« Rinvio pregiudiziale – Ravvicinamento delle legislazioni – Commercio elettronico – Direttiva 2000/31/CE – Protezione dei dati personali – Regolamento (UE) 2016/679 – Responsabilità dei prestatori intermediari – Prestatore di servizi della società dell’informazione avente altresì la qualità di titolare del trattamento dei dati personali – Responsabilità – Portata »

 

I. Introduzione

1. Le questioni pregiudiziali sollevate nell’ambito della presente causa vertono sulle disposizioni della direttiva 2000/31/CE (2) e del regolamento (UE) 2016/679 (3).

2. Tali questioni traggono origine da una controversia che oppone una persona fisica al gestore di un mercato online sul quale è stato pubblicato, senza il consenso di detta persona, un annuncio indicante che quest’ultima offriva servizi sessuali. La peculiarità di questa causa consiste nel fatto che l’annuncio di cui trattasi conteneva dati personali.

3. Con le sue questioni vertenti sul RGPD, il giudice del rinvio vuole stabilire, a tal proposito, da un lato, se il gestore di un mercato online come quello oggetto del procedimento principale abbia violato gli obblighi ad esso incombenti in forza di detto regolamento e, dall’altro, se tale gestore possa avvalersi dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31 con riferimento a un annuncio pubblicato su detto mercato online. Pertanto, la presente domanda di pronuncia pregiudiziale dà alla Corte l’occasione di pronunciarsi sul rapporto tra i regimi introdotti da questi due atti del diritto dell’Unione.

 

II. Contesto normativo

A. Diritto dell’Unione

1. Direttiva 2000/31

4. L’articolo 1 della direttiva 2000/31, intitolato «Obiettivi e campo d’applicazione», dispone, al suo paragrafo 5, segnatamente, che essa «non si applica alle questioni relative ai servizi della società dell’informazione oggetto delle direttive 95/46/CE [(4)] e 97/66/CE [(5)]».

5. Gli articoli 12, 13 e 14 di detta direttiva, contenuti nella sezione 4, dal titolo «Responsabilità dei prestatori intermediari», del capo II della medesima, rubricato «Principi», si riferiscono a un prestatore di servizi della società dell’informazione che esercita, rispettivamente, un’attività di semplice trasporto («mere conduit»), una memorizzazione temporanea detta «caching» o un’attività di memorizzazione («hosting»). Tali disposizioni determinano altresì le condizioni in forza delle quali detti prestatori sono esonerati da responsabilità per le informazioni provenienti dagli utenti dei loro servizi.

6. L’articolo 14, paragrafo 1, di detta direttiva, intitolato «Hosting» è così formulato:

«1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non sia responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore:

a) non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione,

o

b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.

(...)».

7. L’articolo 15 della medesima direttiva, intitolato «Assenza dell’obbligo generale di sorveglianza», così prevede:

«1. Nella prestazione dei servizi di cui agli articoli 12, 13 e 14, gli Stati membri non impongono ai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.

2. Gli Stati membri possono stabilire che i prestatori di servizi della società dell’informazione siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o a comunicare alle autorità competenti, a loro richiesta, informazioni che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati».

2. RGPD

8. L’articolo 2 del RGPD, intitolato «Ambito di applicazione materiale», al suo paragrafo 4 così dispone:

«Il presente regolamento non pregiudica pertanto l’applicazione della [direttiva 2000/31], in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva».

9. L’articolo 4 di detto regolamento, rubricato «Definizioni», è formulato come segue:

«Ai fini del presente regolamento s’intende per:

(...)

7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

8) “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

(...)

11) “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

(...)».

10. L’articolo 5 del medesimo regolamento, rubricato «Principi applicabili al trattamento di dati personali», prevede quanto segue:

«1. I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (...) (“limitazione della finalità”);

(...)

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”);

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

11. L’articolo 6 del medesimo regolamento, dal titolo «Liceità del trattamento», al suo paragrafo 1 prevede quanto segue:

«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

(...)».

12. L’articolo 7 del RGPD, dal titolo «Condizioni per il consenso», al suo paragrafo 1 così dispone:

«Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali».

13. Gli articoli da 24 a 26 di detto regolamento figurano nella sezione 1, intitolata «Obblighi generali», del capo IV del medesimo, rubricato a sua volta «Titolare del trattamento e responsabile del trattamento».

14. L’articolo 24 di detto regolamento, dal titolo «Responsabilità del titolare del trattamento», prevede, al suo paragrafo 1, quanto segue:

«Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario».

15. L’articolo 25 del medesimo regolamento, intitolato «Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita», ai suoi paragrafi 1 e 2 enuncia quanto segue:

«1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica».

16. L’articolo 26 del RGPD, intitolato «Contitolari del trattamento», al paragrafo 1 precisa:

«Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati».

 

B. Diritto rumeno

17. L’articolo 11 della Legea nr. 365/2002 privind comer¿ul electronic (legge n. 365/2002 sul commercio elettronico), del 7 giugno 2002 (6), come modificata dalla Legea nr. 121/2006 pentru modificarea ¿i completarea nr. 365/2002 privind comer¿ul electronic (legge n. 121/2006 che modifica e integra la legge n. 365/2002 sul commercio elettronico), del 4 maggio 2006 (7) (in prosieguo: la «legge n. 365/2002»), prevede quanto segue:

«1. I prestatori di servizi sono soggetti alle disposizioni normative in materia di responsabilità civile, penale e amministrativa, salvo quanto diversamente previsto dalla presente legge

2. I prestatori di servizi rispondono delle informazioni da fornite da essi stessi o per loro conto.

3. I prestatori di servizi non rispondono delle informazioni trasmesse, memorizzate o cui diano accesso alle condizioni previste agli articoli da 12 a 15».

18. L’articolo 14 di detta legge, dal titolo «Memorizzazione permanente dell’informazione, memorizzazione-hosting», così dispone:

«1. Quando un servizio della società dell’informazione consiste nella memorizzazione dell’informazione fornita da un destinatario del servizio di cui trattasi, il prestatore di tale servizio non è responsabile per l’informazione memorizzata a richiesta di un destinatario, qualora sia soddisfatta una delle seguenti condizioni:

a) il prestatore di servizi non è al corrente del fatto che l’attività o l’informazione memorizzata è illecita e, per quanto attiene ad azioni risarcitorie, non è al corrente di fatti o circostanze da cui risulta che l’attività o l’informazione di cui trattasi potrebbe danneggiare i diritti di un terzo;

b) essendo al corrente del fatto che l’attività o l’informazione di cui trattasi è illecita o del fatto o della circostanza da cui risulta che l’attività o l’informazione in discussione potrebbe danneggiare i diritti di un terzo, il prestatore di servizi agisce rapidamente al fine di rimuoverla o disabilitarne l’accesso.

2. Le disposizioni del paragrafo 1 non si applicano se il destinatario agisce sotto l’autorità o il controllo del prestatore di servizi.

3. Le disposizioni del presente articolo non incidono sulla possibilità, per un’autorità giudiziaria o amministrativa, di esigere dal prestatore di servizi che ponga fine alla violazione dei dati o prevenga una siffatta violazione, né sulla possibilità di avviare procedure governative volte a limitare o a interrompere l’accesso alle informazioni».

 

III. Fatti del procedimento principale, questioni pregiudiziali e procedimento dinanzi alla Corte

19. La Russmedia Digital SRL (in prosieguo: la «Russmedia»), una società di diritto rumeno, è proprietaria del mercato online www.publi24.ro su cui possono essere pubblicati, gratuitamente oppure a pagamento, annunci pubblicitari riguardanti, in particolare, la vendita di beni o la fornitura di servizi provenienti da diverse località in Romania.

20. Il 1º agosto 2018 una persona non identificata ha pubblicato su detto mercato online un annuncio il cui contenuto era denigratorio e offensivo nei confronti della ricorrente nel procedimento principale, in quanto vi era indicato che quest’ultima offriva servizi sessuali (in prosieguo: l’«annuncio controverso»). Detto annuncio conteneva fotografie della ricorrente nel procedimento principale, utilizzate senza il suo consenso e tratte dall’account che quest’ultima deteneva lecitamente su un social network, nonché il suo numero di telefono. Prima della pubblicazione di detto annuncio non è stata effettuata alcuna verifica quanto all’identità del suo autore. Contattata dalla ricorrente nel procedimento principale, la Russmedia ha provveduto a rimuovere detto annuncio dal suo mercato online meno di un’ora più tardi. Tuttavia, il medesimo annuncio è stato messo in rete, con indicazione della fonte originale, da altri siti Internet a contenuto pubblicitario, sui quali è tuttora accessibile.

21. Ritenendo che l’annuncio controverso violasse i suoi diritti, la ricorrente nel procedimento principale ha presentato un ricorso contro la Russmedia.

22. La Judecatoria Cluj-Napoca (Tribunale di primo grado di Cluj-Napoca, Romania) ha accolto detto ricorso e, sulla base dell’articolo 253 del codice civile (8), ha condannato la Russmedia a versare alla ricorrente nel procedimento principale la somma di EUR 7 000 a titolo di danno morale cagionatole dalla violazione del suo diritto all’immagine, all’onore e alla reputazione, dalla violazione del suo diritto alla vita privata e dal trattamento non conforme di dati personali. Il giudice in parola ha ritenuto, infatti, che l’annuncio controverso costituisse una violazione degli obblighi incombenti alla Russmedia in forza del RGPD. Il suddetto giudice ha considerato che il fatto che la Russmedia abbia autorizzato la pubblicazione e poi la diffusione online di detto annuncio aveva leso gravemente i diritti della ricorrente nel procedimento principale.

23. Il Tribunalul Specializat Cluj (Tribunale specializzato di Cluj, Romania) ha accolto l’appello proposto dalla Russmedia, dichiarando che il ricorso della ricorrente nel procedimento principale era infondato sulla base del rilievo che tale società non era l’autore dell’annuncio controverso. Detto giudice ha ritenuto che la Russmedia fornisse unicamente un servizio di memorizzazione degli annunci, senza essere coinvolta attivamente «per quanto concerne il contenuto» dei medesimi, e che, in siffatte circostanze, trovava applicazione l’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della legge n. 365/2002.

24. Infatti, secondo il giudice d’appello, la Russmedia ha provveduto a rimuovere l’annuncio controverso dal suo mercato online meno di un’ora dopo essere stata contattata dalla ricorrente nel procedimento principale. Detto giudice ha considerato che la Russmedia era esonerata dalla sua responsabilità per i danni invocati poiché detta società non era l’autore dell’annuncio di cui trattasi e lo aveva bloccato, in considerazione dell’articolo 11, paragrafo 3, e dell’articolo 14, paragrafo 1, lettera b), della legge n. 365/2002, non appena era venuta a conoscenza del fatto che esso poteva ledere i diritti della ricorrente nel procedimento principale.

25. Per quanto concerne l’obbligo del titolare del trattamento di verificare, prima della pubblicazione di un annuncio, se l’autore di quest’ultimo abbia diritto di utilizzare i dati personali che vi figurano, il giudice d’appello ha poi ritenuto che trovasse applicazione l’articolo 11 delle norme metodologiche per l’applicazione della legge n. 365/2002, secondo cui un prestatore di servizi della società dell’informazione non è tenuto a controllare le informazioni memorizzate (9).

26. Infine, il giudice d’appello ha ritenuto che non si possa contestare alla Russmedia di non aver adottato misure per impedire la diffusione online dell’annuncio controverso. A suo avviso, il servizio fornito consisteva nella pubblicazione di detto annuncio e le misure volte a bloccarne l’accesso da parte del pubblico sono state adottate non appena la ricorrente nel procedimento principale ha allertato la Russmedia. Pertanto detto giudice ha ritenuto, che, nella specie, trovasse applicazione la legge n. 365/2002, la quale esonera detta società dalla sua responsabilità per i danni morali cagionati dal contenuto degli annunci pubblicati sul sito www.publi24.ro dagli utenti.

27. La ricorrente nel procedimento principale ha presentato impugnazione avverso detta decisione dinanzi alla Curtea de Apel Cluj (Corte d’appello di Cluj, Romania), giudice del rinvio.

28. Nell’ambito della sua impugnazione, la ricorrente nel procedimento principale sostiene, in particolare, che la legge n. 365/2002 non è una legge speciale rispetto al RGPD e che, pertanto, il giudice d’appello avrebbe dovuto esaminare la responsabilità della Russmedia alla luce delle disposizioni di detto regolamento.

29. Inoltre, la ricorrente nel procedimento principale indica che il ruolo della Russmedia non era circoscritto alla fornitura ai clienti del dispositivo tecnico specifico di accesso al server di hosting. A suo avviso, detta società svolgeva anche un ruolo di gestore, intervenendo a livello di contenuto degli annunci, ai fini di una corretta gestione dell’informazione. Tale società, quale gestore del sito Internet di cui trattasi, memorizzerebbe e tratterebbe il contenuto dell’informazione. Il trattamento e la memorizzazione dei dati, nonché la loro messa a disposizione del pubblico in una certa forma implicherebbe tanto un’analisi dei dati e delle informazioni contenuti negli annunci quanto la gestione di questi ultimi, necessaria per garantire un accesso agevole al pubblico, il che indicherebbe un coinvolgimento diretto della società in parola. Di conseguenza, l’articolo 14 della legge n. 365/2002 non sarebbe applicabile nel caso di specie. La ricorrente nel procedimento principale ritiene inoltre che l’esonero da responsabilità previsto da detta disposizione non si applichi ove la responsabilità sia accertata in forza di altri atti regolamentari, quali il RGPD, come avviene, a suo avviso, nel caso di specie.

