Articolo di Commento: Causa C-21/23,  Corte di Giustizia dell'UE.

La Corte di Giustizia dell'UE ha stabilito con sentenza del 4 ottobre 2024 (causa C-21/23) che anche l'acquisto online di farmaci da banco può generare "dati relativi alla salute" secondo il GDPR, ampliando significativamente la protezione dei dati personali nell'e-commerce farmaceutico.

IL CASO

Un farmacista tedesco aveva citato un concorrente per presunte violazioni GDPR nella vendita online di medicinali senza prescrizione su Amazon Marketplace, ponendo la questione se i dati delle transazioni costituissero "dati sanitari".

IL PRINCIPIO DELLA CORTE:

La Corte ha adottato un approccio funzionale molto ampio, stabilendo che anche informazioni apparentemente innocue come nome e indirizzo dell'acquirente possono essere considerate dati sanitari se nel contesto specifico permettono di dedurre informazioni sulla salute di una persona. È irrilevante se i dati siano accurati o se il titolare non intendesse trattare dati sensibili - basta anche solo la probabilità che i medicinali siano destinati all'acquirente.

La sentenza stabilisce che il GDPR non impedisce alle normative nazionali di permettere ai concorrenti di intraprendere azioni legali per violazioni che costituiscano anche pratiche commerciali sleali, rafforzando l'enforcement orizzontale tra imprese.

Le aziende dell'e-commerce farmaceutico devono ora trattare con particolare cautela anche dati apparentemente innocui, applicando le stringenti misure di protezione previste per i dati sanitari sensibili.