Edizione provvisoria
SENTENZA DELLA CORTE (Grande Sezione)
4 ottobre 2024 (*)
« Rinvio pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – CAPO VIII – Mezzi di ricorso – Commercializzazione di medicinali da parte di un farmacista tramite una piattaforma online – Ricorso proposto dinanzi ai giudici civili da un concorrente di tale farmacista sulla base del divieto delle pratiche commerciali sleali per violazione da parte di quest’ultimo degli obblighi previsti da tale regolamento – Legittimazione ad agire – Articolo 4, punto 15, e articolo 9, paragrafi 1 e 2 – Direttiva 95/46/CE – Articolo 8, paragrafi 1 e 2 – Nozione di “dati relativi alla salute” – Condizioni per il trattamento di tali dati »
Nella causa C‑21/23,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Bundesgerichtshof (Corte federale di giustizia, Germania), con decisione del 12 gennaio 2023, pervenuta in cancelleria il 19 gennaio 2023, nel procedimento
ND
contro
DR,
LA CORTE (Grande Sezione),
composta da K. Lenaerts, presidente, L. Bay Larsen, vicepresidente, K. Jürimäe, C. Lycourgos, E. Regan, F. Biltgen e N. Piçarra, presidenti di sezione, S. Rodin, P.G. Xuereb, L.S. Rossi, I. Jarukaitis, N. Jääskinen, I. Ziemele (relatrice), giudici,
avvocato generale: M. Szpunar
cancelliere: N. Mundhenke amministratrice
vista la fase scritta del procedimento e in seguito all’udienza del 9 gennaio 2024,
considerate le osservazioni presentate:
– per ND, da A. Datta, M. Mogendorf e W. Spoerr, Rechtsanwälte,
– per DR, da M. Bahmann, Rechtsanwalt,
– per il governo tedesco, da J. Möller e P.-L. Krüger, in qualità di agenti,
– per la Commissione europea, da A. Bouchagiar, F. Erlbacher e H. Kranenborg, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 25 aprile 2024,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 9, paragrafo 1, e delle disposizioni del capo VIII del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), e sull’interpretazione dell’articolo 8, paragrafo 1, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).
2 Tale domanda è stata presentata nell’ambito di una controversia tra ND e DR, due persone fisiche che gestiscono ciascuna una farmacia, in merito alla commercializzazione da parte di ND, tramite una piattaforma online, di medicinali la cui vendita è riservata alle farmacie.
Contesto normativo
Diritto dell’Unione
3 L’articolo 8 della direttiva 95/46, dal titolo «Trattamenti riguardanti categorie particolari di dati», così disponeva:
«1. Gli Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.
2. Il paragrafo 1 non si applica qualora:
a) la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il consenso della persona interessata non sia sufficiente per derogare al divieto di cui al paragrafo 1, oppure
(...)».
4 I considerando da 9 a 11, 13, 35, 51, 53, 141 e 142 del RGPD sono così formulati:
«(9) Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva [95/46] non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva [95/46].
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...) Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). (...)
(11) Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri.
(...)
(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un monitoraggio coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. (...)
(...)
(35) Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. (...)
(...)
(51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (...) Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali.
(...)
(53) Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria (...). Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell’Unione o degli Stati membri dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche. Gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute (...).
(...)
(141) Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un’unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, e il diritto a un ricorso giurisdizionale effettivo a norma dell’articolo 47 della [Carta dei diritti fondamentali dell’Unione europea; in prosieguo: la “Carta”] qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l’autorità di controllo non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato. (...)
(142) Qualora l’interessato ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un’organizzazione o un’associazione che non abbiano scopo di lucro, costituiti in conformità del diritto di uno Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore della protezione dei dati personali, per proporre reclamo per suo conto a un’autorità di controllo, esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o esercitare il diritto di ottenere il risarcimento del danno per conto degli interessati se quest’ultimo è previsto dal diritto degli Stati membri. Gli Stati membri possono prescrivere che tale organismo, organizzazione o associazione abbia il diritto di proporre reclamo in tale Stato membro, indipendentemente dall’eventuale mandato dell’interessato, e il diritto di proporre un ricorso giurisdizionale effettivo qualora abbia motivo di ritenere che i diritti di un interessato siano stati violati in conseguenza di un trattamento dei dati personali che violi il presente regolamento. [T]ale organismo, organizzazione o associazione può non essere autorizzato a chiedere il risarcimento del danno per conto di un interessato indipendentemente dal mandato dell’interessato».
5 L’articolo 1 di tale regolamento, intitolato «Oggetto e finalità», così dispone:
«1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».
6 L’articolo 4 di detto regolamento prevede quanto segue:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
(...)
15) “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
(...)
21) “autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
(...)».
7 Il capo II del RGPD, intitolato «Principi», comprende gli articoli da 5 a 11.
8 L’articolo 5 del RGPD stabilisce i principi relativi al trattamento dei dati personali, mentre l’articolo 6 di tale regolamento stabilisce le condizioni alle quali è lecito un tale trattamento.
9 Ai sensi dell’articolo 9 del medesimo regolamento, intitolato «Trattamento di categorie particolari di dati personali»:
«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
(...)
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
(...)».
10 L’articolo 51 del medesimo regolamento, intitolato «Autorità di controllo», al paragrafo 1 prevede quanto segue:
«Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (“autorità di controllo”)».
11 Il capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni», contiene gli articoli da 77 a 84.
12 L’articolo 77 di tale regolamento, intitolato «Diritto di proporre reclamo all’autorità di controllo», così dispone, al paragrafo 1:
«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».
13 L’articolo 78 di detto regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», enuncia quanto segue, al paragrafo 1:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda».
14 L’articolo 79 del medesimo regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», così prevede, al paragrafo 1:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».
15 L’articolo 80 del RGPD, intitolato «Rappresentanza degli interessati», è così formulato:
«1. L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82.
2. Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente [ai sensi dell’articolo 77], e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento».
16 L’articolo 82 di tale regolamento, intitolato «Diritto al risarcimento e responsabilità», così dispone, al paragrafo 1:
«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
17 L’articolo 83 di detto regolamento, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», al paragrafo 1 prevede quanto segue:
«Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive».
18 L’articolo 84 del medesimo regolamento, intitolato «Sanzioni», al paragrafo 1 stabilisce quanto segue:
«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».
19 L’articolo 94 del RGPD prevede, al paragrafo 1, quanto segue:
«La direttiva [95/46] è abrogata a decorrere dal 25 maggio 2018».
20 Secondo l’articolo 99 di detto regolamento:
«1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
2. Esso si applica a decorrere da 25 maggio 2018».
Diritto tedesco
Legge contro la concorrenza sleale
21 L’articolo 3 del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale), del 3 luglio 2004 (BGBl. 2004 I, pag. 1414), nella versione applicabile alla controversia di cui al procedimento principale (in prosieguo: l’«UWG»), intitolato «Divieto di comportamenti commerciali sleali», al paragrafo 1 prevede quanto segue:
«Le pratiche commerciali sleali sono illecite».
22 L’articolo 3a dell’UWG, intitolato «Violazione del diritto», è così formulato:
«Commette un atto sleale colui il quale violi una disposizione di legge che sia altresì destinata a disciplinare il comportamento sul mercato nell’interesse dei soggetti partecipanti al mercato stesso, nel caso in cui la violazione sia idonea a pregiudicare in maniera sensibile gli interessi dei consumatori, di altri soggetti partecipanti al mercato o dei concorrenti».
23 L’articolo 8 dell’UWG, intitolato «Inibizione ed astensione», così recita:
«(1) Nei confronti di chiunque ponga in essere una pratica commerciale illecita ai sensi dell’articolo 3 o dell’articolo 7 può essere promossa un’azione inibitoria e, in caso di rischio di recidiva, un’azione diretta a imporre l’astensione da tale pratica in futuro (...).
(...)
(3) È legittimato ad agire ai sensi del paragrafo 1:
1. qualsiasi concorrente che commercializzi o richieda beni o servizi su base non trascurabile e non occasionale,
(...)»
Legge sui medicinali
24 La circolazione dei medicinali è disciplinata dal Gesetz über den Verkehr mit Arzneimitteln (legge sul commercio dei medicinali) del 24 agosto 1976 (BGBl. 1976 I, pag. 2444), nella versione pubblicata il 12 dicembre 2005 (BGBl. 2005 I, pag. 3394), come applicabile ai fatti di cui al procedimento principale, che distingue tra i medicinali venduti in farmacia e quelli venduti dietro prescrizione medica, essendo questi ultimi oggetto dell’articolo 48, intitolato «Obbligo di prescrizione».
Procedimento principale e questioni pregiudiziali
25 ND, che gestisce una farmacia con il nome commerciale «Lindenapotheke», dal 2017 vende medicinali riservati alle farmacie, sulla piattaforma online «Amazon-Marketplace» (in prosieguo: «Amazon»). Quando ordinano tali medicinali online, i clienti di ND devono inserire informazioni, quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione di detti medicinali.
26 DR, che anche gestisce una farmacia, ha adito il Landgericht Dessau-Roßlau (Tribunale del Land, Dessau-Roßlau, Germania) chiedendo che fosse ingiunto a ND di cessare, a pena di ammenda, di commercializzare su Amazon medicinali la cui vendita è riservata alle farmacie, finché non sarà garantito che i clienti possano dare il loro consenso preventivo al trattamento dei dati relativi alla salute.
27 A sostegno del ricorso, DR ha sostenuto che la commercializzazione su Amazon di medicinali la cui vendita è riservata alle farmacie era sleale, perché non rispettava i requisiti di legge relativi all’ottenimento del consenso del cliente richiesto dalla normativa in materia di protezione dei dati personali.
28 Con decisione del 28 marzo 2018, il Landgericht Dessau-Roßlau (Tribunale del Land, Dessau-Roßlau) ha accolto il ricorso.
29 ND ha interposto appello avverso tale decisione dinanzi all’Oberlandesgericht Naumburg (Tribunale superiore del Land, Naumburg, Germania), che l’ha respinto con decisione del 7 novembre 2019.
30 Il giudice d’appello ha ritenuto che la commercializzazione su Amazon di medicinali la cui vendita è riservata alle farmacie costituisse una pratica sleale, e quindi illecita ai sensi dell’articolo 3, paragrafo 1, dell’UWG. Infatti, una simile commercializzazione di medicinali comporterebbe un trattamento di dati relativi alla salute, che sarebbe vietato in forza dell’articolo 9, paragrafo 1, del RGPD, in assenza di consenso esplicito da parte dei clienti che acquistano medicinali, ai sensi dell’articolo 9, paragrafo 2, lettera a), di tale regolamento. Ebbene, le norme previste da detto regolamento costituirebbero disposizioni di legge destinate a disciplinare il comportamento nel mercato, ai sensi dell’articolo 3a dell’UWG. Inoltre, ai sensi dell’articolo 8, paragrafo 3, punto 1, dell’UWG, DR, in quanto concorrente, avrebbe il diritto di dedurre, mediante un’azione inibitoria dinanzi ai giudici civili, la violazione di tali norme da parte di ND.
31 ND ha proposto ricorso per cassazione («Revision») dinanzi al Bundesgerichtshof (Corte federale di giustizia, Germania), giudice del rinvio.
32 Tale giudice rileva che l’esito della controversia dipende dall’interpretazione delle disposizioni del capo VIII del RGPD nonché dell’articolo 9, paragrafo 1, di tale regolamento e dell’articolo 8, paragrafo 1, della direttiva 95/46.
