Corte di giustizia dell'Unione Europea
Grande Sezione
Sentenza 2 dicembre 2025
Presidente: Lenaerts - Relatrice: Jürimäe
«Rinvio pregiudiziale - Protezione dei dati personali - Regolamento (UE) 2016/679 - Articolo 4, punto 7 - Nozione di "titolare del trattamento" - Responsabilità del gestore di un mercato online per la pubblicazione dei dati personali contenuti in annunci collocati nel suo mercato online da parte di utenti inserzionisti - Articolo 5, paragrafo 2 - Principio della responsabilità - Articolo 26 - Contitolarità con questi utenti inserzionisti - Articolo 9, paragrafo 1 e paragrafo 2, lettera a) - Annunci contenenti dati sensibili - Liceità del trattamento - Consenso - Articoli 24, 25 e 32 - Obblighi del titolare del trattamento - Previa individuazione degli annunci contenenti tali dati - Verifica preliminare dell'identità dell'utente inserzionista - Rifiuto della pubblicazione di annunci illeciti - Misure di sicurezza atte a impedire la copia degli annunci e la loro pubblicazione su altri siti Internet - Commercio elettronico - Direttiva 2000/31/CE - Articoli da 12 a 15 - Possibilità per un tale gestore di invocare, a fronte della violazione di tali obblighi, l'esonero da responsabilità di un prestatore intermediario di servizi della società dell'informazione».
Nella causa C‑492/23, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dalla Curtea de Apel Cluj (Corte d'appello di Cluj, Romania), con decisione del 15 giugno 2023, pervenuta in cancelleria il 3 agosto 2023, nel procedimento X contro Russmedia Digital SRL, Inform Media Press SRL.
[...]
1. La domanda di pronuncia pregiudiziale verte sull'interpretazione degli articoli da 12 a 15 della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico») (GU 2000, L 178, pag. 1), nonché dell'articolo 2, paragrafo 4, dell'articolo 4, punti 7 e 11, dell'articolo 5, paragrafo 1, lettere b) e f), dell'articolo 6, paragrafo 1, lettera a), e degli articoli 7, 24 e 25 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGDP»).
2. Tale domanda è stata presentata nell'ambito di una controversia tra, da un lato, una persona fisica, X, e, dall'altro, la Russmedia Digital SRL e la Inform Media Press SRL (in prosieguo, congiuntamente: la «Russmedia»), in merito ad un'azione risarcitoria del danno morale subìto dalla ricorrente nel procedimento principale a causa del trattamento illecito di suoi dati personali nonché della violazione del suo diritto all'immagine, all'onore e alla vita privata.
Contesto normativo
Diritto dell'Unione
Direttiva 2000/31
3. Ai sensi dei considerando 14, 42, 46 e 52 della direttiva 2000/31:
«(14) La protezione dei singoli relativamente al trattamento dei dati personali è disciplinata unicamente dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati [GU 1995, L 281, pag. 31)], e dalla direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni [(GU 1998, L 24, pag. 1)], che sono integralmente applicabili ai servizi della società dell'informazione. (...) L'applicazione della presente direttiva deve essere pienamente conforme ai principi relativi alla protezione dei dati personali, in particolare per quanto riguarda le comunicazioni commerciali non richieste e il regime di responsabilità per gli intermediari. La presente direttiva non può impedire l'utilizzazione anonima di reti aperte quali Internet.
(...)
(42) Le deroghe alla responsabilità stabilita nella presente direttiva riguardano esclusivamente il caso in cui l'attività di prestatore di servizi della società dell'informazione si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione. Siffatta attività è di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell'informazione non conosce né controlla le informazioni trasmesse o memorizzate.
(...)
(46) Per godere di una limitazione della responsabilità, il prestatore di un servizio della società dell'informazione consistente nella memorizzazione di informazioni deve agire immediatamente per rimuovere le informazioni o per disabilitare l'accesso alle medesime non appena sia informato o si renda conto delle attività illecite. La rimozione delle informazioni o la disabilitazione dell'accesso alle medesime devono essere effettuate nel rispetto del principio della libertà di espressione e delle procedure all'uopo previste a livello nazionale. La presente direttiva non pregiudica la possibilità per gli Stati membri di stabilire obblighi specifici da soddisfare sollecitamente prima della rimozione delle informazioni o della disabilitazione dell'accesso alle medesime
(...)
(52) (...) I danni che possono verificarsi nell'ambito dei servizi della società dell'informazione sono caratterizzati sia dalla loro rapidità che dalla loro estensione geografica. Stante questa peculiarità, oltre che la necessità di vigilare affinché le autorità nazionali non rimettano in questione la fiducia che esse dovrebbero reciprocamente avere, la presente direttiva dispone che gli Stati membri garantiscano la possibilità di azioni giudiziarie appropriate (...)».
4. L'articolo 1 della direttiva 2000/31, intitolato «Obiettivi e campo d'applicazione», prevede quanto segue:
«1. La presente direttiva mira a contribuire al buon funzionamento del mercato interno garantendo la libera circolazione dei servizi della società dell'informazione tra Stati membri.
(...)
5. La presente direttiva non si applica:
(...)
b) alle questioni relative ai servizi della società dell'informazione oggetto delle direttive [95/46] e [97/66];
(...)».
5. La sezione 4 del capo II della direttiva 2000/31, intitolata «Responsabilità dei prestatori intermediari», includeva, nella versione applicabile alla controversia nel procedimento principale, gli articoli da 12 a 15. Gli articoli 12 e 13 di quest'ultima riguardavano, conformemente ai loro rispettivi titoli, il «Semplice trasporto ("Mere conduit")» e la «Memorizzazione temporanea detta "caching"».
6. L'articolo 14 di detta direttiva, intitolato «Hosting», così disponeva:
«1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell'informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non sia responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore:
a) non sia effettivamente al corrente del fatto che l'attività o l'informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l'illegalità dell'attività o dell'informazione, o
b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso.
2. Il paragrafo 1 non si applica se il destinatario del servizio agisce sotto l'autorità o il controllo del prestatore.
3. Il presente articolo lascia impregiudicata la possibilità, per un organo giurisdizionale o un'autorità amministrativa, in conformità agli ordinamenti giuridici degli Stati membri, di esigere che il prestatore ponga fine ad una violazione o la impedisca nonché la possibilità, per gli Stati membri, di definire procedure per la rimozione delle informazioni o la disabilitazione dell'accesso alle medesime».
7. L'articolo 15 della stessa direttiva, intitolato «Assenza dell'obbligo generale di sorveglianza», prevedeva, ai paragrafi 1 e 2, quanto segue:
«1. Nella prestazione dei servizi di cui agli articoli 12, 13 e 14, gli Stati membri non impongono ai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.
2. Gli Stati membri possono stabilire che i prestatori di servizi della società dell'informazione siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o a comunicare alle autorità competenti, a loro richiesta, informazioni che consentano l'identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati».
Il RGPD
8. Ai sensi dei considerando 4, 10, 39, 51, 74, 75, 78 e 85 del RGPD:
«4) Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla [Carta dei diritti fondamentali dell'Unione europea (in prosieguo: la "Carta")], sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
(...)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un'applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione. (...)
(...)
(39) Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l'informazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente in relazione alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano (...)
(...)
(51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (...) Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento (...). Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l'altro se l'interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio delle libertà fondamentali
(...)
(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest'ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l'efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare (...) furto o usurpazione d'identità, (...) pregiudizio alla reputazione (...) se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali (...)
(...)
(78) La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. (...)
(...)
(85) Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità (...) pregiudizio alla reputazione (...)».
9. L'articolo 1 di tale regolamento, intitolato «Oggetto e finalità», al paragrafo 2, dispone quanto segue:
«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».
10. L'articolo 2 di detto regolamento, rubricato «Ambito d'applicazione materiale» prevede, al suo paragrafo 4:
«Il presente regolamento non pregiudica pertanto l'applicazione della direttiva [2000/31], in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva».
11. L'articolo 4 del citato regolamento, rubricato «Definizioni», è formulato come segue:
«Ai fini del presente regolamento s'intende per:
1) "dato personale" qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) "titolare del trattamento" la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
(...)
11) "consenso dell'interessato": qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
(...)».
12. Il capo II del RGPD, intitolato «Principi», comprende in particolare gli articoli da 5 a 9.
13. L'articolo 5 di tale regolamento, intitolato «Principi applicabili al trattamento di dati personali», prevede quanto segue:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceità, correttezza e trasparenza");
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (...) ("limitazione della finalità");
(...)
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati ("esattezza");
(...)
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ("integrità e riservatezza").
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo ("responsabilizzazione")».
14. L'articolo 6 di detto regolamento, intitolato «Liceità del trattamento», al paragrafo 1, primo comma, così dispone:
«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore».
15. L'articolo 7 del medesimo regolamento, dal titolo «Condizioni per il consenso», al suo paragrafo 1 così dispone:
«Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali».
16. L'articolo 9 del RGPD rubricato «Trattamento di categorie particolari di dati personali», stabilisce quanto segue:
«1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;
(...)».
17. L'articolo 13 dello stesso regolamento, intitolato «Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato», al paragrafo 1, lettera a), dispone quanto segue:
«In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante».
