Cosa è effettivamente cambiato
Per anni l'assunto operativo in molte aziende tedesche è stato semplice. L'enforcement della protezione dei dati arrivava da due direzioni: le autorità di controllo, che potevano indagare e sanzionare, e le persone interessate, che potevano presentare reclamo o richiedere il risarcimento. I concorrenti restavano fuori da quel cerchio. Questo confine si è ora spostato. La decisione fondante è la sentenza della EuGH Lindenapotheke (C-21/23) del 4 ottobre 2024, che ha stabilito che una violazione delle norme GDPR può anche essere perseguita come illecito di concorrenza sleale ai sensi della UWG tedesca. È stata recepita nella prassi tedesca dal seguito del Bundesgerichtshof del 23 gennaio 2025 (I ZR 222/19), ed è l'attuale copertura mediatica di giugno 2026 rivolta alle imprese ad averla portata all'attenzione del più ampio Mittelstand.
Il cambiamento pratico è che un concorrente può ora trattare la tua gestione dei dati come una questione di condotta di mercato ed emettere una Abmahnung, una formale diffida di cessazione sostenuta dalla minaccia di un provvedimento inibitorio. Il caso originario riguardava una farmacia che vendeva attraverso un marketplace medicinali non soggetti a prescrizione ma vendibili solo in farmacia, ma il ragionamento non è limitato alle farmacie. Qualsiasi operatore le cui pratiche relative ai dati siano contestabili si trova ora di fronte a una parte che osserva, è motivata e ha legittimazione ad agire. Rileviamo che la pronuncia fondante è dell'ottobre 2024 e che le regole sul rimborso dei costi e le specificità dei singoli casi possono ancora cambiare, quindi il quadro qui sotto è ciò che vale la pena considerare, non una consulenza legale.
Perché i comuni dati degli ordini sono il punto critico
La parte che dovrebbe far riflettere gli imprenditori non è solo il canale di enforcement. È ciò che i giudici hanno considerato dato sensibile. Nel caso della farmacia, la combinazione del nome del cliente, dell'indirizzo di consegna e del prodotto specifico ordinato è stata ritenuta idonea a qualificarsi come dato sanitario, anche se gli articoli non erano soggetti a prescrizione. I dati sanitari rientrano in una categoria più rigorosa ai sensi del GDPR, dove l'asticella per un trattamento lecito si alza e, in molte situazioni, si richiede il consenso esplicito. In altre parole, informazioni che un'azienda considererebbe un normale registro di ordini sono state trattate come appartenenti alla classe più protetta di dati personali.
Le implicazioni vanno ben oltre le farmacie. Un rivenditore di integratori, un negozio di forniture mediche, un ottico, un operatore del fitness o del benessere, o qualsiasi venditore e-commerce i cui prodotti possano suggerire una condizione di salute potrebbe trattare dati che i giudici potrebbero valutare allo stesso modo. Ciò non significa che ogni ordine online sia un dato sanitario, e il confine esatto verrà verificato caso per caso. Significa però che l'assunto del dato ordinario non regge più automaticamente, e un concorrente ha ora sia la legittimazione sia l'incentivo per sostenere la propria tesi.
Cosa verifica ora un imprenditore avveduto
La risposta misurata non è l'allarme, ma un audit breve e onesto prima che qualcun altro lo faccia al posto tuo. Domande sensate da porre al tuo team: quali dati raccogliamo al checkout e nei nostri moduli, su quale base giuridica, e quella base reggerebbe a un esame. Dove la base è il consenso, è genuino, specifico e documentato, oppure è sepolto in caselle pre-selezionate e clausole vaghe. Le nostre inserzioni sui marketplace, la gestione dei cookie, i pixel di tracciamento e le iscrizioni alla newsletter corrispondono a ciò che la nostra informativa sulla privacy effettivamente promette. Queste sono le crepe che un concorrente motivato, o il suo avvocato, sonderebbe per prime.
Vale la pena mantenere il quadro dei costi in proporzione. Ai sensi della UWG, il rimborso dei costi di diffida di un concorrente è limitato quando la richiesta si fonda su una violazione GDPR, il che attenua una leva finanziaria. Ma la diffida stessa, il rischio di un provvedimento inibitorio, le spese legali a tuo carico e i disagi restano molto reali, e su punti più sottili potrebbero ancora arrivare appelli o chiarimenti. La mossa prudente è trattare la propria postura in materia di protezione dei dati come un'esposizione competitiva, non solo come una casella regolatoria, e colmare le lacune evidenti prima che un rivale ne faccia un tuo problema.
Da leggere ora: Dati illeciti possono vincere in giudizio · La sanzione sulla carta non è definitiva