La responsabilità dei provider entra in una nuova fase dopo la sentenza della Corte di Giustizia UE del 2 dicembre 2025 (C 492/23), che incide sul rapporto tra GDPR ed esoneri previsti per i prestatori di servizi della società dell’informazione, soprattutto quando sono coinvolti dati appartenenti a categorie particolari.
Indice degli argomenti
L’impatto della sentenza della Corte di Giustizia europea
L’innovativa e recente giurisprudenza della Corte di Giustizia Europea, Sentenza del 2 dicembre 2025 nella causa C 492/23, ha rivoluzionato e rivoluzionerà la disciplina della responsabilità applicabile ai fornitori di servizi della società dell’informazione (provider), con riferimento all’ambito Privacy e sotto il profilo specifico di lesioni inerenti a dati appartenenti a categorie particolari (un tempo dati sensibili).
La decisione modifica nella sostanza la portata della normativa vigente in tema di responsabilità degli operatori nel settore dei servizi digitali, disconoscendo in parte, come si vedrà, lo stesso GDPR nella misura in cui il vigente art 2, paragrafo n. 4, prevede espressamente, quantomeno nel suo tenore letterale, la salvaguardia del regime favorevole di responsabilità.
Nel contesto della società dell’informazione, espressione che indica l’ecosistema economico fondato sull’uso di tecnologie digitali e servizi online, i servizi della società dell’informazione comprendono tutte le prestazioni fornite a distanza, via rete e su richiesta individuale dell’utente. Vi rientrano tanto i servizi di connessione (access provider) quanto quelli di hosting, di gestione di piattaforme, portali o marketplace digitali (hosting provider o intermediary services provider).
Il caso concreto e la domanda alla Corte di Giustizia UE
Il fatto storico oggetto della decisione riguarda una società operativa in ambito UE, proprietaria di un sito web nel quale gli utenti possono pubblicare, sia gratuitamente sia a pagamento, annunci di vario genere, principalmente finalizzati alla vendita di beni o servizi. In tale contesto, un soggetto non identificato ha pubblicato un’inserzione contenente la foto e il contatto telefonico di una donna nel quale venivano offerti servizi sessuali.
L’interessata, venuta a conoscenza del contenuto, pubblicato senza il proprio consenso, ha dapprima chiesto e ottenuto la rimozione dell’annuncio, per poi promuovere un’azione risarcitoria nei confronti della società proprietaria del sito. Nell’ambito della vicenda giudiziaria, la Corte d’Appello (rumena) ha deciso di rimettersi alla Corte di Giustizia Ue per chiarire se il gestore di un mercato on line sia o meno tenuto agli obblighi del GDPR in ragione dell’esonero da responsabilità previsto dalla direttiva 2000/31/Ce, sul commercio elettronico, per i prestatori di servizi della società dell’informazione in base agli articoli da 12 a 15.
Direttiva e-commerce 2000/31/CE e responsabilità dei provider
Va premesso che tale regolamentazione, dapprima attuata in Italia con il D. Lgs. 70/2003, delinea obblighi e responsabilità dei fornitori di servizi della società dell’informazione (provider), introducendo un regime di responsabilità limitata per i provider (hosting, caching, mera trasmissione). In particolare, gli articoli da 12 a 15 della Direttiva 2000/31/CE disciplinano il regime di responsabilità dei prestatori di servizi della società dell’informazione, introducendo un sistema di limitazioni di responsabilità fondato sul ruolo effettivamente svolto dal provider rispetto ai contenuti trasmessi o memorizzati.
In particolare, la direttiva distingue tre categorie di operatori: i servizi di mere conduit (art. 12), che si limitano a trasmettere informazioni su una rete di comunicazione senza originarle né modificarle; i servizi di caching (art. 13), che effettuano una memorizzazione automatica, temporanea e transitoria dei dati al solo fine di rendere più efficiente la trasmissione e i servizi di hosting (art. 14), che consistono nella memorizzazione di informazioni fornite da un destinatario del servizio.
