Sentenze del 21 dicembre 2011, Dutrueux (C‑495/10, EU:C:2011:869, punti 29 e 30), e del 16 marzo 2023, Beobank (C‑351/21, EU:C:2023:215, punto 38).
25 Al riguardo, sottolineo che, nel caso in cui la violazione di una disposizione del RGPD possa essere considerata come una pratica commerciale sleale, ai sensi della direttiva 2005/29/CE del Parlamento europeo e del Consiglio, dell’11 maggio 2005, relativa alle pratiche commerciali sleali delle imprese nei confronti dei consumatori nel mercato interno e che modifica la direttiva 84/450/CEE del Consiglio e le direttive 97/7/CE, 98/27/CE e 2002/65/CE del Parlamento europeo e del Consiglio e il regolamento (CE) n. 2006/2004 del Parlamento europeo e del Consiglio (GU 2005, L 149, pag. 22), tale direttiva dovrebbe, a mio avviso, essere applicata integralmente, compresa la necessità per gli Stati membri di prevedere, ai sensi dell’articolo 11 di detta direttiva, disposizioni che consentano ai concorrenti di agire in giudizio contro tali pratiche commerciali sleali.
26 Sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punto 43).
27 Sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punto 51).
28 Conclusioni dell’avvocato generale Richard de la Tour nella causa Meta Platforms Ireland (C‑319/20, EU:C:2021:979, paragrafo 51).
29 Sentenze del 21 dicembre 2011, Dutrueux (C‑495/10, EU:C:2011:869, punti 29 e 30), e del 16 marzo 2023, Beobank (C‑351/21, EU:C:2023:215, punto 38). V. anche paragrafo 71 delle presenti conclusioni.
30 Sentenza del 28 aprile 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, punto 53).
Edizione provvisoria
SENTENZA DELLA CORTE (Grande Sezione)
4 ottobre 2024 (*)
« Rinvio pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – CAPO VIII – Mezzi di ricorso – Commercializzazione di medicinali da parte di un farmacista tramite una piattaforma online – Ricorso proposto dinanzi ai giudici civili da un concorrente di tale farmacista sulla base del divieto delle pratiche commerciali sleali per violazione da parte di quest’ultimo degli obblighi previsti da tale regolamento – Legittimazione ad agire – Articolo 4, punto 15, e articolo 9, paragrafi 1 e 2 – Direttiva 95/46/CE – Articolo 8, paragrafi 1 e 2 – Nozione di “dati relativi alla salute” – Condizioni per il trattamento di tali dati »
Nella causa C‑21/23,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Bundesgerichtshof (Corte federale di giustizia, Germania), con decisione del 12 gennaio 2023, pervenuta in cancelleria il 19 gennaio 2023, nel procedimento
ND
contro
DR,
LA CORTE (Grande Sezione),
composta da K. Lenaerts, presidente, L. Bay Larsen, vicepresidente, K. Jürimäe, C. Lycourgos, E. Regan, F. Biltgen e N. Piçarra, presidenti di sezione, S. Rodin, P.G. Xuereb, L.S. Rossi, I. Jarukaitis, N. Jääskinen, I. Ziemele (relatrice), giudici,
avvocato generale: M. Szpunar
cancelliere: N. Mundhenke amministratrice
vista la fase scritta del procedimento e in seguito all’udienza del 9 gennaio 2024,
considerate le osservazioni presentate:
– per ND, da A. Datta, M. Mogendorf e W. Spoerr, Rechtsanwälte,
– per DR, da M. Bahmann, Rechtsanwalt,
– per il governo tedesco, da J. Möller e P.-L. Krüger, in qualità di agenti,
– per la Commissione europea, da A. Bouchagiar, F. Erlbacher e H. Kranenborg, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 25 aprile 2024,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 9, paragrafo 1, e delle disposizioni del capo VIII del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), e sull’interpretazione dell’articolo 8, paragrafo 1, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).
2 Tale domanda è stata presentata nell’ambito di una controversia tra ND e DR, due persone fisiche che gestiscono ciascuna una farmacia, in merito alla commercializzazione da parte di ND, tramite una piattaforma online, di medicinali la cui vendita è riservata alle farmacie.
Contesto normativo
Diritto dell’Unione
3 L’articolo 8 della direttiva 95/46, dal titolo «Trattamenti riguardanti categorie particolari di dati», così disponeva:
«1. Gli Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.
2. Il paragrafo 1 non si applica qualora:
a) la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il consenso della persona interessata non sia sufficiente per derogare al divieto di cui al paragrafo 1, oppure
(...)».
4 I considerando da 9 a 11, 13, 35, 51, 53, 141 e 142 del RGPD sono così formulati:
«(9) Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva [95/46] non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva [95/46].
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...) Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). (...)
(11) Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri.
(...)
(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un monitoraggio coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. (...)
(...)
(35) Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. (...)
(...)
(51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (...) Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali.
(...)
(53) Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria (...). Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell’Unione o degli Stati membri dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche. Gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute (...).
(...)
(141) Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un’unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, e il diritto a un ricorso giurisdizionale effettivo a norma dell’articolo 47 della [Carta dei diritti fondamentali dell’Unione europea; in prosieguo: la “Carta”] qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l’autorità di controllo non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato. (...)
(142) Qualora l’interessato ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un’organizzazione o un’associazione che non abbiano scopo di lucro, costituiti in conformità del diritto di uno Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore della protezione dei dati personali, per proporre reclamo per suo conto a un’autorità di controllo, esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o esercitare il diritto di ottenere il risarcimento del danno per conto degli interessati se quest’ultimo è previsto dal diritto degli Stati membri. Gli Stati membri possono prescrivere che tale organismo, organizzazione o associazione abbia il diritto di proporre reclamo in tale Stato membro, indipendentemente dall’eventuale mandato dell’interessato, e il diritto di proporre un ricorso giurisdizionale effettivo qualora abbia motivo di ritenere che i diritti di un interessato siano stati violati in conseguenza di un trattamento dei dati personali che violi il presente regolamento. [T]ale organismo, organizzazione o associazione può non essere autorizzato a chiedere il risarcimento del danno per conto di un interessato indipendentemente dal mandato dell’interessato».
