Mercati online ed e-commerce. Corte UE: responsabilità rafforzata sulla privacy

Pubblicato il 03 dicembre 2025

Mercato online: la Corte di giustizia dell’Unione europea definisce gli obblighi del gestore della piattaforma digitale nel trattamento dei dati personali contenuti negli annunci pubblicati dagli utenti.

Il gestore è titolare del trattamento, deve prevenire la diffusione illecita di dati sensibili e non può invocare l’esonero previsto dalla direttiva sul commercio elettronico.

Dati sensibili negli annunci: obblighi del gestore del mercato online

Con la sentenza del 2 dicembre 2025 (causa C-492/23), la Corte di giustizia dell’Unione europea (CGUE) ha fornito chiarimenti in ordine agli obblighi del gestore di mercato online, chiarendo quando tale soggetto debba essere considerato titolare del trattamento e quali misure debba adottare per prevenire la diffusione illecita di dati personali.

La decisione assume rilievo anche per l’intero settore dell’e-commerce, poiché conferma che la protezione dei dati personali prevale sulle esenzioni di responsabilità previste dalla normativa relativa ai servizi della società dell’informazione.

Il caso esaminato dalla Corte  

La Corte UE, nel caso esaminato, era stata chiamata a interpretare alcune disposizioni della direttiva sul commercio elettronico e del GDPR per chiarire gli obblighi del gestore di un mercato online nel trattamento dei dati personali pubblicati dagli utenti.

Pubblicazione di un annuncio contenente dati sensibili

Il rinvio pregiudiziale nasce da una controversia in cui una persona aveva richiesto a una società di diritto rumeno il risarcimento per la diffusione illecita dei suoi dati sensibili e la violazione dei suoi diritti alla vita privata e all’immagine.

Sebbene rimosso rapidamente, il contenuto era stato copiato e diffuso su altri siti, aggravando l’impatto sull’interessata.

Iter processuale e rinvio pregiudiziale  

Il giudice d’appello nazionale aveva chiesto alla Corte di giustizia di chiarire:

• se il gestore del mercato online fosse titolare del trattamento ai sensi del GDPR;
• se dovesse effettuare controlli preventivi sugli annunci;
• se potesse invocare l’esonero previsto dalla direttiva sul commercio elettronico, normativa centrale per i servizi dell’e-commerce.

Il quadro giuridico rilevante  

Il GDPR considera titolare del trattamento chi determina finalità e mezzi del trattamento dei dati personali. Ebbene, il gestore di un mercato online, definendo le modalità di pubblicazione, organizzazione e diffusione degli annunci, svolge un ruolo attivo nel trattamento dei dati e non può essere qualificato come semplice prestatore tecnico.

La direttiva sul commercio elettronico disciplina i servizi della società dell’informazione e l’e-commerce, ma non può limitare gli obblighi imposti dal GDPR, soprattutto quando sono trattati dati appartenenti a categorie particolari, come quelli relativi alla vita sessuale.

La decisione della CGUE 

Il gestore del mercato online è titolare del trattamento  

Secondo la CGUE, il gestore del mercato online non svolge una funzione meramente tecnica: determina le modalità di pubblicazione, la visibilità degli annunci, la loro classificazione e può riutilizzare i contenuti. Tali elementi configurano una titolarità del trattamento ai sensi del GDPR.

Obbligo di individuare gli annunci con dati sensibili  

In applicazione dei principi di protezione dei dati by design e by default, il gestore deve predisporre misure preventive idonee a identificare gli annunci che contengono dati rientranti nelle categorie particolari.

Verifica dell’identità dell’inserzionista e del consenso  

Prima della pubblicazione l’operatore deve:

• verificare l’identità dell’inserzionista,
• accertare se coincida con la persona cui si riferiscono i dati,
• richiedere il consenso esplicito dell’interessato se l’inserzionista è diverso.

In assenza di tale base giuridica, l’annuncio deve essere rifiutato.

Misure di sicurezza e prevenzione della diffusione illecita  

Ai sensi dell’articolo 32 GDPR, è necessario introdurre misure tecniche che impediscano o limitino la copia e la ripubblicazione degli annunci con dati sensibili. La rimozione ex post non è sufficiente se non accompagnata da misure preventive adeguate.

Il rapporto con la direttiva sul commercio elettronico  

La Corte di giustizia ha quindi chiarito che gli obblighi derivanti dal GDPR prevalgono sulle esenzioni di responsabilità previste dalla direttiva e-commerce. Il gestore non può qualificarsi come prestatore passivo quando partecipa al trattamento dei dati personali.

Interpretazione delle norme UE

Nell'interpretare la normativa comunitaria, la Corte UE, in definitiva, ha chiarito che:

• Il gestore di un mercato online è titolare del trattamento dei dati personali contenuti negli annunci pubblicati,
• Prima della pubblicazione degli annunci, il gestore deve:

1. individuare quelli che contengono dati sensibili ai sensi dell’articolo 9 GDPR;
2. verificare se l’inserzionista sia la persona cui i dati si riferiscono;
3. in caso contrario, rifiutare la pubblicazione salvo prova di un consenso esplicito dell’interessato o di un’altra eccezione prevista dal GDPR.

• Il gestore deve adottare misure di sicurezza tecniche e organizzative per impedire la copia e la diffusione illecita degli annunci contenenti dati sensibili su altri siti Internet.
• Il gestore non può invocare gli articoli 12-15 della direttiva sul commercio elettronico per escludere la propria responsabilità in caso di violazione degli obblighi stabiliti dal GDPR.

Nell'ambito dell'e-commerce e dei servizi digitali, quindi, il gestore che consente la pubblicazione di annunci e ne determina le modalità di diffusione è titolare del trattamento dei dati personali in essi contenuti.

Da ciò derivano obblighi di prevenzione, controllo e sicurezza che rafforzano significativamente la tutela degli interessati e impongono alle piattaforme un maggiore livello di responsabilità nella gestione dei contenuti generati dagli utenti.