Diritto dei Servizi Pubblici

Home

Sentenze

Articoli

Avvocato Generale Maciej Szpunar, 25/4/2024 n. C-21/23

I dati dei clienti di un farmacista trasmessi al momento dell'ordine su una piattaforma di vendita online di medicinali, la cui vendita è riservata alle farmacie ma che non sono soggetti a prescrizione, non costituiscono "dati relativi alla salute".

Materia: privacy / tutela dati personali

CONCLUSIONI DELL’AVVOCATO GENERALE

MACIEJ SZPUNAR

presentate il 25 aprile 2024 (1)

Causa C-21/23

contro

[domanda di pronuncia pregiudiziale proposta dal Bundesgerichtshof (Corte federale di giustizia, Germania)]

«Rinvio pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – Mezzi di ricorso – Limitazione dei mezzi di ricorso – Trattamento di categorie particolari di dati personali – Nozioni di “dati relativi alla salute”»

I. Introduzione

1. La presente causa riguarda l’interpretazione di una serie di disposizioni del regolamento (UE) 2016/679 (2) (in prosieguo: il «RGPD») con riferimento, da un lato, al sistema dei mezzi di ricorso introdotto da tale regolamento e, dall’altro, alla categoria di dati particolarmente sensibili quali i «dati relativi alla salute».

2. La domanda di pronuncia pregiudiziale si inserisce nel contesto di un’azione inibitoria, fondata sul divieto, nel diritto nazionale, di atti di concorrenza sleale e promossa da un’impresa allo scopo di porre fine alla commercializzazione su Internet da parte di uno dei suoi concorrenti di medicinali non soggetti a prescrizione. Secondo tale impresa, l’asserito atto di concorrenza sleale consisterebbe nell’inosservanza dei requisiti derivanti dal RGPD per quanto riguarda il trattamento dei «dati relativi alla salute».

3. Inizierò la mia analisi dall’esame della seconda questione pregiudiziale, che consentirà alla Corte di precisare i contorni della nozione di «dati relativi alla salute», che determina l’applicazione o meno di un regime rafforzato di protezione.

4. Infatti, nell’ipotesi in cui i dati di cui trattasi nella presente causa non potessero essere qualificati come «dati relativi alla salute», ai sensi dell’articolo 9, paragrafo 1, del RGPD, ne conseguirebbe che l’asserito atto di concorrenza sleale non sussisterebbe. In tal caso, sarebbe quindi inutile rispondere alla prima questione pregiudiziale, che riguarda la questione se il sistema dei mezzi di ricorso istituito dal RGPD consenta l’esistenza, nel diritto nazionale, di un ricorso fondato su una violazione delle norme relative al divieto di atti di concorrenza sleale, con il quale il ricorrente faccia valere una violazione delle disposizioni sostanziali del RGPD.

II. Contesto normativo

A. Diritto dell’Unione

1. Direttiva 95/46/CE

5. La direttiva 95/46/CE (3) così prevede, al suo articolo 8, paragrafo 1:

«Gli Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale».

2. RGPD

6. I considerando 9, 10, 13, 35, 51 e 142 del RGPD recitano come segue:

«(9) Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la [direttiva 95/46].

(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...)

(...)

(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un monitoraggio coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. (...)

(...)

(35) Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla [direttiva 2011/24/UE (4)]; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.

(...)

(51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (…) Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali.

(...)

(142) Qualora l’interessato ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un’organizzazione o un’associazione che non abbiano scopo di lucro, costituiti in conformità del diritto di uno Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore della protezione dei dati personali, per proporre reclamo per suo conto a un’autorità di controllo, esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o esercitare il diritto di ottenere il risarcimento del danno per conto degli interessati se quest’ultimo è previsto dal diritto degli Stati membri. Gli Stati membri possono prescrivere che tale organismo, organizzazione o associazione abbia il diritto di proporre reclamo in tale Stato membro, indipendentemente dall’eventuale mandato dell’interessato, e il diritto di proporre un ricorso giurisdizionale effettivo qualora abbia motivo di ritenere che i diritti di un interessato siano stati violati in conseguenza di un trattamento dei dati personali che violi il presente regolamento. tale organismo, organizzazione o associazione può non essere autorizzato a chiedere il risarcimento del danno per conto di un interessato indipendentemente dal mandato dell’interessato».

7. L’articolo 1 di tale regolamento, intitolato «Oggetto e finalità», così dispone:

«1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».

8. L’articolo 4 di detto regolamento prevede quanto segue:

«Ai fini del presente regolamento s’intende per:

1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

(...)

15) “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

(...)».

9. Ai sensi dell’articolo 9 del medesimo regolamento, intitolato «Trattamento di categorie particolari di dati personali»:

«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

(...)

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

(...)».

10. Gli articoli da 77 a 84 figurano nel capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni».

11. L’articolo 77 di tale regolamento, intitolato «Diritto di proporre reclamo all’autorità di controllo», così dispone, al paragrafo 1:

«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».

12. L’articolo 78 di detto regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», enuncia quanto segue, al suo paragrafo 1:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda».

13. L’articolo 79 del medesimo regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», così prevede, al paragrafo 1:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».

14. L’articolo 80 del RGPD, intitolato «Rappresentanza degli interessati», enuncia quanto segue:

«1. L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82.

2. Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento».

15. L’articolo 82 di tale regolamento, intitolato «Diritto al risarcimento e responsabilità», così dispone, al paragrafo 1:

«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

16. L’articolo 84 di detto regolamento, intitolato «Sanzioni», enuncia quanto segue, al paragrafo 1:

«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».

B. Diritto tedesco

1. Legge contro la concorrenza sleale

17. L’articolo 3 del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale), del 3 luglio 2004 (5), nella sua versione applicabile alla controversia di cui al procedimento principale (in prosieguo: la «legge contro la concorrenza sleale»), intitolato «Divieto di comportamenti commerciali sleali», prevede, al suo paragrafo 1, che «[l]e pratiche commerciali sleali sono illecite».

18. L’articolo 3a di tale legge, intitolato «Violazione del diritto», è così formulato:

«Commette un atto sleale colui il quale violi una disposizione di legge che sia altresì destinata a disciplinare il comportamento sul mercato nell’interesse dei soggetti partecipanti al mercato stesso, nel caso in cui la violazione sia idonea a pregiudicare in maniera sensibile gli interessi dei consumatori, di altri soggetti partecipanti al mercato o dei concorrenti».

19. L’articolo 8 di detta legge, intitolato «Inibizione ed astensione», enuncia quanto segue:

«(1) Nei confronti di chiunque ponga in essere una pratica commerciale illecita ai sensi dell’articolo 3 o dell’articolo 7 può essere promossa un’azione inibitoria e, in caso di rischio di recidiva, un’azione diretta a imporre l’astensione da tale pratica in futuro (...).

(...)

(3) È legittimato ad agire ai sensi del paragrafo 1:

1. qualsiasi concorrente che commercializzi o richieda beni o servizi su base non trascurabile e non occasionale,

(...)».

2. Legge sui medicinali

20. La circolazione dei medicinali è disciplinata dall’Arzneimittelgesetz (legge sui medicinali), del 24 agosto 1976, nella versione pubblicata il 12 dicembre 2005 (6), quale da ultimo modificata dall’articolo 8c della legge del 20 dicembre 2022 (7). Tale legge opera una distinzione tra i medicinali venduti in farmacia, di cui agli articoli da 43 (intitolato «Obbligo di distribuzione in farmacia») a 47, e quelli venduti su prescrizione, di cui all’articolo 48 (intitolato «Obbligo di prescrizione»).