5 L’articolo 1 di tale regolamento, intitolato «Oggetto e finalità», così dispone:
«1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».
6 L’articolo 4 di detto regolamento prevede quanto segue:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
(...)
15) “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
(...)
21) “autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
(...)».
7 Il capo II del RGPD, intitolato «Principi», comprende gli articoli da 5 a 11.
8 L’articolo 5 del RGPD stabilisce i principi relativi al trattamento dei dati personali, mentre l’articolo 6 di tale regolamento stabilisce le condizioni alle quali è lecito un tale trattamento.
9 Ai sensi dell’articolo 9 del medesimo regolamento, intitolato «Trattamento di categorie particolari di dati personali»:
«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
(...)
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
(...)».
10 L’articolo 51 del medesimo regolamento, intitolato «Autorità di controllo», al paragrafo 1 prevede quanto segue:
«Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (“autorità di controllo”)».
11 Il capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni», contiene gli articoli da 77 a 84.
12 L’articolo 77 di tale regolamento, intitolato «Diritto di proporre reclamo all’autorità di controllo», così dispone, al paragrafo 1:
«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».
13 L’articolo 78 di detto regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», enuncia quanto segue, al paragrafo 1:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda».
14 L’articolo 79 del medesimo regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», così prevede, al paragrafo 1:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».
15 L’articolo 80 del RGPD, intitolato «Rappresentanza degli interessati», è così formulato:
«1. L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82.
2. Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente [ai sensi dell’articolo 77], e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento».
16 L’articolo 82 di tale regolamento, intitolato «Diritto al risarcimento e responsabilità», così dispone, al paragrafo 1:
«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
17 L’articolo 83 di detto regolamento, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», al paragrafo 1 prevede quanto segue:
«Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive».
18 L’articolo 84 del medesimo regolamento, intitolato «Sanzioni», al paragrafo 1 stabilisce quanto segue:
«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».
19 L’articolo 94 del RGPD prevede, al paragrafo 1, quanto segue:
«La direttiva [95/46] è abrogata a decorrere dal 25 maggio 2018».
20 Secondo l’articolo 99 di detto regolamento:
«1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
2. Esso si applica a decorrere da 25 maggio 2018».
Diritto tedesco
Legge contro la concorrenza sleale
21 L’articolo 3 del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale), del 3 luglio 2004 (BGBl. 2004 I, pag. 1414), nella versione applicabile alla controversia di cui al procedimento principale (in prosieguo: l’«UWG»), intitolato «Divieto di comportamenti commerciali sleali», al paragrafo 1 prevede quanto segue:
«Le pratiche commerciali sleali sono illecite».
22 L’articolo 3a dell’UWG, intitolato «Violazione del diritto», è così formulato:
«Commette un atto sleale colui il quale violi una disposizione di legge che sia altresì destinata a disciplinare il comportamento sul mercato nell’interesse dei soggetti partecipanti al mercato stesso, nel caso in cui la violazione sia idonea a pregiudicare in maniera sensibile gli interessi dei consumatori, di altri soggetti partecipanti al mercato o dei concorrenti».
23 L’articolo 8 dell’UWG, intitolato «Inibizione ed astensione», così recita:
«(1) Nei confronti di chiunque ponga in essere una pratica commerciale illecita ai sensi dell’articolo 3 o dell’articolo 7 può essere promossa un’azione inibitoria e, in caso di rischio di recidiva, un’azione diretta a imporre l’astensione da tale pratica in futuro (...).
(...)
(3) È legittimato ad agire ai sensi del paragrafo 1:
1. qualsiasi concorrente che commercializzi o richieda beni o servizi su base non trascurabile e non occasionale,
(...)»
Legge sui medicinali
24 La circolazione dei medicinali è disciplinata dal Gesetz über den Verkehr mit Arzneimitteln (legge sul commercio dei medicinali) del 24 agosto 1976 (BGBl. 1976 I, pag. 2444), nella versione pubblicata il 12 dicembre 2005 (BGBl. 2005 I, pag. 3394), come applicabile ai fatti di cui al procedimento principale, che distingue tra i medicinali venduti in farmacia e quelli venduti dietro prescrizione medica, essendo questi ultimi oggetto dell’articolo 48, intitolato «Obbligo di prescrizione».
Procedimento principale e questioni pregiudiziali
25 ND, che gestisce una farmacia con il nome commerciale «Lindenapotheke», dal 2017 vende medicinali riservati alle farmacie, sulla piattaforma online «Amazon-Marketplace» (in prosieguo: «Amazon»). Quando ordinano tali medicinali online, i clienti di ND devono inserire informazioni, quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione di detti medicinali.
26 DR, che anche gestisce una farmacia, ha adito il Landgericht Dessau-Roßlau (Tribunale del Land, Dessau-Roßlau, Germania) chiedendo che fosse ingiunto a ND di cessare, a pena di ammenda, di commercializzare su Amazon medicinali la cui vendita è riservata alle farmacie, finché non sarà garantito che i clienti possano dare il loro consenso preventivo al trattamento dei dati relativi alla salute.
27 A sostegno del ricorso, DR ha sostenuto che la commercializzazione su Amazon di medicinali la cui vendita è riservata alle farmacie era sleale, perché non rispettava i requisiti di legge relativi all’ottenimento del consenso del cliente richiesto dalla normativa in materia di protezione dei dati personali.
28 Con decisione del 28 marzo 2018, il Landgericht Dessau-Roßlau (Tribunale del Land, Dessau-Roßlau) ha accolto il ricorso.
29 ND ha interposto appello avverso tale decisione dinanzi all’Oberlandesgericht Naumburg (Tribunale superiore del Land, Naumburg, Germania), che l’ha respinto con decisione del 7 novembre 2019.
