Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

Corte UE

Le piattaforme diventano titolari del trattamento dati utente: la sentenza Russmedia

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La sentenza Russmedia della Corte di giustizia europea ridefinisce la responsabilità delle piattaforme digitali. I marketplace che utilizzano contenuti degli utenti per fini commerciali diventano titolari del trattamento, con obblighi specifici su dati sensibili e verifiche preventive

Pubblicato il 11 dic 2025
Antonino Polimeni

Avvocato, Polimeni.Legal

digital omnibus gdpr (1)

La responsabilità delle piattaforme subisce una profonda trasformazione con la sentenza Russmedia della Corte di giustizia europea.

Il tradizionale scudo del safe harbour cede il passo a obblighi stringenti quando i gestori di marketplace e social network determinano finalità e mezzi del trattamento dei dati personali contenuti nei contenuti generati dagli utenti.

Digital Services Act: i nuovi effetti e le responsabilità per le aziende italiane

Il cambio di paradigma sulla responsabilità delle piattaforme

Per anni ci siamo detti che i portali erano esenti da responsabilità e che nessuno potesse pretendere da loro una sorveglianza attiva sui contenuti. La sentenza della Corte di giustizia del 2 dicembre 2025, causa C-492/23, Russmedia Digital, sposta un po’ l’asticella.

L’hosting davvero “neutrale” diventa l’eccezione, e il gestore del marketplace che utilizza gli annunci per fini propri viene inquadrato come titolare del trattamento anche sui dati inseriti da parte delle aziende e degli utenti.

Il caso Publi24 e la rimozione tardiva dell’annuncio diffamatorio

Ma vediamo i fatti. Su un portale di annunci rumeno (www.publi24.ro), gestito da Russmedia, un utente non identificato pubblica un annuncio che attribuisce alla ricorrente la prestazione di servizi sessuali, utilizzando fotografie reali e numero di telefono, senza consenso.

L’annuncio viene poi copiato e ripubblicato su altri siti pubblicitari, indicandone la fonte. Russmedia, dopo la segnalazione, rimuove il contenuto in meno di un’ora, ma le copie restano online altrove. La ricorrente chiede il risarcimento per lesione dell’immagine, dell’onore, della vita privata e per trattamento illecito dei dati personali. In appello, il giudice nazionale ritiene Russmedia un semplice host, coperto dall’esonero di responsabilità della normativa rumena di recepimento dell’articolo 14 della direttiva e-commerce.

La questione pregiudiziale sulla compatibilità tra hosting e GDPR

La corte d’appello rumena rimette la questione alla CGUE e chiede, in sostanza, se il gestore di un mercato online possa continuare a invocare l’esonero dell’hosting quando è in gioco il GDPR e, in particolare, la pubblicazione di dati sensibili negli annunci. Fino ad oggi, il quadro sull’esonero delle piattaforme è stato sempre pacifico. Il prestatore di servizi che offre uno spazio per inserire foto o immagini non risponde dei contenuti caricati dagli utenti se non è a conoscenza della loro illiceità e interviene tempestivamente per rimuoverli o disabilitarne l’accesso una volta informato.

Nessuno gli impone un controllo preventivo generale, né un monitoraggio sistematico di tutto ciò che viene pubblicato: è questo lo schema dei safe harbour della direttiva e-commerce, oggi ripreso anche dal Digital Services Act come regola di partenza per gli intermediari della società dell’informazione.

Titolare del trattamento: la ricostruzione della Corte

La Corte, però, si concentra sugli aspetti relativi alla privacy e parte da una ricostruzione rigorosa della nozione di titolare del trattamento. È titolare chi determina, da solo o insieme ad altri, finalità e mezzi del trattamento. Inoltre, nei casi di “contitolarità“, questa non richiede un accordo formale unico; basta un concorso di decisioni che, insieme, definiscono la finalità e i mezzi, anche se i soggetti intervengono in fasi diverse e con intensità differenti.

