Dal 2011, l’eccellenza legale per il mondo digitale: scelti da migliaia di siti, web agency e imprese digitali

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Il Marketplace è titolare del trattamento: commento a Corte di giustizia e conseguenze per gli ecommerce

11/12/2025

Il Marketplace è titolare del trattamento: commento a Corte di giustizia e conseguenze per gli ecommerce


La sentenza della Corte di Giustizia dell’Unione Europea del 2 dicembre 2025 (causa C-492/23, Russmedia Digital) rappresenta un passaggio fondamentale per tutti i gestori di marketplace e piattaforme che consentono agli utenti di pubblicare annunci.

La Corte chiarisce infatti che il gestore non può essere considerato un semplice intermediario tecnico, ma assume il ruolo di titolare del trattamento dei dati personali contenuti negli annunci caricati dagli utenti.

Questo principio implica obblighi nuovi, più stringenti e soprattutto proattivi, che si riflettono immediatamente sull’operatività delle piattaforme digitali, incluse le realtà italiane che offrono servizi di annunci, compravendita o scambio di beni e servizi.


SOMMARIO

Il caso Russmedia Digital: cosa è accaduto
La decisione della Corte di Giustizia
Gli obblighi prima della pubblicazione degli annunci
Gli obblighi dopo la pubblicazione
La direttiva ecommerce non offre alcuna protezione
Perchè questa sentenza è importante per i marketplace
Rischi e responsabilità in caso di inadempimento
Box di approfondimento - il consiglio dell'avvocato
Checklist operativa
Conclusione

Il caso Russmedia Digital: cosa è accaduto

La controversia nasce dal sito rumeno Publi24.ro, un marketplace in cui gli utenti possono pubblicare annunci gratuiti o a pagamento. Nel 2018 viene pubblicato un annuncio falso secondo cui una donna offriva servizi sessuali; l’annuncio contiene foto rubate e il numero di telefono della vittima.

La piattaforma rimuove il contenuto dopo un’ora dalla segnalazione, ma ormai la diffusione su altri siti era già avvenuta. La donna agisce in giudizio per violazione della privacy e dell’immagine, ottenendo un risarcimento in primo grado. In appello la società viene invece ritenuta esente da responsabilità come “hosting provider passivo”.

La Corte d’appello rumena solleva la questione dinanzi alla Corte di Giustizia UE, chiedendo se il gestore del marketplace possa davvero invocare le esenzioni previste dagli articoli 12–15 della Direttiva sul commercio elettronico.

La decisione della Corte UE: il marketplace è un titolare del trattamento

La Corte afferma con nettezza che il gestore di un marketplace determina “finalità e mezzi” della pubblicazione degli annunci e, di conseguenza, è titolare del trattamento ex art. 4(7) GDPR.

Anche se il contenuto è caricato dall’utente, la pubblicazione avviene grazie alla piattaforma, che ne decide l’organizzazione, le modalità di visibilità e la struttura tecnica. Ciò basta per qualificare il gestore come soggetto attivo nel trattamento.

Ne deriva che il gestore ha l’obbligo di rispettare tutte le regole del GDPR, con particolare attenzione alle categorie particolari di dati di cui all’art. 9, come dati relativi alla vita sessuale, alla salute, alle convinzioni religiose o politiche.

Gli obblighi del marketplace prima della pubblicazione degli annunci

Uno degli elementi più innovativi della sentenza riguarda l’obbligo di controlli preventivi lato privacy. La Corte afferma infatti che il gestore deve adottare misure tecniche e organizzative idonee a identificare, prima della pubblicazione, gli annunci che contengono dati sensibili.

Il controllo non può essere lasciato interamente all’utente: la piattaforma deve verificare se l’inserzionista sia effettivamente la persona cui i dati si riferiscono, oppure se disponga di un consenso esplicito alla pubblicazione.

Se tali verifiche non possono essere compiute, il marketplace deve rifiutare la pubblicazione dell’annuncio. L’uso delle eccezioni dell’art. 9 GDPR, come noto, è strettamente limitato e non può essere impiegato in contesti commerciali ordinari.

markplace gestione dei dati personali

Gli obblighi dopo la pubblicazione: prevenire la copia e la diffusione non autorizzata

La Corte introduce un principio particolarmente rilevante: il gestore deve intervenire anche dopo la pubblicazione degli annunci.

In particolare deve mettere in atto misure di sicurezza adeguate per impedire che contenuti sensibili vengano copiati, scaricati o ripubblicati illecitamente su altri siti. Ciò significa che i marketplace devono predisporre sistemi anti-scraping, limitazioni sui download, controlli automatizzati, watermarking delle immagini e ogni altra misura coerente con il principio di “accountability” e con il livello di rischio del trattamento lato privacy.

La direttiva e-commerce non offre alcuna protezione

Un aspetto cruciale chiarito dalla Corte riguarda il rapporto tra GDPR e Direttiva e-commerce.