30 Il giudice d’appello ha ritenuto che la commercializzazione su Amazon di medicinali la cui vendita è riservata alle farmacie costituisse una pratica sleale, e quindi illecita ai sensi dell’articolo 3, paragrafo 1, dell’UWG. Infatti, una simile commercializzazione di medicinali comporterebbe un trattamento di dati relativi alla salute, che sarebbe vietato in forza dell’articolo 9, paragrafo 1, del RGPD, in assenza di consenso esplicito da parte dei clienti che acquistano medicinali, ai sensi dell’articolo 9, paragrafo 2, lettera a), di tale regolamento. Ebbene, le norme previste da detto regolamento costituirebbero disposizioni di legge destinate a disciplinare il comportamento nel mercato, ai sensi dell’articolo 3a dell’UWG. Inoltre, ai sensi dell’articolo 8, paragrafo 3, punto 1, dell’UWG, DR, in quanto concorrente, avrebbe il diritto di dedurre, mediante un’azione inibitoria dinanzi ai giudici civili, la violazione di tali norme da parte di ND.
31 ND ha proposto ricorso per cassazione («Revision») dinanzi al Bundesgerichtshof (Corte federale di giustizia, Germania), giudice del rinvio.
32 Tale giudice rileva che l’esito della controversia dipende dall’interpretazione delle disposizioni del capo VIII del RGPD nonché dell’articolo 9, paragrafo 1, di tale regolamento e dell’articolo 8, paragrafo 1, della direttiva 95/46.
33 In primo luogo, il giudice del rinvio si chiede se, dopo l’abrogazione della direttiva 95/46 con effetto dal 25 maggio 2018, data a partire dalla quale è divenuto applicabile il RGPD, gli Stati membri possano ancora prevedere, nel diritto nazionale, che i concorrenti di un’impresa, come quelli di cui all’articolo 8, paragrafo 3, punto 1, dell’UWG, siano legittimati a far cessare, mediante un ricorso dinanzi a un giudice civile, violazioni delle disposizioni del RGPD commesse da tale impresa, sulla base del divieto delle pratiche commerciali sleali.
34 Il giudice del rinvio osserva che tale questione suscita risposte divergenti a livello nazionale. Infatti, una tale risposta non può essere dedotta in modo inequivocabile né dal tenore letterale delle disposizioni del capo VIII del RGPD né dall’impianto generale di tali disposizioni e nemmeno dall’obiettivo perseguito da detto regolamento.
35 Così, anzitutto, per quanto riguarda il tenore letterale delle disposizioni del capo VIII del RGPD, il giudice del rinvio sottolinea che, certamente tali disposizioni non menzionano in alcun modo la possibilità per i concorrenti di un’impresa di intentare un’azione legale contro l’impresa stessa, in particolare quando la violazione della normativa sulla protezione dei dati integra una pratica commerciale sleale. Tuttavia, allo stesso tempo, dette disposizioni non escludono formalmente tale possibilità.
36 Per quanto riguarda, poi, l’impianto generale delle disposizioni del capo VIII del RGPD, il giudice del rinvio sottolinea, da un lato, che, come dichiarato dalla Corte nella sentenza del 28 aprile 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, punto 57), tale regolamento mira ad assicurare un’armonizzazione delle normative nazionali relative alla protezione dei dati personali che sia, in linea di principio, completa. Tuttavia, dall’altro, il fatto che l’articolo 77, paragrafo 1, l’articolo 78, paragrafi 1 e 2, e l’articolo 79, paragrafo 1, del RGPD contengano ciascuno la frase «fatto salvo ogni altro ricorso» potrebbe precludere la conclusione secondo cui il controllo dell’applicazione del diritto è stata disciplinata in modo esaustivo.
37 Infine, per quanto riguarda l’obiettivo di armonizzazione e, in particolare, di uniformazione del livello di controllo dell’applicazione del diritto all’interno dell’Unione, perseguito dal RGPD, il giudice del rinvio sottolinea, da un lato, che il fatto che i concorrenti possano essere legittimati ad agire ai sensi del diritto della concorrenza e, pertanto, far applicare le disposizioni del diritto della protezione dei dati al di là degli strumenti previsti dal RGPD potrebbe contrastare con tale obiettivo. Inoltre, non è chiaro se il sistema di controllo dell’applicazione del diritto previsto da detto regolamento contenga una lacuna che dovrebbe essere colmata concedendo ai concorrenti la legittimazione ad agire in base al diritto della concorrenza. Analogamente, la concorrenza tra le autorità di controllo da un lato e i tribunali civili dall’altro nell’applicazione del diritto sulla protezione dei dati rischierebbe di invadere i poteri delle autorità di controllo e portare a divergenze, all’interno dell’Unione, nel controllo dell’applicazione del diritto in materia di protezione dei dati.
38 Dall’altro lato, secondo il giudice del rinvio, autorizzare i concorrenti ad agire ai sensi del diritto della concorrenza potrebbe costituire un’ulteriore possibilità di controllare l’applicazione del diritto, che sarebbe auspicabile in virtù del principio di efficacia («effetto utile») al fine di garantire il massimo livello di protezione possibile in materia di dati personali, conformemente al considerando 10 del RGPD.
39 Il giudice del rinvio precisa che tale questione non è stata chiarita dalla giurisprudenza della Corte e che, in particolare, nella sentenza del 28 aprile 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), la Corte ha espressamente lasciato aperta la questione della legittimazione ad agire di un concorrente.
40 In secondo luogo, il giudice del rinvio si chiede se i dati che i clienti devono inserire nella piattaforma di vendita online, al momento dell’ordine di medicinali, quali il loro nome, l’indirizzo di consegna e le informazioni necessarie all’individualizzazione dei medicinali ordinati, costituiscano «dati relativi alla salute», ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD.
41 Secondo detto giudice, la risposta a tale questione non è evidente quando i medicinali ordinati non sono soggetti a prescrizione medica. Infatti, in un caso del genere, non si potrebbe escludere che tali medicinali siano destinati non ai clienti stessi, bensì a terzi, i quali non sarebbero identificabili.
42 Il giudice del rinvio sottolinea che la formulazione di tali disposizioni e quella dell’articolo 4, punto 15, del RGPD, in combinato disposto con il considerando 35 di tale regolamento, non consentono, di per sé, di rispondere a tale questione.