III. Fatti di cui al procedimento principale, procedimento e questioni pregiudiziali

21. ND e DR gestiscono ciascuno una farmacia. Il ricorrente nel procedimento principale, ND, è inoltre titolare di un’autorizzazione alla vendita per corrispondenza e commercializza i suoi prodotti, compresi i medicinali la cui vendita è riservata alle farmacie, anche attraverso l’intermediazione di Amazon Marketplace (in prosieguo: «Amazon»), una piattaforma di commercio elettronico attraverso la quale i venditori possono proporre prodotti in vendita direttamente ai consumatori.

22. Il resistente nel procedimento principale, DR, ha promosso un’azione inibitoria per vietare a ND la commercializzazione sulla piattaforma di vendita online Amazon di medicinali la cui vendita è riservata alle farmacie. Secondo DR, una tale commercializzazione costituisce una pratica commerciale sleale nella misura in cui comporta una violazione, da parte di ND, di una disposizione di legge, ai sensi dell’articolo 3a della legge sulla concorrenza sleale, ossia, segnatamente, l’articolo 9 del RGPD relativo all’ottenimento del consenso preventivo ed esplicito del cliente al trattamento dei suoi dati personali relativi alla salute.

23. Il Landgericht Dessau-Roßlau (Tribunale del Land di Dessau-Roßlau, Germania) ha accolto tale azione. L’Oberlandesgericht Naumburg (Tribunale superiore del Land di Naumburg, Germania) ha successivamente respinto il ricorso in appello proposto da ND, dichiarando che la commercializzazione su Amazon da parte di ND di medicinali la cui vendita è riservata alle farmacie è contraria alla legge contro la concorrenza sleale. Infatti, secondo tale giudice, tale commercializzazione costituisce un trattamento di dati relativi alla salute, ai sensi dell’articolo 9, paragrafo 1, del RGPD, a cui i clienti non avrebbero espressamente acconsentito. Orbene, le disposizioni del RGPD dovrebbero essere considerate come norme di condotta sul mercato ai sensi del diritto nazionale della concorrenza, cosicché, in quanto concorrente, DR avrebbe il diritto di intentare un’azione inibitoria fondata sul diritto nazionale della concorrenza invocando una violazione da parte di ND delle disposizioni di tale regolamento.

24. ND ha presentato ricorso per cassazione dinanzi al Bundesgerichtshof (Corte federale di giustizia, Germania), con cui conferma la sua richiesta di rigetto dell’azione inibitoria.

25. Secondo il giudice del rinvio, l’esito del ricorso per cassazione dipende dall’interpretazione tanto del capo VIII del RGPD quanto dell’articolo 9 di tale regolamento, nonché dell’articolo 8, paragrafo 1, della direttiva 95/46.

26. Infatti, da un lato, tale giudice sottolinea che occorre stabilire se il ricorrente nel procedimento principale, in quanto concorrente, abbia la legittimazione ad agire, tramite ricorso dinanzi ai giudici civili, per violazioni del RGPD, nei confronti dell’autore delle stesse, sulla base del divieto delle pratiche commerciali sleali. Il giudice del rinvio precisa che si tratta di una questione controversa alla quale si può rispondere che le norme contenute nel RGPD volte a far applicare le sue disposizioni sono tassative, così escludendo la legittimazione ad agire dei concorrenti in base al diritto della concorrenza. Tuttavia, si può anche sostenere che le disposizioni del RGPD dirette al controllo dell’applicazione del diritto non sono tassative e che i concorrenti hanno quindi la legittimazione necessaria per far applicare, tramite ricorso, i diritti a un’azione inibitoria, invocando la violazione di tale regolamento.

27. Dall’altro lato, il giudice del rinvio sostiene che è necessario stabilire se i dati che i clienti sono tenuti a fornire, al momento dell’ordine online di medicinali la cui vendita è riservata ai farmacisti ma che non sono soggetti a prescrizione medica, costituiscano dati relativi alla salute, ai sensi dell’articolo 9, paragrafo 1, del RGPD e, in precedenza, dell’articolo 8, paragrafo 1, della direttiva 95/46, in quanto il diritto di ottenere un provvedimento inibitorio sussiste solo se il comportamento di ND era illecito sia al momento della sua adozione sia al momento dell’udienza di cassazione.

28. È in tale contesto che il Bundesgerichtshof (Corte federale di giustizia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se le disposizioni di cui al capo VIII del [RGPD] ostino a norme nazionali le quali – oltre ai poteri di intervento delle autorità di controllo preposte alla sorveglianza e all’attuazione del regolamento, e in aggiunta ai mezzi di ricorso a disposizione degli interessati – conferiscano ai concorrenti il potere di agire, in caso di violazioni [di detto regolamento], contro l’autore della violazione, proponendo un ricorso dinanzi ai giudici civili fondato sul divieto di pratiche commerciali sleali.

2) Se i dati che i clienti di un farmacista, che interviene in qualità di venditore su una piattaforma di vendite online, forniscono su tale piattaforma, quando ordinano medicinali la cui vendita sia effettivamente riservata alle farmacie ma che non sono tuttavia soggetti a prescrizione medica (nome del cliente, indirizzo di consegna e informazioni necessarie all’individuazione del medicinale ordinato la cui vendita è riservata alle farmacie), siano dati relativi alla salute ai sensi dell’articolo 9, paragrafo 1, del RGPD e dell’articolo 8, paragrafo 1, della direttiva 95/46».

29. La presente domanda di pronuncia pregiudiziale è pervenuta alla Corte il 19 gennaio 2023. Le parti nel procedimento principale, il governo tedesco e la Commissione europea hanno presentato osservazioni scritte. Le stesse parti erano rappresentate all’udienza che si è tenuta il 9 gennaio 2024.

IV. Analisi

30. Nella presente causa, DR sostiene che ND avrebbe violato l’articolo 9 del RGPD per aver trattato i dati dei clienti che hanno fatto un ordine online di medicinali non soggetti a prescrizione, senza conformarsi ai requisiti che impongono di ottenere il consenso esplicito dei clienti per il trattamento di tali dati.

31. Con la prima questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se le disposizioni del capo VIII del RGPD debbano essere interpretate nel senso che ostano a norme nazionali che conferiscono alle imprese il diritto di far valere, sulla base del divieto degli atti di concorrenza sleale, le violazioni delle disposizioni sostanziali del RGPD asseritamente commesse dai loro concorrenti. Nella seconda questione pregiudiziale, tale giudice chiede alla Corte se l’articolo 9 del RGPD debba essere interpretato nel senso che i dati di cui trattasi costituiscono dati relativi alla salute e rientrino pertanto nelle categorie particolari di dati menzionate in tale disposizione (8).

32. Innanzitutto, come ho già sottolineato, rilevo che, nell’ipotesi di una risposta negativa alla seconda questione, non sarebbe necessario rispondere alla prima, in quanto la risposta della Corte sarebbe sufficiente al giudice del rinvio per decidere la causa pendente dinanzi ad esso. Date tali circostanze, ritengo opportuno iniziare la mia analisi delle questioni pregiudiziali da tale seconda questione.

A. Sulla seconda questione pregiudiziale

33. Con la seconda questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se i dati dei clienti di un farmacista trasmessi al momento dell’ordine su una piattaforma di vendita online di medicinali, la cui vendita è riservata alle farmacie ma che non sono soggetti a prescrizione, costituiscano «dati relativi alla salute» ai sensi dell’articolo 9, paragrafo 1, del RGPD.

34. Occorre innanzitutto precisare che la nozione di «dati relativi alla salute» di cui all’articolo 9, paragrafo 1, del RGPD è definita all’articolo 4, punto 15, di tale regolamento. La risposta alla seconda questione pregiudiziale presuppone quindi un’interpretazione congiunta di tali due disposizioni.

