CJUE: Le piattaforme di annunci sono responsabili per i dati personali pubblicati dagli utenti. Il caso è nato in Romania.

Bruxelles, 2 dicembre 2025 La Corte di Giustizia dell'Unione Europea ha stabilito che gli operatori delle piattaforme di annunci sono responsabili per la protezione dei dati personali pubblicati negli annunci caricati dagli utenti, essendo considerati "operatori di dati" ai sensi del GDPR. La sentenza obbliga i marketplace ad adottare misure proattive per verificare l'identità della persona interessata e confermare il consenso esplicito, nonché a impedire la ripubblicazione non autorizzata degli annunci su altri siti. La decisione ha una rilevanza maggiore per il mercato romeno, poiché la causa è partita dalla pubblicazione di un annuncio falso su una piattaforma romena.

In breve

La CJUE stabilisce che le piattaforme di annunci sono "operatori di dati" ai sensi del GDPR e portano responsabilità diretta.

Le piattaforme devono verificare l'identità e il consenso della persona interessata prima della pubblicazione dell'annuncio.

Il caso proviene dalla Romania, dove i dati di una donna sono stati utilizzati in un annuncio falso e ridistribuiti su altri siti.

Il caso è arrivato davanti alla CJUE dopo che una donna romena ha scoperto che le sue fotografie e il suo numero di telefono erano stati utilizzati in un annuncio pubblicato su una piattaforma online di annunci, senza il suo consenso. L'annuncio è stato successivamente copiato automaticamente e ridistribuito su altri siti, amplificando il danno. Sebbene questa abbia vinto in prima istanza, il tribunale d'appello ha sollevato interrogativi sulla responsabilità dell'operatore della piattaforma e ha rimandato la causa per chiarimenti alla Corte di Giustizia.

La Corte ha deciso che un marketplace che consente agli utenti di pubblicare annunci elabora attivamente i dati personali inclusi in quegli annunci. Pertanto, la piattaforma non può essere trattata come un semplice intermediario tecnico e non può avvalersi del regime "safe harbour" della Direttiva sul commercio elettronico. Secondo la visione della CJUE, l'operatore degli annunci ha l'obbligo di analizzare se i dati inclusi siano quelli della persona che pubblica l'annuncio, se la persona interessata ha dato il proprio consenso e se le informazioni non rientrano nella categoria dei dati sensibili protetti dall'articolo 9 del GDPR.

La sentenza introduce anche un obbligo supplementare: le piattaforme devono implementare misure tecniche per prevenire la copia e la ridistribuzione non autorizzata degli annunci – un aspetto di grande impatto in Romania, dove molti siti di annunci sono inclusi in reti automatiche di aggregazione.

La decisione della CJUE ha implicazioni dirette per tutte le piattaforme romene di annunci, in particolare quelle che consentono la pubblicazione di contenuti generati dagli utenti in modo non filtrato. Gli operatori dovranno rivedere e aggiornare le proprie procedure interne, verificare l'identità degli utenti in situazioni ad alto rischio, garantire la tracciabilità del consenso e implementare barriere tecniche anti-scraping. Per gli utenti, la sentenza offre un quadro chiaro di protezione quando i loro dati vengono utilizzati abusivamente in annunci falsi.

La sentenza della CJUE diventa vincolante per i tribunali della Romania e di tutti gli Stati membri dell'UE. Il fascicolo torna ora al tribunale romeno per la risoluzione di merito, in conformità con l'interpretazione giuridica stabilita dalla Corte.

https://2eu.brussels/articol/stiri/cjue-platformele-de-anunturi-sunt-responsabile-pentru-datele-personale-publicate-de-utilizatori-cazul-a-pornit-din-romania