Vendita di farmaci online e Gdpr: quando i dati diventano sensibili

Sono sempre più gli operatori che offrono farmaci e altri prodotti della salute agli utenti attraverso canali digitali quali applicazioni mobile, siti-web dedicati e marketplace. A seconda del prodotto considerato, cambiano i canali di riferimento e i requisiti richiesti dalla normativa di settore per la vendita online.

Normativa per la vendita online di prodotti sanitari

Regole più stringenti sono previste per i farmaci, la cui vendita a distanza è riservata alle sole farmacie e parafarmacie, limitatamente ai farmaci senza prescrizione, attraverso i propri siti-web, secondo le regole stabilite dal codice del farmaco^[1] e dalle indicazioni fornite dal Ministero della Salute.

Per quanto attiene, invece, a dispositivi medici, integratori alimentari e cosmetici c’è molta più libertà per gli operatori nella scelta dei canali di vendita. In questo contesto, numerose piattaforme online operano quali intermediari nella vendita di tali prodotti, offrendo agli utenti servizi di prenotazione e consegna di farmaci, anche su prescrizione, che sono acquistati su delega dell’utente presso un punto vendita fisico.

Trattamento dei dati personali negli acquisti sanitari online

È evidente che gli operatori del settore salute che vendono i propri prodotti, così come le società terze che offrono tali servizi di intermediazione, effettuano un trattamento di dati personali degli utenti dagli stessi forniti in fase di ordine e acquisto. Definire la natura di questi dati è molto importante, perché da ciò possono derivare specifici obblighi e cautele che devono essere adottate dai titolari dei relativi trattamenti. Infatti, se tali informazioni rientrassero in una delle “categorie particolari di dati” di cui al Regolamento UE 2016/679 GDPR – in particolare, nei “dati relativi alla salute” – dovrebbero essere trattate conformemente all’art. 9 GDPR. Ciò, comporterebbe per taluni operatori dover raccogliere il consenso esplicito degli utenti al trattamento dei proprio dati personali forniti in fase di ordine/acquisto (nome e cognome, indirizzo di consegna, riferimenti al prodotto acquistato, etc.).

Cosa si intende per dati relativi alla salute

Ai sensi del GDPR^[2], sono definiti “dati relativi alla salute” i dati personali che riguardano la salute di una persona fisica e che permettono di ricavare informazioni sul suo stato di salute fisica o mentale passata, presente o futura, comprese le informazioni raccolte nel corso della prestazione di servizi di assistenza sanitaria. Ciò che rende un dato relativo alla salute è, essenzialmente, la possibilità di ricavarne informazioni sulle condizioni di salute del soggetto interessato.

Il trattamento dei “dati relativi alla salute”, data la loro natura sensibile, può comportare rischi significativi per i diritti e le libertà fondamentali degli interessati e per questo motivo è, in linea generale, vietato ai sensi dell’art. 9 GDPR. Ciononostante, la normativa europea per tramite dello stesso art. 9 GDPR introduce alcune deroghe che consentono il trattamento di questi dati in alcuni casi specifici, fra i quali, il consenso esplicito dell’interessato o, ancora, quando il trattamento è necessario ai fini dell’assistenza sanitaria sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità soggetto a obblighi di segretezza.

Per assicurare un adeguato livello di tutela dei dati personali, la giurisprudenza europea ha tradizionalmente adottato un’interpretazione ampia ed estensiva di “dato relativo alla salute”^[3]. Anche la giurisprudenza italiana si è mostrata a favore di una interpretazione estensiva, ritenendo qualificarsi come dato relativo alla salute ogni informazione che possa (anche indirettamente) rivelare le condizioni di salute di una persona; ciò a prescindere da riferimenti espliciti alla patologia o a un trattamento sanitario specifico^[4].

Qualificazione dei dati d’acquisto di prodotti sanitari

Con queste premesse, se prendiamo in considerazione i farmaci, la qualifica dei dati forniti dagli utenti per l’ordine e l’acquisto di tali prodotti come “dati relativi alla salute” può dirsi ormai pacifica, anche alla luce della più recente giurisprudenza europea. Ci si interroga quindi se le medesime considerazioni possano valere anche per dispositivi medici e integratori alimentari, anch’essi potenzialmente idonei, nella maggior parte dei casi, a fornire indicazioni relative alla salute.

