Qual è la responsabilità del gestore di un marketplace online per la pubblicazione di annunci contenenti dati personali e dati sensibili inseriti da terzi?
Nel fornire una risposta a questa domanda, la sentenza della Corte di giustizia dell'Unione europea (di seguito anche la “Corte”) nella causa C-492/23 (Russmedia Digital) qualifica il gestore come “titolare del trattamento” ai sensi dell'articolo 4(7) del Regolamento (UE) 2016/679 (“GDPR”), anche quando il contenuto degli annunci è determinato dagli utenti inserzionisti, configurando in determinati casi una contitolarità tra gestore e inserzionista.
Tale qualifica comporta l'applicazione integrale degli obblighi previsti dal GDPR, inclusi i principi di accountability, data protection by design e by default, oltre che l'obbligo di adottare misure tecniche e organizzative adeguate a individuare preventivamente annunci contenenti dati sensibili, verificare l'identità degli inserzionisti e impedire la riproduzione illecita dei contenuti.
La Corte esclude, infine, che il gestore-titolare del trattamento possa invocare l'esonero da responsabilità previsto dagli articoli 12-15 della Direttiva eCommerce 2000/31/CE (“Direttiva eCommerce”) a fronte di violazioni del GDPR, affermando la prevalenza del regime di protezione dei dati personali.
Una pronuncia, quella della Corte, che ha rilevanti implicazioni pratiche per i gestori di piattaforme digitali multi-sided, imponendo un ripensamento dei modelli di compliance e risk management in materia di protezione dei dati personali.
Il nostro counsel del dipartimento Privacy & Data Protection, Adriano D'Ottavio, approfondisce il tema nel seguente link.