Le condizioni generali di Russmedia e la qualificazione finale

Nel caso concreto, il titolare “principale” è l’utente inserzionista che decide contenuto e fine (diffamatorio) dell’annuncio. Tuttavia, la pubblicazione e la diffusione online avvengono solo perché il marketplace di Russmedia offre la sua infrastruttura e disciplina la modalità di esposizione degli annunci. Russsmedia, inoltre, si riserva nelle condizioni generali un potere molto ampio: utilizzare, copiare, distribuire, trasmettere, riprodurre, modificare, tradurre e cedere a partner i contenuti degli annunci, con possibilità di rimozione in qualsiasi momento.

Questo quadro porta la Corte a ritenere che la piattaforma non agisca solo “per conto” degli inserzionisti, ma anche per fini commerciali propri. Da qui discende la qualificazione: il gestore del marketplace diventa titolare (o contitolare) del trattamento dei dati personali contenuti negli annunci, perché incide in modo determinante su finalità (diffusione commerciale degli annunci) e mezzi (parametri di visualizzazione, classificazione, durata, rubriche, ecc.).

Dati sensibili e obblighi rafforzati dal GDPR

L’annuncio oggetto di causa contiene riferimenti a presunti servizi sessuali della ricorrente, uniti alle sue immagini e al recapito telefonico. La Corte qualifica queste informazioni come dati personali e, per la parte relativa alla vita sessuale, come dati particolari ai sensi dell’articolo 9, paragrafo 1, GDPR, cioè dati che godono di una tutela rafforzata e per i quali il trattamento è vietato salvo specifiche eccezioni.

Questo contesto porta la Corte a collegare in modo diretto il principio di responsabilizzazione di cui all’articolo 5, paragrafo 2, gli obblighi di adeguate misure tecniche e organizzative degli articoli 24 e 25, e il regime speciale dell’articolo 9 sui dati sensibili.

Gli obblighi specifici: individuazione, verifica e blocco preventivo

Il passaggio chiave è sintetizzato nelle risposte alla seconda e terza questione pregiudiziale: il gestore del mercato online, in quanto titolare del trattamento dei dati personali contenuti negli annunci, è tenuto, prima della pubblicazione, mediante misure tecniche e organizzative adeguate a individuare gli annunci che contengono dati sensibili, a verificare se l’utente inserzionista sia la stessa persona cui si riferiscono i dati sensibili e, conseguentemente, a rifiutare la pubblicazione quando l’inserzionista è un terzo e non fornisce la prova di un consenso esplicito dell’interessato o di un’altra base di liceità tra quelle previste dall’articolo 9, paragrafo 2.

La Corte non impone un controllo globale di tutto il contenuto circolante. Introduce invece un obbligo puntuale, diretto agli annunci che contengono dati sensibili, che il gestore sa o dovrebbe sapere che possono essere pubblicati sulla piattaforma, anche in forma anonima. Il marketplace deve quindi integrare “by design” sistemi idonei a intercettare ex ante questo tipo di contenuti e a bloccarli se privi di base giuridica.

Identificazione obbligatoria degli inserzionisti anonimi

Ma non basta. Infatti, la Corte rileva che il rischio di violazione dei diritti dell’interessato cresce quando l’inserzionista non coincide con la persona cui si riferiscono i dati e quando il marketplace consente la pubblicazione di annunci in forma anonima. E allora impone un ulteriore obbligo, forse il più ingombrante e rilevante: per garantire il rispetto dell’articolo 9, paragrafo 2, e degli obblighi di responsabilizzazione e protezione dei dati fin dalla progettazione, il gestore del mercato online deve acquisire l’identità dell’utente inserzionista, verificare se l’inserzionista sia la persona i cui dati sensibili compaiono nell’annuncio e predisporre misure idonee a rendere effettiva questa verifica prima della pubblicazione.

L’anonimato indiscriminato degli inserzionisti, quando il servizio consente la diffusione di dati così delicati, diventa quindi difficilmente compatibile con gli standard di diligenza che il GDPR pretende. Si tratta in tutta evidenza di una misura di sicurezza ragionevole, considerato il tipo di annunci. Una misura di sicurezza che probabilmente un consulente avrebbe anche rilevato in fase di assessment ma che adesso viene messa nero su bianco dalla corte e diventa quasi una nuova regola, che si unisce alla necessità di maggiori misure anche tecniche.

