Interessanti questioni decise dalla CG 02.12.2025, C-492/23, X c. Russiamedia Digital+1, concernenti il mancato blocco di un annuncio lesivo della privacy comparso sulla piattaforma www.public24.ro della Russmedia Digital.
Le quattro questioni sollevate dal giudice di appello rumeno:
«1) Se gli articoli da 12 a 14 della [direttiva 2000/31] si applichino anche a un prestatore di servizi [della società dell’]informazione del tipo memorizzazione-hosting che mette a disposizione degli utenti un sito in cui possono essere pubblicati annunci gratuiti o a pagamento, il quale sostiene che il suo ruolo nella pubblicazione degli annunci degli utenti è puramente tecnico (messa a disposizione della piattaforma), ma che, attraverso i termini e le condizioni generali di utilizzo del sito, indica di non rivendicare un diritto di proprietà sui contenuti forniti o pubblicati, caricati o trasmessi, conservando però il diritto di utilizzare i contenuti, incluso copiarli, distribuirli, trasmetterli, pubblicarli, riprodurli, modificarli, tradurli, cederli a partner e rimuoverli in qualunque momento, anche senza aver bisogno di un motivo in tal senso.
2) Se, secondo l’interpretazione dell’articolo 2, paragrafo 4, dell’articolo 4, punti 7 e 11, dell’articolo 5, paragrafo 1, lettera f), dell’articolo 6, paragrafo 1, lettera a), degli articoli 7, 24 e 25 del [RGPD] e dell’articolo 15 della direttiva 2000/31, un siffatto prestatore di servizi [della società dell’] informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto a verificare prima della pubblicazione di un annuncio se vi sia identità tra la persona che pubblica l’annuncio e il proprietario dei dati personali a cui si riferisce l’annuncio.
3) Se, secondo l’interpretazione dell’articolo 2, paragrafo 4, dell’articolo 4, punti 7 e 11, dell’articolo 5, paragrafo 1, lettera f), dell’articolo 6, paragrafo 1, lettera a), degli articoli 7, 24 e 25 del [RGPD] e dell’articolo 15 della direttiva 2000/31/CE, un siffatto prestatore di servizi [della società dell’]informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto a verificare previamente il contenuto degli annunci spediti da utenti, al fine di escludere quelli aventi un possibile carattere illecito o che possono pregiudicare la vita privata e familiare di una persona.
4) Se, secondo l’interpretazione dell’articolo 5, paragrafo 1, lettere b) e f), degli articoli 24 e 25 del [RGPD] e dell’articolo 15 della direttiva 2000/31, un siffatto prestatore di servizi [della società dell’]informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto ad applicare misure di salvaguardia tali da impedire o limitare la riproduzione e la ridistribuzione del contenuto degli annunci pubblicati per il suo tramite».
Risposta alla seconda e terza questione :
“L’articolo 5, paragrafo 2, e gli articoli da 24 a 26 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
devono essere interpretati nel senso che:
il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto, prima di pubblicare gli annunci, e mediante misure tecniche e organizzative adeguate,
– ad individuare gli annunci che contengono dati sensibili, a norma dell’articolo 9, paragrafo 1, di detto regolamento;
– a verificare se l’utente inserzionista che si appresta a collocare un annuncio di questo tipo sia la persona i cui dati sensibili figurano in tale annuncio e, in caso contrario,
– a rifiutare la pubblicazione di quest’ultimo, a meno che tale utente inserzionista possa dimostrare che la persona interessata ha prestato il proprio consenso esplicito affinché i dati in questione siano pubblicati in tale mercato online, ai sensi di detto articolo 9, paragrafo 2, lettera a), o che sia soddisfatta una delle altre eccezioni previste da tale articolo 9, paragrafo 2, lettere da b) a j)”.
Risultato quasi scontato, alla luce degli artt 24-26 GDPR.
Riposta alla quarta questione:
“l’articolo 32 del RGPD deve essere interpretato nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto a mettere in atto misure di sicurezza tecniche e organizzative adeguate al fine di impedire che annunci ivi pubblicati e contenenti dati sensibili, a norma dell’articolo 9, paragrafo 1, di detto regolamento, siano riprodotti e illecitamente pubblicati su altri siti Internet”.
Idem come sopra.
Risposta alla prima questione:
“l’articolo 1, paragrafo 5, della direttiva 2000/31 e l’articolo 2, paragrafo 4, del RGPD devono essere interpretati nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, del RGPD, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, non può invocare – a fronte di una violazione degli obblighi derivanti dall’articolo 5, paragrafo 2, e dagli articoli da 24 a 26 e 32 di tale regolamento – gli articoli da 12 a 15 di detta direttiva relativi alla responsabilità dei prestatori intermediari“.
Era la questione più interessante. Il suo esito però non soprende: il safe harbor UE ex dir. 2000/31 riguarda la responsabilità per fatti altrui (dell’utente), non del provider. Qui invece le censure di negligenza organizzativa riguardano la condotta di quest’ultimo.