Il gestore di una piattaforma online deve verificare se gli annunci contengono dati sensibili e rifiutarsi di pubblicarli se non c’è il consenso dell’utente
Con la sentenza sulla causa C-492/23 del 2 dicembre 2025, la Corte di giustizia dell’Unione Europea ha chiarito che il gestore di una piattaforma “marketplace” è responsabile del trattamento dei dati personali contenuti negli annunci pubblicati sulla sua piattaforma.
Il caso nazionale da cui origina la decisione riguarda una società di diritto rumeno, proprietaria di un marketplace sul quale è possibile pubblicare annunci gratuitamente o a pagamento. Tali annunci riguardano in particolare la vendita di beni o la fornitura di servizi in Romania.
Nel comunicato stampa con cui rende nota la propria decisione, la Corte UE specifica che, prima della pubblicazione, il gestore del sito deve individuare gli annunci che contengano dati sensibili e di conseguenza dovrà o verificare che l’inserzionista sia effettivamente la persona a cui i dati si riferiscono come riportati nell’annuncio o che egli disponga del consenso esplicito dell’utente per il trattamento dei suoi dati personali.
Nel rispetto del principio di accountability, il gestore della piattaforma deve in particolare attuare misure tecniche e organizzative adeguate per individuare, prima della pubblicazione, gli annunci che contengono dati sensibili ai sensi dell’art. 9 del Regolamento (categorie particolari di dati) e verificare che l’inserzionista sia effettivamente la persona i cui dati figurano in tale annuncio. In caso contrario, il gestore deve rifiutare la pubblicazione dell’annuncio, a meno che l’inserzionista possa dimostrare che tale persona ha prestato il suo consenso esplicito a detta pubblicazione o che quest’ultima rientra in una delle altre eccezioni previste dall’articolo 9 del GDPR.
Inoltre, il gestore deve attuare misure per impedire che tali annunci, una volta pubblicati sulla sua piattaforma, siano copiati e illecitamente pubblicati su altri siti Internet. Peraltro, esso non può sottrarsi a tali obblighi appellandosi alla Direttiva 2000/31/CE (”relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno, nota come «Direttiva sul commercio elettronico»), che comprende tra l’altro disposizioni relative a situazioni in cui i prestatori di servizi della società dell’informazione non possono essere considerati responsabili.
Nel caso preso in esame dalla Corte UE, il 1° agosto 2018 una persona non identificata aveva pubblicato su un marketplace un messaggio in cui si affermava che una donna offriva servizi sessuali. Il messaggio conteneva foto della donna, utilizzate senza il suo consenso, e il suo numero di telefono. La donna aveva ritenuto che l’annuncio fosse menzognero e dannoso e aveva quindi chiesto al proprietario del sito di rimuoverlo. Dopo tale richiesta, nel giro di un’ora la società che gestisce il sito aveva tempestivamente provveduto a rimuovere la pubblicazione, ma l’annuncio in questione era ormai stato ampiamente diffuso su altri siti internet, sui quali era rimasto accessibile.
In tali circostanze, ritenendo che l’annuncio violasse i suoi diritti all’immagine, all’onore, alla reputazione, alla vita privata nonché le norme relative al trattamento dei dati personali, la donna aveva pertanto adito la giustizia rumena.
Il Tribunale di primo grado le aveva dato ragione e aveva condannato la società rumena a versarle un risarcimento di 7.000 euro a titolo di danni morali. In appello, tuttavia, tale società aveva vinto il ricorso ed era stata esonerata da responsabilità, qualificandola come semplice prestatore di servizi di hosting non responsabile dei contenuti pubblicati dai suoi utenti.
La vittima però non demordeva e impugnava la sentenza dinanzi alla Corte d’appello, che decideva di adire la Corte di giustizia UE per ottenere chiarimenti circa l’interpretazione del diritto dell’Unione, in particolare riguardo gli obblighi che gravano sul gestore di un mercato online ai sensi del GDPR, e per chiarire se tale gestore possa sottrarsi a detti obblighi in virtù dell’esonero da responsabilità previsto per i prestatori di servizi della società dell’informazione in base agli articoli da 12 a 15 della direttiva 2000/31/CE.
Nella sua sentenza, la Corte ha così stabilito che il gestore di una piattaforma online è titolare del trattamento dei dati personali contenuti negli annunci pubblicati nel proprio sito web. Infatti, anche se l’annuncio è inserito da un utente, tale annuncio viene pubblicato su Internet e quindi reso accessibile agli utenti di Internet solo grazie alla piattaforma.
Di conseguenza, prima di pubblicare tali annunci il gestore deve adottare misure tecniche e organizzative adeguate, individuare quelli che contengono informazioni sensibili, e verificare se l’utente che si appresta a collocare un annuncio di questo tipo sia la persona i cui dati sensibili vi figurano.
Se così non è, il gestore del sito deve verificare se la persona i cui dati sono pubblicati ha prestato il proprio consenso esplicito alla pubblicazione. In assenza di questo consenso, il gestore della piattaforma online deve rifiutare la pubblicazione dell’annuncio in questione, a meno che quest’ultima rientri in una delle altre eccezioni previste GDPR.
Inoltre, il gestore del sito deve adoperarsi per impedire che gli annunci contenenti dati sensibili pubblicati sul suo sito siano copiati e illecitamente pubblicati su altri siti Internet, e in ogni caso esso non può sottrarsi né agli obblighi del GDPR, né agli esoneri delle responsabilità della Direttiva 2000/31/CE.
