Requisiti di protezione dei dati nella vendita online di medicinali – Analisi di una recente sentenza
Il Tribunale amministrativo superiore di Lüneburg ha emesso il 1° marzo 2024 una decisione nel caso 14 LA 124/23 con ampie conseguenze per i gestori di farmacie online e negozi online simili. Al centro della disputa legale vi era l’obbligo di richiedere la data di nascita durante il processo di ordinazione di medicinali che possono essere acquistati senza prescrizione medica. L’importanza di questa sentenza illustra i principi fondamentali della normativa sulla protezione dei dati e sottolinea i requisiti per la minimizzazione dei dati secondo il Regolamento Generale sulla Protezione dei Dati (GDPR).
Contesto e situazione iniziale
Come molti fornitori online, un numero considerevole di farmacie su internet richiede durante la registrazione o l’ordine l’indicazione della data di nascita. Ciò avviene spesso con l’argomento della sicurezza, del controllo dell’età o per l’elaborazione dell’ordine. Nel caso presente, anche per quei medicinali che non richiedono prescrizione medica, l’ordine era legato all’inserimento obbligatorio della data di nascita.
Un consumatore si è rivolto all’autorità di protezione dei dati contestando che questa pratica violasse il GDPR. L’autorità della protezione dei dati ha appoggiato la prospettiva del consumatore e ha richiesto alla farmacia online, facendo riferimento al principio della minimizzazione dei dati, di modificare detta procedura. Era da chiarire in particolare se e in che misura la data di nascita fosse necessaria per la vendita di medicinali soggetti a obbligo di vendita in farmacia ma non a prescrizione medica.
Motivi della decisione del Tribunale di Lüneburg
Minimizzazione dei dati come elemento centrale del GDPR
Il nucleo della sentenza è la valutazione del cosiddetto principio di necessità, che deriva dall’art. 5 par. 1 lett. c del GDPR. Il trattamento dei dati personali è quindi consentito solo nella misura in cui sia necessario per raggiungere lo scopo perseguito. Il Tribunale amministrativo superiore ha chiarito che per la spedizione di medicinali soggetti a obbligo di vendita in farmacia ma non a prescrizione medica, l’obbligo di indicare la data di nascita non è generalmente dato. Il controllo dell’età può, qualora sia necessario per il rispetto delle norme sulla protezione dei minori, essere effettuato anche con mezzi meno invasivi, come ad esempio attraverso semplici dichiarazioni d’età sotto forma di caselle di controllo (“Ho almeno 18 anni”).
Finalità e proporzionalità
Il Tribunale ha esaminato altresì se la raccolta della data di nascita possa essere indispensabile per l’esecuzione del contratto o per obblighi di documentazione legale in casi specifici. Ha negato esplicitamente questa domanda per “medicinali soggetti a obbligo di vendita in farmacia, ma non a prescrizione medica”. La raccolta della data di nascita in questi casi non è più coperta dallo scopo dell’ordine e rappresenta un’ingerenza sproporzionata nella protezione dei dati personali.
Limiti del consenso e impatti sulla prassi
Infine, è stata esaminata la possibile funzione di un consenso dei clienti. Il Tribunale amministrativo superiore di Lüneburg ha stabilito che anche un consenso esplicitamente fornito non giustifica l’inserimento della data di nascita, se questa è predisposta come condizione necessaria per l’ordine. La libertà di scelta dell’utente è di fatto eliminata, e proprio non si può dedurre da essa una rinuncia volontaria alla protezione dei dati.
Significato per il commercio online di medicinali e la pratica aziendale
La sentenza illustra la necessità di un’attenta valutazione nella gestione dei dati personali nell’e-commerce, in particolare nel campo altamente sensibile della sanità. I gestori di farmacie online sono invitati a monitorare regolarmente sia l’ampiezza sia il vincolo di finalità delle richieste di dati e, se necessario, ad apportare modifiche. La decisione ha anche un effetto di segnale oltre il contesto di questo particolare caso, ad esempio per altri fornitori di servizi digitali che raccolgono anch’essi dati sensibili.
Implicazioni legali in sintesi
- La raccolta della data di nascita è consentita per gli ordini di medicinali soggetti a obbligo di vendita in farmacia, ma non a prescrizione medica, solo quando vi è una chiara e normata necessità legale.
- Come alternativa più moderata per la verifica dell’età, è possibile raccogliere un’autodichiarazione basata sull’età.
- Le violazioni del principio di minimizzazione dei dati secondo il GDPR possono essere interdette dall’autorità della protezione dei dati. In caso di violazioni, si rischiano ordini correttivi da parte delle autorità di vigilanza e, in casi specifici, sanzioni significative.
Prospettive per l’ulteriore procedura
Va sottolineato che ulteriori istanze e future decisioni giudiziarie possono fornire differenziazioni e esaminare nuovi aspetti. La presente decisione si basa sulle circostanze specifiche del caso e non rivendica validità definitiva per tutti i modelli di business o categorie di prodotto. Seguire lo sviluppo della giurisprudenza e l’eventuale cambiamento legislativo è consigliabile.
Nota sulle fonti
La decisione del Tribunale amministrativo superiore di Lüneburg del 1° marzo 2024, Az. 14 LA 124/23, è pubblicata su urteile.news e costituisce la base di questo contributo.
Sottile suggerimento
Per questioni legali riguardanti i requisiti di protezione dei dati nel commercio online, in particolare nel contesto della raccolta e della gestione di dati personali sensibili, è possibile rivolgersi agli avvocati di MTR Legal. Lo studio legale assiste aziende, investitori e privati facoltosi in sfide legali complesse a livello nazionale e internazionale.