33 In primo luogo, il giudice del rinvio si chiede se, dopo l’abrogazione della direttiva 95/46 con effetto dal 25 maggio 2018, data a partire dalla quale è divenuto applicabile il RGPD, gli Stati membri possano ancora prevedere, nel diritto nazionale, che i concorrenti di un’impresa, come quelli di cui all’articolo 8, paragrafo 3, punto 1, dell’UWG, siano legittimati a far cessare, mediante un ricorso dinanzi a un giudice civile, violazioni delle disposizioni del RGPD commesse da tale impresa, sulla base del divieto delle pratiche commerciali sleali.
34 Il giudice del rinvio osserva che tale questione suscita risposte divergenti a livello nazionale. Infatti, una tale risposta non può essere dedotta in modo inequivocabile né dal tenore letterale delle disposizioni del capo VIII del RGPD né dall’impianto generale di tali disposizioni e nemmeno dall’obiettivo perseguito da detto regolamento.
35 Così, anzitutto, per quanto riguarda il tenore letterale delle disposizioni del capo VIII del RGPD, il giudice del rinvio sottolinea che, certamente tali disposizioni non menzionano in alcun modo la possibilità per i concorrenti di un’impresa di intentare un’azione legale contro l’impresa stessa, in particolare quando la violazione della normativa sulla protezione dei dati integra una pratica commerciale sleale. Tuttavia, allo stesso tempo, dette disposizioni non escludono formalmente tale possibilità.
36 Per quanto riguarda, poi, l’impianto generale delle disposizioni del capo VIII del RGPD, il giudice del rinvio sottolinea, da un lato, che, come dichiarato dalla Corte nella sentenza del 28 aprile 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, punto 57), tale regolamento mira ad assicurare un’armonizzazione delle normative nazionali relative alla protezione dei dati personali che sia, in linea di principio, completa. Tuttavia, dall’altro, il fatto che l’articolo 77, paragrafo 1, l’articolo 78, paragrafi 1 e 2, e l’articolo 79, paragrafo 1, del RGPD contengano ciascuno la frase «fatto salvo ogni altro ricorso» potrebbe precludere la conclusione secondo cui il controllo dell’applicazione del diritto è stata disciplinata in modo esaustivo.
37 Infine, per quanto riguarda l’obiettivo di armonizzazione e, in particolare, di uniformazione del livello di controllo dell’applicazione del diritto all’interno dell’Unione, perseguito dal RGPD, il giudice del rinvio sottolinea, da un lato, che il fatto che i concorrenti possano essere legittimati ad agire ai sensi del diritto della concorrenza e, pertanto, far applicare le disposizioni del diritto della protezione dei dati al di là degli strumenti previsti dal RGPD potrebbe contrastare con tale obiettivo. Inoltre, non è chiaro se il sistema di controllo dell’applicazione del diritto previsto da detto regolamento contenga una lacuna che dovrebbe essere colmata concedendo ai concorrenti la legittimazione ad agire in base al diritto della concorrenza. Analogamente, la concorrenza tra le autorità di controllo da un lato e i tribunali civili dall’altro nell’applicazione del diritto sulla protezione dei dati rischierebbe di invadere i poteri delle autorità di controllo e portare a divergenze, all’interno dell’Unione, nel controllo dell’applicazione del diritto in materia di protezione dei dati.
38 Dall’altro lato, secondo il giudice del rinvio, autorizzare i concorrenti ad agire ai sensi del diritto della concorrenza potrebbe costituire un’ulteriore possibilità di controllare l’applicazione del diritto, che sarebbe auspicabile in virtù del principio di efficacia («effetto utile») al fine di garantire il massimo livello di protezione possibile in materia di dati personali, conformemente al considerando 10 del RGPD.
39 Il giudice del rinvio precisa che tale questione non è stata chiarita dalla giurisprudenza della Corte e che, in particolare, nella sentenza del 28 aprile 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), la Corte ha espressamente lasciato aperta la questione della legittimazione ad agire di un concorrente.
40 In secondo luogo, il giudice del rinvio si chiede se i dati che i clienti devono inserire nella piattaforma di vendita online, al momento dell’ordine di medicinali, quali il loro nome, l’indirizzo di consegna e le informazioni necessarie all’individualizzazione dei medicinali ordinati, costituiscano «dati relativi alla salute», ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD.
41 Secondo detto giudice, la risposta a tale questione non è evidente quando i medicinali ordinati non sono soggetti a prescrizione medica. Infatti, in un caso del genere, non si potrebbe escludere che tali medicinali siano destinati non ai clienti stessi, bensì a terzi, i quali non sarebbero identificabili.
42 Il giudice del rinvio sottolinea che la formulazione di tali disposizioni e quella dell’articolo 4, punto 15, del RGPD, in combinato disposto con il considerando 35 di tale regolamento, non consentono, di per sé, di rispondere a tale questione.
43 Tuttavia, al punto 125 della sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), la Corte ha dichiarato che la nozione di «categorie particolari di dati personali», di cui all’articolo 8, paragrafo 1, della direttiva 95/46 e all’articolo 9, paragrafo 1, del RGPD, deve essere interpretata in senso ampio, tenuto conto dell’obiettivo di tale regolamento, che è quello di garantire un elevato livello di tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, in relazione al trattamento dei dati personali che le riguardano. Se si dovesse adottare un’interpretazione così ampia di tale concetto, si potrebbe giungere alla conclusione che siffatte informazioni costituiscono dati relativi alla salute quando non è certo, ma soltanto probabile, che i clienti che ordinano i medicinali siano le persone a cui sono destinati.
44 Il giudice del rinvio sottolinea che il diritto alla cessazione, dedotto da DR, presuppone che il comportamento controverso di ND fosse illegittimo sia nel momento in cui è stato adottato sia al momento dell’udienza nell’ambito del procedimento di «Revision», e che il primo di tali momenti fosse ancora disciplinato dall’articolo 8, paragrafo 1, della direttiva 95/46, mentre il secondo rientri ormai nell’ambito di applicazione dell’articolo 9, paragrafo 1, del RGPD.