43 Tuttavia, al punto 125 della sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), la Corte ha dichiarato che la nozione di «categorie particolari di dati personali», di cui all’articolo 8, paragrafo 1, della direttiva 95/46 e all’articolo 9, paragrafo 1, del RGPD, deve essere interpretata in senso ampio, tenuto conto dell’obiettivo di tale regolamento, che è quello di garantire un elevato livello di tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, in relazione al trattamento dei dati personali che le riguardano. Se si dovesse adottare un’interpretazione così ampia di tale concetto, si potrebbe giungere alla conclusione che siffatte informazioni costituiscono dati relativi alla salute quando non è certo, ma soltanto probabile, che i clienti che ordinano i medicinali siano le persone a cui sono destinati.
44 Il giudice del rinvio sottolinea che il diritto alla cessazione, dedotto da DR, presuppone che il comportamento controverso di ND fosse illegittimo sia nel momento in cui è stato adottato sia al momento dell’udienza nell’ambito del procedimento di «Revision», e che il primo di tali momenti fosse ancora disciplinato dall’articolo 8, paragrafo 1, della direttiva 95/46, mentre il secondo rientri ormai nell’ambito di applicazione dell’articolo 9, paragrafo 1, del RGPD.
45 È in tale contesto che il Bundesgerichtshof (Corte federale di giustizia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se le disposizioni di cui al capo VIII del [RGPD] ostino a norme nazionali le quali – oltre ai poteri di intervento delle autorità di controllo preposte alla sorveglianza e all’attuazione del regolamento, e in aggiunta ai mezzi di ricorso a disposizione degli interessati – conferiscano ai concorrenti il potere di agire, in caso di violazioni di detto regolamento, contro l’autore della violazione, proponendo un ricorso dinanzi ai giudici civili fondato sul divieto di pratiche commerciali sleali.
2) Se i dati che i clienti di un farmacista, che interviene in qualità di venditore su una piattaforma di vendite online, forniscono su tale piattaforma, quando ordinano medicinali la cui vendita sia effettivamente riservata alle farmacie ma che non sono tuttavia soggetti a prescrizione medica (nome del cliente, indirizzo di consegna e informazioni necessarie all’individuazione del medicinale ordinato la cui vendita è riservata alle farmacie), siano dati relativi alla salute ai sensi dell’articolo 9, paragrafo 1, del RGPD e dell’articolo 8, paragrafo 1, della direttiva 95/46».
Sulle questioni pregiudiziali
Sulla prima questione
46 Con la prima questione, il giudice del rinvio chiede se le disposizioni del capo VIII del RGPD debbano essere interpretate nel senso che ostano a una normativa nazionale che, parallelamente ai poteri di intervento delle autorità di controllo incaricate di sorvegliare e di far applicare tale regolamento e parallelamente alle possibilità di azione degli interessati, conferisce ai concorrenti del presunto autore di una violazione della protezione dei dati personali la legittimazione ad agire contro quest’ultimo, mediante ricorso dinanzi ai giudici civili, per violazione di detto regolamento e sul fondamento del divieto delle pratiche commerciali sleali.
47 Occorre ricordare, in via preliminare, che il capo VIII del RGPD disciplina, in particolare, i mezzi di ricorso che permettono di tutelare i diritti dell’interessato qualora i dati personali che lo riguardano siano stati oggetto di un presunto trattamento contrario alle disposizioni del regolamento stesso. La tutela di questi diritti può quindi essere reclamata o direttamente dall’interessato, in applicazione degli articoli da 77 a 79 del RGPD, oppure da un ente legittimato, in presenza o in assenza di un mandato a tal fine, ai sensi dell’articolo 80 di detto regolamento (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 53).
48 Infatti, da un lato, l’articolo 77, paragrafo 1, del RGPD prevede che, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, ogni interessato abbia il diritto di proporre reclamo a un’autorità di controllo. Ai sensi dell’articolo 78, paragrafo 1, di tale regolamento, fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda. L’articolo 79, paragrafo 1, di detto regolamento garantisce a ogni interessato il diritto a un ricorso giurisdizionale effettivo, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77 del medesimo regolamento.
49 Dall’altro lato, conformemente all’articolo 80, paragrafo 1, del RGPD, l’interessato ha il diritto di dare mandato ad un organismo, un’organizzazione o un’associazione senza scopo di lucro, a determinate condizioni, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli da 77 a 79 di tale regolamento. Inoltre, conformemente all’articolo 80, paragrafo 2, del RGPD, gli Stati membri possono prevedere che un organismo, organizzazione o associazione, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare tali diritti, qualora ritenga che i diritti di cui un interessato gode a norma del medesimo regolamento siano stati violati in seguito al trattamento dei dati personali che lo riguardano.
50 Nel caso di specie, dal fascicolo a disposizione della Corte risulta che ND, che gestisce una farmacia, commercializza, su Amazon, medicinali la cui vendita è riservata alle farmacie e che, al momento dell’ordine online di tali medicinali, i clienti devono inserire dati, quali il loro nome, l’indirizzo di consegna e le informazioni necessarie all’individualizzazione di detti medicinali. Tuttavia, il ricorso nel procedimento principale è stato proposto dinanzi a un giudice civile non da tali clienti, che sono gli interessati ai sensi dell’articolo 4, paragrafo 1, del RGPD, sulla base dell’articolo 79 di tale regolamento, né da un organismo, un’organizzazione o un’associazione abilitati, con o senza un mandato ricevuto a tal fine da un interessato, ai sensi dell’articolo 80 di detto regolamento, bensì da un concorrente di tale farmacista sulla base del divieto delle pratiche commerciali sleali, per violazioni delle disposizioni del RGPD che detto farmacista avrebbe commesso.
51 Il procedimento principale solleva quindi la questione se il RGPD osti a che un concorrente come DR, che non è un interessato ai sensi dell’articolo 4, punto 1, di tale regolamento, sia legittimato a proporre un siffatto ricorso dinanzi ai giudici civili nazionali.
