La rilevanza esterna del GDPR, un “attributo” che può intersecare altre esigenze, interessi e materie del diritto
Nel mondo digitale una maggior trasversalità applicativa delle normative è la chiave per garantire alla persona una tutela completa ed effettiva
La normativa europea sulla protezione dei dati personali può avere una rilevanza esterna, vale a dire al di fuori del suo originario ambito di applicazione, la tutela dei dati personali, e intersecare altre esigenze, interessi e finanche altre materie del diritto.
È questo, in estrema sintesi, l’insegnamento che possiamo trarre, tra gli altri, dalla recente sentenza della Corte di Giustizia dell’Unione Europea (Causa C-21/23), ove ad occupare gli euro giudici v’è il tema dei rapporti tra la tutela delle informazioni personali e le garanzie del mercato concorrenziale.
Per maggiore chiarezza espositiva è opportuno riepilogare, almeno per cenni, la vicenda decisa dalla Corte, inerente a un contenzioso tra due farmacie tedesche e riguardante la commercializzazione online di medicinali riservati alle farmacie tramite la piattaforma Amazon, fenomeno molto diffuso ai giorni nostri.
In punta di fatto, risulta che una farmacia ha iniziato a vendere medicinali non soggetti a prescrizione medica sulla nota piattaforma di e-commerce, richiedendo ai clienti di fornire dati personali come nome e indirizzo di consegna necessari per completare l’acquisto. La farmacia concorrente ha contestato questa pratica sostenendone l’illegittimità per violazione delle disposizioni del Gdpr (reg. n. 2016/679 UE), posto che tra i dati raccolti vi erano informazioni sulla salute e rispetto alle quali non veniva richiesto un consenso esplicito al trattamento. Sulla base di ciò, la farmacia chiedeva che fosse inibita la vendita fino a quando non fosse garantito il rispetto delle condizioni di liceità del Gdpr. Questo è il caso sul quale la Corte si è pronunciata.
Passando all’esame della decisum notiamo come la Corte sia giunta alle sue conclusioni affrontando due argomenti decisivi. Da un lato, quello relativo alla nozione normativa di “dati relativi alla salute”, ampliandone la portata fino a ricomprendere i dati necessari per effettuare la consegna a domicilio di medicinali acquistati online. Sul punto l’argomentazione non può che esser ampiamente condivisibile, posto che i dati relativi alla salute, per via dei rischi significativi che da essi posson derivare per i diritti e le libertà fondamentali degli interessati, meritano una tutela rafforzata (come tra l’altro già previsto sotto il regime dalla direttiva 95/46). Per questo motivo non sorprende la decisione della Corte di estendere il concetto di dati relativi alla salute con riferimento alle informazioni idonee a rivelare, anche indirettamente, lo stato di salute di una persona fisica (si pensi, appunto, ai dati forniti per l’acquisto online di medicinali).
L’ulteriore argomento sul quale si è concentrata la Corte è relativo al rapporto tra violazione della normativa sui dati personali e concorrenza sleale, rispetto al quale i giudici giungono ad affermare che la violazione delle norme sulla protezione dei dati può costituire una pratica di concorrenza sleale e che, pertanto, i concorrenti hanno il diritto di agire in giudizio per far cessare tali pratiche.
Prima di affrontare il cuore della decisione, occorre in prima battuta operare una precisazione: la Corte non ha sancito la scorrettezza della pratica commerciale denunciata, ma ne ha posto in evidenza la potenziale rilevanza per effetto della violazione della disciplina del Gdpr.
Sarà il giudice nazionale, al quale compete la verifica sul piano concreto, a rilevare se quello che è un trattamento illecito di dati personali (in assenza di una condizione di liceità) possa rappresentare anche una violazione del divieto di pratiche commerciali sleali.
Questo è il punto saliente della decisione, dal quale possiamo trarre una riflessione più generale riguardo all’estensione delle norme sulla protezione dei dati, alla loro rilevanza esterna, alla loro capacità di incidere diritti e interessi al di fuori dell’originario ambito di applicazione, quello della tutela dei dati personali. I giudici europei hanno rilevato che la violazione di tali disposizioni, il cui scopo è di tutelare i diritti fondamentali, viene a qualificare di illiceità il relativo trattamento in modo assoluto, cioè a prescindere dai soggetti che ne lamentano la violazione e a prescindere dagli interessi dedotti in giudizio. Certamente quando un operatore del mercato agisce per porre fine a una pratica commerciale scorretta assume come obiettivo primario quello della difesa della concorrenza leale. Eppure, la sua azione finisce per proteggere, seppur indirettamente, i diritti fondamentali legati al trattamento dei dati personali. Questo dato è considerato sufficiente dagli euro giudici per affermare una rilevanza esterna delle norme poste tutela dei dati personali, in linea con la natura di strumenti normativi che essendo volti a garantire il rispetto della dignità e dei diritti delle persone devono esser dotati di ampia portata.
Che il tema della protezione delle informazioni personali fosse legato a doppio filo con il mercato unico europeo è un dato conclamato, il punto di partenza della strategia europea di promozione dell’economia digitale. Già nelle prime pagine del Gdpr si legge di una strategia volta al “rafforzamento …. delle economie nel mercato interno e al benessere delle persone fisiche” (C. 2) e alla promozione “dell’economia digitale in tutto il mercato interno” (C. 7) nel rispetto dei “diritti e le libertà fondamentali”(C. 2).
Dunque, la convergenza tra tutela della concorrenza e protezione dei dati personali è un aspetto coerente con una visione sistemica del diritto europeo e non deve sorprendere che un trattamento illecito di dati personali, oltre a violare i diritti fondamentali degli interessati, possa alterare le dinamiche competitive del mercato, quel mercato interno che la libera circolazione delle informazioni personali vuole promuovere. Se un operatore del mercato agisce per fermare tali condotte non solo contribuisce a riequilibrare il mercato ma protegge, seppur indirettamente, i diritti fondamentali degli individui coinvolti, evitando che i loro dati siano utilizzati in assenza di liceità.
In tal senso, dunque, possiamo affermare che la normativa europea sulla protezione dei dati personali ha una rilevanza esterna, un attributo che arriva a intersecare altri interessi meritevoli di tutela, a conferma che nel mondo digitale una maggior trasversalità applicativa delle normative è la chiave per garantire alla persona una tutela completa ed effettiva.
______
*A cura di Gianluca Fasano, Consiglio Nazionale delle Ricerche - Istituto di Scienze e Tecnologie della Cognizione (CNR-ISTC)