45 È in tale contesto che il Bundesgerichtshof (Corte federale di giustizia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se le disposizioni di cui al capo VIII del [RGPD] ostino a norme nazionali le quali – oltre ai poteri di intervento delle autorità di controllo preposte alla sorveglianza e all’attuazione del regolamento, e in aggiunta ai mezzi di ricorso a disposizione degli interessati – conferiscano ai concorrenti il potere di agire, in caso di violazioni di detto regolamento, contro l’autore della violazione, proponendo un ricorso dinanzi ai giudici civili fondato sul divieto di pratiche commerciali sleali.
2) Se i dati che i clienti di un farmacista, che interviene in qualità di venditore su una piattaforma di vendite online, forniscono su tale piattaforma, quando ordinano medicinali la cui vendita sia effettivamente riservata alle farmacie ma che non sono tuttavia soggetti a prescrizione medica (nome del cliente, indirizzo di consegna e informazioni necessarie all’individuazione del medicinale ordinato la cui vendita è riservata alle farmacie), siano dati relativi alla salute ai sensi dell’articolo 9, paragrafo 1, del RGPD e dell’articolo 8, paragrafo 1, della direttiva 95/46».
Sulle questioni pregiudiziali
Sulla prima questione
46 Con la prima questione, il giudice del rinvio chiede se le disposizioni del capo VIII del RGPD debbano essere interpretate nel senso che ostano a una normativa nazionale che, parallelamente ai poteri di intervento delle autorità di controllo incaricate di sorvegliare e di far applicare tale regolamento e parallelamente alle possibilità di azione degli interessati, conferisce ai concorrenti del presunto autore di una violazione della protezione dei dati personali la legittimazione ad agire contro quest’ultimo, mediante ricorso dinanzi ai giudici civili, per violazione di detto regolamento e sul fondamento del divieto delle pratiche commerciali sleali.
47 Occorre ricordare, in via preliminare, che il capo VIII del RGPD disciplina, in particolare, i mezzi di ricorso che permettono di tutelare i diritti dell’interessato qualora i dati personali che lo riguardano siano stati oggetto di un presunto trattamento contrario alle disposizioni del regolamento stesso. La tutela di questi diritti può quindi essere reclamata o direttamente dall’interessato, in applicazione degli articoli da 77 a 79 del RGPD, oppure da un ente legittimato, in presenza o in assenza di un mandato a tal fine, ai sensi dell’articolo 80 di detto regolamento (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 53).
48 Infatti, da un lato, l’articolo 77, paragrafo 1, del RGPD prevede che, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, ogni interessato abbia il diritto di proporre reclamo a un’autorità di controllo. Ai sensi dell’articolo 78, paragrafo 1, di tale regolamento, fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda. L’articolo 79, paragrafo 1, di detto regolamento garantisce a ogni interessato il diritto a un ricorso giurisdizionale effettivo, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77 del medesimo regolamento.
49 Dall’altro lato, conformemente all’articolo 80, paragrafo 1, del RGPD, l’interessato ha il diritto di dare mandato ad un organismo, un’organizzazione o un’associazione senza scopo di lucro, a determinate condizioni, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli da 77 a 79 di tale regolamento. Inoltre, conformemente all’articolo 80, paragrafo 2, del RGPD, gli Stati membri possono prevedere che un organismo, organizzazione o associazione, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare tali diritti, qualora ritenga che i diritti di cui un interessato gode a norma del medesimo regolamento siano stati violati in seguito al trattamento dei dati personali che lo riguardano.
50 Nel caso di specie, dal fascicolo a disposizione della Corte risulta che ND, che gestisce una farmacia, commercializza, su Amazon, medicinali la cui vendita è riservata alle farmacie e che, al momento dell’ordine online di tali medicinali, i clienti devono inserire dati, quali il loro nome, l’indirizzo di consegna e le informazioni necessarie all’individualizzazione di detti medicinali. Tuttavia, il ricorso nel procedimento principale è stato proposto dinanzi a un giudice civile non da tali clienti, che sono gli interessati ai sensi dell’articolo 4, paragrafo 1, del RGPD, sulla base dell’articolo 79 di tale regolamento, né da un organismo, un’organizzazione o un’associazione abilitati, con o senza un mandato ricevuto a tal fine da un interessato, ai sensi dell’articolo 80 di detto regolamento, bensì da un concorrente di tale farmacista sulla base del divieto delle pratiche commerciali sleali, per violazioni delle disposizioni del RGPD che detto farmacista avrebbe commesso.
51 Il procedimento principale solleva quindi la questione se il RGPD osti a che un concorrente come DR, che non è un interessato ai sensi dell’articolo 4, punto 1, di tale regolamento, sia legittimato a proporre un siffatto ricorso dinanzi ai giudici civili nazionali.
52 A tal riguardo, occorre ricordare che, ai fini dell’interpretazione di una norma di diritto dell’Unione, si deve tener conto non soltanto della lettera della stessa, ma anche del suo contesto e degli scopi perseguiti dalla normativa di cui essa fa parte (sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punto 32).
53 Per quanto riguarda il tenore letterale delle disposizioni del capo VIII del RGPD, occorre rilevare che nessuna di esse esclude espressamente la possibilità per il concorrente di un’impresa di proporre ricorso dinanzi ai giudici civili contro tale impresa sulla base del divieto delle pratiche commerciali sleali, per la presunta violazione, da parte di tale impresa, degli obblighi previsti da tale regolamento. Al contrario, dai termini dell’articolo 77, paragrafo 1, dell’articolo 78, paragrafo 1, e dell’articolo 79, paragrafo 1, del RGPD, ricordati al punto 48 della presente sentenza, risulta che il diritto di proporre reclamo a un’autorità di controllo, nonché il diritto a un ricorso giurisdizionale effettivo contro tale autorità e contro un titolare del trattamento o un responsabile del trattamento di cui a tali disposizioni, si intendono «fatt[i] salvi[]» eventuali altri ricorsi amministrativi, giurisdizionali o extragiudiziali.