52 A tal riguardo, occorre ricordare che, ai fini dell’interpretazione di una norma di diritto dell’Unione, si deve tener conto non soltanto della lettera della stessa, ma anche del suo contesto e degli scopi perseguiti dalla normativa di cui essa fa parte (sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punto 32).
53 Per quanto riguarda il tenore letterale delle disposizioni del capo VIII del RGPD, occorre rilevare che nessuna di esse esclude espressamente la possibilità per il concorrente di un’impresa di proporre ricorso dinanzi ai giudici civili contro tale impresa sulla base del divieto delle pratiche commerciali sleali, per la presunta violazione, da parte di tale impresa, degli obblighi previsti da tale regolamento. Al contrario, dai termini dell’articolo 77, paragrafo 1, dell’articolo 78, paragrafo 1, e dell’articolo 79, paragrafo 1, del RGPD, ricordati al punto 48 della presente sentenza, risulta che il diritto di proporre reclamo a un’autorità di controllo, nonché il diritto a un ricorso giurisdizionale effettivo contro tale autorità e contro un titolare del trattamento o un responsabile del trattamento di cui a tali disposizioni, si intendono «fatt[i] salvi[]» eventuali altri ricorsi amministrativi, giurisdizionali o extragiudiziali.
54 Per quanto riguarda il contesto in cui si inserisce il capo VIII del RGPD, occorre rilevare che tale regolamento contiene, al capo II, una serie di disposizioni sostanziali vertenti, tra l’altro, sui principi relativi al trattamento dei dati personali, di cui all’articolo 5, e sulle condizioni di liceità del trattamento, enunciate all’articolo 6, che mirano ad assicurare il pieno rispetto, in particolare, del diritto fondamentale alla protezione dei dati personali degli interessati, garantito all’articolo 16, paragrafo 1, TFUE e all’articolo 8 della Carta. Il fatto che nel capo VIII del RGPD non ci siano disposizioni che prevedano che i concorrenti di un’impresa, che ha presumibilmente violato tali disposizioni sostanziali, possano proporre ricorso per far cessare tale violazione si spiega quindi con la circostanza che solo gli interessati, e non tali concorrenti, sono, come rilevato dall’avvocato generale al paragrafo 80 delle sue conclusioni, destinatari della protezione dei dati personali garantita da tale regolamento.
55 Ciò premesso, se la violazione di dette disposizioni sostanziali è tale da pregiudicare in prima linea le persone interessate dai dati di cui trattasi, essa può altresì arrecare pregiudizio a terzi, come dimostra il fatto che l’articolo 82, paragrafo 1, del RGPD prevede un diritto al risarcimento per «chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento». La Corte ha anche già avuto occasione di rilevare che la violazione di una norma relativa alla protezione dei dati personali può simultaneamente comportare la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali (sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 78) e costituire un indizio importante per valutare se vi sia stato un abuso di posizione dominante ai sensi dell’articolo 102 TFUE [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punti 47 e 62).
56 In tale contesto, è importante ricordare che l’accesso ai dati personali e il loro sfruttamento rivestono un’importanza fondamentale nell’ambito dell’economia digitale. Infatti, l’accesso ai dati personali e la possibilità di trattamento di tali dati sono diventati un parametro significativo della concorrenza fra imprese dell’economia digitale. Pertanto, per tener conto della realtà di questa evoluzione economica e garantire una concorrenza leale, può essere necessario tener conto delle norme in materia di protezione dei dati personali nell’ambito dell’applicazione del diritto della concorrenza e delle norme relative alle pratiche commerciali sleali [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punti 50 e 51).
57 Inoltre, sebbene dall’articolo 1, paragrafo 1, del RGPD, letto alla luce, in particolare, dei considerando 9 e 13, risulti che tale regolamento mira a garantire un’armonizzazione delle legislazioni nazionali relative alla protezione dei dati personali che è, in linea di principio, completa, ciò non toglie che varie disposizioni di detto regolamento offrono espressamente la possibilità agli Stati membri di prevedere norme nazionali supplementari, più rigorose o a carattere derogatorio, che lascino a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate («clausole di apertura») (sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 57).
58 La Corte ha già statuito che è questo il caso dell’articolo 80, paragrafo 2, del RGPD, il quale lascia agli Stati membri un margine di discrezionalità relativamente alla sua attuazione e che non osta a una normativa nazionale che consente a un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere, in particolare, la violazione del divieto delle pratiche commerciali sleali, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili (sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punti 59 e 83).
59 È vero che le disposizioni del capo VIII del RGPD non prevedono specificamente una simile clausola di apertura che consentirebbe, espressamente, agli Stati membri di prevedere la possibilità per il concorrente di un’impresa che presumibilmente violi le disposizioni sostanziali di tale regolamento di proporre ricorso per far cessare tale violazione.
60 Tuttavia, dai termini e dal contesto delle disposizioni di tale capo VIII, richiamati ai punti da 53 a 58 della presente sentenza, risulta che, con l’adozione di detto regolamento, il legislatore dell’Unione non ha inteso procedere ad un’armonizzazione esaustiva dei mezzi di ricorso disponibili in caso di violazione delle disposizioni del RGPD e non ha inteso, in particolare, escludere una siffatta possibilità di ricorso per i concorrenti del presunto autore di una lesione della protezione dei dati personali, sulla base del diritto nazionale relativo al divieto delle pratiche commerciali sleali.
61 Tale interpretazione è confermata dagli obiettivi perseguiti dal RGPD, che, come si evince in particolare dal considerando 10, mira ad assicurare un livello coerente ed elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali e a rimuovere gli ostacoli alla circolazione di tali dati all’interno dell’Unione. Il considerando 11 di tale regolamento enuncia, inoltre, che un’efficace protezione di tali dati presuppone il rafforzamento dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati, nonché la previsione, negli Stati membri, di poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni. Il considerando 13 di detto regolamento precisa che, per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un controllo coerente del trattamento dei dati personali e sanzioni equivalenti in tutti gli Stati membri.
