Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

corte di giustizia

Sentenza UE sui dati sensibili: come adeguare marketplace e piattaforme

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

La sentenza della Corte di Giustizia UE impone ai gestori di marketplace controlli preventivi sui contenuti che trattano dati sensibili. Cambiano responsabilità, basi giuridiche, verifiche sull’identità dell’inserzionista e assetti organizzativi, con un modello di compliance più oneroso e strutturato per le piattaforme digitali

Pubblicato il 8 mag 2026
Stefano Saglimbeni

Avvocato, Foro di Torino

minacce ibride rischi informatici sentenza deloitte diritto di accesso
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

La nuova disciplina sui dati sensibili impone ai gestori di piattaforme digitali un controllo preventivo molto più ampio, incidendo su responsabilità, procedure di upload, verifica dell’identità e organizzazione interna.

Le piattaforme diventano titolari del trattamento dati utente: la sentenza Russmedia

Dati sensibili nei marketplace: cosa cambia per i provider

Abbiamo già avuto modo di esaminare il punto di svolta nella disciplina della responsabilità dei prestatori di servizi della società dell’informazione costituito dalla recente pronuncia della Corte di Giustizia dell’Unione Europea (sentenza 2 dicembre 2025, causa C-492/23) con cui il tradizionale principio di esenzione da responsabilità così come codificato dalla normativa di settore, fondato sulla neutralità tecnica del provider, viene interessato da una profonda revisione per l’ipotesi di trattamenti di dati appartenenti a categorie particolari ai sensi del Regolamento Generale sulla Protezione dei Dati.

La Corte introduce, infatti, un obbligo inedito secondo cui i gestori di piattaforme online sono oggi tenuti a adottare misure preventive utili a gestire e intercettare azioni lesive a contenuto “sensibile”, superando la logica dell’intervento ex post: “il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto, prima di pubblicare gli annunci, e mediante misure tecniche e organizzative adeguate, – ad individuare gli annunci che contengono dati sensibili, a norma dell’articolo 9, paragrafo 1, di detto regolamento; – a verificare se l’utente inserzionista che si appresta a collocare un annuncio di questo tipo sia la persona i cui dati sensibili figurano in tale annuncio e, in caso contrario, – a rifiutare la pubblicazione di quest’ultimo, a meno che tale utente inserzionista possa dimostrare che la persona interessata ha prestato il proprio consenso esplicito affinché i dati in questione siano pubblicati in tale mercato online, ai sensi di detto articolo 9, paragrafo 2, lettera a), o che sia soddisfatta una delle altre eccezioni previste da tale articolo 9, paragrafo 2, lettere da b) a j)”.

Il sistema europeo, dalla direttiva 2000/31/CE fino al Digital Services Act, ha costruito un modello di responsabilità “attenuata” per il quale l’operatore non risponde dei contenuti caricati dagli utenti terzi qualora non abbia conoscenza effettiva dell’illiceità e laddove, una volta informato sul fatto lesivo, intervenga tempestivamente nel senso della rimozione. La Corte ha dunque ridefinito tale assetto per il caso di trattamenti lesivi riguardanti dati appartenenti a categorie particolari, stabilendo così il principio di prevalenza degli obblighi derivanti dal GDPR per i quali il provider diviene, a tutti gli effetti, titolare del trattamento, con le responsabilità che ne derivano.

Dati sensibili nei marketplace: il nuovo perimetro operativo

Le ragioni tecnico – normative di tali conclusioni e le considerazioni sulla stessa opportunità giuridica dell’orientamento, sono state estesamente trattate in un precedente articolo al quale si rimanda; nell’attuale sede, la trattazione avrà invece un approccio pratico volto all’individuazione di possibili misure tecnico organizzative utili al conseguimento della conformità.

Per quanto, dunque, non si possa parlare di un obbligo di sorveglianza generalizzata, nella pratica, si impone sostanzialmente un onere di controllo sistematico per tutte le categorie di contenuti potenzialmente sensibili: gli operatori debbono dunque adoperarsi nel senso di una vigilanza proattiva volte ad anticipare e intercettare preventivamente ogni contesto di lesività. Le aziende che gestiscono piattaforme digitali devono, pertanto, ripensare profondamente i propri modelli organizzativi e procedurali.