Per tali provider, la responsabilità per i contenuti illeciti caricati da terzi è esclusa a condizione che il prestatore svolga un ruolo meramente tecnico, automatico e neutro, non abbia conoscenza effettiva dell’illiceità e, una volta informato, agisca prontamente per rimuovere o disabilitare l’accesso ai contenuti. L’articolo 15 completa il sistema vietando, agli Stati membri ricettori della disciplina, l’imposizione di un obbligo generale di sorveglianza preventiva sui contenuti trasmessi o memorizzati.
DSA e conferma degli esoneri di responsabilità
Tale linea normativa è confermata dall’art. 8 del REG. (UE) 2022/2065 (il cosiddetto DSA – Digital Services Act – Regolamento sui Servizi Digitali) che ai propri articoli da n. 4 a n. 6 conferma, nuovamente, il principio generale di esenzione da responsabilità in capo ai prestatori di servizi.
Sul punto, è oltremodo significativo il considerando n. 18, secondo il quale vige, al contrario, il regime di responsabilità per gli operatori/intermediari che svolgano un ruolo attivo atto a conferire la conoscenza o il controllo delle informazioni o per informazioni fornite o elaborate dallo stesso prestatore. Ne deriva un modello di responsabilità graduata che tutela i provider passivi ma esclude l’esonero dalla responsabilità per gli operatori che assumano un ruolo attivo nella gestione, organizzazione o diffusione dei contenuti.
Provider passivo e provider attivo: confini e criticità applicative
In generale, il provider passivo è quell’intermediario che si limita a fornire un servizio tecnico, automatico e neutro di memorizzazione o trasmissione di contenuti generati da terzi, senza svolgere un controllo preventivo né esercitare un’influenza sul contenuto caricato.
Diversamente, un provider “attivo” — che, a titolo esemplificativo, interviene nella presentazione, promozione, creazione o selezione dei contenuti, traendone un coinvolgimento economico diretto — non beneficia del regime di esenzione di responsabilità previsto dalla Direttiva.
Tale distinzione, molto chiara in astratto, non sempre si realizza in concreto laddove i criteri e gli indicatori utili ad individuare l’appartenenza all’una e all’altra categoria sono molteplici, contribuendo così a delineare un sistema non “binario” sotto il profilo dell’applicazione della disciplina degli esoneri; a titolo esemplificativo, se è pacifico che risponde quale responsabile l’operatore che interviene sui contenuti offrendo consulenza o appropriandosene, meno definito è il tema riguardo ad azioni che incidano ad esempio (e si deve poi vedere in concreto con quali specificità operative e incidenza) sulla classificazione del contenuto, sulle modalità di pubblicazione o sulla sua visibilità.
La giurisprudenza interna prima della svolta del dicembre 2025
Ad ogni modo, senza aprire digressioni che richiederebbero una trattazione separata, fatti salvi casi in cui il ruolo attivo dell’operatore sia evidente, i prestatori non rispondono per i contenuti illeciti pubblicati/trasmessi da terzi, salvo il caso in cui, venuti a conoscenza del fatto lesivo, omettano di agire prontamente nel senso della rimozione o disabilitazione.
Trattasi di un principio pacifico e consolidato anche nella Giurisprudenza interna, quantomeno sino al dicembre 2025. Si segnala, al riguardo, la recentissima Ordinanza della Corte di Cassazione N. 17360 del 27.06.2025 (che precede di appena 5 mesi la decisione della Corte di Giustizia Europea): “il prestatore di servizi informatici che assuma il ruolo di hosting provider non attivo va, di regola, esente dalla responsabilità per la pubblicazione delle eventuali informazioni illecite che provengano dai terzi – e, più specificamente, in relazione alla problematica oggetto della presente controversia – per tutti gli eventuali commenti diffamatori inviati dai terzi, ma, una volta che egli acquisisca la consapevolezza della manifesta illiceità degli stessi (in qualunque modo, anche non necessariamente a seguito di una comunicazione delle autorità competenti, sebbene, in tale ultimo caso, possa essere più agevole percepire il carattere “manifesto” dell’illiceità), è tenuto ad attivarsi per rimuoverli tempestivamente, per continuare a godere dell’esenzione dalla indicata responsabilità”. Ciò a conferma, per quanto concerne la materia, di un quadro univoco che per anni ha investito all’unisono tutti i formanti del diritto.
