Datenschutz Evidence Brief
Geöffnetes Apothekenpaket mit Tablettenblistern neben dem gedruckten EuGH-Urteil C-21/23 Lindenapotheke auf einem Anwaltsschreibtisch

C-21/23 Lindenapotheke: l'ordine di farmaci da banco è dato sanitario ai sensi dell'art. 9 GDPR

Con la sentenza C-21/23, la Grande Sezione della Corte di giustizia dell'Unione europea ha stabilito che i dati di ordine relativi a farmaci soggetti all'obbligo di dispensazione in farmacia ma non soggetti a prescrizione costituiscono dati sanitari ai sensi dell'art. 9 GDPR. Le piattaforme svizzere con operatività nell'UE devono adeguare la base giuridica, il processo di ordinazione e la due diligence — e devono attendersi che la prima contestazione provenga da un concorrente, non dall'autorità di controllo.

Casimir von Firn, MLaw

Il 4 ottobre 2024 la Grande Sezione della Corte di giustizia dell’Unione europea ha pronunciato la sentenza nella causa C-21/23 Lindenapotheke: il nome, l’indirizzo di consegna e la specifica del prodotto con cui un cliente acquista online un farmaco soggetto all’obbligo di dispensazione in farmacia ma non soggetto a prescrizione costituiscono dati sanitari ai sensi dell’art. 9, par. 1, GDPR. L’argomento secondo cui, in assenza di prescrizione medica, non si generano dati sanitari non è più sostenibile. Chi rifornisce clienti nell’UE deve disporre di un consenso esplicito ai sensi dell’art. 9, par. 2, lett. a), GDPR oppure di un altro titolo legittimante previsto dal medesimo paragrafo, e deve mettere in conto che la prima comunicazione formale non provenga dall’autorità di controllo, bensì da un concorrente.

ND gestisce sotto il nome commerciale Lindenapotheke la vendita di farmaci soggetti all’obbligo di dispensazione tramite il marketplace di Amazon. DR, un farmacista concorrente, ha chiesto un’inibitoria sostenendo che, in assenza di consenso esplicito degli acquirenti, i trattamenti di dati sanitari effettuati fossero illeciti. Dopo il giudizio d’appello e il Bundesgerichtshof, il rinvio pregiudiziale è approdato a Lussemburgo. La Grande Sezione segue la linea della sentenza OT (C-263/21): i dati ricadono nell’art. 9, par. 1, GDPR non appena sia possibile trarne informazioni sullo stato di salute dell’interessato, anche se tale inferenza è di natura probabilistica. Chi combina nome, indirizzo di consegna e specifico medicinale rende possibile esattamente questa deduzione. Il fatto che l’inferenza rimanga approssimativa nel singolo caso — ordine effettuato per conto di terzi, acquisto per scorte — non esclude l’applicazione della disposizione. La lettura di Bird & Bird coglie il punto essenziale: è sufficiente il collegamento su base probabilistica; non è necessario che l’inferenza conduca con certezza alla conclusione che il cliente soffra di una specifica patologia. L’Avvocato generale aveva sostenuto la posizione contraria — senza prescrizione, il nesso con uno stato di salute sarebbe troppo vago per integrare l’art. 9, par. 1 — ma la Grande Sezione non ha seguito quella linea.

Per le piattaforme svizzere la portata è immediata. L’art. 3, par. 2, lett. a), GDPR si applica ai trattamenti effettuati da titolari stabiliti al di fuori dell’Unione che offrono beni o servizi a persone che si trovano nell’UE. Ne consegue che ogni piattaforma di farmacia, parafarmacia o telemedicina con sede in Svizzera e indirizzi di consegna nello spazio UE è soggetta al principio del paese di mercato europeo — lo scenario operativo ordinario del commercio transfrontaliero per corrispondenza. In parallelo opera la LPD: l’art. 5, lett. c), LPD qualifica i «dati sulla salute» come dati personali degni di particolare protezione, e l’art. 31 LPD richiede un motivo giustificativo per il loro trattamento. L’IFPDT non ha pubblicato una presa di posizione specifica sulla vendita per corrispondenza di farmaci. Un’estensione analogica dell’interpretazione della CGUE alla corrispondente nozione della LPD appare tuttavia pienamente giustificata; il commento del gruppo di diritto dei dati di Walder Wyss legge la sentenza come rilevante anche per la prassi svizzera.