30. Il giudice del rinvio ha accolto l’impugnazione, ritenendo che il giudice d’appello non avesse esaminato l’applicabilità delle disposizioni del RGPD nelle circostanze del caso di specie, ha cassato la sentenza impugnata e ha trattenuto la causa ai fini di una nuova decisione sull’appello.

31. A tal riguardo, il giudice del rinvio osserva che, a suo avviso, non sussiste alcun obbligo per i gestori di mercati online di compiere una verifica preliminare degli annunci pubblicati dagli utenti. Tuttavia, esso osserva che, secondo la sentenza L’Oréal e a. (10), solo un gestore di un mercato online che non svolge un ruolo attivo consistente nel fornire un’assistenza per ottimizzare la presentazione delle offerte in vendita o nel promuoverle può avvalersi dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31. Inoltre, conformemente a detta sentenza (11), un gestore di un mercato online non può avvalersi di detto esonero da responsabilità qualora sia stato al corrente di fatti o circostanze in base ai quali un operatore economico diligente avrebbe dovuto constatare l’illiceità delle offerte in vendita di cui trattasi e, nell’ipotesi in cui ne sia stato al corrente, non abbia prontamente agito. In quest’ottica, in forza della sentenza Papasavvas (12), anche una casa editrice che dispone di un sito Internet sul quale è pubblicata la versione online di un giornale non può avvalersi di detto esonero da responsabilità ove sia a conoscenza delle informazioni pubblicate ed eserciti un controllo sulle stesse.

32. Il giudice del rinvio osserva che la giurisprudenza della Corte si riferisce soltanto a offerte pubblicate online la cui illegalità risultava dall’analisi di fatti e circostanze espressamente comunicate al titolare del trattamento dopo la pubblicazione dell’annuncio di cui trattasi. Per contro, la Corte non avrebbe mai avuto occasione di esaminare una situazione come quella oggetto della presente causa. Infatti, la specificità del procedimento principale consiste nel fatto che il contenuto dell’annuncio pubblicato da un utente non identificato nel momento in cui il giudice è stato adito era manifestamente illecito e gravemente dannoso per l’interessato. Pertanto, a parere del giudice del rinvio, la segnalazione al titolare del trattamento non era necessaria per adire l’autorità giudiziaria e analizzare l’eventuale carattere illecito dell’informazione pubblicata.

33. Inoltre, il giudice del rinvio richiama l’attenzione sul fatto che l’annuncio controverso, benché sia stato cancellato dal sito della Russmedia, su cui era stato inizialmente pubblicato, a seguito della notifica della ricorrente nel procedimento principale, è stato integralmente ripreso da numerosi altri siti Internet, con tutti i dati e le fotografie della ricorrente nel procedimento principale, con indicazione della fonte iniziale e senza alcuna misura di protezione dei dati personali. Il danno ha quindi assunto carattere permanente e si produce ancora attualmente.

34. Inoltre, il giudice del rinvio osserva che i servizi sessuali richiamati nell’annuncio controverso e asseritamente proposti dalla ricorrente nel procedimento principale possono essere collegati a reati gravi, puniti dal codice penale, quali il prossenetismo e la tratta di esseri umani.

35. Infine, il giudice del rinvio richiama l’attenzione sul fatto che, tenuto conto dei termini e delle condizioni generali di utilizzo del suo mercato online, la Russmedia non sembra essere un semplice utente passivo dei dati. Infatti, detta società, pur non rivendicando un diritto di proprietà sui contenuti forniti o pubblicati, caricati o trasmessi, conserverebbe tuttavia il diritto di utilizzare i contenuti, incluso quello di copiarli, distribuirli, trasmetterli, pubblicarli, riprodurli, modificarli, tradurli, cederli a partner e rimuoverli in qualunque momento, anche in assenza di un valido motivo a tal fine.

36. È in tali circostanze che, con decisione del 15 giugno 2023, pervenuta alla Corte il 3 agosto 2023, la Curtea de Apel Cluj (Corte d’appello di Cluj) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se gli articoli da 12 a 14 della [direttiva 2000/31] si applichino anche a un prestatore di servizi d’informazione del tipo memorizzazione-hosting che mette a disposizione degli utenti un sito in cui possono essere pubblicati annunci gratuiti o a pagamento, il quale sostiene che il suo ruolo nella pubblicazione degli annunci degli utenti è puramente tecnico (messa a disposizione della piattaforma), ma che, attraverso i termini e le condizioni generali di utilizzo del sito, indica di non rivendicare un diritto di proprietà sui contenuti forniti o pubblicati, caricati o trasmessi, conservando però il diritto di utilizzare i contenuti, incluso copiarli, distribuirli, trasmetterli, pubblicarli, riprodurli, modificarli, tradurli, cederli a partner e rimuoverli in qualunque momento, anche senza aver bisogno di un motivo in tal senso.

2) Se, secondo l’interpretazione dell’articolo 2, paragrafo 4, dell’articolo 4, punti 7 e 11, dell’articolo 5, paragrafo 1, lettera f), dell’articolo 6, paragrafo 1, lettera a), degli articoli 7, 24 e 25 del [RGPD] e dell’articolo 15 della direttiva 2000/31/CE, un siffatto prestatore di servizi d’informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto a verificare prima della pubblicazione di un annuncio se vi sia identità tra la persona che pubblica l’annuncio e il proprietario dei dati personali a cui si riferisce l’annuncio.

3) Se, secondo l’interpretazione dell’articolo 2, paragrafo 4, dell’articolo 4, punti 7 e 11, dell’articolo 5, paragrafo 1, lettera f), dell’articolo 6, paragrafo 1, lettera a), degli articoli 7, 24 e 25 del [RGPD] e dell’articolo 15 della direttiva 2000/31/CE, un siffatto prestatore di servizi d’informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto a verificare previamente il contenuto degli annunci spediti da utenti, al fine di escludere quelli aventi un possibile carattere illecito o che possono pregiudicare la vita privata e familiare di una persona.

4) Se, secondo l’interpretazione dell’articolo 5, paragrafo 1, lettere b) e f), degli articoli 24 e 25 del [RGPD] e dell’articolo 15 della direttiva 2000/31/CE, un siffatto prestatore di servizi d’informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto ad applicare misure di salvaguardia tali da impedire o limitare la riproduzione e la ridistribuzione del contenuto degli annunci pubblicati per il suo tramite».

37. Hanno presentato osservazioni scritte il governo rumeno e la Commissione europea. La ricorrente nel procedimento principale e la Commissione sono state rappresentate all’udienza tenutasi il 2 luglio 2024.

 

IV. Analisi

38. La prima questione mira a stabilire se la Russmedia possa avvalersi dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31, mentre le questioni dalla seconda alla quarta vertono sul fatto se detta società abbia violato gli obblighi ad essa incombenti in forza del RGPD.

39. In passato, la Corte ha indicato che l’articolo 14, paragrafo 1, della direttiva 2000/31, oggetto della prima questione, mira a limitare le ipotesi in cui, conformemente al diritto nazionale applicabile in materia, può sorgere la responsabilità dei prestatori intermediari di servizi (13). Ritengo che, tenuto conto dell’evoluzione del diritto dell’Unione in questo ambito, l’esonero da responsabilità previsto in detta disposizione possa trovare applicazione anche quando la responsabilità di un prestatore è riconosciuta sulla base di disposizioni del diritto dell’Unione o di disposizioni nazionali di recepimento di quest’ultimo (14).

40. La decisione di rinvio suggerisce che, nel procedimento principale, la responsabilità della Russmedia possa essere ravvisata a causa di una violazione del RGPD (15). In condizioni del genere, potrebbe apparire a priori preferibile analizzare anzitutto le questioni dalla seconda alla quarta con cui il giudice del rinvio cerca di stabilire se la Russmedia abbia violato gli obblighi ad essa incombenti in forza del RGPD. Tuttavia, per chiarezza di analisi, esaminerò le questioni nell’ordine in cui sono poste. Esaminerò, quindi, in un primo momento il problema sollevato dalla decisione di rinvio dal punto di vista della direttiva 2000/31, per passare poi all’esame di tale problema dal punto di vista del RGPD. Infine, nell’ultima parte della mia analisi, affronterò le interazioni tra detto regolamento e detta direttiva.

41. In effetti, tutte le questioni pregiudiziali riguardano l’aspetto più fondamentale del rapporto tra le disposizioni della direttiva 2000/31 e quelle del RGPD. Esaminerò tale aspetto dopo aver individuato le disposizioni pertinenti di questi due atti del diritto dell’Unione, poiché le qualificazioni giuridiche, secondo le categorie da essi previste, sono al centro delle quattro questioni pregiudiziali.

 

A. Sulla prima questione

42. Con la sua prima questione, il giudice del rinvio desidera sapere se l’articolo 14, paragrafo 1, della direttiva 2000/31 debba essere interpretato nel senso che un prestatore di un servizio della società dell’informazione consistente nel mettere a disposizione degli utenti un mercato online su cui possono essere pubblicati annunci gratuiti o a pagamento può beneficiare dell’esonero da responsabilità, previsto in detta disposizione, parimenti quando detto prestatore indica, nei termini e condizioni generali di utilizzo del suo mercato online, di non rivendicare un diritto di proprietà su tali contenuti, conservando però il diritto di utilizzare i contenuti forniti, pubblicati, caricati o trasmessi, incluso il diritto di copiarli, distribuirli, trasmetterli, pubblicarli, riprodurli, modificarli, tradurli, cederli a partner e rimuoverli in qualunque momento, anche senza aver bisogno di un motivo in tal senso.

43. Analizzerò quindi tale questione (sezione 1) che mira, in sostanza, a stabilire se la Russmedia possa essere qualificata come «prestatore intermediario» che può, a priori, avvalersi dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31. Nella misura in cui il giudice del rinvio sembra altresì manifestare dubbi sull’aspetto se, tenuto conto della specificità del procedimento principale, le condizioni cui detta disposizione subordina l’esonero da responsabilità in un caso concreto siano soddisfatte nella fattispecie, analizzerò per completezza anche detta questione (sezione 2).

 

1. Sulla nozione di «prestatore intermediario»

a) Portata e premesse della questione

44. Reputo importante sottolineare sia la premessa su cui si fonda la prima questione, sia la portata di quest’ultima.

45. A tal proposito, in primo luogo, come ho menzionato (16), gli articoli 12, 13 e 14 della direttiva 2000/31 prevedono deroghe alla responsabilità applicabili quando i servizi forniti dai prestatori di servizi della società dell’informazione riguardano, rispettivamente, il semplice trasporto («mere conduit»), la memorizzazione temporanea detta «caching» e l’«hosting».

46. Benché la prima questione si riferisca a tali tre disposizioni, il giudice del rinvio lascia intendere che la Russmedia fornirebbe un servizio consistente nell’attività di hosting di informazioni fornite dagli utenti. Inoltre, l’articolo 14 della legge n. 365/2002, la cui applicabilità è stata discussa dinanzi ai giudici nazionali (17), sembra costituire un recepimento dell’articolo 14 della direttiva 2000/31, che riguarda un servizio di hosting. Ritengo, pertanto, che la prima questione riguardi detta disposizione del diritto dell’Unione e che l’ipotesi di lavoro del giudice del rinvio sia che il servizio fornito dalla Russmedia rappresenta un servizio della società dell’informazione consistente, in linea di principio, nell’attività di hosting di informazioni fornite dagli utenti del suo mercato online.

47. In secondo luogo, per quanto attiene alla portata della prima questione, la sua formulazione prudente lascia intendere che il giudice del rinvio non si esprime sul ruolo svolto dalla Russmedia nella prestazione del suo servizio di hosting. Da tale questione risulta infatti che la constatazione secondo cui il ruolo della Russmedia sarebbe puramente tecnico si evince dalle affermazioni formulate da detta società (18). Benché il giudice del rinvio non sembri mettere in discussione tale affermazione, mi soffermerò tuttavia su di essa, poiché la sua fondatezza è fortemente contestata dalla ricorrente nel procedimento principale (19).

48. Infine, in terzo luogo, il giudice del rinvio indica che la Russmedia «non sembra un mero utilizzatore passivo dei dati (prestatore intermedio), poiché, benché [la società in parola] non rivendichi un diritto di proprietà sui contenuti forniti o pubblicati, caricati o trasmessi, essa conserva tuttavia il diritto di utilizzare [tali] contenuti». La formulazione della prima questione rispecchia questa preoccupazione del giudice del rinvio. Infatti, detta questione mira a stabilire se «un prestatore (...) che mette a disposizione degli utenti [un mercato online], ma che, attraverso i termini e le condizioni generali di utilizzo del sito, indica [che] conserv[a] però il diritto di utilizzare i contenuti» possa beneficiare dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31.

49. Le menzioni, nella decisione di rinvio, del carattere puramente tecnico o passivo dell’attività della Russmedia rimandano alla giurisprudenza della Corte secondo cui l’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31 concerne unicamente il caso in cui il comportamento del prestatore è circoscritto a quello di un «prestatore intermediario», nel senso voluto dal legislatore nell’ambito della sezione 4 del capo II di detta direttiva. Infatti, a questo proposito, dal considerando 42 della direttiva in parola risulta che le deroghe alla responsabilità ivi stabilite riguardano esclusivamente i casi in cui l’attività di prestatore di servizi della società dell’informazione è di ordine meramente tecnico, automatico e passivo, con la conseguenza che detto prestatore non conosce né controlla le informazioni trasmesse o memorizzate (20). È alla luce di tale giurisprudenza che deve essere analizzata la prima questione.

