La Violazione del GDPR come Concorrenza Sleale – Analisi della Sentenza della Corte di Giustizia e Rilevanza per il Diritto Italiano

Introduzione.

Con sentenza del 4 ottobre 2024 (Causa C-21/23), la Corte di Giustizia dell’Unione Europea ha stabilito che la violazione delle disposizioni del Regolamento generale sulla protezione dei dati (GDPR – Regolamento UE 2016/679) può configurarsi come pratica commerciale sleale, qualora determini un vantaggio competitivo illecito. Tale interpretazione consente ai concorrenti di intraprendere azioni civili contro le violazioni del GDPR che si traducono in un’alterazione delle dinamiche concorrenziali.

Il caso è sorto in Germania, dove una farmacia ha contestato la vendita online di medicinali da parte di un concorrente, sostenendo che questa avvenisse senza il rispetto delle norme del GDPR, poiché i dati personali dei clienti, considerati dati relativi alla salute, venivano trattati senza il necessario consenso esplicito.

A riguardo, la Corte Federale di Giustizia tedesca ha sollevato due questioni pregiudiziali, chiedendo alla Corte di Giustizia dell’Unione Europea di chiarire (i) se i concorrenti possano far valere in sede civile le violazioni del GDPR come pratiche commerciali sleali e (ii) se le informazioni raccolte durante la vendita di medicinali, quali nome e indirizzo dei clienti, costituiscano dati relativi alla salute, anche nel caso in cui la vendita dei medicinali non sia soggetta a prescrizione medica.

Esame delle questioni pregiudiziali sollevate.

Sulla prima questione, la Corte ha affermato che il GDPR non impedisce ai concorrenti di agire in sede civile contro le violazioni delle norme sulla protezione dei dati, purché tali violazioni comportino un vantaggio commerciale sleale. In particolare, la Corte ha riconosciuto che un’azienda che non rispetta le norme del GDPR potrebbe ottenere un vantaggio competitivo rispetto ai concorrenti che, invece, si conformano a tali obblighi. Pertanto, se un’impresa viola le disposizioni del GDPR ottenendo un vantaggio competitivo, tale condotta può essere contestata come concorrenza sleale se le norme nazionali applicabili lo consentono; di conseguenza, i concorrenti danneggiati da tali pratiche possono agire in sede civile per chiedere la cessazione delle violazioni, in quanto queste rappresentano non solo un’infrazione delle norme sulla privacy, ma anche regole che garantiscono una leale competizione tra imprese.

In relazione alla seconda questione, la Corte ha stabilito che le informazioni richieste ai clienti al momento dell’acquisto di medicinali vanno considerate come dati relativi alla salute ai sensi dell’articolo 9 del GDPR, anche quando i farmaci non richiedono una prescrizione medica. Ciò avviene perché tali dati possono rivelare informazioni potenzialmente sensibili sulla condizione di salute degli acquirenti, rafforzando la protezione offerta dal GDPR nel contesto del commercio online. La Corte ha, inoltre, chiarito che questa qualificazione si applica anche nel caso in cui l’acquisto sia effettuato per conto di terzi; in tali circostanze, infatti, sebbene l’acquirente non fornisca direttamente i dati del destinatario dei medicinali, le informazioni raccolte possono comunque rendere una persona identificabile, come ad esempio nel caso in cui i medicinali in questione non vengano consegnati al domicilio del cliente, ma a quello di un’altra persona.

Rilevanza per il diritto nazionale italiano.

È importante sottolineare che la decisione in oggetto si inserisce in un contesto in cui la normativa tedesca prevede espressamente che la violazione di norme di legge possa costituire un atto di concorrenza sleale, a determinate condizioni.

L’ordinamento italiano, dal canto suo, non dispone di una previsione analoga altrettanto esplicita. In Italia, infatti, la concorrenza sleale è disciplinata dall’articolo 2598 del Codice civile, che, al comma 3, sanziona come norma di chiusura generale e astratta le condotte contrarie alla correttezza professionale, idonee a danneggiare l’attività di un concorrente.

A tale riguardo, la giurisprudenza italiana ha riconosciuto che la violazione di obblighi normativi può configurare concorrenza sleale ai sensi della richiamata disposizione, quando tali violazioni determinino un vantaggio competitivo ingiustificato o incidano sulle condizioni del mercato. In particolare, la sentenza della Corte di cassazione n. 37659/2021 ha chiarito, sia pur con riguardo alla violazione di norme pubblicistiche, che essa può integrare la fattispecie di concorrenza sleale quando si accompagni ad atti potenzialmente lesivi dei diritti dei concorrenti o quando produce un vantaggio economico non giustificato che altera la parità competitiva.

È dubbio se una fattispecie di violazione del GDPR quale quella sottoposta alla CGUE dal giudice tedesco possa effettivamente configurare in Italia un atto contrario alla correttezza professionale ai sensi dell’art. 2598 c.c. In particolare, ad avviso di chi scrive, non essendo il GDPR norma a carattere pubblicistico in senso proprio (come ad esempio sono le norme fiscali), il focus dell’analisi dovrebbe spostarsi sul concreto vantaggio che un’impresa tragga dalla violazione a discapito di quei concorrenti che, invece, si conformino alle disposizioni normative sulla protezione dei dati.

Conclusione.

In questo contesto, la sentenza della Corte di Giustizia Europea rappresenta un segnale chiaro per le imprese, indicando che la protezione dei dati non è solo una questione di conformità legale, ma anche di correttezza professionale e leale concorrenza. La decisione invita gli operatori del mercato a considerare seriamente le implicazioni della non conformità al GDPR, poiché ciò potrebbe esporli a contestazioni non solo da parte delle autorità di controllo, ma anche da parte dei concorrenti danneggiati.