CGUE: la violazione del GDPR può integrare una pratica commerciale scorretta
La lealtà della concorrenza, nel contesto economico del mercato digitale europeo, si declina in modo nuovo e passa anche per la data protection
Un farmacista tedesco, ND, da alcuni anni si dedicava alla vendita di medicinali riservati alle farmacie mediante la piattaforma Amazon Marletplace. Al momento dell’acquisto, i suoi clienti inserivano alcuni dati personali, quali il proprio nome, l’indirizzo di consegna ed anche gli elementi necessari per la individualizzazione dei medicinali. DR, gestore di un’altra farmacia, resosi conto che le vendite di ND avvenivano in violazione della normativa in materia di data protection, lo citava in giudizio.
A seguito dell’accoglimento delle tesi di DR in due gradi di giudizio, la questione giungeva alla Corte federale di Giustizia tedesca, che decideva di interrogare la Corte di Giustizia dell’Unione europea. La CGUE, riunita in Grande Sezione, pronunciava la sentenza C-21/23.
Nella pronuncia, la Corte europea offre alcune precisazioni su come debba essere interpretato l’art. 9 del GDPR, che, come è noto, disciplina il trattamento delle categorie particolari di dati personali.
Il quesito: se le informazioni inserite dai clienti di ND al momento dell’ordine on line dei medicinali costituissero dati relativi alla salute, anche qualora la vendita dei medicinali non fosse soggetta a prescrizione medica.
La risposta della Corte è affermativa: “affinché dati personali possano essere qualificati come dati relativi alla salute (…) è sufficiente che essi siano idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute dell’interessato”, si legge nella sentenza. Nel caso di specie, l’ordine effettuato sulla piattaforma implicava “la creazione di un nesso tra un medicinale, le sue indicazioni terapeutiche o i suoi usi, e una persona fisica identificata o identificabile”.
La Corte si pronuncia anche su un’altra questione. DR, un competitor di ND e non un interessato ai sensi del GDPR, dinanzi alle Corti tedesche aveva invocato la tutela civilistica offerta dalla disciplina delle pratiche commerciali scorrette. In altre parole, secondo DRla violazione del GDPR da parte di ND integrava una pratica commerciale scorretta, che lui, in quanto concorrente, aveva il diritto di dedurre dinanzi ai giudizi civili mediante un’azione inibitoria.
Di qui, il quesito della Corte federale tedesca, che domandava alla CGUE se le disposizioni del GDPR relative ai mezzi di ricorso debbano essere interpretate in senso ostativo ad una normativa nazionale che conferisca ai concorrenti del presunto autore di una violazione del Regolamento la legittimazione ad agire, parallelamente ai poteri di intervento delle autorità di controllo incaricate di sorvegliare e di far applicare tale Regolamento e alle facoltà di azione degli interessati.
In questo caso il responso della Corte è negativo: la disciplina dei mezzi di ricorso del GDPR non osta a che gli Stati membri introducano normative nazionali in cui ai poteri delle autorità garanti per la protezione dei dati personali e all’iniziativa degli interessati si affianchi il potere dei giudici civili di decidere ricorsi promossi dai concorrenti sul fondamento del divieto di pratiche commerciali sleali.
Nessuna delle disposizioni del GDPR in materia di mezzi di ricorso, ha osservato la Corte, esclude espressamente questa possibilità. Al contrario, gli artt. 77, 78 e 79, 1° comma, del Regolamento prevedono che il diritto di proporre reclamo ad un’autorità di controllo, nonché il diritto ad un ricorso giurisdizionale effettivo contro l’autorità e contro il titolare o il responsabile del trattamento, si intendono “fatt[i] salvi[i]” eventuali altri ricorsi amministrativi, giurisdizionali o extragiudiziali.
Secondo la Corte, tali norme non includono i soggetti concorrenti tra coloro che possono proporre ricorso per far cessare una violazione perché solo gli interessati sono destinatari della protezione dei dati personali garantita dal Regolamento. D’altra parte, però, l’art. 82, 1° comma prevede un diritto al risarcimento per “chiunque” subisca un danno materiale o immateriale causato da una violazione del Regolamento. Dunque, anche nel GDPR si prende atto che, qualora la violazione di disposizioni sostanziali sia tale da pregiudicare gli interessati, questa può altresì arrecare pregiudizio a terzi.
Né secondo la Corte l’obiettivo di armonizzazione delle legislazioni nazionali che il GDPR si prefigge è ostativo a che gli Stati membri introducano norme nazionali supplementari. Del resto, rileva ancora la Corte, gli obiettivi del GDPR, quello di assicurare un livello coerente ed elevato di protezione delle persone, quello di rafforzare i diritti degli interessati ed assegnare agli Stati membri poteri equivalenti per garantirne una protezione efficace, non risultano pregiudicati dalla possibilità per il concorrente di un’impresa di proporre un ricorso dinanzi ai giudizi civili sulla base del divieto di pratiche commerciali sleali. Al contrario, si determina così un rafforzamento del livello di protezione degli interessati, in conformità al Regolamento.
Quando sviluppa l’impianto argomentativo brevemente esposto la Corte ha bene in mente il contesto dell’economia digitale, che è espressamente menzionato: “l’accesso ai dati personali e la possibilità di trattamento di tali dati sono diventati un parametro significativo della concorrenza fra imprese dell’economia digitale”, si legge nella pronuncia. Dunque, la lealtà della concorrenza, nel contesto economico del mercato digitale europeo, si declina in modo nuovo, e passa anche per la data protection.
_____________
*A cura dell’Avv. Giorgia Bianchini, DigitalMediaLaws
-U38741545823DJo-735x735@IlSole24Ore-Web.jpg?r=86x86)