1. Sull’interpretazione della nozione di «dati relativi alla salute» alla luce della giurisprudenza esistente

35. Ai sensi dell’articolo 4, punto 15, del RGPD, per «dati relativi alla salute» si intendono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

36. Tale definizione è inoltre supportata dal considerando 35 del RGPD. La Corte ha infatti sottolineato nella sua giurisprudenza che «secondo [tale considerando] nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che “rivelino” informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso» (9).

37. Dal testo dell’articolo 4, punto 15, del RGPD, come precisato dal considerando 35 di tale regolamento, emerge quindi che l’elemento determinante per stabilire che alcuni dati personali costituiscono dati relativi alla salute è il fatto che sia possibile trarre conclusioni sullo stato di salute dell’interessato dai dati in questione. In altri termini, i «dati relativi alla salute» non si limitano ai dati medici o a quelli direttamente connessi a problemi di salute, ma comprendono anche qualsiasi dato che consenta di trarre conclusioni sullo stato di salute dell’interessato, sia esso uno stato patologico o fisiologico.

38. Ciò è confermato alla luce dell’obiettivo perseguito all’articolo 9 del RGPD. Nella sua giurisprudenza la Corte ha infatti sottolineato che la finalità di tale disposizione è quella di garantire una protezione maggiore contro i trattamenti che, a causa della natura particolarmente sensibile dei dati che ne sono oggetto, possono costituire, come risulta dal considerando 51 del RGPD, un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (10).

39. La natura particolarmente sensibile dei dati relativi alla salute si spiega infatti con il fatto che si tratta di informazioni che appartengono alla sfera più intima delle persone e possono esporre le loro vulnerabilità. Tale particolare sensibilità e, di conseguenza, la loro particolare necessità di protezione sono del resto riconosciute non solo dal diritto dell’Unione, ma anche dalla giurisprudenza della Corte europea dei diritti dell’uomo, che sottolinea che «il rispetto della riservatezza delle informazioni relative alla salute costituisce un principio essenziale dell’ordinamento giuridico di tutte le parti contraenti della Convenzione [europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950]» (11).

40. Alla luce di tale obiettivo, occorre quindi, secondo la giurisprudenza della Corte, dare un’interpretazione estensiva alla nozione di «categorie particolari di dati personali», che comprende i dati relativi alla salute, in modo da riferirsi non solo a dati intrinsecamente sensibili, ma anche a dati che svelano indirettamente, al termine di un’operazione intellettuale di deduzione o di raffronto, informazioni di tale natura (12).

41. Al riguardo, rilevo che anche il comitato europeo per la protezione dei dati, istituito agli articoli 68 e seguenti del RGPD, adotta una tale concezione della nozione di «dati relativi alla salute», sottolineando che non è solo la natura intrinseca dell’informazione a determinare la sua qualificazione come «dati relativi alla salute», ma anche le circostanze che ne circondano la raccolta e il trattamento, e fornisce vari esempi al riguardo. Ad avviso di tale comitato, costituiscono quindi «dati relativi alla salute» le informazioni contenute in una cartella clinica, le informazioni che rivelano lo stato di salute sulla base di riferimenti incrociati ad altri dati, o i dati che diventano dati relativi alla salute a seguito del loro utilizzo in un contesto specifico, come le informazioni relative a un viaggio ed elaborate da un professionista sanitario per effettuare una diagnosi (13). Per contro, non costituiscono «dati relativi alla salute» i dati raccolti da un’applicazione che consente di misurare il numero di passi effettuati dall’interessato se tale applicazione non è in grado di collegare tali dati ad altri dati relativi a tale persona e nella misura in cui i dati raccolti non siano trattati in un contesto medico (14).

42. Dall’articolo 4, punto 15, e dall’articolo 9 del RGPD, come interpretati dalla giurisprudenza, emerge chiaramente che devono essere considerati «dati relativi alla salute», ai sensi di tali disposizioni, i dati da cui si possono trarre conclusioni quanto allo stato di salute dell’interessato.

43. Osservo quindi che, prima facie, non si può negare che l’ordine online di medicinali non soggetti a prescrizione comporti il trattamento di dati da cui si possono dedurre talune informazioni relative alla salute o che, quanto meno, fornisca talune indicazioni al riguardo, in quanto tale ordine implica un nesso tra l’acquisto di un medicinale – prodotto relativo alla salute per eccellenza – e l’identità del suo acquirente. Tuttavia, a mio avviso e per le ragioni che mi accingo ora ad esporre, dalle informazioni trasmesse alla Corte dal giudice del rinvio, tale nesso risulta troppo tenue e le indicazioni che se ne possono dedurre risultano troppo imprecise o ipotetiche perché i dati di cui trattasi possano essere qualificati come «dati relativi alla salute», ai sensi dell’articolo 4, punto 15, e dell’articolo 9 del RGPD.

2. Sul requisito di un certo grado di certezza quanto alle conclusioni che si possono trarre sullo stato di salute di un interessato

44. È necessario fare alcune precisazioni per quanto riguarda tale interpretazione della nozione, in particolare, di «dati relativi alla salute» e della nozione di «categoria particolare di dati» in generale.

45. Da un lato, mi sembra che, sulla base di tali elementi interpretativi, un prodotto ordinato online possa essere considerato in grado di rivelare informazioni generali sullo stato di salute di una persona, ma anche, come risulta dall’articolo 9 del RGPD, sulla sua origine razziale o etnica, sulle sue opinioni politiche, sulle sue convinzioni religiose o filosofiche o sul suo orientamento sessuale. A mio avviso, alcune informazioni relative a tali diversi elementi riguardanti l’interessato possono essere dedotte dai prodotti ordinati online.

46. Vi sono diversi esempi a sostegno della mia tesi. L’ordine di un libro su una personalità politica può potenzialmente indicare l’adesione alle idee da essa difese; l’ordine di un capo di abbigliamento può essere un segno delle convinzioni religiose di un individuo, o l’ordine di materiale erotico può costituire un’indicazione dell’orientamento sessuale della persona. A meno di non sottoporre gran parte del trattamento dei dati relativi al commercio online al regime previsto dall’articolo 9, paragrafo 2, del RGPD, mi sembra quindi necessario affinare piuttosto l’interpretazione della nozione di «dati relativi alla salute», nel senso che le conclusioni che si possono trarre dai dati relativi a un ordine non devono essere solo potenziali. In altri termini, a mio avviso, le informazioni rivelate dai dati in questione sullo stato di salute dell’interessato non possono essere semplici supposizioni, ma devono presentare un certo grado di certezza.

47. Dall’altro lato, sono del parere che, a parte i casi in cui i dati sono intrinsecamente «dati relativi alla salute», la questione della qualificazione o meno dei dati in tal senso dipende dalle circostanze di ciascun caso di specie. Più precisamente, le conclusioni che si possono trarre da tali dati mi sembrano dipendere dal contesto in cui essi vengono raccolti e dal trattamento che ne viene effettuato. Come sottolineato dal comitato europeo per la protezione dei dati istituito agli articoli 68 e seguenti del RGPD, i dati a prima vista estranei al settore medico, quali le informazioni relative a un viaggio, possono tuttavia essere considerati come «dati relativi alla salute» se analizzati in un contesto medico e combinati con altre informazioni, al fine di stabilire, nell’esempio citato, una potenziale contaminazione con un batterio o un virus presente in una determinata regione.

48. In particolare, sottolineo che l’identità del titolare del trattamento dei dati è un elemento particolarmente rilevante al riguardo. Infatti, nel caso in cui i dati sono trattati da un organo del settore sanitario, mi sembra che ciò possa costituire un’indicazione del fatto che tali dati sono effettivamente «dati relativi alla salute». Per contro, gli stessi dati potrebbero essere qualificati diversamente per il fatto di non essere trattati da un ente del settore sanitario e di non poter essere collegati ad altri dati relativi all’interessato. In altri termini, il medesimo dato può rivelare più informazioni sullo stato di salute di una persona quando è trattato da un’istituzione del settore sanitario titolare di competenze per interpretarli o che dispone di altri dati che riguardano la persona rispetto a quando tale dato è trattato da un organo estraneo a tale settore.

