La Corte di giustizia UE, nella recente sentenza pronunciata nella causa C-492/23, ha chiarito come il gestore di marketplace sia titolare del trattamento dei dati personali contenuti negli annunci pubblicati e debba essere particolarmente attento nell'individuare quelli che contengono dati sensibili, verificando che l'inserzionista sia davvero la persona che figura nell'annuncio.
Su un sito internet di marketplace compariva un l'annuncio con cui una donna offriva servizi sessuali, corredato da foto e numero di telefono. In seguito, veniva accertato che questa non aveva pubblicato l'annuncio e che i dati erano stati diffusi senza il suo consenso, per cui la donna ne chiedeva la rimozione. La società di diritto rumeno proprietaria del sito provvedeva prontamente a rimuovere l'annuncio, ma questo era già stato ripreso da altri siti Internet, risultando, quindi, ancora pienamente accessibile. La donna si rivolgeva al Tribunale rumeno chiedendo la condanna della società proprietaria per lesione, tra gli altri, del diritto all'immagine, dell'onore e della normativa in materia di trattamento dei dati personali . Il Tribunale in primo grado le dava ragione, condannando la società al versamento di 7000 euro per danni morali. In sede d'appello, tuttavia, il giudice considerava la società esonerata da ogni profilo di responsabilità, dal momento che forniva un semplice servizio di hosting e, pertanto, non poteva essere ritenuta responsabile per i contenuti pubblicati dagli utenti. La donna impugnava innanzi alla Corte d'appello di Cluj e questa interpellava la Corte di giustizia, al fine di ottenere chiarimenti circa l'interpretazione degli obblighi gravanti sui gestori di mercato online ai sensi del GDPR (Regolamento UE 2016/679) e, in particolare, se questi possano godere dell' esonero di responsabilità previsto dalla direttiva 2000/31 per i prestatori di servizi d'informazione. La Corte ha chiarito che il gestore di un marketplace non può godere dell'esonero di responsabilità previsto dalla direttiva 2000/31 essendo titolare , ai sensi del GDPR, del trattamento dei dati personali contenuti negli annunci pubblicitari pubblicati sul proprio sito. Infatti, anche nel caso in cui l'annuncio sia inserito da un utente, questo viene reso disponibile solo grazie al mercato online . Pertanto, il gestore ha l'obbligo di individuare gli annunci che contengono dati sensibili e verificare che l'utente che si appresta alla pubblicazione sia effettivamente la persona i cui dati sono oggetto di diffusione. Se così non è, ha il divere di accertare che via sia stato un consenso esplicito alla pubblicazione. In sua assenza, quest'ultima deve essere rifiutata, a meno che non rientri in una delle eccezioni previste dallo stesso GDPR. Inoltre, il gestore deve anche provvedere a che gli annunci pubblicati sul proprio sito e contenenti dati sensibili non siano copiati e illecitamente diffusi da parte di altre piattaforme, mettendo in atto tutte le misure tecniche e organizzative necessarie. Fonte: IUS/UE e Internazionale
CGUE, 2 dicembre 2025, causa C-492/23