Una sentenza storica del 2 dicembre 2025 riscrive le regole per i portali di annunci e i marketplace. Cade l’esonero di responsabilità per la Privacy: chi gestisce la piattaforma è “Titolare del Trattamento” e deve verificare l’identità degli utenti prima della pubblicazione. Il commento dell’Avv. Manuela Borgese (AICEL).
Marketplace e GDPR: la Corte UE abbatte lo scudo dell’hosting passivo
Il panorama giuridico per i mercati digitali ha subito una scossa sismica con la recente sentenza della Grande Sezione della Corte di Giustizia dell’Unione Europea nella causa C-492/23. I giudici di Lussemburgo hanno stabilito un principio che ridefinisce radicalmente il perimetro di azione di ogni marketplace e portale di annunci operante nel mercato unico: lo scudo della “responsabilità limitata”, storicamente garantito dalla Direttiva E-commerce (2000/31/CE) e confermato dal Digital Services Act, non trova applicazione quando si parla di protezione dei dati personali.
Il caso Russmedia Digital: il fallimento del modello “Notice and Takedown” La vicenda trae origine in Romania, sul portale publi24.ro, dove un annuncio falso a sfondo sessuale era stato pubblicato utilizzando foto e contatti di una donna a sua completa insaputa. Nonostante la piattaforma avesse rimosso il contenuto entro un’ora dalla segnalazione, il danno era ormai consolidato a causa della rapida propagazione dei dati su altri siti. La difesa della società si basava sul classico dogma dell’hosting provider passivo: un semplice intermediario tecnico senza obblighi di sorveglianza preventiva.
La Corte UE ha tuttavia rigettato questa interpretazione. Nel momento in cui un marketplace organizza, indicizza e trae profitto economico dalla visibilità degli annunci, assume il ruolo di Titolare del Trattamento (o contitolare). Questa qualifica comporta responsabilità dirette e proattive che superano la logica della rimozione ex-post.
L’obbligo di “Know Your Customer” (KYC) e la verifica preventiva Il punto di maggiore attrito per i merchant e gli eCommerce manager riguarda il trattamento dei dati sensibili ai sensi dell’articolo 9 del GDPR. La sentenza specifica che, qualora un annuncio contenga informazioni che rivelano la sfera privata o la vita sessuale, il gestore deve implementare misure tecniche e organizzative per identificare tali contenuti prima della pubblicazione.
Non è più sufficiente una registrazione anonima o tramite una semplice e-mail. La piattaforma ha l’obbligo di verificare con certezza l’identità dell’inserzionista o, in alternativa, accertarsi che quest’ultimo disponga del consenso esplicito del soggetto i cui dati sono pubblicati. In assenza di tali garanzie, la pubblicazione deve essere negata. Questo impone una revisione strutturale dei processi di onboarding, spostando l’onere della prova e della sicurezza direttamente sul gestore del sito.
Protezione dei dati e contrasto allo scraping Oltre alla fase di pubblicazione, la Corte pone l’accento sulla sicurezza del dato nel tempo. I gestori sono chiamati ad adottare barriere tecnologiche robuste per impedire lo scraping automatico. La perdita di controllo sulle informazioni personali, che finiscono per essere copiate e ripubblicate altrove, è ora considerata una violazione della sicurezza imputabile al titolare della piattaforma.
Il parere dell’Avv. Manuela Borgese (AICEL) L’impatto per le aziende italiane è stato analizzato dall’Avv. Manuela Borgese, Vice Presidente di AICEL (Associazione Italiana Commercio Elettronico): “Questa decisione segna il tramonto definitivo del marketplace neutrale. La Corte impone il passaggio dalla reattività alla proattività. Gli imprenditori devono comprendere che la responsabilità oggettiva sul dato diventa un rischio d’impresa non più mitigabile con semplici disclaimer nei Termini e Condizioni”.
Secondo Borgese, è urgente un audit dei processi: “In ottica di compliance, è necessario integrare sistemi di Identity Verification e filtri semantici capaci di intercettare categorie particolari di dati. Ignorare questa evoluzione espone le aziende a sanzioni che, come noto, possono raggiungere il 4% del fatturato globale”. Per approfondire le buone pratiche di gestione, i merchant possono fare riferimento al Codice di Condotta AICEL, che già delinea standard elevati di trasparenza.
Checklist operativa per i gestori di e-commerce Per adeguarsi alla sentenza C-492/23, le piattaforme dovrebbero agire su tre fronti:
- Identificazione certa: implementare procedure di verifica dell’identità per gli inserzionisti che caricano contenuti potenzialmente sensibili.
- Moderazione proattiva: dotarsi di strumenti di intelligenza artificiale o filtri manuali per la scansione preventiva dei testi e delle immagini.
- Sicurezza infrastrutturale: aggiornare i protocolli anti-bot per minimizzare il rischio di estrazione massiva dei dati da parte di terzi.
In un contesto normativo sempre più stringente, come evidenziato anche dalle recenti disposizioni del Digital Omnibus, la tutela della privacy non è più un adempimento formale, ma il pilastro centrale della fiducia tra piattaforma e utente.
