La questione della vendita di farmaci da banco su Amazon e delle presunte violazioni delle leggi farmaceutiche nazionali e del GDPR solleva complessità e una serie di interrogativi ancora irrisolti.
Ad esempio, la possibilità per un farmacista di citarne un altro per violazione della legge sulla protezione dei dati rimane una questione aperta, così come la portata delle informazioni rivelate da un ordine Over-The-Counter (OTC) su Internet e se tali dati possano essere considerati dati sanitari ai sensi dell’articolo 9 del GDPR.
La risposta a nessuna di queste domande è semplice e immediata[1].
La parola passa dunque alla Corte di Giustizia dell’UE (CGUE) che dovrà decidere in particolare se 1) ai concorrenti va riconosciuto il potere di agire contro il trasgressore per violazioni del Regolamento generale sulla protezione dei dati, mediante un’ azione dinanzi al giudice civile nella prospettiva del divieto di pratiche commerciali scorrette e 2) se i dati raccolti, come l’indirizzo di consegna e il tipo di farmaco disponibile solo in farmacia (senza prescrizione), possano ritenersi dati “sulla salute” ai sensi dell’articolo 9 paragrafo 1 GDPR nonché dati sanitari ai sensi dell’articolo 8 comma 1 della direttiva 95/46/CE.
Le decisioni della CGUE avranno un impatto significativo sulla comprensione delle azioni legali relative alla protezione dei dati e alla concorrenza nel settore farmaceutico.
I fatti al vaglio della Corte di Giustizia UE
Il caso specifico coinvolge il Dott. Hermann Vogel Jr. di Monaco che nel 2017 ha portato in tribunale, con due distinti procedimenti, i suoi due colleghi, Holger Neubert di Blankenburg e Michael Spiegel di Gräfenhainichen, accusandoli di offrire illegittimamente medicinali attraverso la piattaforma di Amazon.
Vogel sostiene che la vendita di preparati da banco su Amazon costituisce essenzialmente un modo per eludere le normative vigenti, tra cui oltre a quella sulla protezione dei dati personali, anche quelle a cui sono vincolate le farmacie in Germania, ovvero le disposizioni della legge sui medicinali (AMG), la legge sulla pubblicità dei medicamenti (HWG), il regolamento d’esercizio delle farmacie (ApBetrO) e il codice professionale per i Farmacisti. Secondo l’avvocato di Vogel, il Dott. Markus Bahmann, sussisterebbe in modo particolare una presunta violazione del regolamento d’esercizio delle farmacie (ApBetrO), che impedisce la vendita di prodotti farmaceutici a libera scelta fuori dalle farmacie. E Amazon, a suo parere, non sarebbe altro che una “vetrina” che facilita questa elusione.
Gli esiti dei due procedimenti in primo grado
In primo grado, i due procedimenti simili hanno avuto esiti diversi.
Relativamente al caso Neubert – I ZR 222/19, in prima istanza, il tribunale regionale di Magdeburgo ha respinto la causa[2], sostenendo che le vendite tramite Amazon rientrassero nella categoria di vendita per corrispondenza autorizzate al commercio on line. Non ritenne sussistenti neppure le violazioni delle norme AMG, HWG e ApBetrO, né di altre norme professionali. Secondo il tribunale, inoltre, riguardo alle possibili violazioni del Regolamento generale sulla protezione dei dati (GDPR), Vogel, in quanto concorrente, non avrebbe diritto legale di intentare una causa.
Per quanto riguarda la causa contro Spiegel – I ZR 223/19, invece, il tribunale regionale di Dessau/Roßlau ha dichiarato inammissibili le vendite tramite la piattaforma salvo il fatto che i clienti avevano espressamente acconsentito al trattamento dei loro dati. Per i giudici di Dessau, la vendita di prodotti esclusivamente farmaceutici tramite il mercato Amazon violerebbe in caso contrario la normativa sulla protezione dei dati e altresì le norme professionali.