 

b) Ruolo svolto dal gestore di un mercato online

50. Benché il giudice del rinvio non fornisca dettagli sul funzionamento del mercato online della Russmedia, sembra che detta società definisca l’impaginazione degli annunci e li pubblichi a titolo gratuito o a pagamento sul suo mercato online, dove gli annunci sono raggruppati in diverse categorie scelte dagli utenti inserzionisti e dove gli altri utenti possono effettuare ricerche con l’aiuto di un semplice motore di ricerca e classificare i risultati. Per poter pubblicare un annuncio online, un utente inserzionista deve registrarsi presso la Russmedia. La sua identità non viene controllata né al momento della sua registrazione, né all’atto della pubblicazione dell’annuncio. Questa è la rappresentazione del funzionamento di detto mercato online che si ricava dalla decisione di rinvio, dalle osservazioni scritte delle parti e da quelle presentate in udienza, nonché dalle ricerche da me compiute. Compete al giudice del rinvio verificare la correttezza di queste osservazioni prima di pronunciarsi nel procedimento principale.

51. Nell’ambito di una causa che coinvolgeva il gestore di un mercato online, la Corte ha precisato che, per verificare se detto gestore possa essere esonerato dalla sua responsabilità ai sensi dell’articolo 14 della direttiva 2000/31, occorre esaminare se esso si limiti a una fornitura neutra del suo servizio mediante un trattamento puramente tecnico e automatico dei dati forniti dai suoi clienti o se svolga un ruolo attivo atto a conferirgli una conoscenza o un controllo di tali dati (21).

52. A tal riguardo, la Corte ha dichiarato che la mera circostanza che il gestore di un mercato online memorizzi sul proprio server le offerte in vendita, stabilisca le modalità del suo servizio, sia ricompensato per quest’ultimo e fornisca informazioni d’ordine generale ai propri clienti non può avere l’effetto di privarlo delle deroghe in materia di responsabilità previste dalla direttiva 2000/31 (22).

53. Inoltre, per quanto concerne una delle condizioni cui l’articolo 14, paragrafo 1, della direttiva 2000/31 subordina l’esonero da responsabilità di un prestatore intermediario, su cui tornerò più avanti (23), la Corte ha dichiarato che la circostanza che un gestore di una piattaforma di condivisione di contenuti online proceda a un’indicizzazione automatizzata dei contenuti caricati sulla piattaforma in parola, che detta piattaforma contenga una funzione di ricerca e che essa consigli video in funzione del profilo o delle preferenze degli utenti non può essere sufficiente per considerare la menzionata condizione come non soddisfatta (24). A fortiori, detta circostanza non è nemmeno tale da privare un siffatto gestore della possibilità di fruire dell’esonero dalla responsabilità previsto nella disposizione richiamata. Infatti, la questione del soddisfacimento o meno delle condizioni cui l’articolo 14, paragrafo 1, lettere a) e b), di detta direttiva subordina l’esonero da responsabilità si pone solo se il prestatore interessato può essere qualificato come «prestatore di servizio di hosting che assume un ruolo neutro» per quanto riguarda le informazioni che memorizza e può, a priori, avvalersi di detto esonero.

54. Sembra, quindi, prima facie, che la Russmedia svolga un ruolo neutro per quanto attiene alle informazioni memorizzate su richiesta degli utenti inserzionisti e che essa possa avvalersi dell’esonero previsto all’articolo 14, paragrafo 1, della direttiva 2000/31. Occorre ora dissipare i dubbi del giudice del rinvio, riflessi nella formulazione della prima questione, che, in sostanza, cerca di stabilire se, nell’esaminare l’applicabilità di detto esonero, occorra riconoscere un ruolo preponderante ai termini e condizioni generali di utilizzo di un mercato online oppure alle azioni effettivamente compiute dal gestore di detto mercato.

 

c) Pertinenza dei termini e condizioni generali di utilizzo

55. Va ricordato che, conformemente ai termini e condizioni generali di utilizzo del suo mercato online, la Russmedia, senza rivendicare un diritto di proprietà su detti contenuti, si riserva il diritto di utilizzare i contenuti forniti, pubblicati, caricati o trasmessi, incluso il diritto di copiarli, distribuirli, trasmetterli, pubblicarli, riprodurli, modificarli, tradurli, cederli a partner e rimuoverli in qualunque momento, anche senza aver bisogno di un motivo in tal senso.

56. Osservo, anzitutto, che il procedimento principale non verte su un pregiudizio arrecato alla ricorrente nel procedimento principale dall’intervento della Russmedia nell’annuncio controverso che era accessibile sul suo mercato online. Nella specie, non si tratta quindi di una situazione in cui il pregiudizio deriverebbe dal contenuto fornito dall’utente di un mercato online e modificato o manipolato dal gestore di quest’ultimo.

57. Ciò posto, occorre osservare che, in considerazione dei termini e condizioni generali di utilizzo del suo mercato online, la Russmedia non sembra avere alcun obbligo nei confronti degli utenti inserzionisti per quanto riguarda l’elaborazione o la presentazione del contenuto degli annunci memorizzati su richiesta di questi ultimi. Per contro, la società in parola si riserva un diritto di utilizzare dette informazioni, anche senza aver bisogno di un motivo in tal senso.

58. A tal proposito, benché i termini e condizioni generali di utilizzo di un mercato online possano determinare il funzionamento di un servizio della società dell’informazione e consentire di comprendere il ruolo svolto dal suo prestatore, gli accordi contrattuali in base ai quali detto prestatore può intervenire per quanto riguarda le informazioni memorizzate, senza essere tenuto a farlo, non possono, di per sé, essere determinanti quando si tratta di stabilire se il ruolo di detto prestatore sia neutro. Infatti, nella sua giurisprudenza, la Corte attira l’attenzione sulla partecipazione effettiva del prestatore di un servizio della società dell’informazione nell’elaborazione e nella presentazione delle informazioni fornite dagli utenti del servizio. Per contro, nell’esaminare l’applicabilità dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31, occorre ignorare le azioni che un prestatore è autorizzato a compiere in forza dei termini e condizioni generali di utilizzo della sua piattaforma, ma che esso non attua nella pratica. In altre parole, nell’ambito di tale esame, occorre prendere in considerazione le azioni effettivamente compiute dal prestatore di un siffatto servizio.

59. Più in concreto, la Corte ha ritenuto che, laddove il gestore di un mercato online presti un’assistenza, consistente segnatamente nell’ottimizzare la presentazione delle offerte in vendita di cui trattasi o nel promuovere tali offerte, si deve considerare che egli non ha occupato una posizione neutra tra il cliente venditore considerato e i potenziali acquirenti, ma ha svolto un ruolo attivo atto a conferirgli una conoscenza o un controllo dei dati relativi a dette offerte (25). Parimenti, la Corte ha dichiarato, in sostanza, che una casa editrice non può fruire dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31 per quanto riguarda informazioni contenute nell’edizione elettronica della versione cartacea del giornale pubblicato da detta società, poiché, in linea di principio, essa ha conoscenza delle informazioni pubblicate ed esercita un controllo sulle stesse (26).

60. In sintesi, nei passaggi della giurisprudenza appena menzionati, le modalità di funzionamento di un mercato online implicavano la conoscenza e il controllo ex ante delle informazioni memorizzate. Per contro, nella specie, come osservato dalla Commissione in udienza, nulla indica che la Russmedia intervenga nella creazione, ottimizzazione o presentazione degli annunci o che essa ne controlli il contenuto individuale prima della loro pubblicazione. Il controllo che detta società poteva esercitare in forza dei termini e condizioni generali di utilizzo del suo mercato online ha unicamente carattere potenziale ed ex post. Risulta, inoltre, che la Russmedia non disponga di una conoscenza delle informazioni memorizzate tale da giustificare l’esclusione di detta società dal beneficio dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31.

61. Inoltre, come osservato dalla Commissione, i termini e condizioni generali di utilizzo di una piattaforma simili a quelli della Russmedia non sono inusuali per i servizi di intermediazione (27). A tal proposito, va osservato che la circostanza che un prestatore intermediario si riservi il diritto di utilizzare le informazioni fornite dagli utenti del suo servizio si inserisce nell’importante ruolo svolto dai prestatori intermediari nella lotta ai contenuti illegali online.

62. Infatti, per soddisfare le condizioni cui è subordinato l’esonero da responsabilità di un prestatore intermediario, previste all’articolo 14, paragrafo 1, lettere a) e b), della direttiva 2000/31, il prestatore intermediario deve reagire e rimuovere o bloccare detto contenuto non appena abbia scoperto un contenuto illegale. Tale prestatore può, in particolare per evidenziare la sua capacità di compiere una siffatta azione, riservarsi il diritto di rimuovere il suddetto contenuto in qualsiasi momento.

63. In siffatto contesto, il fatto che, nei termini e condizioni generali di utilizzo del suo mercato online, la Russmedia si riservi il diritto di utilizzare i contenuti memorizzati su richiesta degli utenti del suo servizio non è tale da escludere detta società dal beneficio dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31.

d) Conclusione intermedia

64. Tenuto conto delle considerazioni che precedono, propongo di rispondere alla prima questione che l’articolo 14, paragrafo 1, della direttiva 2000/31 deve essere interpretato nel senso che un prestatore di un servizio della società dell’informazione consistente nel mettere a disposizione degli utenti un mercato online su cui sono pubblicati annunci gratuiti o a pagamento può beneficiare dell’esonero da responsabilità previsto in detta disposizione, parimenti quando indica, nei termini e condizioni generali di utilizzo del suo mercato online, che, seppur non rivendica un diritto di proprietà su detti contenuti, conserva però il diritto di utilizzare i contenuti forniti, pubblicati, caricati o trasmessi, incluso copiarli, distribuirli, trasmetterli, pubblicarli, riprodurli, modificarli, tradurli, cederli a partner e rimuoverli in qualunque momento, anche senza aver bisogno di un motivo in tal senso, a condizione che detto prestatore non adotti misure che gli facciano perdere la sua qualità di prestatore neutro di servizi di hosting.

65. Per completezza, occorre esaminare se, tenuto conto della specificità del procedimento principale, le condizioni cui detto esonero è subordinato siano soddisfatte nel caso di specie.

 

2. Sulle condizioni cui è subordinato l’esonero da responsabilità di un prestatore intermediario

66. La decisione di rinvio evidenzia le peculiarità della presente causa che sembrano essere collegate alle condizioni cui l’articolo 14, paragrafo 1, della direttiva 2000/31 subordina l’esonero da responsabilità per le informazioni memorizzate. Infatti, il giudice del rinvio richiama l’attenzione della Corte sul carattere manifestamente illecito e gravemente dannoso dell’annuncio controverso, nonché sull’accessibilità di detto annuncio su numerosi altri siti Internet che lo hanno ripreso.

a) Carattere manifestamente illecito delle informazioni memorizzate

1) Individuazione di un contenuto manifestamente illegale

67. Il giudice del rinvio osserva che, per consentire alla Russmedia di individuare e analizzare l’eventuale carattere illecito dell’informazione pubblicata, non avrebbe dovuto essere necessario notificare il contenuto illegale a detta società. Infatti, secondo detto giudice, il contenuto dell’annuncio controverso è manifestamente illegale e gravemente dannoso per la ricorrente nel procedimento principale. Il giudice del rinvio sembra quindi muovere dalla premessa che, in considerazione di detto carattere chiaramente illecito, la Russmedia avrebbe dovuto essere a conoscenza di detto annuncio e del suo contenuto illegale. Pertanto, per beneficiare dell’esonero da responsabilità, la Russmedia avrebbe dovuto – immediatamente e senza attendere una domanda in tal senso – rimuovere detto annuncio o disabilitarne l’accesso, conformemente all’articolo 14, paragrafo 1, lettera b), della direttiva 2000/31.

68. L’articolo 14, paragrafo 1, lettera a), della direttiva 2000/31 mira a esonerare il prestatore di servizi di hosting dalla sua responsabilità per le informazioni memorizzate quando non sia al corrente dell’attività o dell’informazione illecita. Quando la responsabilità di un prestatore di servizi di hosting è invocata nell’ambito di un’azione volta ad ottenere il risarcimento del danno, come nel caso di specie, trova applicazione una condizione di esonero dalla responsabilità più restrittiva. In una siffatta ipotesi, il prestatore è escluso dal beneficio dell’esonero da responsabilità, previsto all’articolo 14, paragrafo 1, di detta direttiva, quando è venuto a conoscenza di fatti o circostanze in base ai quali un operatore economico diligente avrebbe dovuto constatare l’illiceità di cui trattasi e non ha agito in conformità dell’articolo 14, paragrafo 1, lettera b), di detta direttiva (28). Infatti, come impone la direttiva 2000/31, il carattere illecito dell’attività o dell’informazione deve essere «manifesto» o, in altre parole, facilmente identificabile (29).

69. Tuttavia, il prestatore può perdere il beneficio dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31 solo se è effettivamente venuto a conoscenza di fatti o di circostanze in base ai quali un operatore economico diligente può oggettivamente constatare l’illiceità dell’attività o dell’informazione. Infatti, indipendentemente dalla questione se si tratti di un’azione per risarcimento danni, non è sufficiente che il fornitore sia consapevole, in generale, del fatto che il suo servizio è utilizzato anche per condividere contenuti illegali. Il prestatore deve essere a conoscenza di fatti o circostanze relativi ad attività e informazioni illecite concrete (30).