54 Per quanto riguarda il contesto in cui si inserisce il capo VIII del RGPD, occorre rilevare che tale regolamento contiene, al capo II, una serie di disposizioni sostanziali vertenti, tra l’altro, sui principi relativi al trattamento dei dati personali, di cui all’articolo 5, e sulle condizioni di liceità del trattamento, enunciate all’articolo 6, che mirano ad assicurare il pieno rispetto, in particolare, del diritto fondamentale alla protezione dei dati personali degli interessati, garantito all’articolo 16, paragrafo 1, TFUE e all’articolo 8 della Carta. Il fatto che nel capo VIII del RGPD non ci siano disposizioni che prevedano che i concorrenti di un’impresa, che ha presumibilmente violato tali disposizioni sostanziali, possano proporre ricorso per far cessare tale violazione si spiega quindi con la circostanza che solo gli interessati, e non tali concorrenti, sono, come rilevato dall’avvocato generale al paragrafo 80 delle sue conclusioni, destinatari della protezione dei dati personali garantita da tale regolamento.
55 Ciò premesso, se la violazione di dette disposizioni sostanziali è tale da pregiudicare in prima linea le persone interessate dai dati di cui trattasi, essa può altresì arrecare pregiudizio a terzi, come dimostra il fatto che l’articolo 82, paragrafo 1, del RGPD prevede un diritto al risarcimento per «chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento». La Corte ha anche già avuto occasione di rilevare che la violazione di una norma relativa alla protezione dei dati personali può simultaneamente comportare la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali (sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 78) e costituire un indizio importante per valutare se vi sia stato un abuso di posizione dominante ai sensi dell’articolo 102 TFUE [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punti 47 e 62).
56 In tale contesto, è importante ricordare che l’accesso ai dati personali e il loro sfruttamento rivestono un’importanza fondamentale nell’ambito dell’economia digitale. Infatti, l’accesso ai dati personali e la possibilità di trattamento di tali dati sono diventati un parametro significativo della concorrenza fra imprese dell’economia digitale. Pertanto, per tener conto della realtà di questa evoluzione economica e garantire una concorrenza leale, può essere necessario tener conto delle norme in materia di protezione dei dati personali nell’ambito dell’applicazione del diritto della concorrenza e delle norme relative alle pratiche commerciali sleali [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punti 50 e 51).
57 Inoltre, sebbene dall’articolo 1, paragrafo 1, del RGPD, letto alla luce, in particolare, dei considerando 9 e 13, risulti che tale regolamento mira a garantire un’armonizzazione delle legislazioni nazionali relative alla protezione dei dati personali che è, in linea di principio, completa, ciò non toglie che varie disposizioni di detto regolamento offrono espressamente la possibilità agli Stati membri di prevedere norme nazionali supplementari, più rigorose o a carattere derogatorio, che lascino a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate («clausole di apertura») (sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 57).
58 La Corte ha già statuito che è questo il caso dell’articolo 80, paragrafo 2, del RGPD, il quale lascia agli Stati membri un margine di discrezionalità relativamente alla sua attuazione e che non osta a una normativa nazionale che consente a un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere, in particolare, la violazione del divieto delle pratiche commerciali sleali, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili (sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punti 59 e 83).
59 È vero che le disposizioni del capo VIII del RGPD non prevedono specificamente una simile clausola di apertura che consentirebbe, espressamente, agli Stati membri di prevedere la possibilità per il concorrente di un’impresa che presumibilmente violi le disposizioni sostanziali di tale regolamento di proporre ricorso per far cessare tale violazione.
60 Tuttavia, dai termini e dal contesto delle disposizioni di tale capo VIII, richiamati ai punti da 53 a 58 della presente sentenza, risulta che, con l’adozione di detto regolamento, il legislatore dell’Unione non ha inteso procedere ad un’armonizzazione esaustiva dei mezzi di ricorso disponibili in caso di violazione delle disposizioni del RGPD e non ha inteso, in particolare, escludere una siffatta possibilità di ricorso per i concorrenti del presunto autore di una lesione della protezione dei dati personali, sulla base del diritto nazionale relativo al divieto delle pratiche commerciali sleali.
61 Tale interpretazione è confermata dagli obiettivi perseguiti dal RGPD, che, come si evince in particolare dal considerando 10, mira ad assicurare un livello coerente ed elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali e a rimuovere gli ostacoli alla circolazione di tali dati all’interno dell’Unione. Il considerando 11 di tale regolamento enuncia, inoltre, che un’efficace protezione di tali dati presuppone il rafforzamento dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati, nonché la previsione, negli Stati membri, di poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni. Il considerando 13 di detto regolamento precisa che, per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un controllo coerente del trattamento dei dati personali e sanzioni equivalenti in tutti gli Stati membri.
62 La possibilità per il concorrente di un’impresa di proporre un ricorso dinanzi ai giudici civili sulla base del divieto delle pratiche commerciali sleali per far cessare la violazione delle disposizioni sostanziali del RGPD, asseritamente commessa da tale impresa, non solo non pregiudica tali obiettivi, ma, al contrario, è tale da rafforzare l’effetto utile di tali disposizioni e, quindi, il livello elevato di protezione degli interessati con riguardo al trattamento dei loro dati personali, come indicato in tale regolamento.
63 Infatti, da un lato, un’azione inibitoria intentata da un concorrente nei confronti di un’impresa sulla base del divieto delle pratiche commerciali sleali, per l’asserita violazione delle disposizioni sostanziali del RGPD, non pregiudica in alcun modo il sistema dei mezzi di ricorso previsto al capo VIII di tale regolamento né l’obiettivo di assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno.