Orientamenti europei sul trattamento dei dati sulla salute

La Corte di Giustizia dell’Unione europea (“Cgue”) ha di recente confermato il proprio indirizzo secondo il quale i dati dei clienti di una farmacia online relativi all’acquisto di farmaci, anche se non soggetti a prescrizione medica, sono qualificati come “dati relativi alla salute” ai sensi dell’art. 9 GDPR. Si tratta della sentenza pubblicata il 4 ottobre 2024 nella causa C-21/23, che peraltro disattende in toto le conclusioni rese dall’avvocato generale, il quale aveva sostento che in mancanza di un collegamento certo tra acquirente e beneficiario dei farmaci, i relativi dati di acquisto non dovessero essere considerati dati personali relativi alla salute.

La sentenza Cgue 2024 sul trattamento dati acquisti farmaci

In particolare, la questione riguarda una farmacia tedesca (DR) che aveva chiesto al tribunale nazionale di inibire la vendita online, tramite la piattaforma Amazon, di farmaci non soggetti a prescrizione da parte di una farmacia concorrente (ND). Secondo la ricorrente, ND avrebbe violato l’articolo 9 del GDPR per avere trattato i dati dei clienti che avevano ordinato i farmaci online (nominativi, indirizzi di consegna e informazioni relative al prodotto ordinato) senza raccoglierne preventivamente il consenso esplicito. Ciò avrebbe legittimato DR ad agire per inibire tale condotta, poiché ai sensi del diritto tedesco la violazione di una norma di legge – compresa la normativa privacy – può costituire un atto di concorrenza sleale da parte di una impresa a danno di un’altra.

La vicenda è finita davanti al Bundesgerichtshof, la Corte di Cassazione tedesca, che decideva di sospendere il procedimento e rimettere la questione alla Corte di Giustizia dell’Unione Europea, sottoponendole, fra gli altri, il seguente quesito: se i dati dei clienti di una farmacia, raccolti durante l’acquisto online di farmaci senza prescrizione, costituiscano o meno “dati relativi alla salute” ai sensi dell’art. 9, par. 1, GDPR.

Come anticipato, nelle proprie conclusioni presentate il 25 aprile 2024 l’Avvocato Generale Maciej Szpunar aveva sostenuto che i dati d’acquisto online di farmaci non soggetti a prescrizione medica non dovessero essere qualificati come “dati relativi alla salute”, poiché non sarebbe possibile risalire all’effettivo stato di salute di un soggetto determinato partendo esclusivamente da questi dati^[5].  Tuttavia, disattendendo la posizione dell’Avvocato Generale, con la sentenza pubblicata il 4 ottobre scorso la Cgue ha riconosciuto, ancora una volta, che i dati d’acquisto online dei farmaci, anche se non soggetti a prescrizione medica, sono sempre qualificabili come “dati relativi alla salute” e perciò da trattarsi ai sensi dell’articolo 9 del GDPR.

Criteri per qualificare i dati d’acquisto come dati di salute

In particolare, la Corte ha valorizzato la circostanza che tali informazioni sono sempre idonee a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute della persona. Questo in quanto l’ordine effettuato online implica la creazione di un nesso tra un farmaco, le sue indicazioni terapeutiche/di utilizzo e una persona fisica identificata o identificabile da elementi come il nome di tale persona e l’indirizzo di consegna.

Inoltre, a nulla rileva il fatto che il cliente che procede all’acquisto sia o meno l’effettivo utilizzatore dei farmaci, circostanza che può verificarsi nel caso di prodotti dispensabili senza prescrizione medica. In coerenza con l’obbiettivo del GDPR di garantire un elevato livello di protezione dei dati personali, d’acquisto di farmaci devono infatti essere considerati “dati relativi alla salute” anche se c’è solamente la probabilità – e non l’assoluta certezza – che i prodotti siano destinati all’acquirente^[6].

Obblighi per piattaforme e operatori nel trattamento dati sanitari

La sentenza della Corte di Giustizia conferma ancora una volta l’approccio cautelativo che deve essere adottato in materia di trattamento di dati personali e, in particolar modo, a quelli appartenenti alle c.d. categorie particolari, il tutto nell’ottica di garantire la più ampia tutela ai soggetti interessati e mitigare così i rischi connessi al trattamento.

