La Corte di giustizia dell’Unione europea (CGUE) ha recentemente pubblicato le conclusioni dell’Avvocato generale Szpunar nella causa C-21/23 sull’interpretazione della definizione di dati relativi alla salute ai sensi del GDPR.
Il caso riguardava una piattaforma di vendita online che offriva medicinali la cui vendita è riservata ai farmacisti ma che non sono soggetti a prescrizione medica. In questo contesto, la seconda questione posta alla CGUE riguardava la possibilità che i dati dei clienti trasmessi durante l’acquisto di medicinali senza prescrizione su una piattaforma online rientrassero nella categoria dei dati relativi alla salute ai sensi della normativa UE sulla protezione dei dati.
L’analisi dell’Avvocato generale sui dati relativi alla salute ai sensi del GDPR
Per rispondere a questa domanda, l’Avvocato generale inizia la sua analisi facendo riferimento agli articoli 4, paragrafo 15, e 9 del GDPR e alla giurisprudenza in materia. Al centro dell’argomentazione dell’Avvocato generale vi è l’assunto che i dati che consentono di trarre conclusioni sullo stato di salute di un individuo dovrebbero essere classificati come dati relativi alla salute. Tuttavia, nel contesto degli acquisti online di farmaci senza prescrizione medica, si rileva un certo grado di complessità in più. Sebbene l’atto di ordinare tali prodotti online comporti intrinsecamente il trattamento di dati che possono rivelare informazioni relative alla salute, non si può concludere con sicurezza che l’acquirente sia l’utilizzatore finale del farmaco.
Infatti, l’Avvocato generale sottolinea la possibilità che gli ordini online possano essere effettuati da individui per conto di altri, senza un collegamento diretto tra l’identità dell’acquirente e l’utilizzatore finale del farmaco. In assenza di una prescrizione medica o di un’identificazione esplicita dell’utente finale, qualsiasi deduzione sullo stato di salute dell’interessato diventa, nella migliore delle ipotesi, speculativa.
Di conseguenza, l’Avvocato generale conclude che i dati trattati nell’ambito dell’acquisto online di medicinali la cui vendita è riservata ai farmacisti ma che non sono soggetti a prescrizione medica non rientrano in modo netto nella categoria dei dati relativi alla salute.
Inoltre, l’estensione dell’ambito di applicazione dei dati relativi alla salute per includere tali dati provenienti da acquisti online potrebbe paradossalmente portare a maggiori rischi per la privacy. I requisiti rigorosi del GDPR per il trattamento dei dati sensibili, che richiedono il consenso esplicito, potrebbero inavvertitamente spingere gli acquirenti a rivelare l’identità dell’utente finale, risultando così in una maggiore diffusione di dati relativi alla salute.
Qual è l’impatto del parere?
In conclusione, il parere dell’Avvocato generale fornisce indicazioni preziose sull’interpretazione delle disposizioni del GDPR nel panorama in costante evoluzione dei servizi sanitari online.
L’Avvocato generale evidenzia la necessità di considerare attentamente l’interpretazione dei dati relativi alla salute caso per caso, tenendo presente che dovrebbe esserci un certo grado di certezza sulle inferenze che si possono trarre sullo stato di salute dell’interessato. Inoltre, l’Avvocato generale sottolinea le potenziali implicazioni di un ampliamento della portata della definizione di dati relativi alla salute, che potrebbe portare all’identificazione dell’effettivo utente finale a cui si riferisce l’ordine online.
Su un argomento simile può essere d’interesse l’articolo “Il Garante privacy emette una sanzione per trattamento illecito di dati sanitari”
