Il gestore di market online deve rifiutare annunci con dati sensibili senza consenso dell’interessato

In materia di protezione dei dati la Corte di giustizia dell’Unione europea - con la sentenza sulla causa C-492/23 - ha chiarito che il gestore di un sito di mercato online è responsabile del trattamento dei dati personali contenuti negli annunci pubblicati sulla sua piattaforma.

Specifica quindi la Corte Ue che, prima della pubblicazione, il gestore del sito deve individuare gli annunci che contengano dati sensibili e di conseguenza dovrà o verificare che l’inserzionista sia effettivamente la persona a cui i dati si riferiscono come riportati nell’annuncio o che egli disponga del consenso esplicito di tale persona al trattamento dei suo dati personali.

Il diritto dell’Unione obbliga il gestore di un sito di mercato online ad assumersi la responsabilità dei dati personali contenuti negli annunci pubblicati sulla sua piattaforma, in conformità con il Rgpd (il regolamento (Ue) 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/Ce.

Esso deve in particolare attuare misure tecniche e organizzative adeguate per individuare, prima della pubblicazione, gli annunci che contengono dati sensibili e verificare che l’inserzionista sia effettivamente la persona i cui dati figurano in tale annuncio. In caso contrario, il gestore deve rifiutare la pubblicazione dell’annuncio, a meno che l’inserzionista possa dimostrare che tale persona ha prestato il suo consenso esplicito a detta pubblicazione o che quest’ultima rientra in una delle altre eccezioni previste dall’articolo 9 del Regolamento generale sulla protezione dei dati.

Inoltre, il gestore deve attuare misure per impedire che tali annunci, una volta pubblicati sulla sua piattaforma, siano copiati e illecitamente pubblicati su altri siti Internet. Peraltro, esso non può sottrarsi a tali obblighi appellandosi alla direttiva 2000/31/Ce (”relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno, nota come «Direttiva sul commercio elettronico»), che comprende tra l’altro disposizioni relative a situazioni in cui i prestatori di servizi della società dell’informazione non possono essere considerati responsabili.

Il caso nazionale da cui origina la decisione odierna riguarda una società di diritto rumeno, proprietaria di un sito Internet, che è un mercato online sul quale è possibile pubblicare annunci gratuitamente o a pagamento. Tali annunci riguardano in particolare la vendita di beni o la fornitura di servizi in Romania. 

Il 1° agosto 2018 una persona non identificata ha pubblicato su questo sito un messaggio in cui si affermava che una donna offriva servizi sessuali. Il messaggio conteneva foto della donna, utilizzate senza il suo consenso, e il suo numero di telefono. La donna ha ritenuto che l’annuncio fosse menzognero e dannoso e ha quindi chiesto al proprietario del sito di rimuoverlo. Dopo tale richiesta, nel giro di un’ora la società che gestisce il sito ha provveduto a rimuovere la pubblicazione. Tuttavia l’annuncio in questione era già stato diffuso su altri siti Internet, sui quali è rimasto accessibile. In tali circostanze, ritenendo che l’annuncio violasse i suoi diritti all’immagine, all’onore, alla reputazione, alla vita privata nonché le norme relative al trattamento dei dati personali, la donna ha adito la giustizia rumena.

Il Tribunale di primo grado le ha dato ragione e ha condannato la società rumena a versarle 7.000 euro a titolo di danni morali. In appello, tuttavia, il Tribunale specializzato ha considerato tale società esonerata da responsabilità, qualificandola come semplice prestatore di servizi di hosting non responsabile dei contenuti pubblicati dai suoi utenti.

La vittima ha quindi impugnato tale sentenza dinanzi alla Corte d’appello. E quest’ultima ha deciso di adire la Corte di giustizia Ue per ottenere chiarimenti circa l’interpretazione del diritto dell’Unione, in particolare quanto agli obblighi che gravano sul gestore di un mercato online ai sensi del Rgpd, e per chiarire se tale gestore possa sottrarsi a detti obblighi in virtù dell’esonero da responsabilità previsto dalla direttiva 2000/31/Ce per i prestatori di servizi della società dell’informazione in base agli articoli da 12 a 15.

Nella sua sentenza odierna, la Corte statuisce che il gestore di un mercato online è titolare, ai sensi del Rgpd (articolo 4, punto 7), del trattamento dei dati personali contenuti negli annunci pubblicati nel proprio mercato online. Infatti, anche se l’annuncio è inserito da un utente, tale annuncio viene pubblicato su Internet e quindi reso accessibile agli utenti di Internet solo grazie al mercato online.

Di conseguenza, il gestore di un mercato online deve, prima di pubblicare tali annunci e mediante misure tecniche e organizzative adeguate, individuare quelli che contengono dati sensibili, come quelli oggetto della presente causa, e verificare se l’utente che si appresta a collocare un annuncio di questo tipo sia la persona i cui dati sensibili vi figurano.

Se così non è, esso deve verificare se la persona i cui dati sono pubblicati ha prestato il proprio consenso esplicito alla pubblicazione. In assenza di questo consenso, il gestore di un mercato online deve rifiutare la pubblicazione dell’annuncio in questione, a meno che quest’ultima rientri in una delle altre eccezioni previste dal Regolamento generale sulla protezione dei dati.

Inoltre, il gestore di un mercato online deve adoperarsi per impedire che gli annunci contenenti dati sensibili pubblicati sul suo sito siano copiati e illecitamente pubblicati su altri siti Internet. A tal fine, deve mettere in atto misure di sicurezza tecniche e organizzative adeguate.

Infine, la Corte precisa che il gestore di un mercato online non può sottrarsi ai suddetti obblighi, che gli incombono ai sensi del Rgpd, invocando l’esonero da responsabilità previsto dalla direttiva 2000/31/Ce.

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più