64 Certo, è probabile che un’azione del genere si basi, anche se incidentalmente, sulla violazione delle stesse disposizioni del RGPD su cui potrebbe basarsi un reclamo o un ricorso proposto, ai sensi degli articoli da 77 a 79 del medesimo regolamento, dalle persone interessate o da un organismo, un’organizzazione o un’associazione, ai sensi dell’articolo 80 di detto regolamento.
65 Tuttavia, sotto un primo profilo, a differenza degli articoli da 77 a 80 del RGPD, l’azione inibitoria proposta da un concorrente non persegue, in quanto tale, un obiettivo di tutela delle libertà e dei diritti fondamentali degli interessati con riguardo al trattamento dei loro dati personali, ma mira ad assicurare una concorrenza leale, nell’interesse in particolare di tale concorrente.
66 Sotto un secondo profilo, la possibilità per un concorrente di intentare un’azione di questo tipo dinanzi ai giudici civili sulla base del divieto delle pratiche commerciali sleali si aggiunge ai mezzi di ricorso previsti agli articoli da 77 a 79 del RGPD, che sono pienamente preservati e possono sempre essere esercitati dagli interessati nonché, se del caso, dagli organismi, dalle organizzazioni o associazioni, ai sensi dell’articolo 80 di tale regolamento.
67 In particolare, come rilevato dal governo tedesco, la coesistenza di mezzi di ricorso ai sensi del diritto della protezione dei dati e del diritto della concorrenza non crea rischi per l’applicazione uniforme del RGPD. In tale contesto, occorre rilevare che dagli articoli da 77 a 80 di tale regolamento si evince che quest’ultimo non prevede alcuna competenza prioritaria o esclusiva né alcuna regola di prevalenza della valutazione effettuata da detta autorità o dai giudici ivi menzionati in merito all’esistenza di una violazione dei diritti conferiti da detto regolamento (v., in tal senso, sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punto 35). Pertanto, il fatto che l’azione inibitoria sia proposta da un concorrente del presunto autore di una violazione della protezione dei dati personali dinanzi ai giudici civili non pregiudica il sistema dei mezzi di ricorso, quale concepito al capo VIII del RGPD. Inoltre, come osservato da tale governo, l’interpretazione uniforme delle disposizioni sostanziali di tale regolamento, che possono essere applicate da parte dell’autorità di controllo e dei giudici aditi ai sensi degli articoli da 77 a 80 di detto regolamento a una medesima violazione, da un lato, e dei giudici aditi da un tale concorrente sulla base del divieto delle pratiche commerciali sleali, dall’altro, è garantita dal procedimento pregiudiziale, previsto all’articolo 267 TFUE.
68 Sotto un terzo profilo, come rilevato in sostanza dall’avvocato generale al paragrafo 104 delle sue conclusioni, la più ampia possibilità di invocare le disposizioni sostanziali del RGPD, da parte di persone diverse dalle sole persone interessate e dagli organismi, dalle organizzazioni e associazioni, ai sensi dell’articolo 80 di tale regolamento, non pregiudica il raggiungimento dell’obiettivo di assicurare un livello coerente di protezione di tali persone in tutta l’Unione e di prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno. Infatti, quand’anche gli Stati membri non prevedessero una tale possibilità, ciò non comporterebbe tuttavia la frammentazione dell’attuazione della protezione dei dati nell’Unione, essendo le disposizioni sostanziali del RGPD vincolanti allo stesso modo per tutti i titolari del trattamento, ai sensi dell’articolo 4, punto 7, di tale regolamento, e il loro rispetto garantito dai mezzi di ricorso previsti da detto regolamento.
69 Dall’altro lato, per quanto riguarda l’obiettivo di assicurare una protezione efficace degli interessati in relazione al trattamento dei loro dati personali e all’effetto utile delle disposizioni sostanziali del RGPD, occorre rilevare che, sebbene un’azione inibitoria di un concorrente del presunto autore di una lesione della protezione dei dati personali miri, come rilevato al punto 65 della presente sentenza, non a tale obiettivo, bensì ad assicurare una concorrenza leale, ciò non toglie che essa contribuisca incontestabilmente al rispetto di tali disposizioni e, quindi, a rafforzare i diritti degli interessati ad assicurare loro un elevato livello di protezione (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 74).
70 Del resto, un’azione inibitoria di questo tipo da parte di un concorrente può rivelarsi particolarmente efficace, al pari di quella delle associazioni per la tutela degli interessi dei consumatori, al fine di garantire una siffatta tutela, in quanto è idonea a prevenire un gran numero di violazioni dei diritti delle persone interessate dal trattamento dei loro dati personali (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 75).
71 Ne consegue che l’interpretazione accolta al punto 60 della presente sentenza è conforme ai requisiti derivanti dall’articolo 16, paragrafo 1, TFUE e dall’articolo 8 della Carta e, dunque, all’obiettivo perseguito dal RGPD, che consiste nell’assicurare un’efficace protezione dei diritti e delle libertà fondamentali delle persone fisiche, nonché, segnatamente, nel garantire un elevato livello di protezione del diritto di qualsiasi persona alla tutela dei dati personali che la riguardano (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 73).
72 Nel caso di specie, spetta al giudice del rinvio verificare se la presunta violazione delle disposizioni sostanziali del RGPD di cui trattasi nel procedimento principale, purché sia dimostrata, costituisca anche una violazione del divieto delle pratiche commerciali sleali quale previsto dalla normativa nazionale pertinente.
73 Alla luce delle considerazioni che precedono, occorre rispondere alla prima questione dichiarando che le disposizioni del capo VIII del RGPD devono essere interpretate nel senso che esse non ostano a una normativa nazionale che, parallelamente ai poteri di intervento delle autorità di controllo incaricate di sorvegliare e di far applicare tale regolamento e parallelamente alle possibilità di ricorso degli interessati, conferisce ai concorrenti del presunto autore di una violazione della protezione dei dati personali la legittimazione ad agire contro quest’ultimo mediante un ricorso dinanzi ai giudici civili, per violazione di detto regolamento e sul fondamento del divieto delle pratiche commerciali sleali.