62 La possibilità per il concorrente di un’impresa di proporre un ricorso dinanzi ai giudici civili sulla base del divieto delle pratiche commerciali sleali per far cessare la violazione delle disposizioni sostanziali del RGPD, asseritamente commessa da tale impresa, non solo non pregiudica tali obiettivi, ma, al contrario, è tale da rafforzare l’effetto utile di tali disposizioni e, quindi, il livello elevato di protezione degli interessati con riguardo al trattamento dei loro dati personali, come indicato in tale regolamento.
63 Infatti, da un lato, un’azione inibitoria intentata da un concorrente nei confronti di un’impresa sulla base del divieto delle pratiche commerciali sleali, per l’asserita violazione delle disposizioni sostanziali del RGPD, non pregiudica in alcun modo il sistema dei mezzi di ricorso previsto al capo VIII di tale regolamento né l’obiettivo di assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno.
64 Certo, è probabile che un’azione del genere si basi, anche se incidentalmente, sulla violazione delle stesse disposizioni del RGPD su cui potrebbe basarsi un reclamo o un ricorso proposto, ai sensi degli articoli da 77 a 79 del medesimo regolamento, dalle persone interessate o da un organismo, un’organizzazione o un’associazione, ai sensi dell’articolo 80 di detto regolamento.
65 Tuttavia, sotto un primo profilo, a differenza degli articoli da 77 a 80 del RGPD, l’azione inibitoria proposta da un concorrente non persegue, in quanto tale, un obiettivo di tutela delle libertà e dei diritti fondamentali degli interessati con riguardo al trattamento dei loro dati personali, ma mira ad assicurare una concorrenza leale, nell’interesse in particolare di tale concorrente.
66 Sotto un secondo profilo, la possibilità per un concorrente di intentare un’azione di questo tipo dinanzi ai giudici civili sulla base del divieto delle pratiche commerciali sleali si aggiunge ai mezzi di ricorso previsti agli articoli da 77 a 79 del RGPD, che sono pienamente preservati e possono sempre essere esercitati dagli interessati nonché, se del caso, dagli organismi, dalle organizzazioni o associazioni, ai sensi dell’articolo 80 di tale regolamento.
67 In particolare, come rilevato dal governo tedesco, la coesistenza di mezzi di ricorso ai sensi del diritto della protezione dei dati e del diritto della concorrenza non crea rischi per l’applicazione uniforme del RGPD. In tale contesto, occorre rilevare che dagli articoli da 77 a 80 di tale regolamento si evince che quest’ultimo non prevede alcuna competenza prioritaria o esclusiva né alcuna regola di prevalenza della valutazione effettuata da detta autorità o dai giudici ivi menzionati in merito all’esistenza di una violazione dei diritti conferiti da detto regolamento (v., in tal senso, sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punto 35). Pertanto, il fatto che l’azione inibitoria sia proposta da un concorrente del presunto autore di una violazione della protezione dei dati personali dinanzi ai giudici civili non pregiudica il sistema dei mezzi di ricorso, quale concepito al capo VIII del RGPD. Inoltre, come osservato da tale governo, l’interpretazione uniforme delle disposizioni sostanziali di tale regolamento, che possono essere applicate da parte dell’autorità di controllo e dei giudici aditi ai sensi degli articoli da 77 a 80 di detto regolamento a una medesima violazione, da un lato, e dei giudici aditi da un tale concorrente sulla base del divieto delle pratiche commerciali sleali, dall’altro, è garantita dal procedimento pregiudiziale, previsto all’articolo 267 TFUE.
68 Sotto un terzo profilo, come rilevato in sostanza dall’avvocato generale al paragrafo 104 delle sue conclusioni, la più ampia possibilità di invocare le disposizioni sostanziali del RGPD, da parte di persone diverse dalle sole persone interessate e dagli organismi, dalle organizzazioni e associazioni, ai sensi dell’articolo 80 di tale regolamento, non pregiudica il raggiungimento dell’obiettivo di assicurare un livello coerente di protezione di tali persone in tutta l’Unione e di prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno. Infatti, quand’anche gli Stati membri non prevedessero una tale possibilità, ciò non comporterebbe tuttavia la frammentazione dell’attuazione della protezione dei dati nell’Unione, essendo le disposizioni sostanziali del RGPD vincolanti allo stesso modo per tutti i titolari del trattamento, ai sensi dell’articolo 4, punto 7, di tale regolamento, e il loro rispetto garantito dai mezzi di ricorso previsti da detto regolamento.
69 Dall’altro lato, per quanto riguarda l’obiettivo di assicurare una protezione efficace degli interessati in relazione al trattamento dei loro dati personali e all’effetto utile delle disposizioni sostanziali del RGPD, occorre rilevare che, sebbene un’azione inibitoria di un concorrente del presunto autore di una lesione della protezione dei dati personali miri, come rilevato al punto 65 della presente sentenza, non a tale obiettivo, bensì ad assicurare una concorrenza leale, ciò non toglie che essa contribuisca incontestabilmente al rispetto di tali disposizioni e, quindi, a rafforzare i diritti degli interessati ad assicurare loro un elevato livello di protezione (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 74).
70 Del resto, un’azione inibitoria di questo tipo da parte di un concorrente può rivelarsi particolarmente efficace, al pari di quella delle associazioni per la tutela degli interessi dei consumatori, al fine di garantire una siffatta tutela, in quanto è idonea a prevenire un gran numero di violazioni dei diritti delle persone interessate dal trattamento dei loro dati personali (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 75).
71 Ne consegue che l’interpretazione accolta al punto 60 della presente sentenza è conforme ai requisiti derivanti dall’articolo 16, paragrafo 1, TFUE e dall’articolo 8 della Carta e, dunque, all’obiettivo perseguito dal RGPD, che consiste nell’assicurare un’efficace protezione dei diritti e delle libertà fondamentali delle persone fisiche, nonché, segnatamente, nel garantire un elevato livello di protezione del diritto di qualsiasi persona alla tutela dei dati personali che la riguardano (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 73).
72 Nel caso di specie, spetta al giudice del rinvio verificare se la presunta violazione delle disposizioni sostanziali del RGPD di cui trattasi nel procedimento principale, purché sia dimostrata, costituisca anche una violazione del divieto delle pratiche commerciali sleali quale previsto dalla normativa nazionale pertinente.