La seconda questione sollevata dinanzi alla CGUE è centrale per la valutazione del rischio operativo. Gli Stati membri possono — secondo la Grande Sezione — attribuire ai concorrenti di chi viola il GDPR il diritto di contestare la violazione come pratica commerciale sleale dinanzi ai giudici civili. In Germania, ciò attiva pienamente il § 3a UWG. Per la Svizzera la simmetria è aperta: l’art. 2 UWG richiede un atto «sleale» nel senso dei principi della correttezza commerciale, e la giurisprudenza svizzera in materia di violazione di norma è più restrittiva di quella tedesca sul § 3a UWG. Se un farmacista concorrente possa ottenere ragione contro una piattaforma svizzera invocando una violazione sistematica della LPD rimane una questione aperta — la contestazione diventa plausibile soltanto quando incide sulla strategia di mercato e supera in modo verificabile la soglia della buona fede di cui all’art. 2 UWG.

Tre punti devono figurare nell’agenda di conformità di ogni piattaforma svizzera di farmacia, parafarmacia o telemedicina con operatività nell’UE. Il primo riguarda la base giuridica. I dati rientranti nell’art. 9 richiedono una base giuridica a doppio livello: un titolo legittimante ai sensi dell’art. 6, par. 1, GDPR e, autonomamente da esso, uno dei titoli previsti dall’art. 9, par. 2, GDPR. Per la vendita per corrispondenza di farmaci, il titolo richiesto dall’art. 9, par. 2, è di regola il consenso esplicito ai sensi dell’art. 9, par. 2, lett. a), GDPR, che deve essere acquisito in modo documentabile ai sensi dell’art. 7, par. 1, GDPR e deve poter essere revocato in qualsiasi momento ai sensi dell’art. 7, par. 3, GDPR. Il secondo riguarda il processo di ordinazione. Il consenso deve essere acquisito prima del trattamento: in concreto, mediante una finestra modale separata al momento dell’aggiunta al carrello del prodotto soggetto all’obbligo di dispensazione, con informativa sulla classificazione dei dati come sanitari e con una voce distinta nello storico degli ordini a fini probatori. Rimane aperta la questione di come acquisire un consenso valido quando l’ordine è effettuato per conto di un terzo non identificato dall’esercente (la Grande Sezione affronta questo scenario al punto 88 della motivazione senza risolvere la meccanica del consenso). Questo profilo va chiarito internamente prima dell’attivazione della finestra modale. Il terzo riguarda la due diligence nelle operazioni di M&A. Chi stia preparando un’acquisizione in ambito farmaceutico, di telemedicina o di integratori alimentari nei prossimi dodici mesi è tenuto a verificare sistematicamente la conformità della società target alla sentenza Lindenapotheke. Una violazione su larga scala deve essere inserita nella disclosure letter e nelle trattative sul catalogo delle garanzie, non nel pacchetto standard di representations and warranties.

Il dato sostanziale è acquisito: i dati di ordine di farmaci soggetti all’obbligo di dispensazione ricadono nell’art. 9 GDPR; l’estensione a vitamine, integratori sportivi e altri prodotti di parafarmacia online segue la stessa logica probabilistica e difficilmente potrà essere valutata diversamente se non in ipotesi specifiche. Per la Germania, la sentenza del Bundesgerichtshof del 27 marzo 2025 nel procedimento principale I ZR 222/19 ha altresì confermato che sono ammissibili sia le azioni dei concorrenti sia quelle delle associazioni di categoria, e che il provvedimento cautelare rimane lo strumento di escalation più concreto. Rimane invece aperta la questione dell’enforcement in Svizzera, tanto quanto alla portata del meccanismo UWG quanto alla posizione dell’IFPDT sulla vendita per corrispondenza transfrontaliera. A decidere la questione sarà il prossimo procedimento UWG dinanzi a un tribunale civile svizzero oppure una presa di posizione pubblicata dall’IFPDT sull’applicabilità dell’interpretazione della CGUE. L’adeguamento del meccanismo di consenso è comunque dovuto indipendentemente da questo: la portata del GDPR raggiunge già oggi il commercio transfrontaliero per corrispondenza.