49. Date tali circostanze, ritengo che spetti al giudice del rinvio effettuare un esame tanto del contenuto dei dati in questione quanto dell’insieme delle circostanze relative al loro trattamento, al fine di stabilire se da essi si possano trarre, con un certo grado di certezza, informazioni relative allo stato di salute dell’interessato.

50. Tuttavia, alla luce degli elementi contenuti nella decisione del giudice del rinvio, mi sembra si possano fornire precisazioni dirette a guidarlo nella decisione sul procedimento principale (15).

3. Sugli elementi rilevanti per l’esame, da parte del giudice del rinvio, della possibilità di dedurre informazioni sullo stato di salute dell’interessato

51. In primo luogo, per quanto concerne i prodotti oggetto dell’ordine, sottolineo che i medicinali in questione, cioè medicinali non soggetti a prescrizione, non sono in linea di principio destinati al trattamento di uno stato particolare, ma possono essere utilizzati più in generale per curare disturbi del quotidiano che possono essere riscontrati da ognuno e che non sono sintomatici di una patologia o di un particolare stato di salute. Inoltre, tali medicinali sono spesso acquistati anche a titolo preventivo, per averli a disposizione in caso di necessità o prima di un viaggio lontano dal luogo di residenza abituale, ad esempio. A titolo esemplificativo, un ordine di paracetamolo non permette di dedurre alcunché quanto allo stato esatto di una persona, essendo tale molecola indicata per il trattamento di diversi dolori e stati febbrili e rientrando spesso tra i medicinali di cui le persone dispongono nella propria abitazione, a prescindere da ogni particolare necessità.

52. In secondo luogo, come sottolinea ND, il fatto che una persona ordini online un medicinale non soggetto a prescrizione non implica necessariamente che tale persona, i cui dati sono trattati, ne sarà l’utilizzatore, piuttosto che un’altra persona del suo nucleo familiare o della sua cerchia. Infatti, è frequente che un ordine su un sito di vendita online venga effettuato da una persona titolare di un account su tale sito in nome e per conto di una persona che non ne ha uno. In assenza di prescrizione che indichi nominalmente la persona cui è destinato il medicinale e sulla cui base si deve presumere che l’utilizzatore del medicinale e l’acquirente siano la stessa persona, non si può dedurre dall’ordine di un prodotto liberamente accessibile online che tale prodotto sia destinato all’utilizzo da parte dell’acquirente, e solo da parte dell’acquirente. Di conseguenza, da tali dati non è legittimo trarre alcuna conclusione sullo stato di salute della persona i cui dati sono trattati, in modo da poterli qualificare come «dati relativi alla salute».

53. Ciò è tanto più vero in quanto, in terzo luogo, e fatte salve le verifiche di competenza del giudice del rinvio, una persona può effettuare un ordine via Internet senza che sia necessario fornire dati precisi sulla sua identità, in particolare quando la consegna del prodotto non avviene all’indirizzo dell’interessato ma tramite un punto di consegna, e quando non sono richiesti altri dati relativi all’identità civile ai fini della fatturazione.

54. Ritengo pertanto che occorra rispondere alla seconda questione pregiudiziale nel senso che i dati dei clienti di un farmacista trasmessi al momento dell’ordine su una piattaforma di vendita online di medicinali, la cui vendita è riservata alle farmacie ma che non sono soggetti a prescrizione, non costituiscono «dati relativi alla salute» ai sensi dell’articolo 4, punto 15, e dell’articolo 9 del RGPD, in quanto da essi si possono trarre solo conclusioni ipotetiche o imprecise sullo stato di salute della persona che effettua l’ordine online, la cui verifica spetta al giudice del rinvio.

55. Per il resto, occorre anche precisare che, a mio avviso, interpretare la nozione di «dati relativi alla salute» come comprensiva dei dati trasmessi al momento dell’ordine su una piattaforma di vendita online di medicinali la cui vendita è riservata alle farmacie ma che non sono soggetti a prescrizione, può, paradossalmente, portare a rivelare maggiori informazioni sensibili in considerazione del regime di protezione rafforzata previsto dall’articolo 9, paragrafo 2, del RGPD. Infatti, la richiesta di un consenso esplicito per il trattamento di dati già identificati come sensibili potrebbe in ultima analisi spingere l’acquirente a rivelare l’identità dell’utilizzatore finale del prodotto. In tal caso, si potrebbero trarre conclusioni più precise sullo stato di salute di tale persona.

B. Sulla prima questione pregiudiziale

56. Alla luce della risposta che propongo di dare alla seconda questione pregiudiziale, non ritengo necessario rispondere alla prima questione pregiudiziale. Per completezza e tenuto conto della valutazione che spetterà al giudice del rinvio, analizzerò tuttavia tale questione, con la quale il giudice del rinvio chiede, in sostanza, se le disposizioni del capo VIII del RGPD debbano essere interpretate nel senso che esse ostano a norme nazionali che riconoscono alle imprese il diritto di far valere, sulla base del divieto degli atti di concorrenza sleale, le violazioni delle disposizioni sostanziali di tale regolamento asseritamente commesse dai loro concorrenti.

57. Le parti hanno fornito risposte diametralmente opposte a tale questione. Da un lato, secondo la Commissione e DN, il sistema dei mezzi di ricorso introdotto dalle disposizioni del capo VIII del RGPD, interpretato alla luce degli obiettivi di tale regolamento, deve essere concepito come un sistema esaustivo, che esclude qualsiasi possibilità per gli Stati membri di prevedere mezzi di ricorso alternativi nel diritto nazionale.

58. Dall’altro lato, secondo il governo tedesco, il sistema dei mezzi di ricorso introdotto dalle disposizioni del capo VIII del RGPD deve essere concepito come un insieme minimo di mezzi di ricorso integrabile dagli Stati membri. La natura non esaustiva di un tale sistema sarebbe giustificata dal fatto che il RGPD ha anche l’obiettivo di proteggere le condizioni di concorrenza e di impedire le distorsioni che potrebbero derivare da differenze nel livello di protezione dei dati, e dal fatto che la possibilità per un concorrente di lamentare la violazione da parte di un altro concorrente delle disposizioni sostanziali di tale regolamento rafforzerebbe il carattere operativo di quest’ultimo.

59. Le parti hanno quindi articolato le loro osservazioni intorno alla questione se il sistema di mezzi di ricorso previsto dal RGPD dovesse essere concepito come un sistema di armonizzazione esaustiva, il che inciderebbe, a loro avviso, sulla possibilità per gli Stati membri di prevedere nel loro diritto nazionale mezzi di ricorso alternativi a quelli stabiliti da tale regolamento.

60. Tuttavia, se la decisione sulla natura o meno esaustiva del sistema dei mezzi di ricorso è un elemento rilevante per fornire una risposta utile alla prima questione pregiudiziale, mi sembra, per le ragioni che esporrò, che una tale analisi richieda innanzitutto l’esame della questione di fondo dell’identificazione dei soggetti che godono della protezione offerta dalle norme, sia sostanziali che procedurali, del RGPD. Infatti, nell’ipotesi in cui le imprese titolari del trattamento dei dati dovessero essere considerate titolari di diritti attribuiti dal RGPD, tale regolamento dovrebbe, a mio parere, essere interpretato nel senso di imporre al diritto nazionale di predisporre mezzi di ricorso volti a far valere tali diritti. Inizierò quindi la mia analisi da tale punto, prima di rispondere alla questione se il sistema dei mezzi di ricorso introdotto dal RGPD debba essere concepito come un sistema esaustivo, nel senso che esclude la possibilità, prevista dal diritto nazionale, per un’impresa di intentare un’azione inibitoria, promossa sulla base del divieto degli atti di concorrenza sleale, nei confronti di un concorrente facendo valere la violazione da parte di quest’ultimo delle disposizioni di tale regolamento.