Per gli operatori coinvolti nell’offerta e nella vendita di prodotti sanitari online, ciò significa che sarà necessario valutare se i dati forniti dall’utente debbano essere considerati “dati relativi alla salute”, secondo l’interpretazione estensiva che sia le corti europee che quelle nazionali hanno mostrato di seguire. Come detto, ciò sembra oramai poco discutibile nel caso dei prodotti farmaceutici (anche senza prescrizione) e molto probabile (seguendo i medesimi ragionamenti della Corte) anche per i dispositivi medici, il cui utilizzo è sempre connesso ad una specifica finalità medica e pertanto suscettibile di rivelare informazioni sullo stato di salute dell’acquirente/utilizzatore. Parzialmente diverso il caso degli integratori alimentari, il cui utilizzo non può essere sempre associato ad una particolare condizione di salute dell’utente, trattandosi di prodotti destinati a integrare la comune dieta e a fornire sostanze nutritive, Ad ogni modo, nel caso di integratori indicati per stati fisiologici specifici, non si può escludere che il trattamento delle relative informazioni possa ricadere nell’ambito dell’art. 9 GDPR.

Base giuridica per il trattamento dei dati sulla salute

Compiuta questa valutazione, nel caso di “dati relativi alla salute” il loro trattamento dovrà avvenire in conformità al GDPR. Nel caso di soggetti quali le farmacie che vendono farmaci e altri prodotti online, potrebbe applicarsi l’ipotesi di cui paragrafo 2, lett. h, art. 9 GDPR^[7], che consente il trattamento, fra gli altri, nei casi di “gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità” tenuto al segreto professionale (come lo stesso farmacista). Diversamente, tale ipotesi non sembra potersi applicare ad altri operatori quali piattaforme online coinvolte nell’erogazione di servizi di prenotazione/consegna di farmaci, o marketplace di dispositivi medici o integratori: tali soggetti, se trattano per finalità proprie dati relativi alla salute degli utenti, potrebbero essere tenuti a raccogliere preventivamente il consenso esplicito dai propri clienti.

[1] Art. 112-quater, d.lgs. 219/2006.

[2] Articolo 4, punto 15, e Considerando n. 35 del GDPR.

[3] Si veda, ad esempio, la sentenza del 4 luglio 2023 nella causa C-252/21, dove la Cgue ha interpretato estensivamente la nozione di “dati relativi alla salute” ai fini dell’applicazione dell’art. 9 del GDPR, chiarendo che un dato personale rientra nella categoria di “dato relativo alla salute” se il trattamento non è finalizzato esplicitamente a rivelare informazioni sanitarie e indipendentemente dalla loro accuratezza. Di conseguenza, qualsiasi trattamento che, anche indirettamente, permetta di desumere informazioni sulla salute di una persona deve essere considerato un trattamento di dati sensibili, con il conseguente divieto generale di trattamento (salvo deroghe specifiche).

[4] Fra le più recenti, si veda l’Ordinanza della Corte di Cassazione del 11 ottobre 2023, n. 28417.

[5] La tesi dell’Avvocato Generale troverebbe riscontro nel fatto che tali farmaci (i) possono essere acquistati da chiunque e dunque non solo dall’effettivo utilizzatore (ad es., da un familiare per conto di altro familiare); (ii) le modalità del loro acquisto non consentono di individuare con certezza l’utilizzatore finale; e (iii) sono in linea di principio destinati a trattare disturbi del quotidiano, non sintomatici di una patologia o di un particolare stato di salute, e vengono spesso acquistati a titolo preventivo, ovvero per averli a disposizione in caso di necessità. Pertanto, partendo da questi presupposti, secondo l’Avvocato Generale non sarebbe possibile trarre informazioni certe sullo stato di salute dell’acquirente basandosi unicamente sui dati condivisi al momento dell’acquisto (nome, indirizzo di consegna e prodotto ordinato).

[6] Peraltro, nei casi in cui il cliente e l’utilizzatore non coincidano, il trattamento dei dati di acquisto potrebbe in ogni caso consentire di risalire all’effettivo utilizzatore del farmaco: ad es., qualora i prodotti siano consegnati al domicilio non del cliente, bensì di altro soggetto, identificabile come l’utilizzatore o quando, a prescindere dal luogo di consegna, il cliente abbia fatto rifermento all’interno dell’ordine ad altra persona identificata o identificabile (es. un suo familiare).

[7] Ipotesi in cui il trattamento è necessario “per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”, fatte salve le condizioni e le garanzie di cui al paragrafo 3 dello stesso art. 9 GDPR.