70. La condizione prevista all’articolo 14, paragrafo 1, lettera a), della direttiva 2000/31 non è quindi soddisfatta quando, sulla base delle informazioni di cui dispone, il prestatore constata o ignora il carattere illecito dei dati memorizzati o si sbaglia quanto alla liceità di tali dati. Infatti, mentre il carattere illecito di un’informazione o di un’attività deve essere valutato in maniera oggettiva, secondo il criterio dell’operatore economico diligente, la conoscenza di fatti che rivelano detta illiceità deve, in linea di principio, essere valutata tenendo conto delle informazioni di cui il prestatore di cui trattasi effettivamente dispone.

71. In tali circostanze, non si può presumere che il gestore di un mercato online sia a conoscenza del contenuto di tutti gli annunci illegali e dannosi. Inoltre, introdurre una siffatta presunzione equivarrebbe a obbligare detto gestore a sorvegliare attivamente tutti i dati di ciascuno dei suoi utenti inserzionisti per individuare annunci che sono manifestamente illeciti e dannosi. Un siffatto obbligo di sorveglianza mi sembra difficilmente conciliabile con la ratio della direttiva 2000/31.

72. Infatti, un tale obbligo di sorveglianza, introdotto «dalla porta di servizio», sarebbe incompatibile con l’articolo 15, paragrafo 1, della direttiva 2000/31 che prevede che gli Stati membri non devono imporre ai prestatori di servizi di hosting un obbligo generale di sorveglianza sulle informazioni che memorizzano né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Pertanto, un prestatore di servizi di hosting non può essere tenuto, sulla base di misure nazionali, a sorvegliare, in via generale, le informazioni da esso memorizzate (31).

73. Pertanto, la condizione prevista all’articolo 14, paragrafo 1, lettera a), della direttiva 2000/31 non può essere considerata non soddisfatta con la motivazione che un annuncio pubblicato su un mercato online è manifestamente illecito e gravemente dannoso per la persona interessata da detto annuncio. Aggiungo, per completezza, che la direttiva 2000/31 non ignora il caso del prestatore di un servizio di hosting che adotti un modello economico o organizzativo che incita o promuove la diffusione di contenuti illegali.

2) Coinvolgimento di una piattaforma in atti illeciti

74. Va osservato che il considerando 44 della direttiva 2000/31 enuncia che il prestatore che deliberatamente collabori con un destinatario del suo servizio al fine di commettere atti illeciti non si limita alle attività di semplice trasporto («mere conduit») o di «caching» previste, rispettivamente, agli articoli 12 e 13 di detta direttiva. Pertanto, detto prestatore non può beneficiare delle deroghe in materia di responsabilità previste per tali attività. Benché il considerando in parola non menzioni l’attività di hosting, di cui all’articolo 14 della suddetta direttiva, non vi è motivo per cui il medesimo ragionamento non debba applicarsi a tale attività. Nella sentenza YouTube e Cyando (32), la Corte ha infatti dichiarato che un gestore di una piattaforma online che contribuisce, al di là della semplice messa a disposizione della piattaforma, a dare al pubblico accesso a contenuti in violazione del diritto d’autore, non può essere considerato come un prestatore neutro di servizi di hosting che può beneficiare dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31.

75. In detta sentenza, per stabilire se un gestore accordasse al pubblico un siffatto accesso, la Corte sembra essersi fondata, indirettamente, sulla sua analisi relativa alla nozione di «atto di comunicazione», ai sensi della direttiva 2001/29/CE (33). Conformemente a detta analisi, ispirata dalla sua sentenza vertente sulla piattaforma di condivisione The Pirate Bay (34), un gestore accorda un siffatto accesso quando interviene nella comunicazione illecita di contenuti protetti, effettuata da utenti della sua piattaforma, con piena cognizione delle conseguenze del suo comportamento per dare agli altri internauti accesso a siffatti contenuti. Secondo la Corte, per stabilire se tale ipotesi ricorra, occorre tener conto di tutti gli elementi che caratterizzano la situazione di cui si tratta e che consentono di trarre, direttamente o indirettamente, conclusioni sul carattere intenzionale o meno dell’intervento del gestore nella comunicazione illecita dei suddetti contenuti.

76. Applicando tale approccio alle circostanze del caso di specie, ciò significherebbe che il gestore di un mercato online che ha adottato un modello economico e/o organizzativo che incita gli utenti della sua piattaforma a diffondere contenuti manifestamente illegali e gravemente dannosi o che promuove e agevola la diffusione illimitata e non controllata di siffatti contenuti perderebbe la qualità di prestatore neutro di servizi di hosting ai sensi dell’articolo 14, paragrafo 1, della direttiva 2000/31. Tuttavia, nulla indica che la Russmedia abbia adottato un siffatto modello.

3) Evoluzione del diritto dell’Unione in materia di moderazione dei contenuti disponibili online

77. Si potrebbe sostenere che la considerazione secondo cui la direttiva 2000/31, in linea di principio e fatte salve circostanze eccezionali (35), non obbliga i prestatori di servizi di hosting a individuare ogni contenuto manifestamente illegale e gravemente dannoso può apparire poco soddisfacente, tenuto conto dei rischi che la diffusione di un siffatto contenuto può comportare in considerazione dei diritti dei loro utenti e dei terzi.

78. Tuttavia, come ho osservato in un altro contesto (36), la direttiva 2000/31 è frutto della sua epoca e il legislatore dell’Unione cercava di introdurre un regime di base che tutelasse in maniera specifica la libera circolazione dei servizi della società dell’informazione. Pertanto, detta direttiva si limita a imporre obblighi di informazione a tutti i prestatori di servizi della società dell’informazione (37), senza operare distinzioni tra le diverse categorie di servizi di hosting. La direttiva in parola si fonda, infatti, sulla logica secondo cui, nei limiti da essa fissati, gli Stati membri prevedono obblighi che i prestatori stabiliti nei loro territori sono tenuti a rispettare. In particolare, il margine di manovra riconosciuto agli Stati membri è limitato dal divieto per questi ultimi di imporre un obbligo generale in materia di sorveglianza, previsto all’articolo 15 della medesima direttiva.

79. Il regime di base instaurato dalla direttiva 2000/31 è stato gradualmente integrato da atti settoriali che richiedono l’attuazione di misure appropriate per tutelare determinate categorie di utenti da contenuti specifici, come quelli a carattere terroristico o pedopornografico (38).

80. Di recente, il legislatore dell’Unione ha modificato, in ampia misura, il quadro normativo applicabile alle piattaforme online. Infatti, il Digital Services Act differenzia gli obblighi delle piattaforme in funzione di taluni criteri e disciplina altresì, in una certa misura, la questione della moderazione dei contenuti illegali (39). Tuttavia, sulla presente causa non incide tale nuovo quadro normativo e la Corte non dovrebbe, a mio avviso, introdurre, per via giurisprudenziale, un obbligo che non solo non è previsto dalla direttiva 2000/31 applicabile ai fatti di cui al procedimento principale, ma risulta altresì in contraddizione con il suo articolo 15.

b) Ridistribuzione del contenuto degli annunci pubblicati

81. Un ulteriore aspetto su cui il giudice del rinvio richiama l’attenzione della Corte concerne la circostanza che, benché la Russmedia abbia rimosso l’annuncio controverso dal suo mercato online a seguito della domanda della ricorrente nel procedimento principale, tale annuncio resta accessibile su numerosi altri siti Internet che lo hanno ripreso dal mercato online della Russmedia, con indicazione della fonte iniziale. Il giudice del rinvio non pone direttamente una questione vertente su detta circostanza sotto il profilo della direttiva 2000/31. Per contro, il giudice in parola vi fa riferimento nell’ambito della sua quarta questione, vertente sulle misure richieste dal RGPD per garantire la sicurezza del trattamento dei dati personali. Tuttavia, in udienza, in risposta ai quesiti della Corte, detta circostanza è stata discussa dalle parti nel contesto della condizione dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, lettera b), di detta direttiva. Tenuto conto di queste considerazioni e al fine di fornire al giudice del rinvio una risposta utile, analizzerò la questione se la condizione prevista all’articolo 14, paragrafo 1, lettera b), della direttiva 2000/31 sia soddisfatta ove, dopo essere venuto a conoscenza di fatti o di circostanze che consentono di dimostrare agevolmente il carattere illecito dell’informazione memorizzata, il prestatore di servizi di hosting ritiri prontamente detta informazione dal suo sito Internet, ma quest’ultima resti accessibile su altri siti Internet che l’hanno ripresa dal sito di tale prestatore.

82. A tal proposito, il giudice del rinvio non precisa se l’annuncio controverso sia stato ridistribuito agli operatori di altri siti Internet dalla Russmedia o se l’annuncio di cui si tratta sia stato da essi copiato senza che la Russmedia ne fosse a conoscenza. Tale aspetto è stato oggetto di discussione in udienza. Al fine di fornire una risposta utile al giudice del rinvio, esaminerò queste due ipotesi.

1) Ripresa dell’annuncio controverso da parte dei partner

83. In udienza, la Commissione ha accennato a una situazione in cui la Russmedia, conformemente ai termini e condizioni generali di utilizzo del suo mercato online, trasmetterebbe ai partner cui è contrattualmente legata, elencati sul suo sito e quindi noti agli utenti inserzionisti, annunci pubblicati sul proprio mercato online.

84. Si può porre la questione se, in un siffatto caso di specie, il servizio fornito dal gestore di un mercato online consista in un servizio di hosting neutro delle informazioni memorizzate su richiesta del destinatario del suo servizio. Non si può, infatti, trascurare il fatto che l’articolo 14, paragrafo 1, della direttiva 2000/31 si applica soltanto se il prestatore fornisce un servizio di tale natura.

85. In proposito, osservo che, quando il gestore di un mercato online trasmette, in maniera individualizzata e/o con l’intervento umano, informazioni fornite da un destinatario del suo servizio ai propri partner, affinché questi ultimi le pubblichino su altri siti Internet, il suo ruolo si avvicina a quello di un promotore di tali informazioni. In un siffatto caso di specie, dubito che il servizio di detto gestore rientri pienamente nell’ambito dell’articolo 14, paragrafo 1, della direttiva 2000/31. Per contro, quando le informazioni memorizzate su richiesta di un utente sono riprese dagli operatori di altri siti Internet e il ruolo di detto gestore in tale trasmissione è puramente tecnico e automatizzato, la disposizione in parola può essere considerata ad esso pienamente applicabile.

86. Ciò posto, la decisione di rinvio non contiene elementi di fatto che consentono di stabilire quale di queste due ipotesi corrisponda alla situazione del procedimento principale. E, aspetto ancor più importante, la questione del soddisfacimento della condizione prevista all’articolo 14, paragrafo 1, lettera b), della direttiva 2000/31 si pone solo ove la Russmedia possa essere qualificata come «prestatore di servizi di hosting» ai sensi di detta disposizione. Analizzerò quindi la condizione prevista all’articolo 14, paragrafo 1, lettera b), della direttiva in parola muovendo dalla premessa che la Russmedia è un prestatore di servizi di hosting, ai sensi di detta disposizione, e che l’annuncio controverso è stato ripreso dai partner della società in discussione alle condizioni menzionate dalla Commissione in udienza (40).

87. A tal riguardo, a livello testuale, l’articolo 14, paragrafo 1, lettera b), della direttiva 2000/31 prevede che, per beneficiare dell’esonero da responsabilità, il prestatore di servizi di hosting deve agire immediatamente per rimuovere le informazioni illecite o disabilitarne l’accesso. Detta disposizione non si limita pertanto a indicare che il prestatore di servizi di hosting deve rimuovere o bloccare l’accesso a un’informazione illecita. Infatti, il legislatore ha scelto una formulazione aperta secondo cui, in sostanza, un prestatore deve immediatamente porre fine a un’attività illecita, realizzata attraverso il suo servizio o su di esso.

88. Si potrebbe, certamente, intendere la formulazione di detta condizione nel senso che il legislatore dell’Unione mirava non a stabilire risultati concreti da raggiungere, ma unicamente a far sì che venissero compiuti sforzi al riguardo. Tuttavia, la formulazione aperta dell’articolo 14, paragrafo 1, lettera b), della direttiva 2000/31 lascia parimenti un certo margine di discrezionalità a un prestatore [«rimuovere le informazioni o (...) disabilitarne l’accesso»] che gli consentono di adottare una misura adeguata, proporzionata ed effettiva. Una lettura siffatta della disposizione di cui trattasi si impone alla luce di numerosi considerando della direttiva in parola.

89. Infatti, il considerando 46 della direttiva 2000/31 enuncia che la rimozione delle informazioni deve essere effettuata nel rispetto «delle procedure all’uopo previste a livello nazionale» e che detta direttiva «non pregiudica la possibilità per gli Stati membri di stabilire obblighi specifici da soddisfare sollecitamente prima della rimozione delle informazioni o della disabilitazione dell’accesso alle medesime». Tuttavia, nulla suggerisce che la normativa nazionale applicabile abbia previsto siffatte procedure ed obblighi.

90. In ogni caso, il considerando 41 della direttiva 2000/31 enuncia che quest’ultima rappresenta un equilibrio tra i vari interessi in gioco e istituisce principi su cui possono essere basati gli accordi e gli standard delle imprese del settore. Per quanto attiene, più nello specifico, alla condizione prevista all’articolo 14, paragrafo 1, lettera b), di detta direttiva, ai sensi del considerando 46 di quest’ultima, il prestatore deve procedere alla rimozione delle informazioni o alla disabilitazione dell’accesso alle medesime nel rispetto del principio della libertà di espressione. A tal riguardo, la Corte ha precisato che l’esonero da responsabilità previsto all’articolo 14, paragrafo 1, di detta direttiva costituisce l’espressione dell’equilibrio che la medesima mira a instaurare tra i vari interessi in gioco, tra i quali figura il rispetto della libertà di espressione, garantito dall’articolo 11 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») (41).