Il nuovo principio CGE: obblighi ex ante su dati appartenenti a categorie particolari
In tale contesto, incombe la CGE, emanando il seguente rivoluzionario principio: “il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto, prima di pubblicare gli annunci, e mediante misure tecniche e organizzative adeguate, – ad individuare gli annunci che contengono dati sensibili, a norma dell’articolo 9, paragrafo 1, di detto regolamento; – a verificare se l’utente inserzionista che si appresta a collocare un annuncio di questo tipo sia la persona i cui dati sensibili figurano in tale annuncio e, in caso contrario, – a rifiutare la pubblicazione di quest’ultimo, a meno che tale utente inserzionista possa dimostrare che la persona interessata ha prestato il proprio consenso esplicito affinché i dati in questione siano pubblicati in tale mercato online, ai sensi di detto articolo 9, paragrafo 2, lettera a), o che sia soddisfatta una delle altre eccezioni previste da tale articolo 9, paragrafo 2, lettere da b) a j)”.
Il rapporto con l’assenza di sorveglianza generale e la giurisprudenza pregressa
Il carattere innovativo e – come si vedrà – creativo del principio è denunciato dalla stessa Corte di Giustizia laddove, nelle premesse adottate nel testo del provvedimento, conferma i principi originari della direttiva nel senso dell’esclusione di un obbligo generale di controllo preventivo in capo agli operatori del settore: Lo stesso vale per l’articolo 15 della direttiva 2000/31, in forza del quale gli Stati membri non possono imporre ai prestatori, per la prestazione dei servizi di cui in particolare all’articolo 14 di detta direttiva, un obbligo generale di sorveglianza. Inoltre, l’obbligo per il gestore di un mercato online di conformarsi ai requisiti derivanti dal RGPD non può, in ogni caso, essere qualificato come un siffatto obbligo generale di sorveglianza (punto n. 132).
Al punto n. 38, la pronuncia ammette poi «conformemente a tale giurisprudenza, non sussista alcun obbligo per i gestori di mercati online di compiere una verifica preliminare sulle informazioni o sugli annunci pubblicati dagli utenti inserzionisti…”: riconoscendo dunque l’assenza dell’obbligo di verifica preliminare nella stessa propria pregressa Giurisprudenza.
I casi citati nel punto, L’Oréal (C-324/09, EU:C:2011:474) e Papasavvas, (C-291/13, EU:C:2014:2209), riguardano, invero, ipotesi in cui è richiesta un’azione di regola ex post sulla base della sopravvenuta ed effettiva conoscenza sull’illeceità dell’informazione, come prova il riferimento espresso all’art. 14 paragrafo, n. 1, lettera B, della Direttiva, secondo cui l’operatore è esonerato se “non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso”.
Articolo 2, paragrafo 4, GDPR e “salvaguardia” degli esoneri
Ancora, al proprio punto n. 133, la CGE ammette: “D’altra parte, l’articolo 2, paragrafo 4, del RGPD prevede che tale regolamento non pregiudica l’applicazione della direttiva 2000/31, in particolare gli articoli da 12 a 15 della medesima, relativi alla responsabilità dei prestatori intermediari di servizi”, confermando così il dato letterale di salvaguardia del regime favorevole di responsabilità previsto dal testo dello stesso GDPR, laddove l’art 2, paragrafo n. 4, prevede espressamente: “il presente regolamento non pregiudica l’applicazione della direttiva 2000/31/CE, in particolare delle norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva”.