Le norme che esentano gli hosting provider dalla responsabilità sui contenuti (artt. 12–15) non si applicano quando il gestore svolge un ruolo attivo nella pubblicazione e nel trattamento dei dati personali.

Nel caso dei marketplace, questo ruolo attivo è strutturale: la piattaforma organizza, indicizza e rende accessibili gli annunci. La tutela del GDPR, quindi, resta pienamente operativa.

Perché questa sentenza è importante per i marketplace

La decisione introduce un modello di responsabilità più incisivo.

Le piattaforme devono dotarsi non solo di sistemi di rimozione rapida, ma soprattutto di procedure preventive, capaci di individuare dati sensibili e di verificare la legittimità del contenuto prima che sia pubblicato.

È probabile che, nel prossimo futuro, controlli automatizzati basati su intelligenza artificiale e verifica dell’identità degli inserzionisti diventino standard di settore, affiancati da moderazione umana per i casi più delicati.
Si tratta di un cambiamento significativo sia per le aziende che gestiscono marketplace, sia per le web agency che realizzano piattaforme per conto dei clienti, poiché la compliance dovrà essere integrata fin dall’architettura del servizio.

Rischi e responsabilità in caso di inadempimento

La mancata adozione delle misure richieste espone il gestore a responsabilità molto elevate, sia amministrative sia civilistiche. Le sanzioni previste dagli articoli 83 GDPR possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale.

Inoltre, la vittima di un illecito ha diritto al risarcimento del danno ai sensi dell’art. 82 GDPR, senza contare il danno reputazionale che una vicenda del genere comporta.

La vicenda di Russmedia dimostra che una rimozione rapida dell’annuncio non basta a escludere la responsabilità, soprattutto quando la diffusione è già avvenuta.

Box di approfondimento – Il consiglio dell’avvocato

Le piattaforme che consentono agli utenti di pubblicare contenuti devono rivedere i propri flussi operativi. È opportuno definire politiche interne di moderazione preventiva, introdurre sistemi di verifica dell’identità degli inserzionisti e aggiornare il registro dei trattamenti con una descrizione specifica delle operazioni relative agli annunci.

Nei casi più delicati, una valutazione d’impatto privacy (DPIA) è non solo raccomandata, ma spesso necessaria.

Checklist operativa finale

  • Valutare se la piattaforma consente la pubblicazione autonoma di contenuti e aggiornare il ruolo privacy come “titolare del trattamento”.

  • Introdurre controlli preventivi per identificare dati sensibili negli annunci e verificare l’identità dell’inserzionista.

  • Implementare procedure documentate per il consenso esplicito nei casi in cui i dati riguardino terze persone.

  • Predisporre misure di sicurezza per impedire copia, scraping e diffusione illecita dei contenuti.

  • Aggiornare informazioni privacy, registro dei trattamenti e, ove necessario, predisporre una DPIA.

markplace titolare dei dati personali

Conclusione

La sentenza C-492/23 impone ai gestori di marketplace un approccio più maturo e responsabile al trattamento dei dati personali. Non è più sufficiente rimuovere un contenuto segnalato: il GDPR richiede controlli preventivi, verifiche di identità e misure tecniche di protezione che evitino la diffusione incontrollata di dati sensibili.

Le piattaforme che sapranno adattarsi rapidamente ridurranno il rischio sanzionatorio e offriranno agli utenti un ambiente più sicuro e conforme.

Con LegalBlink è possibile ottenere tutta la documentazione legale necessaria per i marketplace: non solo informative e policy privacy, ma anche condizioni di adesione, regole di pubblicazione degli annunci, clausole contrattuali per gli inserzionisti e assetti di responsabilità adeguati al modello della piattaforma.

Proprio perché queste realtà presentano profili giuridici complessi e altamente personalizzati, tali documenti non vengono predisposti tramite un semplice generatore automatico. La loro redazione avviene attraverso una consulenza legale dedicata, costruita sulle caratteristiche concrete del marketplace, sui flussi di dati e sulle modalità operative del servizio.

In un contesto normativo sempre più rigoroso, affidarsi a un supporto legale specializzato consente di ridurre il rischio sanzionatorio e di strutturare il marketplace su basi solide, coerenti con il GDPR e con le più recenti indicazioni della Corte di Giustizia UE.

Team LegalBlink



Ultime notizie dal blog

17/01/2026

Privacy Policy per Ecommerce 2026: guida pratica per la conformità GDPR Scopri come pubblicare una privacy policy per ecommerce a norma GDPR. Evita reclami e pesanti sanzioni del Garante Privacy

Leggi tutto

16/01/2026

Contratto con freelance: guida 2026 per aziende Hai appena firmato un contratto con un freelance? Ecco cosa devi controllare per tutelarti e avviare una collaborazione professionale senza sorprese.

Leggi tutto

15/01/2026

Registro dei trattamenti GDPR: guida completa per siti web ed e-commerce 2026 Scopri cos’è il registro dei trattamenti GDPR, chi deve redigerlo e come compilarlo correttamente. Esempi pratici e modelli per siti web ed e-commerce.

Leggi tutto