Nel nuovo contesto, l’operatore non può dunque più limitarsi alle precedenti misure di verifica “contestuale” o “successiva” quali, a titolo esemplificativo e non esaustivo, il controllo automatico – eventualmente seguito da verifica manuale – operato su contenuti già pubblicati piuttosto che la predisposizione di un sistema semplice e immediato per consentire all’utente di segnalare, in modo agile e conforme, eventuali violazioni (al quale deve sempre seguire una risposta pronta ed efficace finalizzata alla rimozione del contenuto). Tali procedure potranno e dovranno essere mantenute, nell’ottica di contribuire al contenimento dell’azione lesiva e delle sue conseguenze pregiudizievoli, quali misure di emergenza per tutti quei casi in cui la vigilanza proattiva abbia fallito non riuscendo nell’intento di impedire il contenuto lesivo.

In termini generali, il nuovo principio impone ai gestori di marketplace e piattaforme digitali di adottare misure tecniche e organizzative idonee, prima di tutto, a individuare preventivamente contenuti di natura “sensibile” vale a dire interessati da dati appartenenti a categorie particolari ai sensi del GDPR (salute, orientamento sessuale, convinzioni religiose, ecc.), ma anche di informazioni che, per inferenza, possano rivelare tali aspetti. Su tale ultimo punto si è già avuto modo di constatare che la giurisprudenza costante interpreta estensivamente il tema nel senso di ricomprendere e attrarre alla regolamentazione in materia di categorie particolari quei dati, di per sé anche comuni, che rivelino informazioni di tipo “sensibile”, all’esito di un’operazione intellettuale di deduzione o di raffronto.

Come intercettare i contenuti prima della pubblicazione

Attraverso la predisposizione di misure e automatismi capaci di individuare in modo esatto contenuti di tipo sensibile, l’operatore potrà opportunamente restringere il campo dei contesti rilevanti, sotto il profilo della potenziale lesività, ai quali applicare gli ulteriori step di verifica.

Categorie, sezioni e contesti sensibili

Nel caso in cui la piattaforma sia organizzata per categorie/sottocategorie e/o sezioni, sarà possibile indirizzare l’attività di verifica proattiva concentrandosi, prima di tutto, su quelle categorie/sezioni a contenuto dichiaratamente “sensibile”. Tale modalità, senz’altro utile ed efficace, non è tuttavia sufficiente in quanto di per sé inidonea a neutralizzare contenuti “particolari” inseriti in sezioni con prerogative di tipo “comune”, magari anche solo per errore dell’inserzionista; è dunque opportuno predisporre misure capaci individuare il dato sensibile al di là della categoria o sezione in cui il contenuto è stato inserito.

Possono rispondere a tali esigenze automatismi informatici volti a individuare inserzioni e/o contenuti interessati da parole con significato direttamente o indirettamente riferibile a dati appartenenti a categorie particolari, tenendo altresì conto di “significanti” potenzialmente sensibili in ragione di un contesto tale da renderli allusivi. In quest’ottica, è altresì doveroso che tali automatismi abbiano la capacità di individuare contesti di trattamenti sensibili anche per inferenza, compiendo dunque una valutazione sul carattere particolare del contenuto nel suo complesso al di là della rilevanza individuata dei singoli dati o parole. Identica azione deve essere svolta con riferimento a simboli (ad esempio, emoticon, ecc.) o immagini utilizzate nei contenuti nell’ottica di poter cogliere l’eventuale portata sensibile sai diretta sia indiretta.

Analisi semantica e controllo manuale

In ultima analisi, può ritenersi misura idonea quella di adottare sistemi di rilevazione automatica dei dati sensibili capaci di identificare contenuti a rischio, rilevare anche informazioni indirette o deducibili, classificando i risultati i dati in tempo reale. Un simile risultato può essere conseguito solo attraverso l’impiego e l’implementazione di strumenti e sistemi di analisi semantica e intelligenza artificiale, opportunamente “allenati” e perfezionati, capaci di leggere, comprendere, interpretare, contestualizzare e – persino – vedere su larga scala, andando così ad individuare immediatamente, su una mole di dati potenzialmente amplissima, ogni contesto di rilevanza sotto il profilo Privacy.