L’interpretazione sistematica della CGE e la prevalenza della protezione dati
Il punto è cruciale alla luce dei successivi punti n. 134 e 135, nei quali la Corte si produce in una “sofisticata” interpretazione sistematica che sembra superare, ad avviso dello scrivente, il dato letterale del suddetto art. 2, par. 4 del GDPR: “133 D’altra parte, l’articolo 2, paragrafo 4, del RGPD prevede che tale regolamento non pregiudica l’applicazione della direttiva 2000/31, in particolare gli articoli da 12 a 15 della medesima, relativi alla responsabilità dei prestatori intermediari di servizi. 134 Tale articolo 2, paragrafo 4, deve essere inteso nel senso che il fatto che un operatore sia il titolare di obblighi prescritti dal RGPD non esclude automaticamente che tale operatore possa avvalersi degli articoli da 12 a 15 della direttiva 2000/31 per questioni diverse da quelle relative alla protezione dei dati personali. 135 Dal combinato disposto dell’articolo 1, paragrafo 5, lettera b), della direttiva 2000/31 e dell’articolo 2, paragrafo 4, del RGPD risulta quindi che le disposizioni di tale direttiva, in particolare i suoi articoli da 12 a 15, non possono interferire con il regime di tale regolamento.”.
In estrema sintesi, secondo la Corte, i precetti in materia di protezione dei dati personali prevalgono sui principi e sugli esoneri della Direttiva, i quali resterebbero validi solo in ambiti “extra Privacy”. Adottando quest’ordine ermeneutico, la Corte si “smarca”, peraltro, dall’insidiosa classificazione tra i provider cosiddetti attivi e passivi, che resta dunque significativa soltanto in ambiti estranei alla tutela dei dati personali, andando a risolvere la questione in termini di prevalenza generale degli obblighi in capo all’operatore nella propria qualità di titolare del trattamento rispetto agli esoneri di cui lo stesso beneficia nella sua veste di gestore di un mercato on line.
Il ruolo della CGE e il carattere creativo del nuovo obbligo
Alla luce di quanto sopra, si evidenzia il carattere creativo del nuovo obbligo emanato dalla CGE, organo che unisce a compiti meramente interpretativi, prerogative di armonizzazione dell’ordinamento sia adottando – o enunciando – principi generali sia colmando lacune normative, con pronunce con valore formalmente vincolante (dunque equiparabili alla normativa), da cui l’interprete non può discostarsi.
Impatti operativi: misure tecnico-organizzative e costi di adeguamento
Poiché la decisione chiarisce che il (nuovo) regime dipende dall’appartenenza a categorie particolari dei dati trattati nell’ambito della violazione, è opportuno che gli operatori adottino misure e procedure tecnico-organizzative utili, prima di tutto, a individuare velocemente i contenuti appartenenti a dette categorie, tenendo conto del fatto che tali non si limitano al dato specifico e individuato in sé, risultando la tipologia, secondo giurisprudenza costante, suscettibile di interpretazione estensiva nel senso di ricomprendere e attrarre a sé tutti quei dati, di per sé anche comuni, che rivelino informazioni di tipo “sensibile”, all’esito di un’operazione intellettuale di deduzione o di raffronto.
È poi necessario verificare che l’utente/inserzionista/ecc. coincida con l’interessato a cui i dati si riferiscono, dovendo, in caso contrario, rifiutare la pubblicazione, salva la prova del consenso dell’effettivo interessato.
Se si pensa a operatori di medie o grandi dimensioni, per i quali il flusso di utenti è dati si assesta nelle migliaia di unità, il costo dell’adeguamento è, senza dubbio rilevante, risultando necessarie, unitamente alle procedure e al controllo umano, un’infrastruttura automatica affidabile di verifica “intelligente” sulla natura dei dati e certa sugli utenti.
