Online marketplace: per la Corte UE il gestore è responsabile dei dati personali negli annunci pubblicati

La Corte di giustizia dell’Unione europea ha chiarito che il gestore di un sito di annunci online è pienamente responsabile del trattamento dei dati personali contenuti nelle inserzioni pubblicate sulla propria piattaforma. La decisione definisce con nettezza gli obblighi che gravano su chi gestisce marketplace digitali, soprattutto quando gli annunci includono dati sensibili.

Secondo la Corte, il gestore è titolare del trattamento ai sensi del GDPR perché è grazie alla sua piattaforma che l’annuncio diventa accessibile online. Ne deriva che il gestore deve adottare misure tecniche e organizzative idonee a individuare, prima della pubblicazione, gli annunci che contengono informazioni sensibili e verificare che l’inserzionista sia effettivamente la persona cui i dati si riferiscono. In caso contrario, la pubblicazione può avvenire solo se l’inserzionista dimostra di avere ottenuto il consenso esplicito dell’interessato o se ricorre un’altra condizione di liceità prevista dal GDPR. Inoltre, il gestore deve impegnarsi a prevenire la diffusione illecita degli annunci contenenti dati sensibili su altri siti, intervenendo con misure di sicurezza adeguate.

La pronuncia nasce da un caso riguardante il sito rumeno Publi24.ro, gestito da Russmedia Digital. Nel 2018 sulla piattaforma era stato pubblicato un annuncio – rivelatosi falso – che attribuiva a una donna l’offerta di servizi sessuali, corredato da immagini e numero di telefono senza il suo consenso. Pur avendo rimosso l’annuncio in un’ora dalla segnalazione, il contenuto era già stato copiato e diffuso su altri siti. La vicenda ha portato a una lunga controversia giudiziaria, conclusa con il rinvio pregiudiziale alla Corte di giustizia per chiarire i margini di responsabilità del gestore.

La Corte ha stabilito che l’operatore non può invocare l’esonero previsto dalla direttiva sul commercio elettronico per i prestatori di hosting: le responsabilità derivanti dal GDPR restano pienamente applicabili. La sentenza fornisce così un orientamento rilevante per tutte le piattaforme che consentono la pubblicazione di annunci da parte degli utenti, imponendo un livello di diligenza più elevato nella verifica preventiva e nella protezione dei dati personali trattati attraverso i servizi offerti online.

Approfondimenti:

• Sentenza della Corte di giustizia nella causa C-492/23
• Russmedia Digital e Inform Media Press