Sulla seconda questione
74 Con la seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 8, paragrafo 1, della direttiva 95/46 e l’articolo 9, paragrafo 1, del RGPD debbano essere interpretati nel senso che, nel caso in cui il gestore di una farmacia commercializzi, tramite una piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti di tale gestore inseriscono al momento dell’ordine online dei medicinali, quali il loro nome, l’indirizzo di consegna e le informazioni necessarie all’individualizzazione dei medicinali, costituiscono dati relativi alla salute, ai sensi di tali disposizioni, anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica.
75 L’articolo 8, paragrafo 1, della direttiva 95/46 e l’articolo 9, paragrafo 1, del RGPD, che hanno portata simile ai fini dell’interpretazione che la Corte è chiamata a fornire (sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punti 58 e 117) e si riferiscono, come indica il titolo di tali articoli, ai trattamenti di «categorie particolari» di dati personali, sanciscono il principio del divieto di tali trattamenti. Infatti, come espressamente formulato dal considerando 51 di tale regolamento, meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per tali diritti e tali libertà.
76 Tra tali categorie particolari di dati personali, il cui elenco è fornito all’articolo 8, paragrafo 1, della direttiva 95/46 e all’articolo 9, paragrafo 1, del RGPD, figurano i dati relativi alla salute. Questi includono, ai sensi dell’articolo 4, punto 15, di tale regolamento, in combinato disposto con il considerando 35, tutti i dati personali che rivelano informazioni sullo stato di salute fisica o mentale passato, presente o futuro di una persona fisica, compresi i dati relativi alla prestazione di servizi di assistenza sanitaria a tale persona.
77 Inoltre, dall’articolo 4, paragrafo 1, del RGPD si evince in particolare che per «dati personali» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile e che, per essere «identificabile», è sufficiente che l’interessato possa essere identificato, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
78 Pertanto, quando i dati sugli acquisti dei medicinali consentono di trarre conclusioni sullo stato di salute di una persona identificata o identificabile, essi devono essere considerati dati relativi alla salute ai sensi dell’articolo 4, punto 15, del RGPD.
79 Nel caso di specie, dal fascicolo di cui dispone la Corte risulta che i clienti di ND, quando ordinano online su Amazon medicinali la cui vendita è riservata alle farmacie, inseriscono informazioni quali il loro nome, l’indirizzo di consegna e gli elementi di individualizzazione dei medicinali. Ebbene, è pacifico che tali informazioni costituiscono «dati personali», in quanto si riferiscono a persone fisiche identificate o identificabili.
80 Ciò premesso, occorre stabilire se dati del genere siano idonei a rivelare informazioni sullo stato di salute di queste persone, ai sensi dell’articolo 4, punto 15, del RGPD e, di conseguenza, costituiscano dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, di tale regolamento.
81 A tal riguardo, la Corte ha già statuito che, alla luce dell’obiettivo della direttiva 95/46 e del RGPD, che è quello di garantire un elevato livello di tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, in relazione al trattamento dei dati personali che le riguardano, la nozione di «dati relativi alla salute» di cui all’articolo 9, paragrafo 1, di tale regolamento, che corrisponde alla nozione di «dati relativi alla salute» di cui all’articolo 8, paragrafo 1, di tale direttiva, deve essere interpretata in senso ampio (v., in tal senso, sentenze del 6 novembre 2003, Lindqvist, C‑101/01, EU:C:2003:596, punto 50, e del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 125).
82 In particolare, tali disposizioni non possono essere interpretate nel senso che il trattamento di dati personali idonei a rivelare, indirettamente, informazioni sensibili riguardanti una persona fisica è sottratto al regime di protezione rafforzato previsto da dette disposizioni, salvo pregiudicare l’effetto utile di tale regime e la tutela dei diritti e delle libertà fondamentali delle persone fisiche che esso mira ad assicurare (sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 127).
83 Pertanto, affinché dati personali possano essere qualificati come dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, è sufficiente che essi siano idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute dell’interessato (v., in tal senso, sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 123).
84 Ebbene, i dati che un cliente inserisce su una piattaforma online al momento dell’ordine di medicinali, la cui vendita è riservata alle farmacie, sono idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute dell’interessato, ai sensi dell’articolo 4, punto 1, del RGPD, in quanto tale ordine implica la creazione di un nesso tra un medicinale, le sue indicazioni terapeutiche o i suoi usi, e una persona fisica identificata o identificabile da elementi quali il nome di tale persona o l’indirizzo di consegna.
85 Il giudice del rinvio si chiede tuttavia se sia rilevante il fatto che la vendita dei medicinali ordinati non sia soggetta a prescrizione medica, in quanto, in tal caso, tali medicinali potrebbero essere destinati non al cliente che procede all’ordine, bensì a terzi.
86 A tal riguardo, va notato che, ai fini dell’applicazione dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, occorre verificare, nel caso di trattamento di dati personali effettuato dal gestore di una farmacia nell’ambito di un’attività esercitata tramite una piattaforma online, se tali dati consentano di rivelare informazioni rientranti in una delle categorie menzionate in tali disposizioni, a prescindere dal fatto che tali informazioni riguardino un utente di tale piattaforma o qualsiasi altra persona fisica. In caso affermativo, un siffatto trattamento di dati personali è dunque vietato, fatte salve le deroghe previste al paragrafo 2 di tali disposizioni [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network), C‑252/21, EU:C:2023:537, punto 68].