1. Identificazione dei titolari dei diritti attribuiti dal RGPD

61. Mi accingerò, innanzitutto, a precisare la necessità di una tale identificazione, poi procedendovi, e infine esporrò le implicazioni dell’identificazione degli interessati come unici beneficiari dei diritti attribuiti dal RGPD in relazione alla risposta alla prima questione pregiudiziale.

a) Sulla necessità di individuare i titolari dei diritti protetti dal RGPD

62. La necessità, per rispondere alla questione pregiudiziale, di identificare innanzitutto i titolari dei diritti protetti dal RGPD prima di trattare la questione del carattere esaustivo del sistema dei mezzi di ricorso istituito da tale regolamento si spiega, a mio avviso, in due modi.

1) L’obbligo degli Stati membri di prevedere ricorsi diretti a far valere un diritto previsto dal diritto dell’Unione

63. Osservo che è giurisprudenza consolidata che il diritto dell’Unione, nello stesso modo in cui impone obblighi ai singoli, è altresì volto a creare diritti che entrano a far parte del loro patrimonio giuridico (16), la Corte sottolineando a tal proposito che tali diritti sorgono in particolare in relazione degli obblighi imposti sia ai singoli sia agli Stati membri e alle istituzioni dell’Unione (17). Infatti, qualsiasi obbligo imposto a una persona fisica o giuridica ha, come regola generale, l’effetto corrispondente di attribuire un diritto a beneficio di un’altra persona.

64. Inoltre, è pacifico che qualsiasi diritto conferito a un singolo dal diritto dell’Unione implica anche l’esistenza di un mezzo di ricorso volto precisamente a far valere tale diritto, fermo restando che, in assenza di norme specifiche del diritto dell’Unione in tal senso, spetta agli Stati membri garantire il rispetto dei diritti in questione nell’ambito di un ricorso di diritto interno (18). Infatti, dalla giurisprudenza emerge chiaramente che è compito dei giudici nazionali tutelare i diritti attribuiti ai singoli dalle disposizioni del diritto dell’Unione (19).

65. Se, come sostiene il governo tedesco, il RGPD dovesse essere interpretato nel senso che protegge, oltre agli interessati, anche le condizioni di concorrenza sul mercato e, quindi, in ultima analisi, le imprese, tale regolamento dovrebbe essere considerato come fonte di diritti che entrano a far parte del patrimonio giuridico di queste ultime (20).

66. In tal caso, in assenza di disposizioni esplicite in tal senso nel diritto dell’Unione, il rispetto dei diritti che le imprese trarrebbero dal RGPD dovrebbe poter essere garantito in base ai ricorsi previsti dagli Stati membri.

67. Ne conseguirebbe che, senza che occorra trattare la questione della natura o meno esaustiva del sistema dei mezzi di ricorso istituito dal RGPD, si dovrebbe rispondere alla prima questione pregiudiziale nel senso che il capo VIII di tale regolamento deve essere interpretato non nel senso che esso non osta a che gli Stati membri possano prevedere la possibilità per un concorrente di proporre un’azione nei confronti di un’altra impresa facendo valere una violazione di detto regolamento, ma, finanche, nel senso che esso impone che l’osservanza delle sue disposizioni possa essere garantita nell’ambito di un’azione promossa da un’impresa nei confronti di un concorrente invocando la loro violazione da parte di quest’ultimo (21).

68. A mio avviso, la risposta alla prima questione pregiudiziale dipende quindi effettivamente dall’identificazione dei titolari dei diritti conferiti dal RGPD.

2) La doppia accezione dell’esaustività di un sistema di mezzi di ricorso

69. La nozione stessa di «esaustività di un sistema di mezzi di ricorso» può avere due diverse accezioni, il che comporta un’analisi distinta e richiede la previa identificazione delle persone titolari dei diritti il cui rispetto è garantito da un tale sistema.

70. La prima accezione riguarda il carattere esaustivo del sistema dei mezzi di ricorso rispetto a qualsiasi altro ricorso diretto alla tutela dello stesso diritto. In altri termini, si tratta dell’esaustività dei ricorsi previsti dal diritto dell’Unione per la tutela dei diritti che le sue norme conferiscono ai singoli. La Corte si è già pronunciata, nella sua giurisprudenza, sulle implicazioni della natura esaustiva dei ricorsi previsti dal diritto dell’Unione per la tutela di un diritto a sua volta previsto dal diritto dell’Unione. A titolo esemplificativo, essa ha quindi costantemente dichiarato che un regime di responsabilità esaustivamente armonizzato dal diritto dell’Unione può tuttavia coesistere con un regime alternativo di responsabilità previsto dal diritto nazionale basato sugli stessi fatti e sullo stesso fondamento, a condizione che tale regime alternativo non pregiudichi il regime armonizzato e non ne comprometta gli obiettivi e l’effetto utile (22). Il mero carattere esaustivo di un sistema di mezzi di ricorso previsto dal diritto dell’Unione non è dunque sufficiente a escludere la possibilità per uno Stato membro di prevedere nel diritto nazionale un ricorso alternativo basato sullo stesso diritto, purché siano soddisfatte determinate condizioni.

71. La seconda accezione della nozione di «esaustività di un sistema di mezzi di ricorso» previsto dal diritto dell’Unione è più ampia e si riferisce all’esaustività rispetto a qualsiasi altro ricorso proposto da persone che non sono direttamente titolari di diritti conferiti dal diritto dell’Unione, ma che tuttavia se ne avvalgono nel contesto di un ricorso previsto dal diritto nazionale. Una tale concezione dell’esaustività di un sistema di ricorso istituito dal diritto dell’Unione richiede pertanto un’analisi differente (23).

72. Ancora una volta, quindi, al fine di effettuare un’analisi pertinente dell’eventuale natura esaustiva del sistema dei mezzi di ricorso previsto dal RGPD, occorre individuare preventivamente i titolari dei diritti attribuiti da tale regolamento, cosa che mi accingerò a fare nelle considerazioni seguenti.

b) Sull’identificazione dei titolari dei diritti protetti dal RGPD

73. L’ambito di applicazione ratione personae della protezione offerta dal RGPD deve, a mio avviso, essere determinato alla luce sia degli obiettivi che del contenuto di tale regolamento.

74. Per quanto riguarda, innanzitutto, gli obiettivi del RGPD, il governo tedesco sostiene al riguardo che, oltre all’obiettivo di garantire un livello elevato e coerente di protezione delle persone fisiche, tale regolamento mira anche a stabilire pari condizioni di concorrenza.

75. Invero, il considerando 9 del RGPD fa riferimento al fatto che le differenze nella tutela del diritto alla protezione dei dati personali in relazione al loro trattamento possono falsare la concorrenza. Tuttavia, a mio avviso, una tale precisazione non può essere interpretata nel senso di rendere la garanzia di una concorrenza libera e non falsata un obiettivo del RGPD. Il fatto che disparità tra le legislazioni degli Stati membri relativamente a norme vincolanti per le imprese comportino distorsioni della concorrenza mi sembra una mera constatazione, che non è specifica del RGPD. La circostanza che il comportamento delle imprese sul mercato sia disciplinato da disposizioni materiali più rigorose in uno Stato membro rispetto a un altro non implica necessariamente un particolare vantaggio concorrenziale per le imprese attive in quest’ultimo rispetto a quelle aventi sede nel primo, vantaggio a cui qualsiasi testo di armonizzazione può porre rimedio.