Tale sistema andrà impostato secondo una modalità di individuazione estensiva che vada a includere, cautelativamente, anche situazioni “innocue” o al limite, nell’ottica di sottoporle, eventualmente, al controllo “manuale” di risorse umane preposte, opportunamente formate e istruite. In tali ipotesi, potrà essere inserito un automatismo per sospendere la procedura di upload così da dare al personale modo e tempo di operare. L’eventuale gestione di un dato comune sostanzialmente ininfluente alla stregua di un dato appartenente a categorie particolari andrebbe a costituire, invero, ipotesi – quantomeno – di trattamento irregolare, in violazione del principio di minimizzazione ma anche di liceità laddove vi sarebbe un errore sotto il profilo dell’individuazione della base giuridica.

Dati sensibili nei marketplace e base giuridica del trattamento

Una volta constatato il carattere sensibile del contenuto va accertata la base giuridica del trattamento anche sotto il profilo del corretto adempimento degli adempimenti previsti dalla normativa privacy. È dunque, prima di tutto, necessario verificare la sussistenza del consenso esplicito o di altra condizione di liceità prevista dall’art. 9 GDPR. Nel contesto dei Marketplace, si intende, la stragrande maggioranza dei trattamenti di dati appartenenti a categorie particolari – se non la totalità – andrà riferita alla base giuridica del consenso.

Durante la procedura di upload, all’utente dovrà dunque essere sottoposta l’informativa Privacy aggiornata e completa ex art. 13 GDPR con separato modulo digitale del consenso – come sempre, espresso, separato e specifico – da esprimere attraverso flag della casella, non precompilata, corrispondente alla dicitura di accettazione.

Identità dell’interessato e limiti delle verifiche

Strettamente connesso al profilo del consenso, dovendo questo essere prestato dall’effettivo interessato, è il dirimente tema della verifica dell’identità del terzo utente o inserzionista il quale deve necessariamente coincidere con l’interessato a cui i dati si riferiscono, questione che, tra l’altro, ha dato origine alla pronuncia della Corte di Giustizia. Il fatto storico oggetto della decisione riguardava, infatti, l’annuncio a sfondo sessuale pubblicato da un soggetto non identificato, contenente la foto e il contatto telefonico di una donna ignara. Trattasi di un fenomeno grave e oltremodo diffuso per il quale molti operatori del settore sono stati sottoposti, presso le corrispondenti Autorità di controllo nazionali, a procedure sanzionatorie.

Tuttavia, ancora prima di trattare il tema delle misure atte all’accertamento dell’identità tra inserzionista e interessato a cui i dati si riferiscono, è opportuno stabilire in quali contesti detta verifica sia necessaria o superflua.

Il carattere personale del dato si fonda sul concetto di identificazione e/o identificabilità della persona a cui il dato si riferisce; ne discende che la verifica dovrà essere effettuata e portata a termine ogni qual volta il contenuto sia caratterizzato da dati personali utili a identificare, direttamente o indirettamente, una persona specifica. Ciò può dunque avvenire, in via diretta, con l’indicazione di dati quali il nome e il cognome (eventualmente anche contenuti in un indirizzo e-mail), fotografie o altro tipo di immagine che rendano visibile e riconoscibile l’interessato o, in via indiretta, tramite l’indicazione di contatti personali quali, ad esempio, il numero di telefono. In assenza di dati è analoghi ci si sente di escludere la sussistenza del criterio dell’identificabilità.

Verifica tramite numero di telefono

Venendo alle misure utili all’accertamento dell’identità del soggetto interessato, a cui i dati pubblicati si riferiscono, ferma l’esigenza di poter tracciare e registrare l’intera operazione, può essere efficace procedere con verifica ad autenticazione rafforzata tramite OTP da esperirsi direttamente sul numero di telefono inserito nell’inserzione; tale procedura esclude, salva l’ipotesi di spossessamento del cellulare o della scheda telefonica, che possa verificarsi la più comune ipotesi di lesività, ossia la pubblicazione di un contatto appartenente a un terzo ignaro.