87 Questo divieto in linea di principio è indipendente dal fatto che le informazioni rivelate dal trattamento in questione siano accurate o meno e che il gestore agisca allo scopo di ottenere informazioni rientranti in una delle categorie particolari menzionate all’articolo 8, paragrafo 1, della direttiva 95/46 e all’articolo 9, paragrafo 1, del RGPD. Infatti, tenuto conto dei rischi significativi per le libertà fondamentali e i diritti fondamentali degli interessati, generati da qualsiasi trattamento di dati personali rientranti in tali categorie, dette disposizioni hanno lo scopo di vietare tali trattamenti, a prescindere da quale sia la loro finalità dichiarata e dall’accuratezza delle informazioni in questione [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punti 69 e 70].
88 Ne consegue che, nel caso in cui un utente di una piattaforma online comunichi dati personali quando ordina medicinali la cui vendita è riservata alle farmacie senza essere soggetta a prescrizione medica, il trattamento di tali dati da parte del gestore di una farmacia che vende tali medicinali attraverso tale piattaforma online deve essere considerato un trattamento riguardante dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, dato che tale trattamento di dati è idoneo a rivelare informazioni sullo stato di salute di una persona fisica, a prescindere dal fatto che tali informazioni riguardino tale utente o qualsiasi altra persona per la quale quest’ultimo effettua l’ordine [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) (C‑252/21, EU:C:2023:537, punto 73].
89 Infatti, un’interpretazione di tali disposizioni che porti a distinguere in base al tipo di medicinale in questione e al fatto che la sua vendita sia o meno soggetta a prescrizione medica non sarebbe coerente con l’obiettivo di un elevato livello di protezione, ricordato al punto 81 della presente sentenza. Siffatta interpretazione contrasterebbe, per di più, con la finalità dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, consistente nel garantire una protezione maggiore nei confronti di trattamenti che, a causa della natura particolarmente sensibile dei dati che ne sono oggetto, possono costituire, come risulta dal considerando 51 del RGPD, un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta (sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 126 e giurisprudenza citata).
90 Pertanto, le informazioni che i clienti di un gestore di una farmacia immettono quando ordinano online medicinali la cui vendita è riservata alle farmacie senza essere soggetta a prescrizione medica costituiscono dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, anche se è solo con una certa probabilità, e non con assoluta certezza, che tali medicinali siano destinati a tali clienti.
91 Del resto, non si può escludere che, anche nell’ipotesi in cui simili medicinali siano destinati a persone diverse dai clienti, sia possibile identificare tali persone e trarre conclusioni sul loro stato di salute. Ciò potrebbe verificarsi, ad esempio, quando i medicinali in questione sono consegnati non al domicilio del cliente che li ha ordinati, ma al domicilio di un’altra persona, o quando, indipendentemente dall’indirizzo di consegna, il cliente ha fatto riferimento, nell’ordine o nelle comunicazioni ad esso relative, ad un’altra persona identificabile, quale un suo familiare. Analogamente, quando l’ordine richiede l’identificazione e/o la registrazione del cliente, ad esempio mediante la creazione di un conto cliente o la sua adesione ad un programma di fidelizzazione, non si può escludere che le informazioni inserite dal cliente in tale contesto possano essere utilizzate per trarre conclusioni non solo sullo stato di salute di tale cliente, ma anche su quello di un’altra persona, in particolare in combinazione con le informazioni relative ai medicinali ordinati.
92 Infine, come ricordato al punto 86 della presente sentenza, il fatto che informazioni come quelle di cui trattasi nel procedimento principale costituiscano dati relativi alla salute, ai sensi dell’articolo 8, paragrafo 1, della direttiva 95/46 e dell’articolo 9, paragrafo 1, del RGPD, non impedisce, come risulta in particolare dal considerando 53 di quest’ultimo, che esse possano essere oggetto di trattamento, in particolare nell’ambito della gestione dei servizi e dei sistemi di assistenza sanitaria, se si verifica uno dei casi menzionati al paragrafo 2 di tali disposizioni.
93 Ciò può avvenire, in particolare, da un lato, se, conformemente alla lettera a) di tale paragrafo 2, e fatta salva l’eccezione ivi prevista, l’interessato presta il suo consenso esplicito a uno o più trattamenti di tali dati personali le cui caratteristiche e finalità specifiche gli sono state presentate in modo accurato, completo e facilmente comprensibile. Dall’altro, siffatto trattamento può essere consentito sul fondamento dell’articolo 9, paragrafo 2, lettera h), del RGPD, qualora tale trattamento sia necessario ai fini dell’assistenza sanitaria sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità.
94 Alla luce di quanto precede, occorre rispondere alla seconda questione dichiarando che l’articolo 8, paragrafo 1, della direttiva 95/46 e l’articolo 9, paragrafo 1, del RGPD devono essere interpretati nel senso che, nel caso in cui il gestore di una farmacia commercializzi, tramite una piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti di tale gestore inseriscono al momento dell’ordine online dei medicinali, quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione dei medicinali, costituiscono dati relativi alla salute, ai sensi di tali disposizioni, anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica.
Sulle spese
95 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
1) Le disposizioni del capo VIII del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
devono essere interpretate nel senso che:
esse non ostano a una normativa nazionale che, parallelamente ai poteri di intervento delle autorità di controllo incaricate di sorvegliare e di far applicare tale regolamento e parallelamente alle possibilità di ricorso degli interessati, conferisce ai concorrenti del presunto autore di una violazione della protezione dei dati personali la legittimazione ad agire contro quest’ultimo mediante un ricorso dinanzi ai giudici civili, per violazione di detto regolamento e sul fondamento del divieto delle pratiche commerciali sleali.
2) L’articolo 8, paragrafo 1, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 9, paragrafo 1, del regolamento 2016/679
devono essere interpretati nel senso che:
nel caso in cui il gestore di una farmacia commercializzi, tramite una piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti di tale gestore inseriscono al momento dell’ordine online dei medicinali, quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione dei medicinali, costituiscono dati relativi alla salute, ai sensi di tali disposizioni, anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica.
Firme
* Lingua processuale: il tedesco.