Le parti presentarono ricorso per entrambe le controversie al Tribunale regionale superiore di Naumburg (OLG). Alla fine del 2019, il Tribunale di Naumburg decise in secondo grado in entrambi i procedimenti che le disposizioni del GDPR dovessero valutarsi nel contesto delle norme della Sezione 3a UWG della Legge contro la concorrenza sleale. Ed in tale ottica era chiaro che i farmacisti convenuti avessero trattato i dati sanitari dei loro clienti nell’ambito degli ordini OTC (art. 9 cpv. 1 GDPR) – senza il necessario consenso. Di contro il Tribunale non riscontrò alcuna violazione delle altre norme farmaceutiche.
Entrambi i casi sono approdati dinanzi alla Corte federale di giustizia – Bundesgerichtshof (BGH).
La prima Camera civile della Corte federale di giustizia, competente in materia di diritto della concorrenza, venne dunque incaricata di decidere se e a quali condizioni la violazione degli obblighi in materia di protezione dei dati da parte di un farmacista potesse dar luogo a un provvedimento ingiuntivo ai sensi del diritto della concorrenza e se questo potesse essere perseguito da un altro farmacista con un’azione legale nei tribunali civili.
In base alle disposizioni nazionali vigenti ante GDPR era infatti ampiamente accettato che il ricorrente avesse il diritto di portare in tribunale presunte violazioni dei requisiti per il trattamento dei dati sanitari; successivamente, con l’entrata in vigore del Regolamento n. 2016/679 il diritto dei concorrenti, originariamente esistente, di adire il tribunale non è apparso più così scontato, specialmente poiché il capitolo VIII del GDPR sembrerebbe fornire il proprio sistema di rimedi e responsabilità per far valere violazioni della protezione dei dati.
Le questioni pregiudiziali
Il BGH già nel 2020 aveva interrotto il procedimento, aspettando la pronuncia della Corte di giustizia europea sulla richiesta di una pronuncia pregiudiziale correlata avanzata nel contesto di una causa diversa ma rilevante per i contenziosi oggetto di impugnazione. All’epoca, la Corte federale di giustizia aveva sollevato la questione di sapere se i concorrenti e le associazioni autorizzate, come l’Associazione federale delle organizzazioni dei consumatori (vzbv), avessero il diritto di adire i tribunali civili per violazioni del GDPR, indipendentemente dai diritti specifici dell’individuo e senza il consenso dell’interessato. In quella circostanza, la CGCE si era pronunciata sulla legittimità delle associazioni legittimate a intentare azioni per violazioni del GDPR, senza affrontare il tema specifico del diritto di azione dei concorrenti, ritenuto non pertinente per la causa principale.
A gennaio il BGH ha dunque deciso di sospenedere nuovamente entrambi i contenziosi e ha sottoposto la vicenda alla Corte di giustizia europea (CGCE) con nuova domanda di pronuncia pregiudiziale (decisioni del 12 gennaio 2023 – I ZR 222/19 e I ZR 223/19 ).
Due le questioni centrali:
- Le disposizioni del Capo VIII del Regolamento Generale sulla Protezione dei Dati (GDPR) si oppongono alle norme nazionali che conferiscono ai concorrenti il potere di agire contro l’autore di una violazione del GDPR, proponendo un ricorso dinanzi ai giudici civili basato sul divieto di pratiche commerciali sleali, oltre ai poteri delle autorità di controllo previste dal regolamento?
- I dati forniti dai clienti di un farmacista che agisce come venditore Over-The-Counter (OTC) su una piattaforma online, quando ordinano medicinali venduti esclusivamente nelle farmacie ma non soggetti a prescrizione medica (come nome del cliente, indirizzo di consegna e informazioni necessarie per identificare il medicinale ordinato), possono considerarsi dati relativi alla salute ai sensi dell’articolo 9, paragrafo 1, del GDPR (nonché dati relativi alla salute ai sensi dell’articolo 8 paragrafo 1 della direttiva 95/46/ CE) ?
Questi i punti controversi da dirimere.
Le due questioni cruciali su cui dovrà pronunciarsi l’avvocato generale
L’avvocato generale dovrebbe redigere un parere sul caso, che sarà pubblicato il 25 aprile.
Vediamo in dettaglio le due questioni cruciali.
- Vogel poteva portare i suoi colleghi in tribunale?