91. Ne deduco che, affinché la condizione prevista all’articolo 14, paragrafo 1, lettera b), della direttiva 2000/31 sia considerata soddisfatta, la rimozione dell’informazione illecita deve avvenire nel rispetto del necessario contemperamento degli obblighi collegati alla protezione di questi diversi diritti e libertà e del giusto equilibrio tra di essi.

92. A tal proposito, da un lato, al pari del rispetto della libertà di espressione garantita dalla Carta e menzionata al considerando 46 della direttiva 2000/31, anche il rispetto della vita privata è garantito dalla Carta, al suo articolo 7. Dall’altro, tenuto conto della necessità di instaurare un equilibrio tra gli interessi in gioco, l’obiettivo consistente nel proteggere efficacemente la reputazione e l’onore di una persona non può essere perseguito mediante un obbligo eccessivo imposto al prestatore di servizi di hosting (42).

93. In tali circostanze, affinché la condizione prevista all’articolo 14, paragrafo 1, lettera b), della direttiva 2000/31 sia considerata soddisfatta nel rispetto dei diritti in gioco, un prestatore di servizi di hosting il cui servizio è utilizzato per la ridistribuzione ai suoi partner contrattuali di informazioni da esso memorizzate dovrebbe adottare misure ragionevoli per fare in modo che detto contenuto sia, se del caso, rimosso o bloccato anche dai suoi partner. Ad esempio, una clausola a tal fine potrebbe essere inserita nei contratti conclusi con detti partner.

 

2) Ripresa dell’annuncio controverso da parte di terzi

94. In udienza si è discusso non soltanto della fattispecie in cui un annuncio è ripreso dai partner del gestore di un mercato online, ma anche di quella in cui un annuncio pubblicamente accessibile è ripreso da terzi, all’insaputa e senza il consenso di detto gestore. La questione dibattuta consisteva nello stabilire se, tenuto conto delle considerazioni illustrate al paragrafo 91 delle presenti conclusioni, per soddisfare la condizione prevista all’articolo 14, paragrafo 1, lettera b), della direttiva 2000/31, il gestore di un mercato online dovesse adottare misure nei confronti dei terzi. Occorre rispondere in senso negativo a tale questione.

95. Infatti, sottesa alla condizione fissata all’articolo 14, paragrafo 1, lettera b), della direttiva 2000/31 vi è l’idea che il prestatore di un servizio di hosting debba adottare immediatamente tutte le misure in suo potere per porre fine a un’attività illecita, realizzata attraverso il suo servizio o su di esso. Per contro, l’aspetto se detta condizione sia soddisfatta non può dipendere da misure che sfuggono al suo controllo.

96. Fatte salve le considerazioni aggiuntive da me appena illustrate sulle condizioni cui l’articolo 14, paragrafo 1, della direttiva 2000/31 subordina l’esonero da responsabilità di un prestatore intermediario, confermo la mia proposta di risposta alla prima questione, esposta al paragrafo 64 delle presenti conclusioni.

 

B. Sulle questioni dalla seconda alla quarta

97. Con le questioni dalla seconda alla quarta, il giudice del rinvio chiede, sostanzialmente, se l’articolo 5, paragrafo 1, lettere b) e f), l’articolo 6, paragrafo 1, lettera a), e gli articoli 7, 24 e 25 del RGPD debbano essere interpretati nel senso che un prestatore di servizi della società dell’informazione, la cui attività consiste nella memorizzazione-hosting su un sito Internet di annunci gratuiti o a pagamento su richiesta dei suoi utenti, sia tenuto a verificare preliminarmente l’identità dell’inserzionista (seconda questione) e il contenuto degli annunci pubblicati (terza questione), nonché ad adottare misure di salvaguardia per impedire o limitare la riproduzione o la ridistribuzione del contenuto degli annunci contenenti dati personali (quarta questione).

98. Le questioni in parola concernono altresì l’articolo 2, paragrafo 4, l’articolo 4, punti 7 e 11, del RGPD, e l’articolo 15 della direttiva 2000/31. Tuttavia, per rispondere in modo utile a tali questioni, è sufficiente interpretare le disposizioni del RGPD, menzionate al precedente paragrafo delle presenti conclusioni, che stabiliscono gli obblighi e le responsabilità di un soggetto coinvolto nel trattamento di dati personali.

99. Inoltre, per rispondere a dette questioni, occorre, in via preliminare, stabilire in quale veste un siffatto prestatore sia coinvolto nel trattamento dei dati personali. A tal proposito, le questioni dalla seconda alla quarta sembrano essere fondate sulla premessa che la Russmedia ha agito in veste di «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del RGPD. Infatti, esse riguardano tale disposizione e si riferiscono a «un prestatore (...) che è titolare del trattamento dei dati personali». In linea con la Commissione, nutro dubbi quanto a tale qualificazione giuridica. Pertanto, nella misura in cui essa può incidere sulle risposte alle questioni pregiudiziali, affronterò dapprima la qualificazione giuridica del gestore di un mercato secondo le categorie previste dal RGPD (sezione 1), per poi tornare sulla questione degli obblighi e delle responsabilità di tale gestore (sezione 2).

 

1. Sulle qualificazioni giuridiche

a) Soggetti coinvolti nel trattamento dei dati personali

100. L’articolo 4, punto 7, del RGPD definisce la nozione di «titolare del trattamento» come indicante la persona che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Detto regolamento menziona un altro soggetto coinvolto nel trattamento dei dati, vale a dire il «responsabile del trattamento». Questi è definito, all’articolo 4, punto 8, del medesimo regolamento, come la persona che tratta i dati personali per conto del titolare del trattamento.

101. La qualificazione di un soggetto coinvolto nel trattamento dei dati secondo le categorie previste dal RGPD ne determina gli obblighi e le responsabilità. Tali obblighi e responsabilità sono definiti dalle disposizioni di cui alle questioni dalla seconda alla quarta.

102. Infatti, qualsiasi trattamento di dati personali deve essere conforme ai principi in materia di trattamento dei dati, enunciati all’articolo 5, paragrafo 1, del RGPD, e soddisfare le condizioni di liceità del trattamento elencate nell’articolo 6 di quest’ultimo. Il titolare del trattamento è competente per il rispetto di detti principi (43) e, qualora il trattamento sia basato sul consenso, deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati, come richiesto dall’articolo 7, paragrafo 1, di detto regolamento. Nel medesimo spirito, gli articoli 24 e 25 del regolamento di cui trattasi prevedono obblighi generali, gravanti sul titolare del trattamento, di mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente a detto regolamento.

103. Inoltre, la veste in cui agisce un soggetto coinvolto nel trattamento determina anche la portata della sua responsabilità per le violazioni del RGPD.

104. Infatti, ai sensi dell’articolo 82, paragrafo 2, prima frase, del RGPD, «[u]n titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi [detto] regolamento». Il titolare del trattamento è responsabile non solo dei trattamenti di dati personali che effettua direttamente, ma anche di quello effettuato per suo conto (44). Per contro, in forza dell’articolo 82, paragrafo 2, seconda frase, del suddetto regolamento, «[u]n responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del [medesimo] regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento».

b) Finalità e mezzi del trattamento

105. Per stabilire se un ente coinvolto nel trattamento di dati personali possa essere considerato un titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD, occorre esaminare se esso abbia effettivamente esercitato un’influenza, a fini che gli sono propri, sulla determinazione delle finalità e dei mezzi di tale trattamento.

106. La finalità di un trattamento riguarda la questione del perché i dati sono trattati (45). In linea di principio, è la persona che è all’origine del trattamento che ne decide.

107. I contorni della nozione di «mezzi» sono meno chiari e devono essere determinati nel contesto dell’evoluzione delle strutture economiche e tecnologiche in cui i dati sono trattati. In generale, mentre la finalità di un trattamento riguarda la ragione per cui i dati sono trattati, i mezzi rispondono alla questione del come detto obiettivo sarà raggiunto. Infatti, la determinazione dei mezzi consiste, in particolare, nel decidere quali dati sono trattati (46), chi può accedervi e con quali modalità (47) e, nella misura in cui tale decisione può porre fine alle operazioni di trattamento, la durata del trattamento. L’adozione di decisioni in merito agli strumenti o ai supporti materiali o digitali (48) grazie ai quali i dati sono raccolti, presentati o diffusi contribuisce anch’essa a determinare i mezzi di trattamento.

108. Tuttavia, il titolare del trattamento non è tenuto a determinare tutti gli aspetti tecnici e organizzativi del trattamento. La decisione di affidare il trattamento di dati a un responsabile del trattamento può derivare non soltanto dalla volontà di alleggerire il carico di lavoro del titolare del trattamento, ma anche dal fatto che questi non dispone delle competenze tecniche o degli strumenti necessari per organizzare il trattamento. Una siffatta interpretazione, guidata dalla realtà economica, trova conferma nelle disposizioni del RGPD.

109. Infatti, benché, in forza dell’articolo 28, paragrafo 3, del RGPD, un contratto o un atto giuridico sulla cui base un titolare del trattamento affida il trattamento a un responsabile del trattamento debba definire la finalità del trattamento, una siffatta base giuridica non deve rispondere esaustivamente alla questione delle modalità del trattamento dei dati. Essa deve determinare soltanto la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, nonché il tipo di dati personali e le categorie di interessati. Così, da un lato, gli aspetti sensibili che sono fondamentali ai fini della liceità del trattamento sono riservati al titolare del trattamento. Dall’altro, benché un responsabile del trattamento agisca per conto di un titolare del trattamento e ne segua le istruzioni, questi può, o addirittura deve, stabilire le misure tecniche e organizzative del trattamento, senza oltrepassare il suo ruolo di responsabile del trattamento. In altre parole, la determinazione dei mezzi non essenziali del trattamento non è sufficiente per riconoscere lo status di titolare del trattamento a una persona coinvolta nel trattamento dei dati.

110. È sulla base dei criteri stabiliti ai paragrafi da 106 a 109 delle presenti conclusioni che il giudice del rinvio dovrà decidere se la Russmedia possa essere considerata un titolare del trattamento. Affronterò tale problematica al fine di fornire al giudice nazionale gli elementi d’interpretazione attinenti al diritto dell’Unione che gli saranno utili per pronunciarsi sulla controversia di cui è investito.

c) Gestore di un mercato online e RGPD

111. In via preliminare, osservo che il trattamento dei dati personali contenuti negli annunci pubblicati su un mercato online deve essere distinto dal trattamento dei dati degli utenti inserzionisti che creano un account presso il gestore di detto mercato per pubblicare i propri annunci. La creazione di un siffatto account e le altre azioni relative ai dati forniti da un utente inserzionista costituiscono operazioni di trattamento di cui detto gestore risponde in considerazione del RGPD. In sostanza, il gestore decide quali dati sono necessari per registrare un account e, nell’attuare detta procedura di registrazione degli utenti inserzionisti, determina la finalità del loro trattamento.

112. La decisione di rinvio solleva la questione se il gestore di un mercato online eserciti anche un’influenza, a fini che gli sono propri, sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali eventualmente contenuti negli annunci pubblicati sul suo mercato online.

113. In proposito, per quanto attiene alla finalità del trattamento dei dati contenuti in un annuncio «postato» online, la pubblicazione di un annuncio su un mercato online mira, in termini generali, a promuovere presso il pubblico il prodotto o il servizio offerto da un utente inserzionista. Tale finalità è quindi determinata dall’utente inserzionista di cui trattasi. Per contro, il gestore di detto mercato online non sembra esercitare un’influenza, a fini che gli sono propri, sul motivo per cui detti annunci sono pubblicati. La causa di cui ci occupiamo rappresenta un esempio perfetto di questa specificità di funzionamento di un mercato online. Infatti, l’annuncio controverso è stato pubblicato online non per promuovere il servizio di un utente inserzionista, ma per arrecare pregiudizio alla ricorrente nel procedimento principale. Il gestore non ha influito in alcun modo sulla motivazione deplorevole dell’autore dell’annuncio in discussione.

114. Per quanto attiene alla determinazione dei mezzi di trattamento, è l’utente inserzionista a influire sulla risposta alla questione del come i dati sono trattati. Infatti, è l’utente inserzionista a decidere se l’annuncio contenga dati e, se del caso, quali. Per contro, è molto probabile che il gestore di un mercato online non sia nemmeno a conoscenza del fatto che un annuncio contiene dati personali. Inoltre, benché detto gestore determini l’impaginazione degli annunci ed altri aspetti tecnici e organizzativi del funzionamento di detto mercato online, osservo che, tenuto conto delle considerazioni da me illustrate al paragrafo 109 delle presenti conclusioni, l’influenza di detto gestore sulla determinazione dei mezzi non essenziali del trattamento non comporta tuttavia che esso debba essere considerato un titolare del trattamento.

115. Il gestore di un mercato online, come la Russmedia, non sembra pertanto esercitare un’influenza, a fini che gli sono propri, sulla determinazione della finalità e dei mezzi del trattamento dei dati personali eventualmente contenuti negli annunci «postati» sul mercato online in parola. Se detto gestore è coinvolto nel trattamento di tali dati, esso agisce in veste di responsabile del trattamento, per conto di un utente inserzionista e sotto la sua responsabilità. Date le circostanze, gli utenti di un servizio di hosting devono essere qualificati come «titolari del trattamento», ai sensi del RGPD (49).