18. L'articolo 14 del regolamento in parola, intitolato «Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato», al paragrafo 1, lettera a), recita quanto segue:
«Qualora i dati non siano stati ottenuti presso l'interessato, il titolare del trattamento fornisce all'interessato le seguenti informazioni:
a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante (...)».
19. All'interno del capo III, intitolato «Diritti dell'interessato», del regolamento medesimo, l'articolo 17, a sua volta intitolato «Diritto alla cancellazione ("diritto all'oblio")», ai paragrafi 1 e 2 prevede quanto segue:
«1. L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
(...)
d) i dati personali sono stati trattati illecitamente;
(...)
2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali».
20. Il capo IV del RGPD, intitolato «Titolare del trattamento e responsabile del trattamento», contiene, alla Sezione 1, a sua volta rubricata «Obblighi generali», in particolare gli articoli da 24 a 26 di quest'ultimo.
21. L'articolo 24 di detto regolamento, dal titolo «Responsabilità del titolare del trattamento», prevede, al suo paragrafo 1, quanto segue:
«Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario».
22. L'articolo 25 del medesimo regolamento, intitolato «Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita», ai suoi paragrafi 1 e 2 enuncia quanto segue:
«1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica».
23. L'articolo 26 di detto regolamento, intitolato «Contitolari del trattamento», al paragrafo 1 enuncia quanto segue:
«Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati».
24. A norma dell'articolo 32 del RGPD, rubricato «Sicurezza del trattamento»:
«1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri».
25. L'articolo 82 di tale regolamento, intitolato «Diritto al risarcimento e responsabilità», ai paragrafi da 1 a 3, così dispone:
«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile».
26. L'articolo 94 del medesimo regolamento dispone quanto segue:
«1. La direttiva [95/46] è abrogata a decorrere dal 25 maggio 2018.
2. I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. (...)».
Diritto rumeno
27. L'articolo 11 della Legea nr. 365/2002 privind comerțul electronic (legge n. 365/2002 sul commercio elettronico), del 7 giugno 2002 (Monitorul Oficial al României, parte I, n. 483, del 5 luglio 2002), come modificata dalla Legea nr. 121/2006 pentru modificarea și completarea Legii nr. 365/2002 privind comerțul electronic (legge n. 121/2006 che modifica e integra la legge n. 365/2002 sul commercio elettronico), del 4 maggio 2006 (Monitorul Oficial al României, parte I, n. 403 del 10 maggio 2006) (in prosieguo: la «legge n. 365/2002»), prevede quanto segue:
«1. I prestatori di servizi sono soggetti alle disposizioni normative in materia di responsabilità civile, penale e amministrativa, salvo quanto diversamente previsto dalla presente legge.
2. I prestatori di servizi rispondono delle informazioni fornite da essi stessi o per loro conto.
3. I prestatori di servizi non rispondono delle informazioni trasmesse, memorizzate o cui essi diano accesso alle condizioni previste agli articoli da 12 a 15».
28. L'articolo 14 della legge n. 365/2002, dal titolo «Memorizzazione permanente dell'informazione, hosting», così dispone:
«1. Quando un servizio della società dell'informazione consiste nella memorizzazione di informazioni fornite da un destinatario del servizio di cui trattasi, il prestatore di tale servizio non è responsabile dell'informazione memorizzata a richiesta di un destinatario, a condizione che sia soddisfatta una delle seguenti condizioni:
a) il prestatore di servizi non è al corrente del fatto che l'attività o l'informazione memorizzata è illecita e, per quanto attiene ad azioni risarcitorie, non è al corrente di fatti o circostanze da cui risulti che l'attività o l'informazione di cui trattasi potrebbe danneggiare i diritti di un terzo;
b) essendo al corrente del fatto che l'attività o l'informazione di cui trattasi è illecita o del fatto o della circostanza da cui risulta che l'attività o l'informazione in discussione potrebbe danneggiare i diritti di un terzo, il prestatore di servizi agisce immediatamente per rimuoverla o disabilitarne l'accesso.
2. Il paragrafo 1 non si applica se il destinatario del servizio agisce sotto l'autorità o il controllo del prestatore di servizi.
3. Le disposizioni del presente articolo lasciano impregiudicata la possibilità, per un organo giurisdizionale o un'autorità amministrativa, di esigere che il prestatore di servizi ponga fine o prevenga la violazione dei dati, nonché la possibilità di avviare procedure governative volte a limitare o a interrompere l'accesso alle informazioni».
29. Le Normele metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (norme di attuazione della Legge n. 365/2002 sul commercio elettronico), approvate dalla Hotărârea Guvernului nr. 1.308 privind aprobarea Normelor metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (Regolamento del Governo n. 1.308 che approva le norme di attuazione della Legge n. 365/2002 sul commercio elettronico), del 20 novembre 2002 (Monitorul Oficial al României, parte I,n. 877 del 5 dicembre 2002), prevedono, all'articolo 11, paragrafo 1, quanto segue:
«I prestatori di servizi della società dell'informazione che offrono i servizi previsti dagli articoli da 12 a 15 della legge [n. 365/2002] non sono tenuti a controllare l'informazione che trasmettono o memorizzano né a ricercare attivamente dati relativi ad attività o informazioni aventi parvenza illecita del settore dei servizi della società dell'informazione da essi forniti».
Procedimento principale e questioni pregiudiziali
30. La Russmedia Digital, una società di diritto rumeno, è proprietaria del sito Internet www.publi24.ro, un mercato online su cui possono essere pubblicati, gratuitamente oppure a pagamento, annunci pubblicitari riguardanti, in particolare, la vendita di beni o la fornitura di servizi in Romania.
31. La ricorrente nel procedimento principale fa valere che il 1° agosto 2018 un soggetto terzo non identificato ha pubblicato su detto sito Internet un annuncio menzognero e dannoso, in cui era indicato che quest'ultima offriva servizi sessuali. L'annuncio conteneva segnatamente fotografie della ricorrente nel procedimento principale, utilizzate senza il suo consenso, nonché il suo numero di telefono. Il medesimo annuncio è stato successivamente riprodotto in modo identico su altri siti Internet con contenuto pubblicitario, sui quali è stato messo in linea con indicazione della fonte originale. Contattata dalla ricorrente nel procedimento principale, la Russmedia Digital ha provveduto a rimuovere detto annuncio dal suo sito Internet meno di un'ora dopo il ricevimento della richiesta. Lo stesso annuncio sarebbe comunque rimasto disponibile su altri siti Internet che lo avevano riprodotto.
32. Ritenendo che l'annuncio di cui al procedimento principale violasse i suoi diritti all'immagine, all'onore e alla reputazione alla sua vita privata nonché le norme relative al trattamento dei dati personali, la ricorrente nel procedimento principale ha presentato un ricorso contro la Russmedia dinanzi alla Judecătoria Cluj-Napoca (Tribunale di primo grado di Cluj‑Napoca, Romania). Tale tribunale ha condannato la Russmedia a versarle la somma di EUR 7 000 a titolo di danno morale cagionatole dalla violazione del diritto all'immagine, all'onore e alla reputazione, nonché dalla violazione del rispetto della sua vita privata, e dal trattamento illecito dei suoi dati personali.
33. La Russmedia ha impugnato questa sentenza. Il Tribunalul Specializat Cluj (Tribunale specializzato di Cluj, Romania) ha accolto tale appello, dichiarando che il ricorso della ricorrente nel procedimento principale era infondato sulla base del rilievo che l'annuncio controverso non proveniva dalla Russmedia, la quale forniva unicamente un servizio di hosting di tale annuncio, senza essere coinvolta attivamente per quanto concerne il contenuto. Pertanto, l'esonero da responsabilità, previsto all'articolo 14, paragrafo 1, lettera b), della legge n. 365/2002, le sarebbe applicabile. Per quanto riguarda il trattamento dei dati personali, tale giudice ha ritenuto che un prestatore di servizi della società dell'informazione non fosse tenuto a controllare le informazioni che trasmette, né a ricercare attivamente dati relativi ad attività o a informazioni apparentemente illecite. A tal riguardo, esso ha dichiarato che non si poteva addebitare alla Russmedia di non aver adottato misure per impedire la diffusione online dell'annuncio diffamatorio di cui trattasi nel procedimento principale, dato che essa aveva rapidamente soppresso tale annuncio su richiesta della ricorrente nel procedimento principale.
34. Quest'ultima ha impugnato tale sentenza dinanzi alla Curtea de Apel Cluj (Corte d'appello di Cluj, Romania), ritenendo che il Tribunalul Specializat Cluj (Tribunale specializzato di Cluj) si fosse basato su un'interpretazione erronea della legge n. 365/2002. La ricorrente nel procedimento principale fa valere in particolare che, poiché tale legge non è una legge speciale rispetto al RGPD, detto tribunale avrebbe dovuto vagliare l'applicabilità di detto regolamento nel caso di specie. Inoltre, la Russmedia non si limiterebbe a fornire ai suoi clienti un dispositivo tecnico specifico di accesso al server di hosting. A suo avviso, essa svolgeva anche un ruolo di gestore, intervenendo a livello di contenuto degli annunci, ai fini di una corretta gestione dell'informazione. Tale società, quale gestore del sito Internet di cui trattasi, memorizzerebbe e tratterebbe il contenuto dell'informazione. La memorizzazione dei dati, nonché la loro messa a disposizione del pubblico in una certa forma, implicherebbero un'analisi dei dati e delle informazioni contenuti negli annunci. Tali elementi dimostrerebbero un coinvolgimento diretto della Russmedia nella gestione e diffusione del contenuto degli annunci. Di conseguenza, il disposto dell'articolo 14 della legge n. 365/2002 non sarebbe applicabile.