- Le disposizioni del GDPR sono in conflitto con le normative nazionali che attribuiscono ai concorrenti il potere di intraprendere azioni legali in sede civile per presunte violazioni del GDPR?
La Germania ha una solida tradizione di azioni rappresentative fondate sulla legge sulla tutela dei consumatori (UKlaG) e sulla legge sulla concorrenza sleale (UWG), pertanto il tenore della questione sollevata dal BGH non stupisce.
Il precedente di Meta Platforms
Riguardo alla possibilità per un farmacista di citare in giudizio un altro per violazione della legge sulla protezione dei dati, va sottolineato che la Corte di Giustizia dell’Unione Europea si è già espressa su un caso simile con Meta Platforms. Nel 2020, la Corte aveva riconosciuto il diritto di un’associazione di intentare azioni legali in base al GDPR.
Tuttavia, la sentenza della Corte UE sulla questione sollevata dalla Corte Federale di Giustizia era stata parziale. Si era concentrata sulla legittimità delle associazioni, istituzioni e camere di tutela dei consumatori, trascurando il diritto d’azione di un imprenditore concorrente. Il caso originale del 2012 riguardava l’associazione tedesca dei consumatori (VZBV) contro Facebook per violazione delle norme UE sulla privacy. La Corte UE aveva chiarito che le associazioni dei consumatori possono intentare azioni civili contro le imprese responsabili di violazioni dei diritti di protezione dei dati, a condizione che coinvolgano trattamenti di dati “idonei a ledere i diritti” dei cittadini secondo il GDPR.
La CGUE aveva chiarito che un’associazione di tutela dei consumatori, come l’Unione Federale in questione, potesse ritenersi un “organismo legittimato ad agire” ai sensi dell’articolo 80 del GDPR, poiché portatore di un obiettivo di interesse pubblico, ovvero la tutela dei diritti dei consumatori.
La sentenza dell’ 28 aprile 2020[3] (C-319/20 – Meta Platforms Ireland) è di sicura rilevanza stante l’apertura verso meccanismi di azione da parte di associazioni ed, eventualmente, imprenditori concorrenti che intendessero perseguire violazioni del GDPR senza dipendere dalle specifiche indicazioni ricevute dai singoli interessati.
A seguito della nuova domanda pregiudiziale, Maciej Szpunar, avvocato generale incaricato della redazione del parere sul caso ha interrogato il servizio giuridico della Commissione UE sulla relazione tra la direttiva del 2005 relativa alle pratiche commerciali sleali tra imprese e consumatori nel mercato interno e la sentenza[4] della Corte UE relativa a Meta Platforms (caso è C-252/2). In quest’ultima, i giudici affermarono che un’autorità nazionale garante della concorrenza, nel valutare un potenziale abuso di posizione dominante, potrebbe constatare una violazione del GDPR.
Per la Commissione, interrogata da Szpunar, il caso del farmacista tedesco potrebbe considerarsi “simile”, consentendo a un tribunale nazionale di esaminare violazioni della direttiva 2005/29/CE sulle pratiche commerciali sleali in parallelo alla valutazione di una potenziale violazione del GDPR.
La questione però si complica non poco quando si tratta del ruolo dei concorrenti, che potrebbero invocare l’UWG per perseguire violazioni della protezione dei dati. Mentre da una parte la Corte di giustizia europea potrebbe chiarire che il GDPR prevale in modo definitivo, precludendo alle norme nazionali di concedere ai concorrenti il potere di agire legalmente contro trasgressori per violazioni della protezione dei dati, dall’altra se la Corte dovesse al contrario confermare che il GDPR non impedisce il diritto di azione dei concorrenti, allora il BGH dovrebbe valutare se e come la protezione dei dati personali possa avere un impatto significativo sulla tutela del libero mercato e sui suoi utenti.
In altre parole, sino a che punto la protezione dei dati può svolgere un ruolo protettivo per i consumatori partecipanti al mercato[5]?
La decisione definitiva è attesa solo dopo la possibile pronuncia della Corte di giustizia europea, potenzialmente nel 2024. Fino ad allora, l’incertezza legale persisterà per quanto riguarda le azioni dei concorrenti nel campo della protezione dei dati.