76. Una tale interpretazione mi sembra confermata dal riferimento, al considerando 9 del RGPD, alla necessità di garantire «la libera circolazione dei dati personali all’interno dell’Unione», potenzialmente minacciata a causa della disparità dei contesti normativi nazionali.

77. Inoltre, come ha sottolineato la Commissione in udienza, il considerando 9 del RGPD non riguarda la concorrenza esistente tra imprese, ma, in primo luogo, la concorrenza tra le imprese di due Stati membri diversi, derivante da contesti normativi diversi. In altri termini, si tratta essenzialmente di garantire pari condizioni di concorrenza nei vari Stati membri sottoponendo le imprese a norme armonizzate, anche se tali norme contribuiscono incidentalmente a far sì che nessuna impresa goda di un vantaggio concorrenziale rispetto ad altre imprese all’interno dello stesso Stato membro.

78. Pertanto, mio avviso il RGPD non ha l’obiettivo di garantire una concorrenza libera e non falsata nel mercato interno.

79. Inoltre, rilevo che nessuna delle disposizioni sostanziali del RGPD mira a garantire una concorrenza libera e non falsata tra le imprese e a renderle destinatarie della protezione introdotta da tale regolamento. Al contrario, esse mirano essenzialmente a imporre obblighi alle imprese titolari del trattamento dei dati. Ancorché sia vero, come ho menzionato, che qualsiasi obbligo imposto a una persona fisica o giuridica ha necessariamente l’effetto corrispondente di attribuire un diritto a un’altra persona, i soli beneficiari dei diritti in questione non sono le imprese, ma le persone i cui dati sono trattati da queste ultime. Al riguardo, il titolo del RGPD è evocativo in quanto si riferisce esclusivamente alla protezione delle persone fisiche.

80. Infine, per quanto riguarda le disposizioni procedurali del capo VIII del RGPD, sottolineo, come ho già rilevato, che esse aprono alla possibilità di ricorso solo per gli interessati e per i soggetti incaricati di rappresentarli. Tale limitazione dei soggetti che possono, ai sensi delle disposizioni del RGPD, agire in giudizio invocando una violazione della protezione dei loro dati personali mi sembra indicare chiaramente che essi sono gli unici beneficiari di tale protezione. Infatti, a mio avviso, sarebbe incoerente fare del RGPD anche uno strumento di tutela dei diritti dei concorrenti senza che tale regolamento preveda alcun rimedio per consentire a questi ultimi di proporre ricorso contro una violazione di tali diritti, anche se ricorsi del genere sono espressamente previsti in relazione alla tutela dei diritti degli interessati.

81. Ritengo pertanto che le imprese non siano destinatarie della protezione prevista dal RGPD, in quanto tale regolamento conferisce diritti solo agli interessati.

c) Sulle implicazioni dell’interpretazione del RGPD in quanto norma di protezione dei soli interessati

82. L’interpretazione del RGPD, secondo la quale le disposizioni di tale regolamento non conferiscono diritti alle imprese ma solo agli interessati, mi porta a una serie di conclusioni.

83. In primo luogo, come ho già esposto, a mio avviso tale interpretazione esclude la possibilità di ritenere che il rispetto delle disposizioni del RGPD debba poter essere garantito nell’ambito di un’azione intentata da un’impresa nei confronti di un concorrente invocando la loro violazione da parte di quest’ultimo.

84. In secondo luogo, poiché la cerchia dei beneficiari dei diritti attribuiti dal RGPD è limitata ai soli interessati, la giurisprudenza della Corte relativa alla possibilità per gli Stati membri di prevedere, nel diritto nazionale, ulteriori ricorsi destinati ai titolari di tali diritti, a condizione che tali ricorsi non pregiudichino il sistema armonizzato dei mezzi di ricorso e che non compromettano i suoi obiettivi (24), non mi sembra direttamente applicabile alla situazione di cui trattasi. Tuttavia, come dimostrerò, la giurisprudenza in materia può servire come base per analizzare tale situazione.

85. Infatti, in base a tale accezione della nozione di «esaustività di un sistema dei mezzi di ricorso», è essenziale stabilire se il sistema dei mezzi di ricorso introdotto dal RGPD debba essere inteso come un sistema esaustivo nel senso che esso osta all’accesso, per gli interessati, ad altri mezzi di ricorso nel diritto nazionale, rispetto a quelli previsti da tale regolamento.

86. Orbene, la causa di cui al procedimento principale verte su un ricorso proposto da un’impresa che non rientra tra i titolari dei diritti attribuiti dal RGPD.

87. Ciò detto, dato che il RGPD non conferisce alcun diritto alle imprese e ai loro concorrenti, l’unica questione rilevante è se il sistema dei mezzi di ricorso istituito dal RGPD debba essere inteso come un sistema esaustivo, nel senso che tale regolamento osta anche a che le imprese facciano valere una violazione delle sue disposizioni nell’ambito di un ricorso previsto dal diritto nazionale, cosa che mi accingerò ora a precisare.

2. La possibilità di ricorsi fondati sul diritto nazionale proposti da persone non titolari dei diritti attribuiti dal RGPD

88. La questione se le disposizioni relative al sistema dei mezzi di ricorso previsto dal RGPD ostino a che le imprese facciano valere una violazione delle disposizioni di tale regolamento nell’ambito dei ricorsi previsti dal diritto nazionale, mi sembra richieda una risposta in due fasi.

89. Infatti, la risposta a tale questione presuppone l’esame, da un lato, della possibilità per le imprese di invocare le disposizioni del RGPD pur non essendo titolari dei diritti da esse attribuiti, e, dall’altro, delle condizioni di interazione di tali ricorsi con il sistema dei mezzi di ricorso previsto da tale regolamento.

90. Per quanto riguarda, in primo luogo, la possibilità per le imprese di invocare le disposizioni del RGPD, rilevo che, nell’ambito dei ricorsi fondati sul diritto nazionale quale quello di cui trattasi nella causa di cui al procedimento principale, questa è solo incidentale. Più precisamente, l’impresa propone un ricorso sulla base del diritto nazionale, vale a dire il divieto degli atti di concorrenza sleale. La natura sleale dell’atto in questione deriverebbe quindi da una violazione del RGPD. In altri termini, il ricorso non si basa sulla violazione delle disposizioni del RGPD, ma tiene conto di una tale violazione in via incidentale (25).

91. Orbene, una tale considerazione incidentale è già stata ammessa dalla Corte, in un contesto certamente diverso. Infatti, nella sentenza Meta Platforms e a. (Condizioni generali di utilizzo di un social network), la Corte ha dichiarato che «la non conformità [al RGPD] di un trattamento di dati effettuato da un’impresa in posizione dominante [è] tale da costituire un abuso di tale posizione» (26) e, in generale, è necessario includere «le norme in materia di protezione dei dati personali [nel] contesto giuridico che le autorità garanti della concorrenza devono prendere in considerazione in sede di esame di un abuso di posizione dominante» (27). In altri termini, la Corte ammette la configurazione di una violazione del diritto della concorrenza a causa di una violazione delle disposizioni del RGPD.

92. Se tale constatazione è stata fatta non nell’ambito di una controversia tra privati, ma nel contesto dell’esame di una pratica anticoncorrenziale da parte di un’autorità nazionale garante della concorrenza, non vedo perché limitare solo a tale ipotesi la possibilità di tener conto in via incidentale della violazione delle disposizioni del RGPD.