Misure contro la ripubblicazione illecita su altri siti

Infatti, il caso mostra un fenomeno frequente: l’annuncio viene rimosso dal marketplace originario, ma circola ancora su altri siti che lo hanno copiato, talvolta indicando la fonte. La Corte collega questo scenario all’articolo 32 GDPR (sicurezza del trattamento) e afferma che il gestore del marketplace, in quanto titolare, deve adottare appunto misure tecniche e organizzative adeguate per impedire che gli annunci contenenti dati sensibili siano riprodotti e pubblicati illecitamente su altri siti. La sentenza non descrive in dettaglio quali misure, ma indica la direzione parlando di valutazione specifica dei rischi di copia e scraping degli annunci, cautele contrattuali nei rapporti con eventuali partner a cui vengono ceduti i contenuti e misure tecniche che rendano più difficile l’estrazione massiva e la ripubblicazione non autorizzata. La Corte parla di rischio strutturale e prevedibile e, in tal caso, il sito non può limitarsi a considerare la riproduzione come un “effetto collaterale inevitabile” della pubblicazione.

La nuova frontiera della responsabilità delle piattaforme

La sentenza segna però un punto di svolta nella responsabilità dei portali di annunci e, più in generale, delle piattaforme che vivono di contenuti generati dagli utenti. Il meccanismo di esonero resta in piedi, ma smette di essere uno scudo “totale”. Quando il gestore utilizza gli annunci per finalità proprie, organizza la loro diffusione, li sfrutta commercialmente e, nel farlo, tratta anche dati personali, entra a pieno titolo nel perimetro del GDPR come titolare del trattamento. Da quel momento non basta più dire “sono solo un host”. La corte analizza molto bene il rapporto tra l’esonero di responsabilità per i prestatori intermediari previsto dagli articoli 12-15 della direttiva 2000/31 e il regime di responsabilità del GDPR. I giudici richiamano l’articolo 1, paragrafo 5, lettera b), della direttiva e-commerce (che esclude dal suo ambito le questioni già disciplinate dalla normativa privacy) e l’articolo 2, paragrafo 4, GDPR (che invece fa salvo il regime della direttiva, in particolare sugli articoli 12-15). Da questo combinato disposto emerge che:

  1. il fatto che un operatore sia obbligato al rispetto del GDPR non lo priva, in astratto, della possibilità di invocare le esenzioni della direttiva per altre questioni giuridiche;
  2. tuttavia, la direttiva non può interferire con il regime del GDPR quando sono in gioco obblighi e responsabilità specificamente legati alla protezione dei dati personali. In termini molto chiari, la Corte afferma che il gestore del sito, in quanto titolare del trattamento dei dati personali contenuti negli annunci, non può invocare gli articoli 12-15 della direttiva per sottrarsi alle violazioni degli obblighi derivanti dall’articolo 5, paragrafo 2, e dagli articoli 24-26 e 32 GDPR. L’obbligo di conformarsi al GDPR non viene qualificato come “obbligo generale di sorveglianza” vietato dall’articolo 15 della direttiva, ma come insieme di doveri mirati, ancorati al rischio specifico di trattamenti illeciti di dati sensibili in un contesto di marketplace.

Tre modelli di piattaforma dopo Russmedia

La sentenza della Corte di giustizia in esame ridisegna quindi, in modo piuttosto netto, il confine tra hosting “neutrale” e responsabilità da titolare del trattamento e, anche se si rivolge formalmente a un marketplace di annunci, il ragionamento della Corte si estende in realtà a ogni piattaforma che utilizza i contenuti degli utenti per finalità proprie. Ciò che rileva è il modo in cui l’operatore organizza, sfrutta e ridistribuisce i dati personali, più che l’etichetta commerciale del servizio. Emergono almeno tre modelli.

Social network e algoritmi come titolari del trattamento

In primo luogo, le grandi piattaforme social. Quando il servizio organizza il feed tramite algoritmi di ranking, utilizza i contenuti per la profilazione pubblicitaria, suggerisce connessioni, gruppi o pagine sulla base delle interazioni e misura l’engagement in funzione di obiettivi commerciali, la piattaforma definisce in modo autonomo finalità e mezzi del trattamento.

In questa configurazione assume il ruolo di titolare del trattamento per la fase di diffusione e organizzazione dei dati, con obblighi diretti rispetto alla pubblicazione di contenuti che includono dati personali.