35. Inoltre, la ricorrente nel procedimento principale afferma che l'esonero da responsabilità di un tale prestatore non si applica ove la responsabilità sia accertata in forza di altri atti regolamentari, quali il RGPD. La Russmedia avrebbe pubblicato i dati personali della ricorrente nel procedimento principale senza il suo consenso e permetterebbe, attraverso il funzionamento del suo sito Internet, a chiunque di postare qualsiasi tipo di annunci, in particolare annunci che non garantiscono la sicurezza dei dati personali, rendendo impossibile la cancellazione definitiva dei dati pubblicati online.
36. La Russmedia sostiene, dal canto suo, che la soluzione adottata dal Tribunalul Specializat Cluj (Tribunale specializzato di Cluj) è corretta. La ricorrente nel procedimento principale non avrebbe dimostrato sotto che profilo il RGPD costituisca una norma speciale che impedisce l'applicazione delle disposizioni pertinenti della legge n. 365/2002.
37. La Curtea de Apel Cluj (Corte d'appello di Cluj), che è il giudice del rinvio e che statuisce nella presente causa quale giudice dell'impugnazione la cui decisione è definitiva, ritiene necessario determinare, in particolare, i limiti dell'esonero da responsabilità di un prestatore di servizi della società dell'informazione, quale la Russmedia, in forza della direttiva 2000/31.
38. Facendo riferimento alla giurisprudenza pertinente della Corte, il giudice del rinvio constata che sebbene, conformemente a tale giurisprudenza, non sussista alcun obbligo per i gestori di mercati online di compiere una verifica preliminare sulle informazioni o sugli annunci pubblicati dagli utenti inserzionisti, resta il fatto che l'esonero dalla responsabilità di tali gestori è condizionato. Infatti, in conformità con la sentenza del 12 luglio 2011, L'Oréal e a. (C‑324/09, EU:C:2011:474), un gestore di un mercato online non può avvalersi dell'esonero dalla responsabilità previsto all'articolo 14, paragrafo 1, della direttiva 2000/31 qualora sia stato al corrente di fatti o circostanze in base ai quali un operatore economico diligente avrebbe dovuto constatare l'illiceità delle offerte in vendita di cui trattasi e, nell'ipotesi in cui ne sia stato al corrente, non abbia prontamente agito conformemente all'articolo 14, paragrafo 1, lettera b), di tale direttiva. Parimenti, dalla sentenza dell'11 settembre 2014, Papasavvas, (C‑291/13, EU:C:2014:2209), risulterebbe che i limiti alla responsabilità civile previsti agli articoli da 12 a 14 della direttiva 2000/31 non riguardano il caso di una casa editrice che disponga di un sito Internet sul quale venga pubblicata la versione online di un giornale, ove detta casa editrice, retribuita mediante le pubblicità commerciali diffuse su tale sito, sia a conoscenza delle informazioni pubblicate ed eserciti un controllo sulle stesse.
39. Il giudice del rinvio osserva tuttavia che detta giurisprudenza si riferisce soltanto a offerte pubblicate su un sito Internet la cui illegalità risulta da un'analisi di fatti e circostanze espressamente comunicati al titolare del trattamento dopo la pubblicazione dell'annuncio di cui trattasi. In effetti, la Corte non avrebbe ancora avuto occasione di esaminare una situazione come quella del procedimento principale, nella quale il contenuto dell'annuncio pubblicato era manifestamente illecito e gravemente dannoso per la persona interessata.
40. Il giudice del rinvio si interroga, in tale contesto, sulla necessità che una piattaforma riceva una notifica per essere obbligata a cancellare un contenuto manifestamente illecito e gravemente dannoso. Nel caso di specie, l'annuncio di cui trattasi nel procedimento principale sarebbe stato pubblicato senza verifica dell'identità dell'utente inserzionista e manifestamente senza che fosse stato ottenuto il consenso della ricorrente nel procedimento principale.
41. Del resto, sebbene l'annuncio di cui trattasi nel procedimento principale sia stato cancellato dal sito Internet originario a seguito di una notifica della ricorrente nel procedimento principale, il contenuto di tale annuncio, compresi il recapito e le fotografie di quest'ultima, sarebbe stato interamente ripreso su numerosi altri siti Internet, con l'indicazione della fonte d'origine. Il danno subito dalla ricorrente nel procedimento principale sarebbe quindi divenuto permanente e persisterebbe tuttora. Il giudice del rinvio sottolinea a tal riguardo che i servizi sessuali asseritamente proposti possono essere associati a reati gravi, puniti dal Codul penal (Codice penale), quali il prossenetismo e la tratta di esseri umani.
42. Il giudice del rinvio precisa che, conformemente alle condizioni generali di utilizzo del mercato online gestito dalla Russmedia, detta società, pur non rivendicando un diritto di proprietà sui contenuti degli annunci pubblicati, si riserva tuttavia il diritto di utilizzare tali contenuti, incluso quello di copiarli, distribuirli, trasmetterli, pubblicarli, riprodurli, modificarli, tradurli, cederli a partner e rimuoverli in qualunque momento, anche in assenza di un valido motivo a tal fine.
43. In tali circostanze, la Curtea de Apel Cluj (Corte d'appello di Cluj) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se gli articoli da 12 a 14 della [direttiva 2000/31] si applichino anche a un prestatore di servizi [della società dell']informazione del tipo memorizzazione-hosting che mette a disposizione degli utenti un sito in cui possono essere pubblicati annunci gratuiti o a pagamento, il quale sostiene che il suo ruolo nella pubblicazione degli annunci degli utenti è puramente tecnico (messa a disposizione della piattaforma), ma che, attraverso i termini e le condizioni generali di utilizzo del sito, indica di non rivendicare un diritto di proprietà sui contenuti forniti o pubblicati, caricati o trasmessi, conservando però il diritto di utilizzare i contenuti, incluso copiarli, distribuirli, trasmetterli, pubblicarli, riprodurli, modificarli, tradurli, cederli a partner e rimuoverli in qualunque momento, anche senza aver bisogno di un motivo in tal senso.
2) Se, secondo l'interpretazione dell'articolo 2, paragrafo 4, dell'articolo 4, punti 7 e 11, dell'articolo 5, paragrafo 1, lettera f), dell'articolo 6, paragrafo 1, lettera a), degli articoli 7, 24 e 25 del [RGPD] e dell'articolo 15 della direttiva 2000/31, un siffatto prestatore di servizi [della società dell'] informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto a verificare prima della pubblicazione di un annuncio se vi sia identità tra la persona che pubblica l'annuncio e il proprietario dei dati personali a cui si riferisce l'annuncio.
3) Se, secondo l'interpretazione dell'articolo 2, paragrafo 4, dell'articolo 4, punti 7 e 11, dell'articolo 5, paragrafo 1, lettera f), dell'articolo 6, paragrafo 1, lettera a), degli articoli 7, 24 e 25 del [RGPD] e dell'articolo 15 della direttiva 2000/31/CE, un siffatto prestatore di servizi [della società dell']informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto a verificare previamente il contenuto degli annunci spediti da utenti, al fine di escludere quelli aventi un possibile carattere illecito o che possono pregiudicare la vita privata e familiare di una persona.
4) Se, secondo l'interpretazione dell'articolo 5, paragrafo 1, lettere b) e f), degli articoli 24 e 25 del [RGPD] e dell'articolo 15 della direttiva 2000/31, un siffatto prestatore di servizi [della società dell']informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto ad applicare misure di salvaguardia tali da impedire o limitare la riproduzione e la ridistribuzione del contenuto degli annunci pubblicati per il suo tramite».
Sulle questioni pregiudiziali
44. Secondo una giurisprudenza costante, nell'ambito della cooperazione tra i giudici nazionali e la Corte istituita dall'articolo 267 TFUE, spetta a quest'ultima fornire al giudice nazionale una risposta utile che gli consenta di dirimere la controversia sottopostagli. In tale prospettiva, spetta alla Corte, se necessario, riformulare le questioni che le sono sottoposte. A tal riguardo, spetta ad essa trarre dall'insieme degli elementi forniti dal giudice nazionale e, in particolare, dalla motivazione della decisione di rinvio, gli elementi del diritto dell'Unione che richiedano un'interpretazione, tenuto conto dell'oggetto della controversia [v., in tal senso, sentenze del 29 novembre 1978, Redmond, 83/78, EU:C:1978:214, punto 26; del 28 novembre 2000, Roquette Frères, C‑88/99, EU:C:2000:652, punto 18, e del 30 aprile 2024, M.N. (EncroChat), C‑670/22, EU:C:2024:372, punto 78].
45. Le questioni del giudice del rinvio mirano, congiuntamente, a stabilire, da un lato, se il gestore di un mercato online, come la Russmedia, che consente ai suoi utenti di collocare in modo anonimo annunci nel suo mercato online gratuitamente o dietro compenso, abbia violato gli obblighi ad esso incombenti in forza del RGPD, laddove un annuncio pubblicato nel suo mercato online contenga dati personali, in particolare sensibili, in violazione di tale regolamento, e, dall'altro, se gli articoli da 12 a 15 della direttiva 2000/31 relativi alla responsabilità dei prestatori intermediari siano applicabili a un siffatto gestore.