93. Infatti, da un lato, per quanto riguarda il diritto della concorrenza, una volta ammessa una tale presa in considerazione in materia di public enforcement, mi sembra necessario renderla possibile anche nell’ambito del private enforcement e, quindi, nel caso di controversie tra singoli non fondate principalmente sulla violazione di un diritto attribuito dal RGPD, a meno che non si ammetta che i singoli non possano ottenere un risarcimento per i danni causati da una violazione del diritto della concorrenza per quanto accertata da un’autorità garante della concorrenza.

94. Dall’altro lato, come ha rilevato l’avvocato generale Richard de la Tour, la protezione dei dati personali può avere «ramificazioni (...) in altri settori concernenti, segnatamente, il diritto del lavoro, il diritto della concorrenza o, ancora, la normativa in materia di tutela dei consumatori» (28). Tale influenza del RGPD in altri settori mi sembra debba portare ad ammettere la presa in considerazione delle disposizioni di tale regolamento nel contesto di ricorsi fondati principalmente su disposizioni ad esso estranee.

95. Per quanto riguarda, in secondo luogo, la questione dell’interazione dei ricorsi nazionali che comportano la considerazione incidentale delle disposizioni del RGPD con il sistema dei mezzi di ricorso istituito da tale regolamento, a mio avviso siffatti ricorsi dovrebbero essere ammessi solo a condizione che non pregiudichino il sistema dei mezzi di ricorso di cui a detto regolamento o la realizzazione dei suoi obiettivi.

96. Tali requisiti sono stati elaborati nella giurisprudenza relativa all’esaustività di un sistema armonizzato di mezzi di ricorso rispetto a ricorsi nazionali fondati sul medesimo diritto (29). Mi sembra quindi che essi debbano a fortiori essere soddisfatti quando sono in gioco norme nazionali che riconoscono alle imprese il diritto di proporre ricorso non sulla base dello stesso diritto, ma sulla base del diritto nazionale, facendo tuttavia valere violazioni delle disposizioni sostanziali del RGPD asseritamente commesse da un’altra impresa.

97. Occorre quindi verificare se tali requisiti siano soddisfatti nel caso di specie.

98. Innanzitutto, per quanto riguarda la questione se un’azione inibitoria promossa da un’impresa nei confronti di un concorrente, asserendo che quest’ultimo ha violato le disposizioni del RGPD, sia pregiudizievole per il sistema dei mezzi di ricorso previsto dal capo VIII di tale regolamento, sono del parere che non sia così. Infatti, tali mezzi di ricorso consentono agli interessati, o a organismi, organizzazioni o associazioni senza scopo di lucro da essi incaricati, di proporre reclamo a un’autorità di controllo (articolo 77), di presentare ricorso contro una decisione di un’autorità di controllo (articolo 78), di intentare un’azione nei confronti di un titolare del trattamento o un responsabile del trattamento (articolo 79) o di ottenere dal titolare del trattamento o dal responsabile del trattamento il risarcimento del danno causato da una violazione del regolamento (articolo 82).

99. In altri termini, come sottolinea la Corte nella sua giurisprudenza, il capo VIII del RGPD «disciplina (...) i mezzi di ricorso che permettono di tutelare i diritti dell’interessato qualora i dati personali che lo riguardano siano stati oggetto di un trattamento asseritamente contrario alle disposizioni del regolamento stesso», la tutela di tali diritti potendo «essere reclamata o direttamente dall’interessato, oppure da un ente legittimato, in presenza o in assenza di un mandato a tal fine» (30).

100. Ciò detto, il ricorso che un’impresa potrebbe proporre nei confronti di un concorrente invocando una violazione del RGPD da parte di quest’ultimo si basa sì, in ultima analisi, su una violazione di una medesima disposizione, ma non persegue lo stesso obiettivo e non mette in opposizione le medesime parti. In altri termini, un tale ricorso previsto dal diritto nazionale non è concepito per garantire il rispetto dei diritti di cui sono destinatari gli interessati.

101. Ne consegue, a mio avviso, che i ricorsi accessibili agli interessati nell’ambito del sistema dei mezzi di ricorso introdotto dal RGPD sono preservati e sono sempre esercitabili, anche nell’ipotesi in cui un’impresa agisca nei confronti di un concorrente.

102. Al riguardo, devo anche precisare che non vedo in che misura, come sostiene la Commissione, siffatti ricorsi possano compromettere il sistema pubblico di controllo dell’applicazione del diritto istituito dal RGPD, poiché tale regolamento prevede già espressamente, accanto a un tale sistema pubblico, la possibilità per un interessato di far valere i diritti che gli derivano dal RGPD nell’ambito di un procedimento giudiziario.

103. Per quanto riguarda, poi, gli obiettivi perseguiti dal RGPD, dal considerando 10 si evince che tale regolamento mira, in particolare, a garantire tanto un livello elevato di protezione delle persone fisiche quanto un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali.

104. Il raggiungimento di nessuno di tali obiettivi mi sembra minacciato dalla possibilità offerta a un’impresa di intentare un’azione inibitoria, introdotta sulla base del divieto degli atti di concorrenza sleale, nei confronti di un concorrente lamentando la violazione da parte di quest’ultimo delle disposizioni del RGPD. Da un lato, l’elevato livello di protezione delle persone fisiche per quanto riguarda il trattamento dei loro dati personali mi sembra raggiunto, o addirittura rafforzato, grazie alla possibilità estesa a un’impresa di invocare la violazione delle disposizioni sostanziali del RGPD da parte di un concorrente. Dall’altro lato, una più ampia invocabilità di tali disposizioni, da parte di persone diverse dai soli interessati, non pregiudica la realizzazione dell’obiettivo di una protezione coerente e omogenea all’interno dell’Unione. Infatti, anche se alcuni Stati membri non prevedessero una tale possibilità, non ne deriverebbe comunque una frammentazione dell’attuazione della protezione dei dati all’interno dell’Unione, essendo le disposizioni sostanziali del RGPD parimenti vincolanti per tutte le imprese e la loro osservanza essendo garantita dai mezzi di ricorso previsti da tale regolamento.

105. Infine, per quanto riguarda l’effetto utile del RGPD, lungi dall’essere messo in discussione dalla possibilità offerta a un’impresa di intentare un’azione inibitoria nei confronti di un concorrente sulla base di una violazione del RGPD, esso mi sembra, come ho già esposto, rafforzato dal fatto che il rispetto delle disposizioni di tale regolamento possa essere garantito anche nell’ambito di procedimenti giudiziari distinti da quelli previsti dal sistema dei mezzi di ricorso introdotto da tale regolamento.

106. Ciò detto, ritengo che un’azione inibitoria promossa da un’impresa nei confronti di un concorrente invocando una violazione delle disposizioni del RGPD da parte di quest’ultimo possa coesistere con i mezzi di ricorso introdotti al capo VIII del RGPD, in quanto non li pregiudica né compromette gli obiettivi e l’effetto utile di tale regolamento.

107. Pertanto, propongo alla Corte di dichiarare che le disposizioni del capo VIII del RGPD non ostano a norme nazionali che riconoscono alle imprese il diritto di far valere, sulla base del divieto degli atti di concorrenza sleale, le violazioni delle disposizioni sostanziali di tale regolamento asseritamente commesse dai loro concorrenti.

V. Conclusione

108. Alla luce di tutte le considerazioni che precedono, propongo di rispondere come segue alle questioni pregiudiziali sollevate dal Bundesgerichtshof (Corte federale di giustizia, Germania):

L’articolo 4, punto 15, e l’articolo 9, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) deve essere interpretato nel senso che:

i dati dei clienti di un farmacista trasmessi al momento dell’ordine su una piattaforma di vendita online di medicinali, la cui vendita è riservata alle farmacie ma che non sono soggetti a prescrizione, non costituiscono «dati relativi alla salute».

1 Lingua originale: il francese.

2 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).

