Cazul care a declanșat analiza CJUE
Speța provine din România, unde pe Publi24 a fost publicat un anunț fals ce atribuia unei femei activități sexuale, folosind fotografii reale și numărul său de telefon, fără permisiunea acesteia. Deși anunțul a fost șters rapid, copia sa s-a răspândit pe alte site-uri și a rămas vizibilă mult timp, generând un prejudiciu serios de imagine. Victima a cerut daune, iar instanțele române au fost puse în situația de a stabili ce responsabilități are platforma dincolo de ștergerea ulterioară a anunțului.
Curtea de Apel Cluj a cerut CJUE să lămurească interacțiunea dintre Directiva comerțului electronic și Regulamentul GDPR, în special dacă o platformă precum Publi24 poate fi considerată „operator de date” pentru conținutul introdus de utilizatori, precum și dacă sunt necesare verificări prealabile în situația datelor sensibile, cum sunt cele privind viața sexuală.
Platformele nu mai pot invoca rolul de „gazdă”: CJUE stabilește responsabilitatea directă
În hotărârea publicată, Curtea arată că publicarea unui astfel de anunț reprezintă o prelucrare de date cu caracter personal supusă regulamentului GDPR, indiferent dacă informațiile din anunț sunt reale sau inventate. Prezentarea cuiva ca oferind servicii sexuale intră în categoria datelor sensibile, supusă unui nivel ridicat de protecție.
Judecătorii explică faptul că operatorul platformei influențează decisiv modul în care datele sunt prelucrate, prin structura serviciului, prin instrumentele puse la dispoziție și prin modul de organizare a anunțurilor. Acest rol exclude ideea că platforma ar fi doar un intermediar pasiv.
Totodată, CJUE stabilește că, în momentul publicării, platforma și utilizatorul care a introdus anunțul acționează împreună asupra scopurilor și mijloacelor prelucrării, ceea ce îi transformă în operatori asociați. În această situație, Russmedia nu poate pretinde că responsabilitatea sa se limitează la eliminarea conținutului după notificare.
Obligații înainte de publicarea anunțurilor: caracterul „ex ante”
Una dintre clarificările esențiale ale hotărârii privește obligațiile aplicabile înainte ca un anunț să devină public. Curtea precizează că platformele trebuie să își proiecteze serviciile astfel încât să prevină încălcări grave ale drepturilor persoanelor.
Dacă există un risc evident ca utilizatorii să posteze date privind viața sexuală a altor persoane, platforma trebuie să dispună de mecanisme capabile să identifice anunțurile care includ astfel de date înainte de publicare. CJUE atrage atenția că anonimatul total al utilizatorilor nu poate fi combinat cu absența unui sistem de verificare.
În lipsa unei identități care să corespundă persoanei vizate, publicarea este permisă doar dacă autorul poate demonstra existența consimțământului expres al persoanei sau a unei excepții prevăzute de GDPR. În absența acestor condiții, conținutul nu trebuie publicat.
Prevenirea diseminării: obligații suplimentare privind securitatea
Curtea clarifică și standardele legate de securitatea datelor. Platformele trebuie să aplice măsuri tehnice și organizatorice adecvate pentru a evita proliferarea neautorizată a anunțurilor care includ date sensibile. Chiar dacă GDPR nu cere eliminarea tuturor riscurilor, nivelul măsurilor trebuie adaptat gravității potențialului prejudiciu.
Pentru date privind viața sexuală, obligația presupune folosirea celor mai avansate soluții disponibile, raportate la costuri și la riscul real de pierdere a controlului asupra datelor. Diseminarea anunțului pe alte site-uri nu reprezintă automat dovada lipsei de securitate; platforma poate arăta că a implementat măsuri suficiente și că răspândirea a avut loc în pofida acestora.
GDPR prevalează: regimul responsabilității pentru găzduire nu poate reduce obligațiile de protecție a datelor
Hotărârea stabilește ferm că prevederile privind exonerarea de răspundere din Directiva comerțului electronic sau din Digital Services Act nu pot fi folosite ca scut împotriva obligațiilor impuse de regulamentul GDPR. În materie de date sensibile, regulile GDPR sunt prioritare, iar platformele nu pot invoca rolul de intermediar neutru dacă nu se conformează cerințelor legale privind prelucrarea, verificarea identității sau securitatea datelor.
Această interpretare poate remodela modul în care platformele digitale funcționează în UE, deoarece trasează o diferență clară între responsabilitatea civilă pentru conținut și obligațiile ce decurg din protecția datelor.
Ce urmează pentru instanțele naționale și pentru mediul online
Tribunalele române vor rejudeca speța având la dispoziție un cadru clar: trebuie să analizeze dacă Publi24 dispunea de sisteme capabile să identifice date sensibile înainte de publicare și dacă tolera postarea anonimă fără garanții adecvate. Totodată, vor verifica dacă au fost aplicate măsuri de securitate proporționale pentru a preveni copierea și distriburea anunțului fals.
La nivel european, hotărârea transmite un semnal puternic furnizorilor de marketplace-uri: designul tehnic al platformei nu mai poate fi separat de obligațiile în materie de protecție a datelor. Verificările preliminare și prevenția, chiar fără a echivala cu o monitorizare generală, devin parte obligatorie a funcționării platformelor.