I dati sugli ordini di medicinali sono dati sulla salute?
La questione della qualificazione dei dati personali relativi agli ordini di medicinali senza obbligo di prescrizione e OTC effettuati tramite una piattaforma online gestita da un farmacista. Tali dati possano essere considerati dati sulla salute ai sensi del GDPR?
Il nodo della controversia risiede nella natura dei dati riguardanti gli ordini OTC, soprattutto per quanto riguarda la possibile classificazione come dati particolari ai sensi dell’articolo 9 del GDPR. Dati che potrebbero o meno essere collegati a individui specifici.
La peculiarità dei modelli di business legati al commercio on line di farmaci da banco o OTC e senza obbligo di prescrizione risiede nel fatto che sono prodotti venduti senza ricetta medica e, pertanto, non rivelano chiaramente chi sia il destinatario del farmaco e chi lo assuma effettivamente. Ciò solleva la possibilità che l’acquirente, cui sono associati i dati dell’ordine, non sia necessariamente la persona che assume il farmaco, ma potrebbe agire per conto di terzi.
Vi sarebbe, pertanto, solo un certo grado di probabilità che l’insieme dei dati dell’ordine, incluse informazioni come il nome del cliente e l’indirizzo di consegna, forniscano o meno indicazioni sullo stato di salute dell’individuo coinvolto.
Durante l’udienza tenutasi a settembre, questa premessa sulla probabilità di correlare effettivamente l’acquirente al paziente effettivo, non è piaciuta all’avvocato di Vogel che ha evidenziato l’accesso di Amazon ai dati e la difficoltà del farmacista nel correggere informazioni errate.
Il rappresentante della parte avversa, l’avvocato Wolfgang Spoerr, ha invece replicato sostenendo la ricostruzione precedentemente menzionata, concludendo che le informazioni sull’ordine non possono essere incluse nella categorie dei dati sanitari a meno che non vi sia la certezza che la persona che ha effettuato l’ordine sia anche l’utilizzatore effettivo del medicinale. “Ho sottolineato davanti al collegio di 15 giudici del tribunale di Lussemburgo che non è possibile stabilire un legame specifico con la persona“, ha affermato Spoerr. “L’ordine non determina quale individuo utilizzerà effettivamente il medicinale.”
Quest’ultimo sembrerebbe essere anche il punto di vista iniziale del BGH che sarebbe portato a ritenere la natura di dati sanitari solo nel caso di farmaci soggetti a prescrizione.
Tenendo conto della precedente giurisprudenza della CGUE (ultima sentenza del 1° agosto 2022, causa C-184/20), è però ragionevole presumere che, anche nella decisione attualmente in corso[6], essa possa riconoscere un’enfasi significativa alla salvaguardia dei dati riferibili alla salute di un soggetto fisico, anche se non si possa presumere con certezza, ma solo con una certa probabilità, che i medicinali siano destinati alla persona che li ordina.
Lo scenario 2024
Considerando i tempi delle procedure di rinvio davanti alla Corte di giustizia europea, una risposta potrebbe giungere entro la fine di quest’anno.
La controversia sull’opportunità per i concorrenti di segnalare e perseguire violazioni della protezione dei dati attraverso il diritto civile ha alimentato un acceso dibattito giurisprudenziale e tra gli esperti fin dall’ entrata in vigore del GDPR. Nonostante la Corte di giustizia europea abbia precedentemente riconosciuto sostanzialmente il diritto di azione delle associazioni con la sentenza del 28 aprile 2022 (C-319/20), la questione cruciale sulla sua estensione ai concorrenti rimaneva in sospeso, generando incertezza giuridica tra le varie risposte: sì, no e dipende.
La discussione si sviluppa su due fronti contrapposti: da un lato, l’abilitazione dei concorrenti a segnalare violazioni è vista come un contributo essenziale per garantire un’efficace tutela dei dati personali, conforme all’articolo 8 della Carta dei diritti fondamentali dell’Unione europea. Dall’altro, la giurisprudenza evidenzia l’assenza di una clausola specifica che definisca il diritto d’azione dei concorrenti contro le violazioni della protezione dei dati nell’ambito del GDPR, nonostante un’ampia interpretazione dell’articolo 80, paragrafo 2, del GDPR.