3 Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

4 Direttiva del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (GU 2011, L 88, pag. 45).

5 BGBl. 2004 I, pag. 1414.

6 BGBl. 2005 I, pag. 3394.

7 BGBl. 2022 I, pag. 2793.

8 Al riguardo, vorrei sottolineare che il giudice del rinvio interroga la Corte anche sulla nozione di «dati relativi alla salute» ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46. Tuttavia, ritengo che non si debbano operare distinzioni tra tale disposizione e l’articolo 9, paragrafo 1, del RGPD in quanto tali disposizioni devono essere considerate avere una portata simile ai fini dell’interpretazione che la Corte è chiamata a fornire nell’ambito della presente causa. V., al riguardo, sentenza del 1º agosto 2022, Vyriausioji tarnybines etikos komisija (C-184/20, EU:C:2022:601, punto 58). Pertanto, nella mia analisi farò riferimento esclusivamente all’articolo 9, paragrafo 1, del RGPD, applicandosi essa anche all’articolo 8, paragrafo 1, della direttiva 95/46.

9 Sentenza del 1º agosto 2022, Vyriausioji tarnybines etikos komisija (C-184/20, EU:C:2022:601, punto 124).

10 Sentenza del 1º agosto 2022, Vyriausioji tarnybines etikos komisija (C-184/20, EU:C:2022:601, punto 126).

11 Corte EDU, 25 febbraio 1997, Z c. Finlandia (EC:ECHR:1997:0225 JUD002200993, punto 95). La Corte europea dei diritti dell’uomo sottolinea inoltre che la protezione maggiore dei dati sanitari è «fondamentale non solo per proteggere la vita privata dei pazienti, ma anche per preservare la loro fiducia nella professione medica e nei servizi sanitari in generale».

12 Sentenza del 1º agosto 2022, Vyriausioji tarnybines etikos komisija (C-184/20, EU:C:2022:601, punto 123).

13 Linee-guida 03/2020 del comitato europeo per la protezione dei dati sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19, pag. 4.

14 V. Bygrave, L.A., e Tosoni, L., «Article 4(15)», The EU General Data Protection Regulation (GDPR), a Commentary, Kuner, C., Bygrave, L.A., and Docksey, C., (a cura di), Oxford University Press, 2020, pag. 222.

15 Sentenza del 24 febbraio 2022, Glavna direktsia «Pozharna bezopasnost i zashtita na naselenieto» (C-262/20, EU:C:2022:117, punto 71).

16 Sentenze del 19 novembre 1991, Francovich e a. (C-6/90 e C-9/90, EU:C:1991:428, punto 31), nonché del 20 settembre 2001, Courage e Crehan (C-453/99, EU:C:2001:465, punto 19).

17 Sentenza del 20 settembre 2001, Courage e Crehan (C-453/99, EU:C:2001:465, punto 19).

18 V., al riguardo, Van Gerven, W., «Of Rights, Remedies and Procedures», Common Market Law Review, vol. 37, n. 3, 2000, pagg. da 501 a 536.

19 Sentenza del 20 settembre 2001, Courage e Crehan (C-453/99, EU:C:2001:465, punto 25).

20 Sentenze del 19 novembre 1991, Francovich e a. (C-6/90 e C-9/90, EU:C:1991:428, punto 31), nonché del 20 settembre 2001, Courage e Crehan (C-453/99, EU:C:2001:465, punto 19).

21 Una soluzione simile è già stata adottata dalla Corte in relazione, segnatamente, al regolamento (CEE) n. 1035/72 del Consiglio, del 18 maggio 1972, relativo all’organizzazione comune dei mercati nel settore degli ortofrutticoli (GU 1972, L 118, pag. 1). Essa si basava esclusivamente sul fatto che tale testo era diretto anche a garantire la lealtà degli scambi e la trasparenza dei mercati, in modo che un’azione civile intentata da un’impresa nei confronti di un concorrente allo scopo di costringerlo a rispettare gli obblighi previsti da tale regolamento rafforzava il carattere operativo della normativa comunitaria. In altri termini, il regolamento n. 1035/72 era interpretato nel senso di imporre alle imprese di rispettare le norme dell’organizzazione comune dei mercati, affinché esse beneficiassero di relazioni commerciali basate sulla concorrenza leale, e le rendeva quindi beneficiarie dei diritti derivanti dagli obblighi imposti ad esse stesse. V. sentenza del 17 settembre 2002, Muñoz e Superior Fruiticola (C-253/00 (EU:C:2002:497, punti 29 e 31).

22 Sentenze del 21 dicembre 2011, Dutrueux (C-495/10, EU:C:2011:869, punti 29 e 30), e del 16 marzo 2023, Beobank (C-351/21, EU:C:2023:215, punto 38).

23 Tale duplice accezione dell’esaustività di un sistema dei mezzi di ricorso che dipende dall’identificazione dei titolari di un diritto derivante dal diritto dell’Unione mi sembra trasparire, nella giurisprudenza della Corte, dalla sentenza del 2 settembre 2021, CRCAM (C-337/20, EU:C:2021:671). In tale sentenza, la Corte ha esaminato la compatibilità con la direttiva 2007/64/CE del Parlamento europeo e del Consiglio, del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE e 2006/48/CE, che abroga la direttiva 97/5/CE (GU 2007, L 319, pag. 1, e rettifica GU 2009, L 187, pag. 5) di un regime nazionale di responsabilità che consenta al fideiussore di un utente di servizi di pagamento di invocare, a causa di un inadempimento da parte del prestatore di servizi di pagamento dei suoi obblighi derivanti da tale direttiva, la responsabilità civile di un tale prestatore conformemente a un regime di responsabilità contrattuale di diritto comune. La Corte ha iniziato la sua analisi constatando che detta direttiva stabilisce diritti non in relazione a un fideiussore, ma solo in relazione ai prestatori di servizi di pagamento e agli utenti di tali servizi, prima di analizzare se il regime di responsabilità introdotto dalla medesima direttiva osti a un regime alternativo fondato sul diritto nazionale.

24 Sentenze del 21 dicembre 2011, Dutrueux (C-495/10, EU:C:2011:869, punti 29 e 30), e del 16 marzo 2023, Beobank (C-351/21, EU:C:2023:215, punto 38).

25 Al riguardo, sottolineo che, nel caso in cui la violazione di una disposizione del RGPD possa essere considerata come una pratica commerciale sleale, ai sensi della direttiva 2005/29/CE del Parlamento europeo e del Consiglio, dell’11 maggio 2005, relativa alle pratiche commerciali sleali tra imprese e consumatori nel mercato interno e che modifica la direttiva 84/450/CEE del Consiglio e le direttive 97/7/CE, 98/27/CE e 2002/65/CE del Parlamento europeo e del Consiglio e il regolamento (CE) n. 2006/2004 del Parlamento europeo e del Consiglio (GU 2005, L 149, pag. 22), tale direttiva dovrebbe, a mio avviso, essere applicata integralmente, compresa la necessità per gli Stati membri di prevedere, ai sensi dell’articolo 11 di detta direttiva, disposizioni che consentano ai concorrenti di agire in giudizio contro tali pratiche commerciali sleali.

26 Sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C-252/21, EU:C:2023:537, punto 43).

27 Sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C-252/21, EU:C:2023:537, punto 51).

28 Conclusioni dell’avvocato generale Richard de la Tour nella causa Meta Platforms Ireland (C-319/20, EU:C:2021:979, paragrafo 51).

29 Sentenze del 21 dicembre 2011, Dutrueux (C-495/10, EU:C:2011:869, punti 29 e 30), e del 16 marzo 2023, Beobank (C-351/21, EU:C:2023:215, punto 38). V. anche paragrafo 71 delle presenti conclusioni.

30 Sentenza del 28 aprile 2022, Meta Platforms Ireland (C-319/20, EU:C:2022:322, punto 53).