73 Alla luce delle considerazioni che precedono, occorre rispondere alla prima questione dichiarando che le disposizioni del capo VIII del RGPD devono essere interpretate nel senso che esse non ostano a una normativa nazionale che, parallelamente ai poteri di intervento delle autorità di controllo incaricate di sorvegliare e di far applicare tale regolamento e parallelamente alle possibilità di ricorso degli interessati, conferisce ai concorrenti del presunto autore di una violazione della protezione dei dati personali la legittimazione ad agire contro quest’ultimo mediante un ricorso dinanzi ai giudici civili, per violazione di detto regolamento e sul fondamento del divieto delle pratiche commerciali sleali.
Sulla seconda questione
74 Con la seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 8, paragrafo 1, della direttiva 95/46 e l’articolo 9, paragrafo 1, del RGPD debbano essere interpretati nel senso che, nel caso in cui il gestore di una farmacia commercializzi, tramite una piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti di tale gestore inseriscono al momento dell’ordine online dei medicinali, quali il loro nome, l’indirizzo di consegna e le informazioni necessarie all’individualizzazione dei medicinali, costituiscono dati relativi alla salute, ai sensi di tali disposizioni, anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica.
75 L’articolo 8, paragrafo 1, della direttiva 95/46 e l’articolo 9, paragrafo 1, del RGPD, che hanno portata simile ai fini dell’interpretazione che la Corte è chiamata a fornire (sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punti 58 e 117) e si riferiscono, come indica il titolo di tali articoli, ai trattamenti di «categorie particolari» di dati personali, sanciscono il principio del divieto di tali trattamenti. Infatti, come espressamente formulato dal considerando 51 di tale regolamento, meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per tali diritti e tali libertà.
76 Tra tali categorie particolari di dati personali, il cui elenco è fornito all’articolo 8, paragrafo 1, della direttiva 95/46 e all’articolo 9, paragrafo 1, del RGPD, figurano i dati relativi alla salute. Questi includono, ai sensi dell’articolo 4, punto 15, di tale regolamento, in combinato disposto con il considerando 35, tutti i dati personali che rivelano informazioni sullo stato di salute fisica o mentale passato, presente o futuro di una persona fisica, compresi i dati relativi alla prestazione di servizi di assistenza sanitaria a tale persona.
77 Inoltre, dall’articolo 4, paragrafo 1, del RGPD si evince in particolare che per «dati personali» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile e che, per essere «identificabile», è sufficiente che l’interessato possa essere identificato, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
78 Pertanto, quando i dati sugli acquisti dei medicinali consentono di trarre conclusioni sullo stato di salute di una persona identificata o identificabile, essi devono essere considerati dati relativi alla salute ai sensi dell’articolo 4, punto 15, del RGPD.
79 Nel caso di specie, dal fascicolo di cui dispone la Corte risulta che i clienti di ND, quando ordinano online su Amazon medicinali la cui vendita è riservata alle farmacie, inseriscono informazioni quali il loro nome, l’indirizzo di consegna e gli elementi di individualizzazione dei medicinali. Ebbene, è pacifico che tali informazioni costituiscono «dati personali», in quanto si riferiscono a persone fisiche identificate o identificabili.
80 Ciò premesso, occorre stabilire se dati del genere siano idonei a rivelare informazioni sullo stato di salute di queste persone, ai sensi dell’articolo 4, punto 15, del RGPD e, di conseguenza, costituiscano dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, di tale regolamento.
81 A tal riguardo, la Corte ha già statuito che, alla luce dell’obiettivo della direttiva 95/46 e del RGPD, che è quello di garantire un elevato livello di tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, in relazione al trattamento dei dati personali che le riguardano, la nozione di «dati relativi alla salute» di cui all’articolo 9, paragrafo 1, di tale regolamento, che corrisponde alla nozione di «dati relativi alla salute» di cui all’articolo 8, paragrafo 1, di tale direttiva, deve essere interpretata in senso ampio (v., in tal senso, sentenze del 6 novembre 2003, Lindqvist, C‑101/01, EU:C:2003:596, punto 50, e del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 125).
82 In particolare, tali disposizioni non possono essere interpretate nel senso che il trattamento di dati personali idonei a rivelare, indirettamente, informazioni sensibili riguardanti una persona fisica è sottratto al regime di protezione rafforzato previsto da dette disposizioni, salvo pregiudicare l’effetto utile di tale regime e la tutela dei diritti e delle libertà fondamentali delle persone fisiche che esso mira ad assicurare (sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 127).
83 Pertanto, affinché dati personali possano essere qualificati come dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, è sufficiente che essi siano idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute dell’interessato (v., in tal senso, sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 123).
84 Ebbene, i dati che un cliente inserisce su una piattaforma online al momento dell’ordine di medicinali, la cui vendita è riservata alle farmacie, sono idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute dell’interessato, ai sensi dell’articolo 4, punto 1, del RGPD, in quanto tale ordine implica la creazione di un nesso tra un medicinale, le sue indicazioni terapeutiche o i suoi usi, e una persona fisica identificata o identificabile da elementi quali il nome di tale persona o l’indirizzo di consegna.
85 Il giudice del rinvio si chiede tuttavia se sia rilevante il fatto che la vendita dei medicinali ordinati non sia soggetta a prescrizione medica, in quanto, in tal caso, tali medicinali potrebbero essere destinati non al cliente che procede all’ordine, bensì a terzi.
86 A tal riguardo, va notato che, ai fini dell’applicazione dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, occorre verificare, nel caso di trattamento di dati personali effettuato dal gestore di una farmacia nell’ambito di un’attività esercitata tramite una piattaforma online, se tali dati consentano di rivelare informazioni rientranti in una delle categorie menzionate in tali disposizioni, a prescindere dal fatto che tali informazioni riguardino un utente di tale piattaforma o qualsiasi altra persona fisica. In caso affermativo, un siffatto trattamento di dati personali è dunque vietato, fatte salve le deroghe previste al paragrafo 2 di tali disposizioni [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network), C‑252/21, EU:C:2023:537, punto 68].