Un elemento chiave aggiuntivo riguarda la multifunzionalità delle norme sulla protezione dei dati, che, oltre a preservare il diritto all’autodeterminazione dell’interessato, perseguono anche obiettivi di uniformità di protezione nella circolazione dei dati a livello comunitario, mitigando in tal modo anche possibili distorsioni della concorrenza. I considerando da 6 a 8 del GDPR ne sono chiara espressione. In tal senso si è espressa anche la decisione del Tribunale regionale superiore di Amburgo (sentenza del 25 ottobre 2018 – 3 U 66/17) che ha sottolineato come la violazione dei requisiti del GDPR possa ben costituire una violazione del diritto della concorrenza, con ciò aprendo alla possibilità di azioni legali ai sensi dell’UWG, la legge contro la concorrenza sleale. Per il Tribunale regionale superiore di Amburgo, dunque, non esisterebbe né nella precedente direttiva 95/46/CE (direttiva sulla protezione dei dati) né nel regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati), un sistema completo e chiuso di rimedi che dia legittimazione ad agire
Tutt’altro che semplice si rivelerà dipanare l’altra rilevante questione concernente la corretta inclusione dei dati forniti dai clienti di un farmacista, che agisce come venditore su una piattaforma di vendita on line quando ordinano farmaci disponibili solo in farmacia ma non soggetti a prescrizione (inclusi nome del cliente, indirizzo di consegna e informazioni essenziali per identificare il farmaco richiesto), nella particolare categoria di dati di cui all’articolo 9, paragrafo 1, del GDPR (nonché dati sanitari ai sensi dell’articolo 8 comma 1 della direttiva 95/46/CE).
Nel caso specifico, sembra che il trattamento dei dati da parte dei farmacisti non abbia ottenuto un consenso “effettivo” ai sensi dell’articolo 9, paragrafo 2, del GDPR.
La Corte di Giustizia dell’Unione Europea ha già optato per un’interpretazione ampia delle nozioni di “categorie particolari di dati personali” giustificata dall’obiettivo del GDPR, che mira a garantire un elevato livello di tutela dei diritti e delle libertà fondamentali delle persone fisiche, specialmente per quanto riguarda il trattamento dei dati personali a loro riguardo.
In tal caso sarà interessante capire come si potrà effettivamente garantire il raggiungimento dell’obiettivo di cui all’articolo 9, paragrafo 1, del GDPR e dunque il regime di protezione rafforzata previsto.
Note
[1]Questi i parametri giudiziari di cui tenere conto:
Tribunali di grado inferiore nel procedimento I ZR 222/19:
LG Magdeburg, sentenza del 18 gennaio 2019 – 36 O 48/18
OLG Naumburg – sentenza del 7 novembre 2019 – 9 U 6/19
Tribunali di grado inferiore nel procedimento I ZR 223/19:
LG Dessau-Roßlau – sentenza del 27 marzo 2018 – 3 O 29/17
OLG Naumburg – sentenza del 7 novembre 2019 – 9 U 39/18
Le normative rilevanti sono:
§ 3 comma 1 UWG
Non sono ammesse azioni commerciali sleali.
§ 3a UWG
agisce in modo ingiusto se qualcuno viola una disposizione legale che mira anche a regolare il comportamento sul mercato nell’interesse dei partecipanti al mercato e la violazione può danneggiare sensibilmente gli interessi dei consumatori, di altri partecipanti al mercato o dei concorrenti.
§ 8 comma 1 frase 1 UWG
Chiunque compie un atto commerciale inammissibile ai sensi del § 3 o del § 7 può essere citato in giudizio per la destituzione e, se esiste il rischio di ripetizione, per un provvedimento ingiuntivo.
§ 8 comma 3 n.1 UWG
(3) I diritti di cui al comma 1 si applicano a:
1. ogni concorrente che vende o richiede merci o servizi in misura significativa e non solo occasionalmente, […]
Art. 9 GDPR
Art. 8 DSRL
1. Gli Stati membri vietano il trattamento di dati personali che rivelino l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, nonché dati relativi alla salute o alla vita sessuale.
