1. Contextul Cauzei C-492/23 şi importanţa hotărârii pronunţate
În ziua de astăzi, prin intermediul Internetului și al diverselor platforme online, femeile devin tot mai des ținte ale unor atacuri care le afectează în mod direct drepturile nepatrimoniale. De la deepfake-uri, la revenge porn sau la publicarea de anunțuri false de către o terță persoană, cu privire la oferirea unor servicii sexuale de către o femeie care nu și-a dat consimțământul, protecția femeilor devine tot mai şubredă.
Un pas ce ajută protecţia acestora este Hotărârea CJUE din 5 decembrie 2025 în Cauza 492/23 având ca obiect o cerere de decizie preliminară de Curtea de Apel Cluj.
CJUE a hotărât că platformele online trebuie să protejeze datele cu caracter personal publicate pe site-urile lor, chiar dacă acele date sunt încărcate de utilizatori și nu de platformă însăși.
Întrebarea preliminară a fost formulată într-un litigiu din România dintre Russmedia Digital, societatea comercială care deţine site-ul Publi24 şi o femeie ale cărei date personale au fost publicate într-un anunţ de pe această platformă. În anunţul respectiv, publicat de o terţă persoană, femeia era prezentată ca oferind servicii sexuale şi erau ataşate poze cu aceasta şi meţionat numărul său de telefon. Deși platforma a șters rapid anunțul după ce a fost sesizată, acesta fusese deja copiat pe alte site-uri, unde a rămas vizibil.
În urma demărarii litigiului de către femeie, instanțele române au fost împărțite: prima instanță, Judecătoria Cluj Napoca, a considerat că platforma răspunde pentru prejudiciu, iar instanța de apel a hotărât contrariul, pentru că Publi24 ar fi doar un simplu serviciu de „hosting”, protejat de lege și fără obligația de a verifica ce postează utilizatorii.
Sesizarea CJUE a fost realizată de Curtea de Apel Cluj, pentru clarificarea obligaţiilor acestor platforme din perspectiva protecţiei datelor cu carcater personal.
Miza cauzei, ajunsă la CJUE, a fost să se stabilească dacă o platformă online se poate ascunde în spatele regulilor de „hosting” sau dacă, potrivit RGPD, ea are obligații reale și preventive de protecție a datelor personale.
2. Raţionamentul CJUE
CJUE a decis că operatorul platformei este „operator de date” în sensul RGPD, nu doar un intermediar pasiv. Asta înseamnă că nu este suficient să șteargă rapid conținutul după o plângere, ci trebuie să ia măsuri dinainte pentru a preveni publicarea anunțurilor care conțin date sensibile fără consimțământ, să verifice dacă autorul anunțului este într-adevăr persoana ale cărei date figurează în respectivul anunț sau dacă acesta a primit consimțământul explicit al acestei persoane, iar în caz contrat să refuze publicarea:
„97 Prin urmare, în măsura în care operatorul unei piețe online precum cea în discuție în litigiul principal știe sau ar trebui să știe că, în general, anunțuri care conțin date sensibile, în sensul articolului 9 alineatul (1) din RGPD, pot fi publicate pe piața sa online de către utilizatori care publică anunțuri, acest operator, în calitate de operator în ceea ce privește această prelucrare, are obligația, începând cu momentul conceperii serviciului său, să pună în aplicare măsurile tehnice și organizatorice adecvate pentru a identifica asemenea anunțuri înainte de publicarea lor și pentru a fi astfel în măsură să verifice dacă datele sensibile pe care le conțin sunt publicate cu respectarea principiilor prevăzute în capitolul II din acest regulament. Astfel, după cum rezultă în special din articolul 25 alineatul (1) din regulamentul menționat, obligația de a pune în aplicare asemenea măsuri îi revine nu numai în momentul prelucrării, ci și în momentul stabilirii mijloacelor de prelucrare și, prin urmare, chiar înainte ca datele sensibile să fie publicate pe piața sa online cu încălcarea acestor principii, această obligație urmărind tocmai să prevină asemenea încălcări.
98 În ceea ce privește, în al doilea rând, aspectul dacă operatorul unei piețe online, în calitate de operator în ceea ce privește datele sensibile cuprinse în anunțurile publicate pe site-ul său internet, împreună cu utilizatorul care publică anunțul, trebuie să verifice înainte de publicare identitatea acestui utilizator care publică anunțul, trebuie amintit că din coroborarea articolului 9 alineatul (1) și articolului 9 alineatul (2) litera (a) din RGPD rezultă că publicarea unor astfel de date este interzisă, cu excepția cazului în care persoana vizată și-a dat consimțământul explicit ca datele în discuție să fie publicate pe această piață online sau a cazului în care se aplică una dintre celelalte excepții prevăzute la articolul 9 alineatul (2) literele (b)-(j), ceea ce nu pare însă să fie cazul în speță.