46. Per fornire una risposta utile a tali interrogativi, occorre esaminare, in un primo tempo, le questioni dalla seconda alla quarta, che mirano a stabilire quali siano gli obblighi incombenti, in forza del RGPD, al gestore di un mercato online in una situazione come quella di cui trattasi nel procedimento principale, riformulando dette questioni in modo tale che esse vertano unicamente sull'interpretazione del regolamento. In un secondo momento sarà esaminata la questione se un siffatto gestore possa avvalersi degli articoli da 12 a 15 della direttiva 2000/31, che costituisce, in sostanza, l'oggetto della prima questione.
Sulle questioni dalla seconda alla quarta, relative all'interpretazione del RGPD
Osservazioni preliminari
47. In via preliminare, occorre rilevare, in primo luogo, che dalla domanda di pronuncia pregiudiziale risulta che l'annuncio in questione presentava la ricorrente nel procedimento principale come una persona che offre servizi sessuali e che tale annuncio conteneva, in particolare, fotografie di quest'ultima, utilizzate senza il suo consenso, nonché il suo numero di telefono.
48. Ora, è pacifico che questo genere di informazioni costituiscono dati personali ai sensi dell'articolo 4, punto 1, del RGPD, che definisce come tali «qualsiasi informazione riguardante una persona fisica identificata o identificabile», precisando che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
49. In effetti, secondo una giurisprudenza costante, l'uso dell'espressione «qualsiasi informazione» nella definizione della nozione di «dato personale», che figura all'articolo 4, punto 1, del RGPD, riflette l'obiettivo del legislatore dell'Unione di attribuire un'accezione estesa a tale nozione, che comprenda potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse «riguardino» la persona interessata. Un'informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile [sentenza del 3 aprile 2025, Ministerstvo zdravotnictví svaniyata (Dati riguardanti il rappresentante di una persona giuridica), C‑710/23, EU:C:2025:231, punto 21, e giurisprudenza citata].
50. Inoltre, tra tali dati personali, l'articolo 9, paragrafo 1, del RGPD prevede un regime di protezione speciale per categorie particolari di dati, tra le quali figurano quelli relativi alla vita sessuale o all'orientamento sessuale di una persona fisica.
51. La Corte ha chiarito che la finalità dell'articolo 9, paragrafo 1, di detto regolamento consiste nel garantire una protezione maggiore contro i trattamenti che, a causa della natura particolarmente sensibile dei dati che ne sono oggetto, possono costituire un'ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta (sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 41 e giurisprudenza citata).
52. Orbene, una siffatta protezione maggiore implica inevitabilmente una definizione estensiva di tali «dati sensibili». In tal senso, la Corte ha dichiarato che l'articolo 9, paragrafo 1, del RGPD si applica a trattamenti che vertono non solo sui dati intrinsecamente sensibili, ai quali fa riferimento la citata disposizione, ma anche su dati che svelano indirettamente, al termine di un'operazione intellettuale di deduzione o di raffronto, informazioni di tale natura [sentenza del 5 giugno 2023, Commissione/Polonia (Indipendenza e vita privata dei giudici), C‑204/21, EU:C:2023:442, punto 344 e giurisprudenza ivi citata].
53. Nell'ambito di tale definizione ampia, il carattere menzognero e dannoso di dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica non può essere tale da privare tali dati della loro qualificazione di «dati sensibili», ai sensi dell'articolo 9, paragrafo 1, del RGPD.
54. In secondo luogo, occorre constatare che il trattamento di cui trattasi consiste nella pubblicazione di tale annuncio e, pertanto, di siffatti dati sul mercato online della Russmedia. Infatti, l'operazione consistente nel far comparire su una pagina Internet dati personali costituisce un trattamento, ai sensi dell'articolo 4, punto 2, del RGPD (sentenza del 1° agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 65 e giurisprudenza citata).
55. In terzo luogo, occorre rilevare che le questioni dalla seconda alla quarta fanno riferimento al fatto che il gestore del mercato online di cui trattasi è titolare del trattamento di dati personali. Orbene, risulta che i dati personali la cui pubblicazione è oggetto della controversia principale sono stati inseriti nell'annuncio in questione da un utente inserzionista anonimo, senza che tale gestore abbia esercitato un'influenza concreta sul contenuto di tale annuncio e senza che questi fosse consapevole della sua natura menzognera e pregiudizievole. In tali circostanze, occorre fornire chiarimenti sulle nozioni di «titolare del trattamento» e di «contitolari», ai sensi, rispettivamente, dell'articolo 4, punto 7, del RGPD nonché del suo articolo 26.
56. L'articolo 4, punto 7, del RGPD definisce in modo ampio la nozione di «titolare del trattamento» inteso come la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
57. L'obiettivo di tale ampia definizione è, conformemente a quello del RGPD, quello di assicurare un'efficace protezione dei diritti e delle libertà fondamentali delle persone fisiche, nonché un elevato livello di protezione del diritto di qualsiasi persona alla tutela dei dati personali che la riguardano (sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 29, e giurisprudenza citata).
58. Quindi, qualsiasi persona fisica o giuridica che influisca, per fini che le sono propri, sul trattamento di dati personali e partecipi pertanto alla determinazione delle finalità e dei mezzi di tale trattamento può essere considerata titolare del trattamento (sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 30 e giurisprudenza citata).
59. Inoltre, dal momento che, così come prevede espressamente l'articolo 4, punto 7, del RGPD, la nozione di «responsabile del trattamento» riguarda l'organismo che, «da solo o insieme ad altri», determina le finalità e i mezzi del trattamento di dati personali, tale nozione non rinvia necessariamente a un organismo unico e può riguardare più soggetti che partecipano a tale trattamento, ognuno dei quali è quindi assoggettato alle disposizioni applicabili in materia di protezione dei dati (v., in tal senso, sentenza del 29 luglio 2019, Fashion ID, C‑40/17, EU:C:2019:629, punto 67 e giurisprudenza citata).
60. L'articolo 26 del RGPD, che rientra nel contesto della definizione di «titolare del trattamento», figurante all'articolo 4, punto 7, di tale regolamento, prevede, in sostanza, che, quando due titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi devono essere qualificati come «contitolari» di tale trattamento.
61. Una siffatta contitolarità non esige necessariamente l'esistenza di decisioni congiunte in merito alla determinazione delle finalità e dei mezzi del trattamento dei dati personali in questione. La Corte ha infatti statuito che la partecipazione alla determinazione di tali finalità e dei mezzi del trattamento può assumere forme diverse, potendo tale partecipazione risultare sia da una decisione comune adottata da due o più soggetti sia da decisioni convergenti che si integrano di modo che ciascuna di esse abbia un effetto concreto sulla determinazione di dette finalità e mezzi (v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 43).
62. A tale riguardo, la contitolarità di vari soggetti per un medesimo trattamento, ai sensi dell'articolo 4, punto 7, del RGPD, non presuppone che ciascuno di essi abbia accesso ai dati personali di cui trattasi (sentenze del 29 luglio 2019, Fashion ID, C‑40/17, EU:C:2019:629, punto 69 e giurisprudenza citata, e del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 42).
63. In questa stessa prospettiva, la Corte ha precisato che l'esistenza di una contitolarità non si traduce necessariamente in una responsabilità equivalente dei diversi soggetti coinvolti in un trattamento di dati personali. Al contrario, questi soggetti possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie (v., in tal senso, sentenze del 10 luglio 2018, Jehovan todistajat C‑25/17, EU:C:2018:551, punto 66 e giurisprudenza citata, nonché del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 42).
64. Nel caso di specie, è pacifico che si deve ritenere che l'utente inserzionista, che ha inserito l'annuncio menzognero e dannoso contenente dati personali della ricorrente nel procedimento principale nel mercato online gestito dalla Russmedia, abbia determinato, in via principale, le finalità e i mezzi del trattamento di tali dati e rientri, pertanto, nella nozione di «titolare del trattamento», ai sensi dell'articolo 4, punto 7, del RGPD.
65. Ciò premesso, è pacifico che tale annuncio è stato pubblicato su Internet e quindi reso accessibile agli utenti di Internet solo grazie al mercato online gestito dalla Russmedia.
66. Orbene, dalla giurisprudenza citata al punto 58 della presente sentenza risulta invero che una persona può essere qualificata come «titolare del trattamento» di dati personali solo se influisce su tale trattamento per fini che le sono propri. Tuttavia, occorre constatare che ciò può verificarsi in particolare quando il gestore di un mercato online pubblica dati personali di cui trattasi a fini commerciali o pubblicitari che si spingono oltre la semplice prestazione di servizi che fornisce all'utente inserzionista.
67. Nel caso di specie, dalla decisione di rinvio risulta che la Russmedia pubblica annunci sul suo mercato online a fini commerciali che le sono propri. A tal riguardo, le condizioni generali di utilizzo di tale mercato offrono un'ampia libertà alla Russmedia nello sfruttare le informazioni pubblicate su detto mercato. In particolare, la Russmedia si riserva, secondo le indicazioni del giudice del rinvio, il diritto di utilizzare i contenuti pubblicati, di distribuirli, di trasmetterli, di riprodurli, di modificarli, di tradurli, di cederli a partner e di rimuoverli in qualsiasi momento e senza aver bisogno di un «valido motivo» a tal fine. La Russmedia, quindi, non pubblica i dati personali contenuti negli annunci per conto degli utenti inserzionisti (o unicamente per loro conto), bensì tratta e può sfruttare tali dati a fini pubblicitari e commerciali che le sono propri.