(2) Il paragrafo 1 non si applica nei seguenti casi:
a) L’interessato ha espressamente acconsentito al trattamento dei dati menzionati, […]
[2]Il tribunale regionale ha ritenuto che non sussistessero violazioni delle disposizioni della legge sui medicinali, della legge sulla pubblicità dei medicinali, del regolamento operativo delle farmacie e del codice professionale dei farmacisti. Per quanto riguarda le violazioni delle norme sulla protezione dei dati del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati – GDPR), l’attore non ha diritto di agire in giudizio. Il regolamento generale sulla protezione dei dati contiene un sistema finale di sanzioni che non include i concorrenti.
[3]La CGUE ha sottolineato che l’articolo 80, paragrafo 1, presuppone che l’interessato abbia autorizzato un’organizzazione a intraprendere azioni legali per suo conto, e l’articolo 84 riguarda le sanzioni, non rilevanti nel caso specifico.
L’attenzione si è concentrata sull’interpretazione dell’articolo 80, paragrafo 2, del GDPR, che attribuisce agli Stati membri un potere discrezionale nell’attuazione. La CGUE ha affermato che per consentire azioni rappresentative senza il mandato dell’interessato, gli Stati membri devono avvalersi della possibilità prevista dall’articolo 80, paragrafo 2. Nel caso in esame, la Germania non ha esercitato questo potere discrezionale, poiché la legislazione nazionale già consente alle associazioni di tutela dei consumatori di agire legalmente per violazioni delle leggi sulla protezione dei dati.
La CGUE ha riconosciuto l’Unione federale come un’organizzazione di tutela dei consumatori, rientrante nell’obiettivo di interesse pubblico di proteggere i diritti dei consumatori. Ha sottolineato che la violazione delle norme sulla tutela dei consumatori può includere la violazione delle norme sulla protezione dei dati personali.
Inoltre, la CGUE ha interpretato la frase “ritiene che i diritti dell’interessato ai sensi del presente regolamento siano stati lesi a causa del trattamento” contenuta nell’articolo 80, paragrafo 2, stabilendo che non è necessario identificare preventivamente la persona specificamente interessata dal trattamento contrario alle disposizioni del GDPR. La CGUE ha spiegato che il GDPR definisce dati personali anche come quelli appartenenti a una “persona fisica identificabile”, e un’azione rappresentativa può essere avviata sulla base della convinzione dell’organizzazione rappresentativa, senza richiedere una dimostrazione dell’effettivo danno subito dall’interessato.
La CGUE ha concluso che questa interpretazione, insieme alla presenza di associazioni di tutela dei consumatori, rafforza i diritti degli interessati, indicando che un’azione rappresentativa potrebbe essere più efficace dell’esercizio individuale dei propri diritti da parte di diverse persone.
[4]Il caso, deferito alla più alta corte dell’UE dal Tribunale regionale superiore di Düsseldorf, nasce da una decisione del Bundeskartellamt del 2019 che ordina alla società Facebook – ribattezzata Meta nel 2021 – di interrompere il raggruppamento dei dati dalla sua suite di Facebook, Instagram e WhatsApp app di social media da vendere agli inserzionisti.
[5]Sul punto si veda Dott. Axel von Walter https://www.gvw.com/fileadmin/user_upload/pdf/von_Walter_Editorial_Betriebsberater_Heft_6_2023.pdf
[6]Per la CGUE, il concetto di “categorie particolari” di dati personali deve essere interpretato in senso ampio, in particolare per garantire il raggiungimento dell’obiettivo di cui all’articolo 9, paragrafo 1, del GDPR. Un’interpretazione restrittiva priverebbe tale disposizione del suo effetto utile. Di conseguenza, l’articolo 9, paragrafo 1, del GDPR “non può essere interpretato nel senso che il trattamento di dati personali idonei a rivelare, indirettamente, informazioni sensibili riguardanti una persona fisica è esentato dal regime di protezione rafforzata previsto dall’articolo 9 GDPR.
