Lo ha affermato, di recente, la Corte di Giustizia dell’Unione Europea, nella causa C-21/23
Il caso
La sentenza trae origine da un contenzioso tra due farmacie.
Nello specifico, la farmacia A ha avviato un’azione legale contro la farmacia B per ottenere l’interruzione della vendita su Amazon, da parte di quest’ultima, di medicinali destinati esclusivamente alle farmacie.
Ciò che veniva lamentato era, tra l’altro, il mancato rispetto, da parte della farmacia B, della normativa in materia di protezione dei dati personali (di seguito “GDPR”); benché, infatti, venissero richiesti, ai fini della vendita, dati personali anche di natura particolare, come nome, indirizzo di consegna e gli elementi necessari per individuare i medicinali, non veniva preventivamente raccolto un consenso esplicito degli acquirenti.
La farmacia A lamentava, quindi, che la commercializzazione su Amazon dei medicinali fosse sleale.
Il quesito
La controversia è arrivata fino alla Corte di Giustizia dell’Unione Europea, alla quale è stato chiesto di pronunciarsi sulla possibilità, per un’organizzazione, di agire contro un concorrente, mediante ricorso davanti al giudice civile, per asserite violazioni del GDPR, sulla base del divieto di pratiche commerciali sleali.
La posizione della Corte
Certamente, il GDPR (Regolamento UE 679/2016) si pone, come obiettivo primario, quello di tutelare il diritto fondamentale alla protezione dei dati personali degli interessati persone fisiche e sono proprio questi soggetti, diretti interessati, legittimati a presentare un ricorso o un reclamo all’autorità di controllo, come previsto al capo VIII del Regolamento.
Tuttavia, se è vero che la violazione delle disposizioni sul trattamento dei dati può colpire principalmente gli interessati dei dati in questione, la stessa può anche arrecare danno a terzi, come dimostra il fatto che l’articolo 82, paragrafo 1, del RGPD prevede un diritto al risarcimento per “chiunque” abbia subito un danno materiale o immateriale a seguito della violazione del Regolamento.
La Corte ha quindi ritenuto che, benché non espressamente previsto, il Regolamento non esclude di per sé la possibilità per un’impresa concorrente di rivolgersi al giudice civile per accertare lamentate violazioni degli obblighi stabiliti dal Regolamento, in base alla normativa sulle pratiche commerciali sleali.
Anzi, come sottolinea la Corte, questa possibilità non solo non pregiudica gli obiettivi del Regolamento, ma è, in realtà, idonea a rafforzare l’efficacia delle relative disposizioni e, quindi, l’elevato livello di protezione degli interessati.
Ne deriva che le violazioni alla normativa in materia di protezione dei dati personali possono essere fatte valere non soltanto dai diretti interessati, ma anche da organizzazioni concorrenti, che possono presentare un ricorso sul fondamento del divieto di pratiche commerciali sleali, allo scopo di porre fine a una violazione del Regolamento asseritamente commessa da un concorrente.