99 În acest sens, deși faptul că o persoană vizată plasează un anunț care conține datele sale sensibile pe o piață online poate constitui un consimțământ explicit, în sensul articolului 9 alineatul (2) litera (a) din RGPD, un asemenea consimțământ lipsește atunci când acest anunț este plasat de o terță persoană, cu excepția cazului în care aceasta poate demonstra că persoana vizată și-a dat consimțământul explicit pentru publicarea anunțului respectiv pe piața online în cauză. Prin urmare, pentru a putea garanta și a fi în măsură să demonstreze că cerințele prevăzute la articolul 9 alineatul (2) litera (a) din RGPD sunt respectate, operatorul acesteia este obligat să verifice, înainte de publicarea unui astfel de anunț, dacă utilizatorul care publică anunțul, care urmează să îl plaseze, este persoana ale cărei date sensibile figurează în anunțul respectiv, ceea ce presupune colectarea identității utilizatorului care publică anunțul.”
Hotărârea are un impact major, în contextul Legea nr. 365/2002 privind comerțul electronic stabilește că furnizorii de servicii online (inclusiv de tip stocare-hosting) nu răspund, în general, pentru conținutul pe care utilizatorii îl publică pe platformele lor, atâta timp cât furnizorul acționează doar ca un intermediar tehnic.
Mai mult decât atât, deşi în speţă, platforma Publi24 a şters într-o oră anunţul, totuşi mai multe site-uri au preluat anunţul.
Cu privire la acest aspect, Curtea a stabilit că platforma unde s-a publicat iniţial anunţul are obligaţia să ia măsuri pentru a preveni pierderea controlului asupra acestor date: 121 De asemenea, atunci când datele sensibile sunt publicate online, operatorul este obligat, în temeiul articolului 32 din RGPD, să ia toate măsurile tehnice și organizatorice în vederea asigurării unui nivel de securitate apt să prevină în mod eficace pierderea controlului asupra acestor date.
3. Interpretarea consacrată de CJUE
În concluzie, Curtea (Marea Cameră) declară:
„1) Articolul 5 alineatul (2), precum și articolele 24-26 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretate în sensul că operatorul unei piețe online, în calitate de operator în sensul articolului 4 punctul 7 din acest regulament în ceea ce privește datele cu caracter personal cuprinse în anunțuri publicate pe piața sa online, este obligat, înainte de publicarea anunțurilor și prin intermediul unor măsuri tehnice și organizatorice adecvate,
– să identifice anunțurile care conțin date sensibile, în sensul articolului 9 alineatul (1) din regulamentul menționat,
– să verifice dacă utilizatorul care publică anunțul, care urmează să plaseze un astfel de anunț, este persoana ale cărei date sensibile figurează în acest anunț și, în caz contrar,
– să refuze publicarea anunțului, cu excepția cazului în care utilizatorul care publică anunțul poate demonstra că persoana vizată și-a dat consimțământul explicit ca datele în cauză să fie publicate pe această piață online, în sensul articolului 9 alineatul (2) litera (a), sau că se aplică una dintre celelalte excepții prevăzute la respectivul articol 9 alineatul (2) literele (b)-(j).
2) Articolul 32 din Regulamentul 2016/679 trebuie interpretat în sensul că operatorul unei piețe online, în calitate de operator în sensul articolului 4 punctul 7 din acest regulament în ceea ce privește datele cu caracter personal cuprinse în anunțuri publicate pe piața sa online, este obligat să implementeze măsuri de securitate tehnice și organizatorice adecvate în vederea împiedicării copierii și publicării ilicite pe alte site-uri internet a unor anunțuri publicate pe piața sa online care conțin date sensibile, în sensul articolului 9 alineatul (1) din regulamentul menționat.
3) Articolul 1 alineatul (5) litera (b) din Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă (Directiva privind comerțul electronic) și articolul 2 alineatul (4) din Regulamentul 2016/679 trebuie interpretate în sensul că operatorul unei piețe online, în calitate de operator în sensul articolului 4 punctul 7 din Regulamentul 2016/679 în ceea ce privește datele cu caracter personal cuprinse în anunțuri publicate pe piața sa online, nu se poate prevala, în privința unei încălcări a obligațiilor care decurg din articolul 5 alineatul (2) și din articolele 24-26 și 32 din acest regulament, de articolele 12-15 din această directivă, referitoare la răspunderea furnizorilor de servicii intermediari.”