68. Si deve quindi ritenere che la Russmedia abbia influito, per fini che le sono propri, sulla pubblicazione su Internet dei dati personali della ricorrente nel procedimento principale e abbia così partecipato alla determinazione delle finalità di tale pubblicazione e, quindi, del trattamento di cui trattasi.
69. Tale constatazione non è rimessa in discussione dal fatto che la Russmedia non ha manifestamente partecipato alla determinazione della finalità menzognera e dannosa perseguita dall'utente inserzionista mediante la pubblicazione dell'annuncio di cui al procedimento principale. In effetti, la Russmedia ha partecipato alla determinazione della finalità del trattamento consistente nel rendere accessibili agli utenti di Internet i dati personali contenuti nell'annuncio in questione al fine di sfruttare tali pubblicazioni. Inoltre, consentendo che gli annunci fossero collocati in modo anonimo nel suo mercato online, la Russmedia ha agevolato la pubblicazione di tali dati senza il consenso della persona interessata.
70. Per di più, avendo messo a disposizione dell'utente inserzionista il suo mercato online che è servito alla pubblicazione dell'annuncio di cui trattasi nel procedimento principale, la Russmedia ha partecipato alla determinazione dei mezzi di tale pubblicazione.
71. In effetti, la Corte ha già, in sostanza, statuito che partecipa alla determinazione dei mezzi di un trattamento la persona fisica o giuridica che influenza in modo determinante la raccolta e la trasmissione di dati personali, o ancora quella che influisce, mediante la sua azione d'impostazione dei parametri, in funzione dei suoi obiettivi di gestione o di promozione delle proprie attività, sul trattamento di tali dati (v., in tal senso, sentenze del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punto 36, e del 29 luglio 2019, Fashion ID, C‑40/17, EU:C:2019:629, punto 78). Lo stesso vale, nel caso di un motore di ricerca, quando la sua attività svolge un ruolo decisivo nella diffusione globale di dati personali, nei limiti in cui tale attività rende questi ultimi accessibili pubblicamente online in modo organizzato e aggregato [v., in tal senso, sentenza dell'8 dicembre 2022, Google (Deindicizzazione di contenuti asseritamente inesatti), C‑460/20, EU:C:2022:962, punto 50 e giurisprudenza citata].
72. Occorre pertanto constatare che, quando il gestore di un mercato online come la Russmedia fissa i parametri di diffusione degli annunci che possono contenere dati personali in funzione dei destinatari considerati, nonché determina la presentazione, la durata di tale diffusione o le rubriche che strutturano le informazioni pubblicate, o ancora organizza la classificazione che determinerà le modalità di una siffatta diffusione, esso partecipa alla determinazione dei mezzi essenziali della pubblicazione dei dati personali di cui trattasi, influendo così in modo decisivo sulla diffusione globale di questi ultimi.
73. A tal riguardo, il contenuto delle condizioni generali di utilizzo del mercato online di cui trattasi può fornire indizi che dimostrano che il gestore di tale mercato influisce in modo determinante sul trattamento di dati personali considerato e determina quindi i mezzi di tale trattamento. Ciò sembra applicarsi alle condizioni generali di utilizzo del mercato online della Russmedia, nelle quali tale società si riserva, in particolare, il diritto di distribuire, trasmettere, pubblicare, rimuovere o, ancora, riprodurre le informazioni contenute negli annunci, compresi i dati personali in essi contenuti.
74. In ogni caso, il gestore di un mercato online non può sottrarsi alla sua responsabilità, in qualità di titolare del trattamento di dati personali, per il motivo che non ha esso stesso determinato il contenuto dell'annuncio in questione pubblicato su tale mercato. Infatti, sarebbe contrario non solo alla formulazione chiara, ma anche all'obiettivo dell'articolo 4, punto 7, del RGPD, consistente nel garantire, mediante una definizione ampia della nozione di «titolare del trattamento», una protezione efficace e completa degli interessati, escludere da tale definizione un siffatto gestore per questo solo motivo.
75. Pertanto, occorre dichiarare che il giudice del rinvio ha correttamente fondato le sue questioni dalla seconda alla quarta sulla premessa che, in una situazione come quella di cui trattasi nel procedimento principale, il gestore del mercato online è titolare del trattamento dei dati personali contenuti in un annuncio pubblicato su tale mercato online, nell'accezione dell'articolo 4, punto 7, del RGPD.
76. È alla luce di tutte le osservazioni preliminari che precedono che occorre rispondere a tali questioni.
Sulla seconda e terza questione
77. Con le sue questioni seconda e terza, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l'articolo 5, paragrafo 2, nonché gli articoli da 24 a 26 del RGPD debbano essere interpretati nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell'articolo 4, punto 7, del RGPD, del trattamento dei dati personali contenuti in annunci pubblicati sul suo mercato online, è tenuto, prima della pubblicazione degli annunci, a individuare quelli che contengono dati sensibili, ai sensi dell'articolo 9, paragrafo 1, del RGPD, a verificare se l'utente inserzionista che si appresta a inserire un siffatto annuncio sia la persona i cui dati sensibili figurano in tale annuncio e, in caso contrario, a rifiutarne la pubblicazione in assenza di un consenso esplicito dell'interessato, nei limiti in cui una siffatta pubblicazione potrebbe comportare una grave violazione dei diritti di tale persona al rispetto della vita privata e alla protezione dei suoi dati personali, garantiti agli articoli 7 e 8 della Carta.
78. Ai sensi dell'articolo 1, paragrafo 2, del RGPD, in combinato disposto con i considerando 4 e 10 dello stesso, tale regolamento mira, in particolare, a garantire un elevato grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali, diritto, questo, riconosciuto anche all'articolo 8 della Carta e strettamente collegato al diritto al rispetto della vita privata, sancito all'articolo 7 della medesima (v., in tal senso, sentenza del 1° agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 61 e giurisprudenza citata).
79. A tal fine, in primo luogo, il capo II del RGPD enuncia i principi che disciplinano il trattamento dei dati personali che il titolare del trattamento deve osservare. In particolare, qualsiasi trattamento di dati personali deve essere conforme ai principi relativi al trattamento dei dati e alle condizioni di liceità del trattamento elencate agli articoli 5 e 6 di tale regolamento (v., in tal senso, sentenza del 1° agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 62 e giurisprudenza citata).
80. Ai sensi dell'articolo 5, paragrafo 1, lettera a), del RGPD, i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato. L'articolo 5, paragrafo 1, lettera d), del RGPD stabilisce che i dati personali devono essere esatti e, se necessario, aggiornati. Devono quindi essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. L'articolo 5, paragrafo 1, lettera f), di detto regolamento dispone che i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza di tali dati, compresa la protezione da trattamenti non autorizzati o illeciti.
81. Per quanto riguarda le condizioni di liceità del trattamento, come deliberato dalla Corte, l'articolo 6, paragrafo 1, primo comma, del RGPD prevede un elenco esaustivo e tassativo dei casi nei quali un trattamento di dati personali può essere considerato lecito. Un trattamento deve quindi rientrare in uno dei casi previsti da tale disposizione (v., in tal senso, sentenza del 9 gennaio 2025, Mousse, C‑394/23, EU:C:2025:2, punto 25 e giurisprudenza citata).
82. In particolare, ai sensi dell'articolo 6, paragrafo 1, primo comma, lettera a), del RGPD, il trattamento di dati personali è lecito se e nella misura in cui l'interessato vi ha acconsentito per una o più specifiche finalità. L'articolo 7, paragrafo 1, di tale regolamento precisa che, in tali casi, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali. In mancanza di un siffatto consenso, o qualora tale consenso non sia stato espresso in modo libero, specifico, informato e inequivocabile, ai sensi dell'articolo 4, punto 11, di tale regolamento, un trattamento di questo tipo può nondimeno essere giustificato qualora soddisfi uno dei requisiti di necessità menzionati all'articolo 6, paragrafo 1, primo comma, lettere da b) ad f), di detto regolamento (sentenza del 9 gennaio 2025, Mousse, C‑394/23, EU:C:2025:2, punto 26 e giurisprudenza citata).
83. A tali principi e condizioni si aggiungono requisiti specifici per i dati sensibili quali definiti all'articolo 9, paragrafo 1, del RGPD e il cui trattamento è, in linea di principio, vietato (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 73).
84. Si può derogare a tale divieto solo se è soddisfatta una delle eccezioni previste all'articolo 9, paragrafo 2, lettere da a) a j), di tale regolamento. Tra queste eccezioni, che devono essere interpretate restrittivamente, l'articolo 9, paragrafo 2, lettera a), di detto regolamento prevede che il divieto di trattamento dei dati sensibili non si applica se l'interessato ha prestato il proprio consenso esplicito al trattamento dei suoi dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri disponga che l'interessato non possa revocare tale divieto.
85. In secondo luogo, il capo IV del RGPD precisa la portata degli obblighi che incombono al titolare del trattamento di dati personali, in applicazione del principio di responsabilità enunciato all'articolo 5, paragrafo 2, del RGPD.