116. Tenuto conto della specificità della presente causa, è opportuno formulare alcune precisazioni aggiuntive alle considerazioni da me appena illustrate.

117. In primo luogo, a prescindere dalla questione se, nella vigenza del RGPD, una persona interessata possa essere considerata come il titolare del trattamento dei propri dati personali (50), va osservato che, nella specie, la persona che ha messo online l’annuncio controverso non era essa stessa interessata dai dati contenuti in detto annuncio.

118. In secondo luogo, in forza dei termini e condizioni generali di utilizzo del suo mercato online, la Russmedia si riserva il diritto di utilizzare le informazioni memorizzate su richiesta degli utenti inserzionisti. Essa le può copiare, distribuire, trasmettere, pubblicare, riprodurre, modificare, tradurre, cedere a partner e rimuovere in qualunque momento, anche senza aver bisogno di un motivo in tal senso. Una volta avviata una siffatta azione in relazione ai dati contenuti in un annuncio, detta società potrebbe essere considerata come un titolare del trattamento per quanto riguarda una specifica operazione di trattamento, con tutti gli obblighi e le responsabilità che ne conseguono. Infatti, una persona può rispondere delle operazioni di trattamento di cui determina le finalità e i mezzi. Per contro, e fatta salva un’eventuale responsabilità civile prevista dal diritto nazionale a tale riguardo, la persona in parola non può essere chiamata a rispondere, ai sensi del RGPD, delle operazioni anteriori o successive della catena di trattamento di cui essa non determina né le finalità né gli strumenti (51).

119. In terzo luogo, le considerazioni che ho appena formulato corrispondono alla posizione assunta dal gruppo di lavoro «Articolo 29» (52), nel suo parere 1/2010 sui concetti di « [titolare] del trattamento» e « [responsabile] del trattamento» del 16 febbraio 2010 (53). Infatti, secondo detto gruppo di lavoro, un fornitore di accesso a Internet che propone servizi di memorizzazione è, in linea di principio, un [responsabile] del trattamento per i dati personali pubblicati online dai suoi clienti, che si rivolgono a detto fornitore per l’hosting e la manutenzione del loro sito web. Se, per contro, un siffatto fornitore tratta i dati che memorizza per scopi propri, questi diventa [titolare] del trattamento per tale specifico trattamento. Inoltre, questa posizione corrisponde anche a quella del Comitato europeo per la protezione dei dati nelle sue Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021 (54), secondo cui un prestatore di servizi di hosting che non stabilisce se i dati che memorizza sono dati personali né tratta i dati in modo diverso dall’archiviazione per conto del suo cliente è un responsabile del trattamento.

120. Pertanto, fatte salve le verifiche in punto di fatto che competono al giudice del rinvio, la Corte dovrebbe, a mio avviso, attirare l’attenzione di detto giudice sull’opportunità di riconsiderare la qualificazione della Russmedia. Infatti, in linea con la Commissione, ritengo che detta società svolga un ruolo non di titolare del trattamento, ma di responsabile del trattamento per quanto riguarda le operazioni di trattamento risultanti dalla pubblicazione dell’annuncio controverso. È sulla base di questa premessa che procedo ora ad esaminare le questioni dalla seconda alla quarta.

 

2. Obblighi e responsabilità del gestore di un mercato online

a) Caso in cui il gestore di un mercato online è considerato responsabile del trattamento per quanto riguarda il trattamento dei dati contenuti negli annunci

121. Nel contesto degli obblighi e delle responsabilità che gravano sul gestore di un mercato online ai sensi del RGPD, è opportuno distinguere tra, da un lato, il trattamento dei dati personali contenuti negli annunci pubblicati su detto mercato e, dall’altro, il trattamento dei dati degli utenti inserzionisti che creano un account presso detto gestore.

1) Trattamento dei dati contenuti negli annunci

122. Qualora, per quanto attiene al trattamento dei dati personali contenuti negli annunci, la Russmedia fosse effettivamente un responsabile del trattamento, essa non sarebbe stata tenuta a verificare se il trattamento fosse autorizzato e lecito. Infatti, come ho osservato (55), in forza delle disposizioni menzionate nella seconda questione, è il titolare del trattamento ad assumersi la responsabilità del rispetto dei principi relativi al trattamento dei dati personali. Nella stessa ottica, in forza delle disposizioni richiamate dalla terza questione, il responsabile del trattamento non è nemmeno tenuto a verificare preliminarmente il contenuto delle informazioni oggetto delle operazioni di trattamento.

123. Per quanto attiene alla quarta questione, essa mira a stabilire se la Russmedia avrebbe dovuto adottare misure di salvaguardia per impedire o limitare la riproduzione e la ridistribuzione del contenuto degli annunci contenenti dati personali. Tale questione verte sull’interpretazione dell’articolo 5, paragrafo 1, lettere b) e f), e degli articoli 24 e 25 del RGPD. Le disposizioni in parola riguardano, anch’esse, gli obblighi che gravano non sul responsabile del trattamento, bensì sul titolare del trattamento.

124. Ciò posto, l’articolo 32 del RGPD precisa gli obblighi del titolare del trattamento e di un eventuale responsabile del trattamento in merito alla sicurezza di tale trattamento (56).

125. Più nello specifico, l’articolo 32, paragrafo 1, del RGPD dispone che il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio presentato dal trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, ma altresì della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche dei rischi. Parimenti, l’articolo 32, paragrafo 2, di detto regolamento enuncia che, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

126. Nella misura in cui l’articolo 32, paragrafo 2, del RGPD riguarda gli obblighi di un responsabile del trattamento, detta disposizione presuppone che il trattamento dei dati conformemente alle istruzioni del titolare del trattamento sia autorizzato e lecito. Un responsabile del trattamento non può essere tenuto a controllare le azioni del titolare del trattamento per conto del quale tratta i dati. Per contro, esso deve adottare misure volte a garantire la sicurezza del trattamento dei dati personali contro l’ingerenza di terzi. L’articolo 32, paragrafo 1, di detto regolamento concretizza, infatti, sostanzialmente, i principi di integrità e di riservatezza sanciti all’articolo 5, paragrafo 1, lettera f), del medesimo (57). Conformemente a detti principi, i dati devono essere trattati dal titolare del trattamento o per suo conto in modo da garantirne un’adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita.

127. Se annunci «postati» su un mercato online possono essere ripresi, conformemente ai termini e condizioni generali di utilizzo di detto mercato, dagli operatori di altri siti che sono ivi elencati e, quindi, noti a priori agli utenti inserzionisti, il responsabile del trattamento dovrebbe mettere in atto misure che gli consentono di far rimuovere gli annunci eliminati dalla propria piattaforma. Può infatti accadere che il trattamento non sia, o non sia più, lecito e la piattaforma attraverso cui avviene la ridistribuzione di un annuncio dovrebbe essere in grado di mettere fine alla violazione del RGPD anche presso i suoi partner. Un tale risultato è coerente con quello riguardante il rispetto, da parte di un prestatore di un servizio di hosting, della condizione prevista all’articolo 14, paragrafo 1, lettera b), della direttiva 2000/31 (58).

128. Per contro, diversamente da quanto sembra ritenere il giudice del rinvio nella quarta questione, non mi sembra che un responsabile del trattamento dovrebbe essere tenuto a impedire o a limitare la copia o la ridistribuzione di annunci contenenti dati personali. Non compete al responsabile del trattamento stabilire chi possa accedervi e in che modo.

 

2) Trattamento dei dati degli utenti inserzionisti

129. Gli obblighi e le responsabilità del gestore di un mercato online sono maggiori per quanto attiene al trattamento dei dati degli utenti inserzionisti che creano un account presso detto gestore. Nell’ambito del trattamento in parola, il gestore è il titolare del trattamento e gli articoli 24 e 25 del RGPD gli si applicano pienamente (59).

130. L’articolo 24 del RGPD prevede un obbligo generale, gravante sul titolare del trattamento, di mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente a detto regolamento. L’articolo 25 del regolamento di cui trattasi impone al titolare del trattamento di mettere in atto, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento medesimo e tutelare i diritti degli interessati.

131. Come emerge dagli articoli 24 e 25 del RGPD, le misure in discussione devono rispondere ai rischi specifici del contesto in cui i dati personali sono trattati. Benché l’identificazione di rischi specifici e la determinazione dei mezzi adeguati debbano essere certamente rimessi alla valutazione del giudice del rinvio, che dispone di tutti gli elementi di fatto riguardanti l’insieme dei criteri pertinenti in considerazione di dette disposizioni, tuttavia desidero aggiungere le seguenti precisazioni.

132. Come enuncia il considerando 75 del RGPD, il trattamento dei dati può comportare rischi per i diritti e le libertà delle persone fisiche, in particolare quando, segnatamente, esso può comportare un’usurpazione d’identità e quando agli interessati può essere impedito l’esercizio del controllo sui dati personali che li riguardano. Infatti, in generale, un’identità è usurpata con l’obiettivo di realizzare atti fraudolenti, a danno dell’interessato o di terzi. Inoltre, per quanto attiene alle piattaforme online, il loro utilizzo irresponsabile può dar luogo a una violazione dei diritti delle persone fisiche e la prospettiva, per il responsabile di detta violazione, di poter agire in piena impunità aggrava tali rischi.

133. Pertanto, se il titolare del trattamento gestisce un mercato online accessibile a utenti inserzionisti che, nell’utilizzare detto mercato possono usurpare l’identità di un’altra persona per fini fraudolenti, questi deve porre in essere misure che gli consentono di ridurre tale rischio. Come richiesto dall’articolo 25 del RGPD, per soddisfare i requisiti di detto regolamento e tutelare i diritti degli interessati, tale rischio deve essere preso in considerazione dal titolare del trattamento sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso.

134. In tali circostanze, il gestore di un mercato online deve, a mio avviso, prevedere misure tecniche oppure organizzative che gli consentono di verificare l’identità degli utenti inserzionisti. Infatti, una verifica siffatta, da un lato, limiterebbe il rischio di un trattamento illecito o sleale dei dati personali nei confronti dell’interessato e, dall’altro, consentirebbe di contrastare l’uso irresponsabile di detto mercato online, poiché metterebbe in discussione il senso di impunità degli utenti anonimi.

135. Devo precisare che il postulato dell’utilizzo anonimo di Internet non esclude la verifica dell’identità degli utenti inserzionisti. I dati di un utente inserzionista non possono essere accessibili a tutti gli utenti di una piattaforma. Essi possono essere verificati e conservati unicamente dal titolare del trattamento, affinché questi possa adeguarsi agli obblighi ad esso incombenti in forza del RGPD. Per fini di controllo, il gestore può esigere la comunicazione di un numero di telefono e utilizzarlo per confermare la registrazione. Una siffatta soluzione non è inusuale per piattaforme online.

136. È vero che una misura del genere non consente di eliminare ogni rischio di usurpazione dell’identità. Tuttavia, il RGPD si limita a imporre al titolare del trattamento di adottare misure tecniche e organizzative destinate ad evitare, per quanto possibile, qualsiasi violazione di dati personali (60). Non si tratta quindi di un obbligo di risultato, ma di un obbligo di mezzi. In ogni caso, la decisione di rinvio lascia intendere che la Russmedia non ha posto in essere alcuna misura che le consentisse di controllare l’identità dell’autore dell’annuncio controverso all’atto della registrazione o della pubblicazione di detto annuncio.

137. In siffatte circostanze, propongo di rispondere alle questioni dalla seconda alla quarta dichiarando che l’articolo 5, paragrafo 1, lettera f), l’articolo 6, paragrafo 1, lettera a), e gli articoli 7, 24 e 25 del RGPD devono essere interpretati nel senso che un prestatore di servizi della società dell’informazione la cui attività consiste nella memorizzazione-hosting su un sito Internet di annunci gratuiti o a pagamento su richiesta degli utenti agisce in qualità di responsabile del trattamento per quanto attiene ai dati personali contenuti negli annunci «postati» sul suo mercato online. In tale contesto, esso non è tenuto a verificare il contenuto degli annunci pubblicati o ad applicare misure di salvaguardia tali da impedire o limitare la riproduzione e la ridistribuzione del contenuto degli annunci pubblicati per il suo tramite. Esso deve, tuttavia, mettere in atto misure organizzative e tecniche adeguate per garantire la sicurezza del trattamento nei confronti dei terzi. Per contro, un siffatto prestatore agisce in qualità di titolare del trattamento per quanto attiene ai dati personali degli utenti inserzionisti registrati sul suo sito Internet. In tale contesto, esso è tenuto a verificare l’identità di detti utenti inserzionisti.

138. Per completezza e nell’eventualità che la Corte non condivida la mia analisi, esaminerò brevemente gli obblighi e le responsabilità del gestore di un mercato online considerato quale un titolare del trattamento, ai sensi dell’articolo 4, punto 7, del RGPD, per quanto attiene ai dati personali contenuti negli annunci «postati» sul suo mercato online. Infatti, come ho menzionato (61), le questioni dalla seconda alla quarta sembrano muovere dall’assunto che la Russmedia agisce in veste di «titolare del trattamento».

b) Caso in cui il gestore di un mercato online è considerato un titolare del trattamento dei dati contenuti negli annunci

139. In via preliminare, osservo che il fatto che il gestore di un mercato online sia un titolare del trattamento non significa necessariamente che un utente inserzionista di detto mercato online non possa, anch’esso, essere considerato un titolare del trattamento (62).

