Il caso concerne l’attività di vendita online di medicinali riservati alle farmacie, ma non soggetti a prescrizione medica, posta in essere dal gestore di una farmacia tedesca avvalendosi della piattaforma “Amazon Marketplace”. Al momento dell’acquisto, la piattaforma richiede ai clienti di inserire una serie di informazioni, e in particolare il nome dell’acquirente, l’indirizzo di consegna e gli elementi necessari per l’individuazione dei farmaci oggetto dell’ordine.
Evitando di addentrarci nelle specificità della vicenda processuale, basti qui dire che uno dei punti nodali della controversia – promossa da un concorrente – concerne la qualificabilità o meno dei dati inseriti dall’acquirente al momento dell’ordine come “dati relativi alla salute”, con conseguente necessità, in caso di risposta positiva, di ottenere dal cliente uno specifico ed esplicito consenso al trattamento, sulla base delle norme del GDPR.
La questione giunge sino alla Corte di Giustizia, la quale è così chiamata a interrogarsi sull’ampiezza della nozione di “dati relativi alla salute”, in particolar modo con riguardo al fatto che, trattandosi quelli venduti di medicinali non soggetti a prescrizione, non sarebbe di per sé possibile presumere che essi siano sempre destinati al consumo da parte dell’acquirente – e dunque della persona alla quale si riferirebbero i dati inseriti all’ordine – e non invece a soggetti terzi nell’interesse dei quali i farmaci potrebbero essere acquistati.
Ci si domanda, in altri termini, se l’impossibilità di stabilire a monte un inequivoco e univoco collegamento tra, da un lato, la persona cui i dati inseriti fanno riferimento e, dall’altro, il “consumatore finale” del farmaco possa o meno impedire la classificazione dei dati stessi come “dati relativi alla salute”, con conseguente eventuale configurabilità di un risarcimento per violazione dei dati sanitari.
Dati personali e dati relativi alla salute: il perimetro del GDPR secondo la Corte UE
Nella sua ricostruzione, la Corte richiama, in primo luogo, la generale definizione di “dati personali”, intesi come qualsiasi informazione riguardante una persona fisica identificata o identificabile (così l’art. 4, n. 1, GDPR), laddove, affinché una persona fisica possa ritenersi “identificabile”, è sufficiente che l’identificazione possa avvenire, a partire dal dato, anche in modo indiretto.
Quanto alla definizione di “dati relativi alla salute”, i Giudici ricordano che, a norma del GDPR, si considerano tali “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, n. 15, GDPR).
Alla luce di tali definizioni, non v’è dubbio che informazioni quali il nome dell’acquirente e l’indirizzo di consegna dei farmaci siano “dati personali”, in quanto riferiti a persone fisiche identificate o identificabili. Maggiori criticità emergono con riguardo alla possibilità di considerarli o meno come “dati relativi alla salute”, e dunque di comprendere se essi siano idonei a rivelare informazioni relative alla salute delle persone fisiche cui si riferiscono. A una lettura combinata delle due definizioni di cui sopra dovrebbe, infatti, conseguire che, soltanto ove i dati consentano di trarre conclusioni sullo stato di salute di una persona identificata o identificabile, essi possono essere classificati come “dati relativi alla salute”.
Dato personale relativo alla salute e vendita online di farmaci: la Corte UE e l'univocità del collegamento
La necessità che, affinché si possa discorrere di “dati relativi alla salute” concernenti un soggetto interessato, essi debbano rivelare informazioni concernenti il “suo stato di salute” porta a domandarsi se tale definizione possa o meno applicarsi qualora non vi sia certezza, a monte, circa il collegamento tra un dato e un determinato soggetto, come avviene nel caso giunto dinanzi alla Corte.
Non essendo, infatti, i farmaci posti in vendita online soggetti a prescrizione medica, sono gli stessi Giudici a riconoscere come non possa escludersi “che tali medicinali siano destinati non ai clienti stessi, bensì a terzi, i quali non sarebbero identificabili”, e che “non è certo, ma soltanto probabile, che i clienti che ordinano i medicinali siano le persone a cui sono destinati”: si pensi, per un facile esempio, a un figlio che acquisti online un farmaco destinato alla madre.
La risposta fornita dalla Corte – che può lasciare spazio a più di una perplessità – è dichiaratamente votata allo scopo, di ordine pratico, di garantire un elevato livello di tutela dei dati in questione a fronte dei connessi rischi significativi per le libertà fondamentali e i diritti degli interessati. Se ne deriva la necessità, secondo i Giudici, di interpretare la nozione di “dati relativi alla salute” in senso il più possibile ampio.
Partendo da tale assunto, la Corte ritiene sufficiente che i dati siano idonei a rivelare, “mediante un’operazione intellettuale di raffronto o di deduzione” informazioni sullo stato di salute dell’interessato, e che dunque l’ordine effettuato online implichi “la creazione di un nesso tra un medicinale, le sue indicazioni terapeutiche o i suoi usi e una persona fisica identificata o identificabile”.
Ne consegue la qualificazione dei dati indicati dai clienti della piattaforma come “relativi alla salute”, “anche se è solo con una certa probabilità, e non con assoluta certezza, che tali medicinali siano destinati a tali clienti”, e dunque prescindendo dal fatto che tali informazioni riguardino l’utente o qualsiasi altra persona per la quale quest’ultimo effettui l’ordine.