86. Ai sensi di tale disposizione, il titolare del trattamento, è competente per il rispetto del paragrafo 1 di tale articolo e deve essere in grado di comprovare di aver rispettato tutti i principi sanciti da detto paragrafo 1, circostanza la cui prova è così posta a carico dello stesso [sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella di posta elettronica degli uffici giudiziari), C‑60/22, EU:C:2023:373, punto 53 e giurisprudenza citata].
87. Tale principio di responsabilità si concretizza, in particolare, nell'articolo 24 del RGPD (v., in tal senso, sentenza del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 43 e giurisprudenza citata). Esso postula che, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che tale trattamento è effettuato conformemente al presente regolamento.
88. Così, l'articolo 5, paragrafo 2, e l'articolo 24 del RGPD prescrivono obblighi generali di responsabilità e di conformità ai titolari del trattamento di dati personali. Essi impongono ai titolari del trattamento di adottare le misure adeguate dirette a prevenire le eventuali violazioni delle norme previste dal RGPD a garanzia del diritto alla protezione dei dati [v., in tal senso, sentenza del 27 ottobre 2022, Proximus (Elenchi telefonici elettronici pubblici), C‑129/21, EU:C:2022:833, punto 81].
89. In tale ottica, l'articolo 25, paragrafo 1, del RGPD obbliga il titolare del trattamento a mettere in atto, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati e a corredare il trattamento delle necessarie garanzie al fine di soddisfare i requisiti del regolamento medesimo e tutelare i diritti degli interessati. Inoltre, tale articolo 25, paragrafo 2, relativo alla protezione dei dati per impostazione predefinita, prevede in particolare che le misure tecniche e organizzative adeguate che il titolare del trattamento deve attuare a tal fine garantiscano che, per impostazione predefinita, i dati personali non siano resi accessibili a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
90. Qualora i dati personali trattati siano dati sensibili nell'accezione dell'articolo 9, paragrafo 1, del RGPD, il titolare del trattamento deve segnatamente, per individuare quali siano le misure adeguate, ai sensi degli articoli 24 e 25 di tale regolamento, tener conto del fatto che una violazione dei principi enunciati al capo II di detto regolamento per quanto riguarda il trattamento di tali dati può costituire un'ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali garantiti agli articoli 7 e 8 della Carta.
91. È alla luce di tutte queste precisazioni che occorre esaminare la seconda e la terza questione, come riformulate al punto 77 della presente sentenza.
92. Per quanto riguarda, in primo luogo, la questione di chiarire se il gestore di un mercato online debba individuare gli annunci che contengono dati sensibili, ai sensi dell'articolo 9, paragrafo 1, del RGPD, prima di procedere alla loro pubblicazione, occorre ricordare, come risulta dai punti 64 e 75 della presente sentenza, che tale gestore e l'utente inserzionista che ha inserito un siffatto annuncio in tale mercato online devono essere considerati contitolari, ai sensi dell'articolo 26 di tale regolamento, qualora l'annuncio di cui trattasi vi sia pubblicato.
93. Ne consegue che tanto tale gestore quanto tale utente inserzionista sono tenuti a vigilare sul rispetto degli obblighi derivanti dall'articolo 5, paragrafo 2, nonché dagli articoli 24 e 25 del RGPD. In particolare, essi devono essere in grado di dimostrare che i dati personali contenuti nell'annuncio di cui trattasi sono pubblicati in modo lecito, vale a dire che la persona interessata ha acconsentito a una siffatta pubblicazione, salvo potersi avvalere di un'altra condizione prevista all'articolo 6, paragrafo 1, del RGPD. Qualora i dati personali di cui trattasi siano dati sensibili, ai sensi dell'articolo 9, paragrafo 1, del RGPD, il consenso a una siffatta pubblicazione deve essere esplicito, come risulta dal punto 84 della presente sentenza. Analogamente, secondo il principio di esattezza enunciato all'articolo 5, paragrafo 1, lettera d), del RGPD, i titolari del trattamento devono essere in grado di dimostrare che i dati personali di cui trattasi sono esatti.
94. Per accertare quali siano specificamente le misure tecniche e organizzative adeguate che il gestore di un mercato online, in quanto contitolare del trattamento di dati personali, è tenuto a mettere in atto, in applicazione degli articoli 24 e 25 del RGPD, al fine di assicurarsi ed essere in grado di dimostrare che la pubblicazione di dati sensibili contenuti in un annuncio sia effettuata in conformità a tale regolamento, occorre rilevare che da tali disposizioni risulta che l'adeguatezza di dette misure deve essere valutata in concreto, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento in questione, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà propri della persona coinvolta (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 96).
95. A tal riguardo, occorre rilevare che la pubblicazione di dati personali in un mercato online comporta rischi significativi per i diritti e le libertà dell'interessato, dal momento che essa rende tali dati, in linea di principio, accessibili a qualsiasi utente di Internet. Inoltre, una volta pubblicati in un mercato online, detti dati possono essere copiati e riprodotti su altri siti Internet, cosicché può risultare difficile, se non impossibile, per l'interessato ottenere la loro cancellazione effettiva da Internet.
96. I rischi connessi a una siffatta pubblicazione sono a maggior ragione seri quando si tratta di dati sensibili, ai sensi dell'articolo 9, paragrafo 1, del RGPD. Infatti, come espressamente formulato dal considerando 51 del RGPD, meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per tali diritti e tali libertà (v., in questo senso, sentenza del 4 ottobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punto 75). Il trattamento di tali dati può, come rilevato al punto 90 della presente sentenza, costituire un'ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali garantiti agli articoli 7 e 8 della Carta. Inoltre, il grado della probabilità che si verifichi di una violazione di tali diritti mediante la pubblicazione di un annuncio contenente dati sensibili è molto elevato quando l'utente inserzionista non coincide con la persona interessata e quando il mercato online consente di collocare tali annunci in modo anonimo.
97. Pertanto, dato che il gestore di un mercato online come quello di cui trattasi nel procedimento principale sa, o dovrebbe sapere, che, in generale, annunci contenenti dati sensibili, ai sensi dell'articolo 9, paragrafo 1, del RGPD, possono essere pubblicati da utenti inserzionisti nel suo mercato online, su tale gestore, in quanto titolare di detto trattamento, grava l'obbligo, sin dalla progettazione del suo servizio, di mettere in atto le misure tecniche e organizzative adeguate per individuare tali annunci prima della loro pubblicazione ed essere quindi in grado di verificare se i dati sensibili in essi contenuti siano pubblicati nel rispetto dei principi enunciati al capo II di tale regolamento. Infatti, come risulta in particolare dall'articolo 25, paragrafo 1, di detto regolamento, l'obbligo di mettere in atto siffatte misure gli incombe non solo all'atto del trattamento, ma già al momento di determinare i mezzi del trattamento e quindi ancor prima che siano pubblicati dati sensibili nel suo mercato online in violazione di tali principi, posto che questo obbligo mira appunto a prevenire siffatte violazioni.
98. Per quanto riguarda, in secondo luogo, la questione di chiarire se il gestore di un mercato online, in quanto titolare del trattamento dei dati sensibili contenuti negli annunci pubblicati sul suo sito Internet, congiuntamente all'utente inserzionista, debba verificare l'identità di tale utente inserzionista prima della pubblicazione, occorre ricordare che dal combinato disposto dell'articolo 9, paragrafi 1 e 2, lettera a), del RGPD risulta che la pubblicazione di tali dati è vietata, a meno che l'interessato non abbia prestato il proprio consenso esplicito alla pubblicazione dei dati in questione in tale mercato online o che una delle altre eccezioni previste da tale articolo 9, paragrafo 2, lettere da b) a j), sia soddisfatta, circostanza che tuttavia non sembra verificarsi nel caso di specie.
99. A tale titolo, per quanto il fatto che un interessato inserisca un annuncio contenente i suoi dati sensibili in un mercato online possa costituire un consenso esplicito, nell'accezione dell'articolo 9, paragrafo 2, lettera a), del RGPD, un siffatto consenso manca qualora tale annuncio sia collocato da un terzo, a meno che quest'ultimo possa dimostrare che l'interessato ha prestato il proprio consenso esplicito alla pubblicazione di detto annuncio nel mercato online in questione. Pertanto, al fine di potersi assicurare, ed essere in grado di dimostrare, che i requisiti di cui all'articolo 9, paragrafo 2, lettera a), del RGPD sono rispettati, il gestore di quest'ultimo è tenuto a verificare, prima della pubblicazione di un siffatto annuncio, se l'utente inserzionista che si appresta a collocare quest'ultimo sia la persona i cui dati sensibili figurano in tale annuncio, il che presuppone di acquisire l'identità di tale inserzionista utente.
100. Inoltre, dall'articolo 13, paragrafo 1, lettera a), e dall'articolo 14, paragrafo 1, lettera a), del RGPD risulta che i titolari del trattamento di dati personali devono fornire, in ogni caso, le loro identità e i loro dati di contatto all'interessato.
101. Infine, occorre osservare che l'articolo 26 del RGPD obbliga i contitolari di uno stesso trattamento di dati personali a definire in modo trasparente i loro rispettivi obblighi al fine di garantire l'osservanza dei requisiti previsti da tale regolamento. Orbene, un obbligo del genere risulterebbe impossibile se uno dei titolari di tale trattamento potesse rimanere anonimo nei confronti dell'altro.