I limiti dell’e-mail e del documento di identità

Qualora l’inserzione contenga il solo indirizzo e-mail, la verifica con invio di codice OTP risulta meno efficace, data la facilità con cui è notoriamente possibile procurarsi recapiti di posta elettronica, anche di tipo temporaneo. In questi casi, è dunque opportuno procedere con una disamina caso per caso andando a valutare, sulla base del contenuto, se vi sia il rischio oggettivo che l’interessato a cui i dati si riferiscono risulti identificabile. Tale rischio, a ben vedere, ricorre prevalentemente nell’ipotesi di indicazione di un nominativo inequivoco e/o di fotografie nelle quali il soggetto ritratto sia chiaramente riconoscibile. Di certo, anche alla luce della natura sensibile dei dati, l’identificazione del soggetto tramite la richiesta del documento di identità risulterebbe sproporzionata e contrastante con il principio di minimizzazione del dato di cui all’art. 1, lett. C GDPR, che richiede trattamenti adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. In tale ambito, pertanto, la richiesta del documento di riconoscimento risulterebbe proporzionata se non addirittura lesiva delle prerogative di riservatezza.

L’unica misura sicura ed efficace per l’operatore, qualora non sia praticabile la verifica sicura con autenticazione tramite cellulare, è dunque quella di non pubblicare, con blocco automatico ed eventuale verifica manuale successiva (human in the loop), contenuti di tipo sensibile nei quali il soggetto interessato risulti identificabile per “nominativo”, immagine o altro elemento caratterizzante.

Da esaminare caso per caso l’ipotesi di inserzionisti professionali che inseriscono, nell’esercizio della relativa attività imprenditoriale, dati sensibili relativi a terzi interessati; al riguardo, è sensato che l’operatore certifichi le qualità professionali/imprenditoriali nonché l’affidabilità di siffatti professionisti, procurandosi la ragionevole certezza, sotto forma di assunzione di responsabilità o impegno contrattuale, che il consenso dei singoli interessati alla pubblicazione sul portale dell’operatore sia stato effettivamente prestato.

Dati sensibili nei marketplace: audit, costi e compliance

Si delinea pertanto un quadro nel quale è opportuno prevedere processi complessi e stratificati da sottoporre a continua verifica (audit) nell’ottica di ridurre il rischio di errori sistemici, dimostrare l’accountability in caso di contenzioso, favorire l’aggiornamento e l’implementazione del sistema.

L’adeguamento, soprattutto per operatori con elevati volumi di traffico e dimensioni rilevanti, comporta costi significativi sia in termini economici sia di energie mentre per le realtà più piccole sussiste il rischio oggettivo che tali maggiori oneri costituiscano una barriera all’ingresso.

La sentenza della Corte di Giustizia, nel perimetro dei dati sensibili, pone dunque il provider in un nuovo scenario in cui la compliance, oltre a costituire un obbligo normativo, diviene elemento strutturale del business digitale, decisivo per elidere il rischio di violazioni e relative conseguenze sul piano sanzionatorio e risarcitorio; nel bilanciamento tra libertà d’impresa e tutela dei diritti fondamentali, la protezione dei dati personali assume un ruolo sempre più centrale e vincolante.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Stefano Saglimbeni
Avvocato, Foro di Torino
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • politica USA AI

  • intelligenza artificiale

    AI, Trump vuole la deregulation. Ecco gli impatti anche su UE

    11 Dic 2025

    di Maurizio Carmignani

    Condividi
  • cybersecurity (1) cybersecurity servizi fiduciari cybersecurity trust service cybersecurity per i professionisti rischio cyber terze parti

  • sicurezza

    Terze parti e rischio cyber: strategie per supply chain resilienti

    23 Dic 2025

    di Enrico Ferretti

    Condividi
  • informativa privacy (1) collaborazione Garante Privacy AGCM; gestione documenti d'identità in hotel

  • privacy e concorrenza

    Authority unite contro gli abusi nel marketing online: l'accordo Gpdp-Agcm

    06 Nov 2025

    di Alessandra Zuccollo

    Condividi
0
Lascia un commento, la tua opinione conta.x