87 Questo divieto in linea di principio è indipendente dal fatto che le informazioni rivelate dal trattamento in questione siano accurate o meno e che il gestore agisca allo scopo di ottenere informazioni rientranti in una delle categorie particolari menzionate all’articolo 8, paragrafo 1, della direttiva 95/46 e all’articolo 9, paragrafo 1, del RGPD. Infatti, tenuto conto dei rischi significativi per le libertà fondamentali e i diritti fondamentali degli interessati, generati da qualsiasi trattamento di dati personali rientranti in tali categorie, dette disposizioni hanno lo scopo di vietare tali trattamenti, a prescindere da quale sia la loro finalità dichiarata e dall’accuratezza delle informazioni in questione [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punti 69 e 70].
88 Ne consegue che, nel caso in cui un utente di una piattaforma online comunichi dati personali quando ordina medicinali la cui vendita è riservata alle farmacie senza essere soggetta a prescrizione medica, il trattamento di tali dati da parte del gestore di una farmacia che vende tali medicinali attraverso tale piattaforma online deve essere considerato un trattamento riguardante dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, dato che tale trattamento di dati è idoneo a rivelare informazioni sullo stato di salute di una persona fisica, a prescindere dal fatto che tali informazioni riguardino tale utente o qualsiasi altra persona per la quale quest’ultimo effettua l’ordine [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punto 73].
89 Infatti, un’interpretazione di tali disposizioni che porti a distinguere in base al tipo di medicinale in questione e al fatto che la sua vendita sia o meno soggetta a prescrizione medica non sarebbe coerente con l’obiettivo di un elevato livello di protezione, ricordato al punto 81 della presente sentenza. Siffatta interpretazione contrasterebbe, per di più, con la finalità dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, consistente nel garantire una protezione maggiore nei confronti di trattamenti che, a causa della natura particolarmente sensibile dei dati che ne sono oggetto, possono costituire, come risulta dal considerando 51 del RGPD, un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta (sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 126 e giurisprudenza citata).
90 Pertanto, le informazioni che i clienti di un gestore di una farmacia immettono quando ordinano online medicinali la cui vendita è riservata alle farmacie senza essere soggetta a prescrizione medica costituiscono dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, anche se è solo con una certa probabilità, e non con assoluta certezza, che tali medicinali siano destinati a tali clienti.
91 Del resto, non si può escludere che, anche nell’ipotesi in cui simili medicinali siano destinati a persone diverse dai clienti, sia possibile identificare tali persone e trarre conclusioni sul loro stato di salute. Ciò potrebbe verificarsi, ad esempio, quando i medicinali in questione sono consegnati non al domicilio del cliente che li ha ordinati, ma al domicilio di un’altra persona, o quando, indipendentemente dall’indirizzo di consegna, il cliente ha fatto riferimento, nell’ordine o nelle comunicazioni ad esso relative, ad un’altra persona identificabile, quale un suo familiare. Analogamente, quando l’ordine richiede l’identificazione e/o la registrazione del cliente, ad esempio mediante la creazione di un conto cliente o la sua adesione ad un programma di fidelizzazione, non si può escludere che le informazioni inserite dal cliente in tale contesto possano essere utilizzate per trarre conclusioni non solo sullo stato di salute di tale cliente, ma anche su quello di un’altra persona, in particolare in combinazione con le informazioni relative ai medicinali ordinati.
92 Infine, come ricordato al punto 86 della presente sentenza, il fatto che informazioni come quelle di cui trattasi nel procedimento principale costituiscano dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, non impedisce, come risulta in particolare dal considerando 53 di quest’ultimo, che esse possano essere oggetto di trattamento, in particolare nell’ambito della gestione dei servizi e dei sistemi di assistenza sanitaria, se si verifica uno dei casi menzionati al paragrafo 2 di tali disposizioni.
93 Ciò può avvenire, in particolare, da un lato, se, conformemente alla lettera a) di tale paragrafo 2, e fatta salva l’eccezione ivi prevista, l’interessato presta il suo consenso esplicito a uno o più trattamenti di tali dati personali le cui caratteristiche e finalità specifiche gli sono state presentate in modo accurato, completo e facilmente comprensibile. Dall’altro, siffatto trattamento può essere consentito sul fondamento dell’articolo 9, paragrafo 2, lettera h), del RGPD, qualora tale trattamento sia necessario ai fini dell’assistenza sanitaria sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità.
94 Alla luce di quanto precede, occorre rispondere alla seconda questione dichiarando che l’articolo 8, paragrafo 1, della direttiva 95/46 e l’articolo 9, paragrafo 1, del RGPD devono essere interpretati nel senso che, nel caso in cui il gestore di una farmacia commercializzi, tramite una piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti di tale gestore inseriscono al momento dell’ordine online dei medicinali, quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione dei medicinali, costituiscono dati relativi alla salute, ai sensi di tali disposizioni, anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica.
Sulle spese
95 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
1) Le disposizioni del capo VIII del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
devono essere interpretate nel senso che:
esse non ostano a una normativa nazionale che, parallelamente ai poteri di intervento delle autorità di controllo incaricate di sorvegliare e di far applicare tale regolamento e parallelamente alle possibilità di ricorso degli interessati, conferisce ai concorrenti del presunto autore di una violazione della protezione dei dati personali la legittimazione ad agire contro quest’ultimo mediante un ricorso dinanzi ai giudici civili, per violazione di detto regolamento e sul fondamento del divieto delle pratiche commerciali sleali.
2) L’articolo 8, paragrafo 1, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 9, paragrafo 1, del regolamento 2016/679
devono essere interpretati nel senso che:
nel caso in cui il gestore di una farmacia commercializzi, tramite una piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti di tale gestore inseriscono al momento dell’ordine online dei medicinali, quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione dei medicinali, costituiscono dati relativi alla salute, ai sensi di tali disposizioni, anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica.
Firme
* Lingua processuale: il tedesco.
Nessun commento:
Posta un commento