140. Infatti, il RGPD riconosce l’esistenza di una contitolarità che non si traduce necessariamente in una responsabilità equivalente dei diversi operatori interessati dal trattamento di dati personali. Al contrario, tali operatori possono essere coinvolti in fasi diverse del trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze pertinenti del caso di specie.

141. Tuttavia, mi concentrerò sugli obblighi e sulle responsabilità del gestore di un mercato online nella misura in cui, nel caso di specie, si discute della responsabilità di un siffatto gestore per il trattamento dei dati personali contenuti in un annuncio «postato» sul suo mercato online.

142. La seconda e la terza questione mirano a stabilire se il gestore di un sito Internet sia tenuto a verificare, prima della pubblicazione di un annuncio, rispettivamente, l’identità della persona che «posta» l’annuncio e quella della persona oggetto del medesimo, nonché il contenuto degli annunci inviati dagli utenti.

143. A tal riguardo, non sono convinto che il gestore di un mercato online sia tenuto a garantire che l’utente inserzionista sia la persona interessata dai dati contenuti in un annuncio. Infatti, un mercato online può essere utilizzato anche da un utente inserzionista per pubblicare un annuncio relativo a un’altra persona.

144. Tuttavia, un titolare del trattamento deve verificare che il trattamento dei dati personali sia fondato sul consenso dell’interessato o su un’altra base legittima prevista per legge. Un obbligo in tal senso è previsto, a suo carico, dall’articolo 5, paragrafo 1, lettera a), dall’articolo 6, paragrafo 1, e dall’articolo 7, paragrafo 1, del RGPD.

145. Pertanto, qualora agisca in veste di titolare del trattamento, il gestore di un mercato online deve assicurarsi che la persona i cui dati sono contenuti in un annuncio abbia acconsentito al trattamento. Logicamente, esso deve anche controllare il contenuto di tutti gli annunci presentati da un utente inserzionista, per verificare se contengano dati personali.

146. Conformemente al principio di correttezza previsto all’articolo 5, paragrafo 1, lettera a), del RGPD, il titolare del trattamento deve altresì vigilare che i dati siano trattati in modo corretto nei confronti dell’interessato. Inoltre, in forza degli articoli 24 e 25 di detto regolamento, esso deve anche mettere in atto misure tecniche e organizzative per far sì che il trattamento avvenga in conformità del regolamento in parola. In tal modo, esso deve tener conto dei rischi specifici del contesto in cui i dati sono trattati.

147. Il trattamento dei dati personali pubblicamente accessibili in un ambiente online può comportare rischi per i diritti e per le libertà delle persone fisiche e, in particolare, danni o un pregiudizio immateriale.

148. Quando il gestore di un mercato online è responsabile del trattamento dei dati contenuti negli annunci «postati» su un mercato online, il gestore di detto mercato deve controllare gli annunci prima della loro pubblicazione online, verificare che il loro trattamento sia fondato sul consenso dell’interessato o su altra base legittima prevista per legge e adottare misure volte a contrastare il trattamento dannoso per gli interessati. Qualora non rispetti tali principi, esso può essere chiamato a rispondere delle violazioni del regolamento in parola, conformemente all’articolo 82 del RGPD.

149. La quarta questione mira a stabilire se il gestore di un mercato online debba applicare misure di salvaguardia tali da impedire o limitare la riproduzione e la ridistribuzione del contenuto degli annunci pubblicati per il suo tramite.

150. Se, tenuto conto del contesto in cui il trattamento è realizzato, esiste la possibilità che gli annunci siano ripresi da altri siti e che i dati personali siano successivamente trattati in maniera incompatibile con le finalità per le quali sono stati raccolti, il titolare del trattamento potrebbe prendere in considerazione l’applicazione di misure del genere, che devono essere appropriate. Orbene, non sono convinto che il gestore di un mercato online, che, dal punto di vista del gestore e degli utenti inserzionisti, ha la propria ragion d’essere a livello economico nel fatto che gli annunci ivi «postati» sono pubblicamente accessibili, debba essere obbligato a limitarne la ridistribuzione. Inoltre, l’obiettivo abituale della pubblicazione online di un contenuto è, di norma, quello di renderlo accessibile a tutti gli utenti di Internet, il che implica una forma di ridistribuzione. In ogni caso, tenuto conto delle considerazioni da me illustrate al paragrafo 148 delle presenti conclusioni, l’annuncio controverso non avrebbe dovuto essere pubblicato sul mercato online della Russmedia senza il consenso dell’interessato.

151. Fatte salve le considerazioni aggiuntive che precedono, vertenti sugli obblighi e sulle responsabilità di un titolare del trattamento, resto dell’idea che il gestore di un mercato online sia un responsabile del trattamento dei dati personali contenuti negli annunci «postati» su detto mercato (63). In siffatto contesto, resta da esaminare il rapporto tra la direttiva 2000/31 e il RGPD.

C. Sul rapporto tra il regime della direttiva 2000/31 e quello del RGPD

152. La seconda e la terza questione vertono, segnatamente, sull’articolo 2, paragrafo 4, del RGPD, che riguarda il rapporto tra detto regolamento e la direttiva 2000/31. Inoltre, esse riguardano tanto le disposizioni di detto regolamento che determinano gli obblighi e le responsabilità del trattamento, quanto l’articolo 15 della direttiva in parola. Tali questioni sembrano quindi presupporre l’applicazione parallela del RGPD e della direttiva menzionata.

153. Tuttavia, prima di affrontare tale applicazione parallela di questi due strumenti di diritto dell’Unione (sezione 2), devo osservare che esiste una certa tensione tra l’ipotesi affrontata dalla prima questione e quella oggetto delle questioni dalla seconda alla quarta (sezione 1).

1. Un prestatore neutro di servizi di hosting in quanto titolare del trattamento

154. Ricordo che, dalla mia analisi, risulta che la Russmedia agiva in veste di responsabile del trattamento quanto ai dati personali contenuti negli annunci pubblicati sul suo mercato online (64). Per contro, l’ipotesi di lavoro del giudice del rinvio è che detta società agisse in qualità di titolare del trattamento. In siffatte circostanze, la decisione di rinvio solleva la questione se il gestore di un mercato online possa avere una duplice veste, vale a dire quella di prestatore neutro di servizi di hosting di informazioni memorizzate su richiesta degli utenti del suo servizio, ai sensi dell’articolo 14, paragrafo 1, della direttiva 2000/31, e quella di titolare del trattamento dei dati personali contenuti in dette informazioni. Infatti, da un lato, la prima questione mira a stabilire se la Russmedia sia un prestatore intermediario, ai sensi della sezione 4 del capo II, di detta direttiva. Dall’altro, le questioni dalla seconda alla quarta sembrano muovere dall’assunto che la società in parola debba essere qualificata come «titolare del trattamento», ai sensi del RGPD.

155. A tal proposito, sono consapevole del fatto che, nella sua giurisprudenza, la Corte non ha escluso che un titolare del trattamento di dati personali ai sensi del RGPD possa assumere un ruolo neutrale per quanto riguarda le informazioni contenenti detti dati e beneficiare dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31. In tal senso si esprimono anche gli autori della dottrina per quanto attiene alle giurisprudenze nazionali (65).

156. In un primo momento, nella sentenza Google Spain e Google, la Corte ha in effetti ritenuto che il gestore di un motore di ricerca sia un titolare del trattamento con riferimento ai dati personali contenuti nelle informazioni pubblicate o messe in rete da terzi che sono localizzate, indicizzate e memorizzate da detto gestore (66). In un secondo momento, nella sentenza Google France e Google, la Corte ha affrontato la questione se il gestore di detto medesimo motore di ricerca potesse beneficiare dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31 (67). Tuttavia, questa seconda sentenza riguardava non la gestione del suddetto motore di ricerca, bensì un servizio di posizionamento. Inoltre, nella sentenza in parola, la Corte ha rimesso al giudice del rinvio il compito di valutare se il ruolo assunto da detto gestore corrispondesse a quello di un prestatore intermediario, ai sensi della menzionata disposizione (68).

157. E, aspetto ancor più importante, da un lato, come ho osservato (69), un prestatore intermediario, nel senso voluto dal legislatore nella sezione 4 del capo II della direttiva 2000/31, non può rivestire un ruolo che gli attribuisca la conoscenza o il controllo dei dati memorizzati e deve, quindi, limitarsi a una fornitura neutra del suo servizio attraverso un trattamento puramente tecnico. D’altro lato, il ruolo di titolare del trattamento comporta la determinazione della finalità e dei mezzi del trattamento dei dati personali e, segnatamente, l’esercizio di un’influenza sull’aspetto se dati siano oggetto di operazioni di trattamento quali la registrazione, la modifica o la diffusione e, se del caso, sulla determinazione di tali dati (70). L’esercizio di una siffatta influenza è incompatibile con il ruolo neutro che un prestatore di un servizio della società dell’informazione deve mantenere, quanto alle informazioni memorizzate su richiesta degli utenti, per poter beneficiare dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31. Parimenti, come ho spiegato (71), il RGPD pone a carico del titolare del trattamento obblighi e responsabilità che richiedono che questi agisca in maniera proattiva. In sostanza, per rispettare i principi relativi al trattamento dei dati personali, il titolare del trattamento deve essere a conoscenza dei dati di cui trattasi ed esercitare un controllo su di essi. Anche un controllo del genere non è conciliabile con il ruolo neutro di un siffatto prestatore.

158. Pertanto, se, da un lato, un servizio di hosting consiste nella memorizzazione di informazioni che, dal punto di vista del RGPD, costituiscono dati personali e se, dall’altro, il prestatore di detto servizio è considerato un titolare del trattamento, ai sensi del regolamento in parola, allora il ruolo del prestatore in discussione non si limita a una memorizzazione neutra di tali informazioni. Di conseguenza, il prestatore di un servizio siffatto assume un ruolo attivo per quanto riguarda dette informazioni ed è escluso dal beneficio dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31.

159. La tensione esistente tra l’ipotesi oggetto della prima questione e quella considerata nelle questioni dalla seconda alla quarta rafforza l’interpretazione del RGPD secondo cui il gestore di un mercato online per quanto riguarda i dati personali contenuti negli annunci da esso memorizzati su richiesta degli utenti inserzionisti agisce non già in veste di titolare del trattamento, ma in veste di responsabile del trattamento di detti dati (72).

160. Osservo, per completezza, che non posso escludere che il legislatore dell’Unione abbia scelto di non escludere la possibilità che un prestatore di servizi di hosting operante in qualità di titolare del trattamento possa fruire dell’esonero da responsabilità nell’ambito del Digital Services Act. Infatti, benché detto regolamento abbia soppresso gli articoli da 12 a 15 della direttiva 2000/31 (73), tali disposizioni sono state tuttavia riprese all’interno del medesimo, come interpretate dalla Corte. Detto regolamento aggiunge, al suo articolo 7, che «[i] prestatori di servizi intermediari non sono considerati inammissibili all’esenzione dalla responsabilità (...) per il solo fatto di svolgere, in buona fede e in modo diligente, indagini volontarie di propria iniziativa (...) o di adottare le misure necessarie per conformarsi alle prescrizioni del diritto dell’Unione e del diritto nazionale conforme al diritto dell’Unione» (74). La prima parte di detta disposizione, relativa alle «misure introdotte volontariamente da un prestatore» presenta elementi in comune con la giurisprudenza della Corte sviluppata già nella vigenza della direttiva 2000/31 (75). La seconda parte, vertente sulle «misure adottate per conformarsi alle prescrizioni del diritto dell’Unione», aggiunta da detto medesimo regolamento, consentirebbe a un prestatore di servizi di hosting di adempiere gli obblighi che gli sono imposti dal RGPD e di mantenere il ruolo di prestatore intermediario neutro. Tuttavia, la direttiva 2000/31 non contiene alcuna clausola a tal fine e non vi è ragione di introdurne una attraverso l’interpretazione di detta direttiva.

161. Resta da stabilire se un soggetto coinvolto nel trattamento di dati personali in quanto responsabile del trattamento, che può essere chiamato a rispondere per il trattamento di tali dati per una violazione del RGPD, possa avvalersi dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31.

2. Applicazione parallela del RGPD e della direttiva 2000/31

162. Il problema sollevato dalla decisione di rinvio trova la sua origine nel fatto che un’informazione memorizzata su richiesta di un destinatario del servizio conteneva dati personali il cui trattamento è stato effettuato in violazione del RGPD. Da ciò sorge la questione che contrappone le parti nel procedimento principale e che, da lungo tempo, è oggetto di diatribe dottrinali (76), vale a dire se un soggetto coinvolto nel trattamento di dati personali, che può essere chiamato a rispondere di una violazione del RGPD, possa avvalersi dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31.

163. A tal proposito, devo osservare che, conformemente alla mia analisi di questi due strumenti del diritto dell’Unione, il prestatore di un servizio della società dell’informazione che è il titolare del trattamento dei dati personali contenuti nelle informazioni memorizzate su richiesta degli utenti di detto servizio non può fruire dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31 (77). Di conseguenza, l’analisi che segue mira unicamente a stabilire se un prestatore che agisce in qualità di responsabile del trattamento di tali dati possa avvalersi dell’esonero in discussione. Mi preme ricordare che la mia analisi delle disposizioni del RGPD mi porta a proporre alla Corte di considerare che la Russmedia ha agito in qualità di responsabile del trattamento (78).

