Le piattaforme online non potranno più nascondersi dietro l’etichetta di “semplice hosting” quando i contenuti degli utenti contengono dati personali, soprattutto se sensibili. È il messaggio che arriva dalla sentenza della Corte di giustizia del 2 dicembre 2025, causa C-492/23, Russmedia Digital, destinata a far discutere chiunque lavori nel mondo del digitale.
La vicenda parte da un portale di annunci rumeno, Publi24, gestito da Russmedia. Un utente anonimo pubblica un annuncio che attribuisce a una donna la prestazione di servizi sessuali, usando sue foto reali e il numero di telefono, senza alcun consenso. L’annuncio viene poi copiato da altri siti, che lo ripropongono indicando il portale come fonte. Russmedia, dopo la segnalazione, rimuove il contenuto in meno di un’ora, ma il danno è già in circolo: le copie restano online su altri domini.
Il caso e l’intervento della Corte
La donna cita in giudizio la società, chiedendo il risarcimento per lesione dell’immagine, dell’onore, della vita privata e per il trattamento illecito dei suoi dati. In appello, il giudice rumeno considera il portale un semplice host, coperto dall’esonero di responsabilità previsto dalla normativa che recepisce la direttiva e-commerce. Secondo questa impostazione, il gestore risponde solo se, avvisato, non rimuove in tempi ragionevoli il contenuto segnalato.
A questo punto interviene la Corte di giustizia, chiamata a chiarire un punto chiave: un marketplace può ancora invocare il “safe harbour” quando vengono trattati dati personali, in particolare dati sensibili come quelli relativi alla vita sessuale?
La Corte parte da un dato semplice ma spesso rimosso nel dibattito: quelle foto e quel numero di telefono sono dati personali; le affermazioni sui presunti servizi sessuali rientrano nei dati particolari, la categoria più delicata per il GDPR. E quei dati non vengono solo caricati dall’utente. Il portale li ospita, li espone, li organizza.
Il principio che cambia la prospettiva
Nel contratto con gli utenti, Russmedia si riserva il diritto di utilizzare, copiare, distribuire, trasmettere, modificare, tradurre e cedere a partner i contenuti degli annunci, con piena libertà di rimozione in qualsiasi momento. Per i giudici europei questo basta per dire che la piattaforma non è un mero “supporto tecnico”, ma usa gli annunci per fini propri, anche commerciali. Risultato: il portale diventa titolare del trattamento dei dati personali contenuti negli annunci, insieme all’utente che li ha caricati.
Qui sta il punto di svolta per gli operatori digitali. L’esonero di responsabilità tipico dell’hosting continua a esistere, ma non copre la parte di attività in cui la piattaforma decide come usare, distribuire e monetizzare i dati. In quella zona, entra in gioco il GDPR con tutte le sue regole: responsabilizzazione, sicurezza, protezione dei dati fin dalla progettazione.
Tradotto in termini operativi, la Corte dice che un marketplace che permette la pubblicazione di annunci con potenziali dati sensibili deve dotarsi di strumenti per riconoscerli e bloccarli se non c’è una base giuridica adeguata, ad esempio un consenso valido dell’interessato. Non si chiede un controllo generale su tutto, ma misure mirate sui contenuti più rischiosi.
Per chi gestisce portali di annunci, piattaforme social o marketplace verticali, il messaggio è chiaro: se il modello di business si fonda sulla valorizzazione dei contenuti degli utenti, non basta più richiamare il “safe harbour”. Ogni contenuto che contiene dati personali, soprattutto sensibili, diventa anche una questione di responsabilità diretta della piattaforma.