102. Da quanto precede risulta quindi che il gestore di un mercato online, in quanto responsabile della pubblicazione dei dati sensibili contenuti in un annuncio pubblicato nel suo mercato online insieme all'utente inserzionista, ha l'obbligo di acquisire l'identità di tale utente inserzionista e di verificare se quest'ultimo sia la persona i cui dati sensibili figurano in tale annuncio.
103. A tal riguardo, come osservato, in sostanza, dall'avvocato generale al paragrafo 132 delle sue conclusioni, dal considerando 75 del RGPD risulta che, in particolare in caso di usurpazione dell'identità, il trattamento dei dati personali può comportare rischi per i diritti e le libertà delle persone colpite, alle quali potrebbe essere impedito di esercitare un controllo sui loro dati personali. Infatti, in generale, un'identità è usurpata con l'obiettivo di realizzare atti fraudolenti, a danno dell'interessato o di terzi.
104. In tali circostanze e tenuto conto altresì delle considerazioni di cui ai punti 95 e 96 della presente sentenza, il gestore di un mercato online, per essere in grado di accertarsi e di dimostrare che i dati sensibili contenuti negli annunci sono trattati conformemente ai requisiti del RGPD, deve disporre, in applicazione degli articoli 24 e 25 di tale regolamento, misure tecniche e organizzative adeguate che gli consentano non solo di acquisire, ma anche di verificare l'identità degli utenti inserzionisti prima della pubblicazione di tali annunci, e ciò segnatamente al fine di poter determinare se quest'ultimo sia la persona i cui dati sensibili figurano in detti annunci. Siffatte misure devono segnatamente consentire, come rilevato dall'avvocato generale al paragrafo 134 delle sue conclusioni, di limitare il rischio di un trattamento illecito dei dati personali nei confronti dell'interessato, e di contrastare l'uso sleale di detto mercato online, riducendo la sensazione di impunità e incentivando così gli utenti inserzionisti a conformarsi ai requisiti del RGPD quando pubblicano annunci contenenti dati personali.
105. Infine, in terzo luogo, quanto a chiarire se il gestore di un mercato online debba rifiutare la pubblicazione di un annuncio contenente dati sensibili qualora risulti - dopo una siffatta verifica dell'identità dell'utente inserzionista che si appresta a collocare tale annuncio - che questi non è la persona i cui dati sensibili figurano in detto annuncio, occorre constatare che dai punti 98 e 99 della presente sentenza risulta che, in un'ipotesi del genere, non si può escludere che tale pubblicazione intervenga in violazione del divieto di trattamento di tali dati, previsto all'articolo 9, paragrafo 1, del RGPD. Pertanto, a meno che tale utente inserzionista possa dimostrare in modo giuridicamente adeguato che l'interessato ha prestato il proprio consenso esplicito affinché i dati in questione siano pubblicati in tale mercato online, ai sensi di tale articolo 9, paragrafo 2, lettera a), o che sia soddisfatta una delle altre eccezioni previste da detto articolo 9, paragrafo 2, lettere da b) a j), il gestore di tale mercato online deve rifiutare la pubblicazione dell'annuncio in questione, circostanza che deve garantire attuando misure tecniche e organizzative adeguate.
106. Considerati tutti i motivi che precedono, occorre rispondere alle questioni seconda e terza dichiarando che l'articolo 5, paragrafo 2, nonché gli articoli da 24 a 26 del RGPD devono essere interpretati nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell'articolo 4, punto 7, del RGPD, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto, prima di pubblicare gli annunci, e mediante misure tecniche e organizzative adeguate,
- ad individuare gli annunci che contengono dati sensibili, a norma dell'articolo 9, paragrafo 1, del RGPD;
- a verificare se l'utente inserzionista che si appresta a collocare un annuncio di questo tipo sia la persona i cui dati sensibili figurano in tale annuncio e, in caso contrario,
- a rifiutare la pubblicazione di quest'ultimo, a meno che tale utente inserzionista possa dimostrare che la persona interessata ha prestato il proprio consenso esplicito affinché i dati in questione siano pubblicati in tale mercato online, ai sensi di detto articolo 9, paragrafo 2, lettera a), o che sia soddisfatta una delle altre eccezioni previste da tale articolo 9, paragrafo 2, lettere da b) a j).
Sulla quarta questione
107. La quarta questione mira, in sostanza, a chiarire se un gestore di un mercato online, in qualità di titolare del trattamento, sia tenuto ad attuare misure di sicurezza tali da impedire o limitare la riproduzione e la ridistribuzione degli annunci contenenti dati sensibili che sono stati pubblicati nel suo mercato online.
108. Nel caso di specie, dalla domanda di pronuncia pregiudiziale risulta che, da un lato, l'annuncio menzognero e dannoso di cui trattasi nel procedimento principale è stato ripreso su altri siti Internet di contenuto pubblicitario, che l'hanno pubblicato indicando la fonte di origine e, dall'altro, nelle condizioni generali di utilizzo del suo mercato online, la Russmedia si riserva, in particolare, il diritto di trasmettere i contenuti degli annunci ivi pubblicati e di cederli a partner. A tal riguardo, il giudice del rinvio non precisa se la Russmedia abbia volontariamente trasferito tale annuncio verso tali altri siti Internet o, quantomeno, abbia consentito, mediante contratti, tali pubblicazioni, o se, al contrario, dette pubblicazioni derivino da copie dell'annuncio originario non autorizzate dalla Russmedia.
109. Se fosse la prima opzione di tale alternativa ad essere vera, detta trasmissione costituirebbe un nuovo trattamento di dati personali di cui la Russmedia sarebbe titolare, ai sensi dell'articolo 4, punto 7, del RGPD. Tale trattamento dovrebbe essere distinto dalla pubblicazione, da parte dell'utente inserzionista, dell'annuncio menzognero e dannoso di cui al procedimento principale nel suo mercato online.
110. Infatti, occorre distinguere tra i diversi trattamenti di dati personali rientranti in una stessa catena di operazioni al fine di tener conto della necessità di valutare individualmente, per ogni persona che può essere qualificata come titolare del trattamento di dati personali, il livello di responsabilità che può esserle imputato. Ciò attiene al fatto che, per poter essere considerata contitolare del trattamento, una persona fisica o giuridica deve rispondere in modo indipendente alla definizione di «titolare del trattamento» di cui all'articolo 4, punto 7, del RGPD (sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 41 e giurisprudenza citata).
111. Ne consegue che, se è vero che una trasmissione successiva dei dati personali è effettuata nell'ambito di contratti di diffusione tra il gestore del mercato online, nel quale sono stati inizialmente pubblicati i dati personali considerati, e i gestori di altri siti Internet, tale primo gestore è, in linea di principio, l'unico titolare del trattamento costituito da tale trasmissione. In ogni caso, ciascun titolare del trattamento è tenuto, da solo o congiuntamente, a conformarsi a tutti gli obblighi derivanti dal RGPD.
112. Fatte tali precisazioni, occorre intendere la quarta questione nel senso che essa riguarda l'ipotesi in cui la Russmedia non ha trasferito in altri siti Internet con contenuto pubblicitario l'annuncio menzognero e dannoso di cui trattasi nel procedimento principale e non ha quindi autorizzato tali pubblicazioni successive.
113. Inoltre, occorre altresì osservare che tale questione verte, in sostanza, sulla portata dell'obbligo di sicurezza che un titolare del trattamento di dati personali deve rispettare. Orbene, l'articolo 32 del RGPD ha specificamente ad oggetto la sicurezza del trattamento. Esso concretizza e precisa un aspetto specifico dei requisiti enunciati all'articolo 24 di tale regolamento, il quale definisce in maniera generale, con l'articolo 5, paragrafo 2, di detto regolamento, la responsabilità del titolare del trattamento.
114. In tali circostanze, si deve ritenere che, con la sua quarta questione, il giudice del rinvio chieda, in sostanza, se l'articolo 32 del RGPD debba essere interpretato nel senso che il gestore di un mercato online, in quanto titolare del trattamento, ai sensi dell'articolo 4, punto 7, di tale regolamento, dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto a mettere in atto misure di sicurezza idonee a impedire che annunci ivi pubblicati e contenenti dati sensibili, ai sensi dell'articolo 9, paragrafo 1, di detto regolamento, siano riprodotti e illecitamente pubblicati su altri siti Internet.
115. L'articolo 32, paragrafo 1, del RGPD prevede che, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
116. L'articolo 32, paragrafo 2, di detto regolamento enuncia che, nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
117. La Corte ha deliberato che il riferimento, contenuto nell'articolo 32, paragrafi 1 e 2, del RGPD, a «un livello di sicurezza adeguato al rischio» e a un «adeguato livello di sicurezza» dimostra che tale regolamento istituisce un regime di gestione dei rischi e che esso non pretende affatto di eliminare i rischi di violazione dei dati personali (sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 29).
118. Pertanto, dal tenore letterale dell'articolo 32 del RGPD, in combinato disposto con l'articolo 24 del medesimo regolamento, risulta che tale articolo 32 si limita ad imporre al titolare del trattamento di adottare misure tecniche e organizzative destinate ad evitare, quanto più possibile, qualsiasi violazione di dati personali. L'adeguatezza di siffatte misure deve essere valutata in concreto, esaminando se tali misure siano state attuate da detto titolare tenendo conto dei diversi criteri previsti dai menzionati articoli e delle esigenze di protezione dei dati specificamente inerenti al trattamento di cui trattasi nonché ai rischi indotti da quest'ultimo (v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 30).