164. Occorre, inoltre, rilevare che il giudice del rinvio non precisa se, nel procedimento principale, la Russmedia possa essere chiamata a rispondere di una violazione del RGPD in forza dell’articolo 82 di detto regolamento o in forza delle norme in materia di responsabilità civile previste dal diritto nazionale. Infatti, la violazione di una norma relativa alla protezione dei dati personali può simultaneamente comportare la violazione di altre norme, come quelle in materia di tutela dei consumatori (79) e dei diritti della personalità, e il legislatore dell’Unione non ha inteso procedere ad un’armonizzazione esaustiva dei mezzi di ricorso disponibili in caso di violazione delle disposizioni del RGPD (80).

165. In ogni caso, per quanto attiene alla responsabilità civile, tanto la direttiva 2000/31 quanto il RGPD contengono disposizioni che forniscono indicazioni sul rapporto tra questi due atti di diritto dell’Unione.

a) Sulle pertinenti disposizioni della direttiva 2000/31

166. L’articolo 1, paragrafo 5, lettera b), della direttiva 2000/31, dal titolo «Obiettivi e campo d’applicazione», prevede che tale direttiva non si applica alle questioni relative ai servizi della società dell’informazione oggetto delle disposizioni del diritto dell’Unione applicabili in materia di dati personali. Più in concreto, detta disposizione si riferisce alle direttive 95/46 e 97/66, che sono state sostituite, rispettivamente, dal RGPD (81) e dalla direttiva 2002/58/CE (82).

167. Inoltre, il considerando 14 della direttiva 2000/31, concernente la problematica affrontata all’articolo 1, paragrafo 5, della medesima, enuncia che la protezione dei singoli relativamente al trattamento dei dati personali è disciplinata unicamente dalle direttive 95/46 e 97/66, «che sono integralmente applicabili ai servizi della società dell’informazione. Dette direttive già istituiscono un quadro giuridico [dell’Unione] nel campo della protezione dei dati personali e pertanto non è necessario includere tale aspetto nella [direttiva 2000/31] per assicurare il buon funzionamento del mercato interno, in particolare la libera circolazione dei dati personali tra gli Stati membri. L’applicazione [di quest’ultima] direttiva deve essere pienamente conforme ai principi relativi alla protezione dei dati personali».

168. In passato, la Corte si è già occupata dell’interpretazione dell’articolo 1, paragrafo 5, lettera b), della direttiva 2000/31.

169. Infatti, in un primo momento, nella sentenza Promusicae (83), si era posta la questione se il diritto dell’Unione imponga agli Stati membri di istituire, al fine di garantire l’effettiva tutela del diritto d’autore, l’obbligo di divulgare taluni dati personali nel contesto di un procedimento civile. Nell’ambito di detta causa, il giudice del rinvio si è richiamato a numerose direttive che, a suo avviso, avrebbero potuto costituire la base giuridica di un siffatto obbligo.

170. A tal proposito, la Corte ha dichiarato che dall’articolo 1, paragrafo 5, lettera b), della direttiva 2000/31 risulta che un tale obbligo, quand’anche previsto da detta direttiva, non può pregiudicare gli obblighi relativi alla tutela dei dati personali (84). Sembra, quindi, che la Corte abbia previsto l’applicazione parallela di detta direttiva e degli strumenti del diritto dell’Unione relativi alla protezione dei dati personali.

171. In un secondo momento, nella sentenza La Quadrature du Net e a. (85), la Corte ha affrontato la questione se la direttiva 2000/31 osti a una normativa nazionale che impone ai fornitori di accesso a servizi di comunicazione al pubblico online e ai fornitori di servizi di hosting la conservazione generalizzata e indifferenziata dei dati personali relativi a detti servizi. Il giudice del rinvio riteneva che tale questione fosse disciplinata dalla direttiva in parola e che il suo articolo 15 non introducesse, di per sé, un divieto di principio di conservare dati relativi alla creazione di contenuto al quale potesse derogarsi solo in via eccezionale (86).

172. La Corte ha stabilito che la direttiva 2000/31 non è applicabile in materia di tutela della riservatezza delle comunicazioni e delle persone fisiche con riguardo al trattamento dei dati personali nell’ambito dei servizi della società dell’informazione, essendo tale tutela disciplinata, a seconda dei casi, dalla direttiva 2002/58 o dal RGPD (87).

173. Il carattere categorico di tale risposta deriva dal contesto in cui essa è stata data.

174. Infatti, da un lato, non si può dimenticare che il considerando 15 della direttiva 2000/31 si riferisce specificamente alla riservatezza delle comunicazioni e indica che, in base alla direttiva 97/66, menzionata all’articolo 1, paragrafo 5, lettera b), della direttiva 2000/31, «gli Stati membri devono vietare qualsiasi forma di intercettazione o di sorveglianza non legalmente autorizzata di tali comunicazioni da parte di chi non sia il mittente o il destinatario». La direttiva 2002/58, che ha sostituito la direttiva 97/66, conferma detto divieto e stabilisce le condizioni a cui gli Stati membri possono derogarvi. Parimenti, nella vigenza del RGPD, il margine di manovra riconosciuto agli Stati membri quanto alle misure in deroga relative alla protezione dei dati personali è circoscritto all’articolo 23 di detto regolamento.

175. D’altro lato, per giungere alla conclusione ricordata al paragrafo 171 delle presenti conclusioni, la Corte ha indicato che la tutela della riservatezza delle comunicazioni e delle persone fisiche con riguardo al trattamento dei dati personali è disciplinata unicamente dalla direttiva 2002/58 o dal RGPD, «fermo restando che la tutela che la direttiva 2000/31 mira a garantire non può comunque violare le prescrizioni della direttiva 2002/58 e del [RGPD]» (88).

176. Pertanto, da un lato, la giurisprudenza relativa all’articolo 1, paragrafo 5, lettera b), della direttiva 2000/31 lascia intendere che detta direttiva non si applica alle questioni che sono oggetto di una normativa specifica nell’ambito della direttiva 2002/58 e del RGPD. Dall’altro, la direttiva 2000/31 e le norme del diritto dell’Unione applicabili in materia di dati personali si applicano in parallelo con riferimento a tutte le altre questioni, ma le disposizioni di detta direttiva non possono pregiudicare gli obblighi relativi alla tutela dei dati personali.

 

b) Sulle disposizioni pertinenti del RGPD

177. L’interpretazione da me fornita al paragrafo 176 delle presenti conclusioni trova conferma nell’articolo 2, paragrafo 4, del RGPD, ai sensi del quale detto regolamento «non pregiudica» l’applicazione della direttiva 2000/31, in particolare delle norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva (89).

178. Benché, nella terminologia del diritto dell’Unione, la constatazione che uno strumento giuridico o una delle sue disposizioni «non pregiudica» un altro strumento possa condurre a soluzioni diverse, il RGPD precisa che esso non pregiudica, in particolare, le disposizioni specifiche della direttiva 2000/31. Il legislatore dell’Unione ha, quindi, voluto porre l’accento sul fatto che detto regolamento non limita l’ambito di applicazione delle disposizioni specifiche di detta direttiva. Pertanto, non si può ritenere che il RGPD prevalga sulla direttiva 2000/31 sulla base del rilievo che è stato adottato successivamente ad essa.

 

c) Osservazioni finali

179. Tenuto conto di quanto precede, sia la direttiva 2000/31, come interpretata dalla Corte (90), sia il RGPD (91) sono strutturati in modo da consentire la loro applicazione parallela alle questioni che non sono oggetto di una disciplina specifica nell’ambito di detto regolamento. Resta pertanto da stabilire se il RGPD contenga una clausola che svolge una funzione comparabile a quella dell’articolo 14, paragrafo 1, della direttiva in parola.

180. A tal proposito, l’articolo 82, paragrafo 3, del RGPD prevede che un titolare del trattamento, o un responsabile del trattamento, a seconda dei casi, è esonerato dalla responsabilità per il danno cagionato dal suo trattamento che violi detto regolamento «se dimostra che l’evento dannoso non gli è in alcun modo imputabile». In caso di violazione di dati personali commessa da un «terzo», ai sensi dell’articolo 4, punto 10, di detto regolamento, il titolare del trattamento o il responsabile del trattamento può esimersi dalla propria responsabilità, sulla base dell’articolo 82, paragrafo 3, del regolamento medesimo, dimostrando che non sussiste alcun nesso di causalità tra la sua eventuale violazione dell’obbligo di protezione dei dati e il danno subito dalla persona fisica (92).

181. Ritengo che l’articolo 82, paragrafo 3, del RGPD non costituisca una clausola di esonero da responsabilità che svolge una funzione comparabile a quella dell’articolo 14, paragrafo 1, della direttiva 2000/31.

182. Infatti, l’articolo 14, paragrafo 1, della direttiva 2000/31 si applica soltanto se un prestatore intermediario può essere chiamato a rispondere, in forza delle disposizioni ad esso applicabili, delle informazioni memorizzate su richiesta degli utenti del suo servizio d’intermediazione. Pertanto, la questione dell’applicabilità di detta disposizione si pone unicamente se ricorrono i presupposti della responsabilità di detto prestatore per le informazioni memorizzate, previsti dalle norme applicabili. A tal proposito, le condizioni del diritto al risarcimento previsto all’articolo 82 del RGPD sono determinate ai paragrafi da 1 a 3 di detto articolo. L’articolo 82, paragrafo 3, di tale regolamento prevede una sola condizione per detta responsabilità (93). Infatti, il sorgere della responsabilità in capo al titolare del trattamento, ai sensi dell’articolo 82 di detto regolamento, è subordinato all’esistenza di un illecito commesso da quest’ultimo, la quale viene presunta, a meno che questi non dimostri che l’evento dannoso non gli è in alcun modo imputabile, ai sensi del paragrafo 3 (94).

183. Un responsabile del trattamento la cui responsabilità può sorgere ai sensi dell’articolo 82 del RGPD non è quindi escluso dall’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31.

184. Tuttavia, non si può dimenticare che la responsabilità di un responsabile del trattamento può sorgere, in forza dell’articolo 82, paragrafo 2, seconda frase, del RGPD, solo se non ha adempiuto gli obblighi previsti da detto regolamento specificatamente incombenti ai responsabili del trattamento o se ha agito in modo difforme o contrario rispetto alle lecite istruzioni del titolare del trattamento. Gli obblighi e le responsabilità di un gestore di un mercato online che agisce in qualità di responsabile del trattamento per quanto riguarda i dati contenuti negli annunci pubblicati sulla sua piattaforma sono quindi legati soprattutto all’articolo 32 di detto regolamento (95).

185. Ciò considerato, come ho già menzionato, non risulta chiaramente se, nel procedimento principale, la responsabilità della Russmedia per una violazione del RGPD possa sorgere in forza dell’articolo 82 di detto regolamento o in forza delle disposizioni nazionali. Se la responsabilità per una violazione di detto regolamento può sorgere sulla base delle disposizioni nazionali (cosicché l’articolo 82, paragrafo 3, del regolamento medesimo non troverebbe applicazione), vi sono ancora meno ragioni per escludere detta entità dal beneficio dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31.

186. Per concludere, ritengo che un soggetto coinvolto nel trattamento di dati personali in quanto responsabile del trattamento, la cui responsabilità può sorgere per una violazione del RGPD, possa avvalersi dell’esonero da responsabilità previsto all’articolo 14, paragrafo 1, della direttiva 2000/31. La mia conclusione circa il rapporto tra questi due strumenti del diritto dell’Unione non è quindi tale da modificare le risposte alle questioni pregiudiziali da me proposte.

 

V. Conclusione

187. Alla luce di tutte le considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali poste dalla Curtea de Apel Cluj (Corte d’appello di Cluj, Romania) nel modo seguente:

1) L’articolo 14, paragrafo 1, della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico»)

deve essere interpretato nel senso che:

un prestatore di un servizio della società dell’informazione consistente nel mettere a disposizione degli utenti un mercato online su cui sono pubblicati annunci gratuiti o a pagamento può beneficiare dell’esonero da responsabilità previsto in detta disposizione, parimenti quando indica, nei termini e condizioni generali di utilizzo del suo mercato online, che, seppur non rivendica un diritto di proprietà su detti contenuti, conserva però il diritto di utilizzare i contenuti forniti, pubblicati, caricati o trasmessi, incluso copiarli, distribuirli, trasmetterli, pubblicarli, riprodurli, modificarli, tradurli, cederli a partner e rimuoverli in qualunque momento, anche senza aver bisogno di un motivo in tal senso, a condizione che detto prestatore non adotti misure che gli facciano perdere la sua qualità di prestatore neutro di servizi di hosting.

2) L’articolo 5, paragrafo 1, lettera f), l’articolo 6, paragrafo 1, lettera a), e gli articoli 7, 24 e 25 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

 

devono essere interpretati nel senso che:

un prestatore di servizi della società dell’informazione la cui attività consiste nella memorizzazione-hosting su un sito Internet di annunci gratuiti o a pagamento su richiesta degli utenti agisce in qualità di responsabile del trattamento per quanto attiene ai dati personali contenuti negli annunci «postati» sul suo mercato online. In tale contesto, esso non deve verificare il contenuto degli annunci «postati» o applicare misure di salvaguardia tali da impedire o limitare la riproduzione e la ridistribuzione del contenuto degli annunci pubblicati per il suo tramite. Esso deve, tuttavia, mettere in atto misure organizzative e tecniche adeguate per garantire la sicurezza del trattamento nei confronti dei terzi. Per contro, il prestatore in parola agisce in qualità di titolare del trattamento per quanto attiene ai dati personali degli utenti inserzionisti registrati sul suo sito Internet. In tale contesto, esso deve verificare l’identità di detti utenti inserzionisti.