Marketplace verticali e obblighi di verifica preventiva

In secondo luogo, i marketplace verticali di annunci. Se il gestore struttura rubriche, categorie e filtri di ricerca, promuove determinati annunci, si riserva contrattualmente ampi diritti di riuso, riproduzione e cessione dei contenuti a partner e consente la pubblicazione anonima in settori ad alto rischio per la vita privata, si colloca sulla stessa traiettoria considerata nella sentenza Russmedia.

L’operatore viene inquadrato come titolare o contitolare del trattamento, con il conseguente obbligo di identificare gli annunci che contengono dati personali e di rifiutarne la pubblicazione in assenza di una base giuridica adeguata, oltre al dovere di adottare misure di sicurezza per limitare copie e ripubblicazioni illecite su altri siti.

Il restringimento dell’hosting puro e neutrale

Infine, il modello dell’hosting effettivamente “puro” tende a restringersi. Restano in questa categoria solo i servizi che si limitano al trasporto o alla memorizzazione tecnica delle informazioni, senza sfruttamento commerciale dei contenuti, senza organizzazione autonoma della loro diffusione e senza condizioni generali che attribuiscano alla piattaforma un potere esteso di riuso dei dati.

In questi casi l’esonero della direttiva sul commercio elettronico continua a operare, purché il ruolo dell’operatore rimanga davvero tecnico, automatico e passivo.

Verso una responsabilizzazione strutturale delle piattaforme

La sentenza spinge quindi verso una lettura più esigente della responsabilità delle piattaforme digitali: ogni volta che il modello di business si fonda sulla valorizzazione dei contenuti generati dagli utenti, l’operatore entra stabilmente nel perimetro degli obblighi del GDPR come titolare del trattamento e non può confidare in una protezione ampia derivante dal solo regime di esenzione previsto per l’hosting.

Esempio applicativo: il profilo falso sui social network

Per tradurre la logica della sentenza in un esempio attuale, si può immaginare una piattaforma social di grandi dimensioni in cui un utente crea un profilo falso a nome di una persona reale, utilizza fotografie estratte da altri contesti e utilizza una sua email. In tale contesto la piattaforma:

  • utilizza quei contenuti per alimentare il feed, il ranking, le raccomandazioni, la misurazione dell’engagement;
  • tratta le interazioni per finalità pubblicitarie e di profilazione;
  • riceve più segnalazioni da parte degli utenti, oppure registra pattern tipici di account anomali (creazione recente, comportamento aggressivo, uso di immagini già coinvolte in violazioni precedenti). Alla luce della sentenza Russmedia, una piattaforma che esercita questo livello di controllo e sfruttamento dei contenuti non può più rifugiarsi nella figura dell’host neutrale. Il ruolo che assume nel trattamento è quello di titolare (o contitolare) per la fase di diffusione e di organizzazione dei dati personali. Il GDPR, interpretato come nella decisione su Russmedia, porta a ritenere che la piattaforma debba predisporre misure tecniche e organizzative idonee a individuare contenuti che contengono almeno dati particolari, verificare, con mezzi proporzionati, l’affidabilità dell’account quando emergono indizi di usurpazione di identità e, soprattutto, intervenire rapidamente con rimozione, limitazione della diffusione, blocco dell’account e, se del caso, strumenti che limitino la ripubblicazione non autorizzata degli stessi contenuti su altri servizi collegati. In questo scenario, il tema non diventa se la piattaforma “sapesse” con certezza che il profilo è fake, ma se, considerando il proprio modello di funzionamento, abbia adottato una configurazione del servizio coerente con gli obblighi di responsabilizzazione, protezione dei dati fin dalla progettazione e sicurezza che la sentenza esige per i marketplace digitali quando in gioco ci sono dati sensibili e rischi elevati per la vita privata delle persone interessate.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Antonino Polimeni
Avvocato, Polimeni.Legal
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
AI per il lavoro
Mobile security
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • gpt 5.1

  • openai vs garante

    ChatGpt in tribunale: dall'Italia un test chiave per la governance AI

    27 Mag 2025

    di Valeria Marina Affer

    Condividi
  • gdpr

  • GDPR

    GDPR, tutto ciò che c'è da sapere per essere in regola

    04 Giu 2025

    di Anna Cataleta e Alessandro Longo

    Condividi