Con la sentenza del 2 dicembre 2025 (causa C-492/23), la Corte di giustizia dell’Unione europea affronta il tema della responsabilità dei gestori di marketplace digitali per i dati personali negli annunci pubblicati on line dagli utenti.
Il caso originava in Romania, dove su un sito di marketplace era pubblicato un falso annuncio per servizi di escort con fotografie e numero di telefono di una ignara donna. Una volta venuta a conoscenza del falso annuncio, la donna chiedeva al sito di marketplace la relativa rimozione.
Sebbene l’annuncio fosse stato rimosso in un’ora dalla richiesta, nel frattempo il relativo contenuto era stato copiato e ripubblicato su altri portali, con conseguenze reputazionali sulla vittima, la quale agiva nei confronti della società titolare del marketplace al fine di ottenere il risarcimento del danno non patrimoniale subito dall’illecita pubblicazione.
Il titolare del marketplace si difendeva invocando l’esonero di responsabilità previsto per l’hosting provider dalla direttiva 2000/31/CE sul commercio elettronico e oggi regolato dal Regolamento (UE) 2022/2065 (Digital Services Act), in forza del quale gli hosting provider non rispondono dei contenuti illeciti caricati dagli utenti, a condizione che i primi agiscano come intermediari passivi e che, una volta appresa l’illiceità della pubblicazione, rimuovano tempestivamente il contenuto.
La Corte europea ha ritenuto che, nel caso di specie, il gestore del marketplace non si sia limitato a un ruolo tecnico e passivo, ma abbia assunto un ruolo attivo nel trattamento dei dati personali pubblicati dagli utenti.
Le condizioni generali del marketplace riservavano infatti all’hosting provider il diritto di utilizzare, copiare, distribuire, trasmettere, pubblicare, riprodurre, modificare, tradurre e rimuovere i dati personali, nonché a cedere gli stessi a terzi in qualsiasi momento. L’hosting provider inoltre pubblicava inserzioni promozionali proprie sul sito Internet destinato agli annunci degli utenti.
In questo specifico caso, alla luce delle caratteristiche del sito Internet e dei trattamenti di dati personali posti in essere dall’hosting provider, la Corte di Giustizia ha ritenuto che non si applicasse l’esclusione di responsabilità prevista dalla disciplina sul commercio elettronico sopra richiamata, e che dovesse applicarsi il Reg. UE 679/2016 (c.d. GDPR).
Pertanto, quando l’hosting provider si riserva di trattare e di compiere operazioni sui dati personali degli utenti, finisce per partecipare alla determinazione dei mezzi e delle finalità del trattamento dei dati stessi e deve essere qualificato come titolare – o contitolare – del trattamento ai sensi dell’art. 4, n. 7, GDPR.
Da tale qualificazione discendono obblighi operativi precisi. Prima della pubblicazione, l’hosting provider dovrà adottare misure tecniche e organizzative specifiche per individuare eventuali annunci contenenti dati sensibili, verificare l’identità dell’inserzionista, accertare il consenso esplicito dell’interessato e rifiutare contenuti illeciti. Inoltre, l’hosting provider dovrà implementare sistemi di sicurezza idonei a prevenire copie e diffusioni non autorizzate su altri siti.
È importante precisare che non ogni hosting provider diviene automaticamente titolare del trattamento. Le considerazioni sopra svolte sull’applicabilità della disciplina in materia di protezione dei dati personali valgono soltanto quando l’hosting provider interviene attivamente nella gestione e nello sfruttamento dei contenuti e dei dati degli utenti.
_______
*Avv. Alessandro Candini, Studio Legale Finocchiaro