119. A tale riguardo, onde determinare il rischio concreto che il trattamento in questione comporta, occorre tenere conto dell'eventuale carattere sensibile dei dati personali trattati. Infatti, come è stato ricordato ai punti 51 e 90 della presente sentenza, la protezione maggiore prevista all'articolo 9, paragrafo 1, del RGPD per talune categorie di dati, a causa della loro particolare sensibilità, attiene al fatto che il trattamento di tali dati può costituire un'ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 41 e giurisprudenza citata).
120. Ciò premesso, una volta che un annuncio contenente dati personali è online ed è quindi già accessibile globalmente, la divulgazione di tali dati comporta, in particolare, il rischio di una perdita di controllo dei dati personali coinvolti che, quando avviene, priva di qualsiasi effetto utile i diritti e le garanzie previsti dal RGPD a favore dell'interessato, in cima ai quali figura il diritto alla cancellazione previsto all'articolo 17 di tale regolamento.
121. Inoltre, quando dati sensibili sono oggetto di una pubblicazione online, il titolare del trattamento è tenuto, ai sensi dell'articolo 32 del RGPD, ad adottare tutte le misure tecniche e organizzative per garantire un livello di sicurezza idoneo a prevenire efficacemente il verificarsi di una perdita di controllo di tali dati.
122. A tale titolo, il responsabile del trattamento deve prendere in considerazione, in particolare, tutte le misure tecniche disponibili allo stato delle conoscenze tecniche che possono bloccare la copia e la riproduzione del contenuto online.
123. Tuttavia, occorre ancora precisare che gli articoli 24 e 32 del RGPD non possono essere intesi nel senso che una divulgazione illecita di dati personali inizialmente pubblicati online sia sufficiente per concludere che le misure adottate dal titolare del trattamento di cui trattasi non erano adeguate ai sensi di tali disposizioni, senza neppure consentire a quest'ultimo di fornire la prova contraria (sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 31).
124. Nel caso di specie, dalla decisione di rinvio risulta che, nonostante la cancellazione dell'annuncio menzognero e dannoso di cui trattasi nel procedimento principale dal mercato online della Russmedia, tale annuncio è sempre accessibile online su altri siti Internet senza che la ricorrente nel procedimento principale possa, a quanto sembra, ottenerne la cancellazione.
125. Orbene, tale perdita di controllo risulta trarre origine dalla pubblicazione iniziale illecita dell'annuncio menzognero e dannoso di cui trattasi nel procedimento principale, in violazione dei requisiti previsti dal RGPD. In ogni caso, la Russmedia era tenuta a mettere in atto misure tecniche e organizzative adeguate al fine di garantire un livello di sicurezza adeguato al rischio ai sensi dell'articolo 32 del RGPD e a bloccare, quanto più possibile, qualsiasi riproduzione di tale annuncio. Spetterà al giudice del rinvio verificare se ciò sia avvenuto nel caso di specie.
126. Alla luce di tutti i motivi che precedono, occorre rispondere alla quarta questione dichiarando che l'articolo 32 del RGPD deve essere interpretato nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell'articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto a mettere in atto misure di sicurezza tecniche e organizzative adeguate al fine di impedire che annunci ivi pubblicati e contenenti dati sensibili, a norma dell'articolo 9, paragrafo 1, di detto regolamento, siano riprodotti e illecitamente pubblicati su altri siti Internet.
Sulla prima questione relativa all'interpretazione della direttiva 2000/31
127. Come rilevato ai punti 45 e 46 della presente sentenza, il giudice del rinvio chiede inoltre se il gestore di un mercato online, in quanto titolare del trattamento, ai sensi dell'articolo 4, punto 7, del RGPD, dei dati personali contenuti in annunci pubblicati nel suo mercato online, possa invocare - a fronte di una violazione degli obblighi derivanti dall'articolo 5, paragrafo 2, e dagli articoli da 24 a 26 e 32 di tale regolamento e constatati ai punti 106 e 126 della presente sentenza - gli articoli da 12 a 15 della direttiva 2000/31 relativi alla responsabilità dei prestatori intermediari.
128. Si pone pertanto la questione dell'articolazione di questi due strumenti del diritto dell'Unione. In particolare, occorre stabilire se gli articoli da 12 a 15 della direttiva 2000/31 possano interferire con il regime di responsabilità previsto dal RGPD.
129. A tal riguardo, occorre rilevare, da un lato, che l'articolo 1, paragrafo 5, lettera b), della direttiva 2000/31 precisa che tale direttiva non si applica alle questioni relative ai servizi della società dell'informazione disciplinate dalle direttive 95/46 e 97/66.
130. Tale disposizione è stata interpretata dalla Corte nel senso che le questioni connesse alla tutela della riservatezza delle comunicazioni e dei dati personali devono essere valutate alla luce del RGPD e della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), i quali hanno sostituito, rispettivamente, la direttiva 95/46 e la direttiva 97/66, fermo restando che la protezione che la direttiva 2000/31 mira a garantire non può, in ogni caso, pregiudicare i requisiti derivanti dal RGPD e dalla direttiva 2002/58 (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 200 e giurisprudenza citata).
131. Ne consegue, in particolare, che l'eventuale fruizione dell'esenzione prevista all'articolo 14, paragrafo 1, della direttiva 2000/31, di cui il gestore di un mercato online potrebbe avvalersi quanto alle informazioni ospitate sul suo sito Internet, non può interferire con il regime del RGPD che si applica a un siffatto gestore come a qualsiasi altro operatore che rientri nell'ambito di applicazione di tale regolamento.
132. Lo stesso vale per l'articolo 15 della direttiva 2000/31, in forza del quale gli Stati membri non possono imporre ai prestatori, per la prestazione dei servizi di cui in particolare all'articolo 14 di detta direttiva, un obbligo generale di sorveglianza. Inoltre, l'obbligo per il gestore di un mercato online di conformarsi ai requisiti derivanti dal RGPD non può, in ogni caso, essere qualificato come un siffatto obbligo generale di sorveglianza.
133. D'altra parte, l'articolo 2, paragrafo 4, del RGPD prevede che tale regolamento non pregiudica l'applicazione della direttiva 2000/31, in particolare gli articoli da 12 a 15 della medesima, relativi alla responsabilità dei prestatori intermediari di servizi.
134. Tale articolo 2, paragrafo 4, deve essere inteso nel senso che il fatto che un operatore sia il titolare di obblighi prescritti dal RGPD non esclude automaticamente che tale operatore possa avvalersi degli articoli da 12 a 15 della direttiva 2000/31 per questioni diverse da quelle relative alla protezione dei dati personali.
135. Dal combinato disposto dell'articolo 1, paragrafo 5, lettera b), della direttiva 2000/31 e dell'articolo 2, paragrafo 4, del RGPD risulta quindi che le disposizioni di tale direttiva, in particolare i suoi articoli da 12 a 15, non possono interferire con il regime di tale regolamento.
136. Alla luce di tutti i motivi che precedono, occorre rispondere alla prima questione dichiarando che l'articolo 1, paragrafo 5, della direttiva 2000/31 e l'articolo 2, paragrafo 4, del RGPD devono essere interpretati nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell'articolo 4, punto 7, del RGPD, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, non può invocare - a fronte di una violazione degli obblighi derivanti dall'articolo 5, paragrafo 2, e dagli articoli da 24 a 26 e 32 di tale regolamento - gli articoli da 12 a 15 di detta direttiva relativi alla responsabilità dei prestatori intermediari.
Sulle spese
137. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
P.Q.M.
la Corte (Grande Sezione) dichiara:
1) L'articolo 5, paragrafo 2, e gli articoli da 24 a 26 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell'articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto, prima di pubblicare gli annunci, e mediante misure tecniche e organizzative adeguate,
- ad individuare gli annunci che contengono dati sensibili, a norma dell'articolo 9, paragrafo 1, di detto regolamento;
- a verificare se l'utente inserzionista che si appresta a collocare un annuncio di questo tipo sia la persona i cui dati sensibili figurano in tale annuncio e, in caso contrario,
- a rifiutare la pubblicazione di quest'ultimo, a meno che tale utente inserzionista possa dimostrare che la persona interessata ha prestato il proprio consenso esplicito affinché i dati in questione siano pubblicati in tale mercato online, ai sensi di detto articolo 9, paragrafo 2, lettera a), o che sia soddisfatta una delle altre eccezioni previste da tale articolo 9, paragrafo 2, lettere da b) a j).
2) L'articolo 32 del regolamento 2016/679 dev'essere interpretato nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell'articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto a mettere in atto misure di sicurezza tecniche e organizzative adeguate al fine di impedire che annunci ivi pubblicati e contenenti dati sensibili, a norma dell'articolo 9, paragrafo 1, di detto regolamento, siano riprodotti e illecitamente pubblicati su altri siti Internet.
3) L'articolo 1, paragrafo 5, lettera b), della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico»), e l'articolo 2, paragrafo 4, del regolamento 2016/679, devono essere interpretati nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell'articolo 4, punto 7, del regolamento 2016/679, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, non può invocare - a fronte di una violazione degli obblighi derivanti dall'articolo 5, paragrafo 2, e dagli articoli da 24 a 26 e 32 di tale regolamento - gli articoli da 12 a 15 di detta direttiva relativi alla responsabilità dei prestatori intermediari.
