CJUE schimbă poziția platformelor online în Europa - Hotărârea în cazul Russmedia (Publi24), 2 decembrie 2025
Curtea de Justiție a Uniunii Europene (CJUE) a pronunțat o hotărâre cu impact major asupra modului în care platformele online din Europa gestionează datele utilizatorilor și răspund pentru conținutul publicat de aceștia. În cauza Russmedia Digital (Publi24), aflată în fața Marii Camere, judecătorii europeni au stabilit că operatorii piețelor online nu pot invoca statutul de simpli intermediari tehnici atunci când datele sensibile ale unei persoane sunt publicate abuziv. Decizia clarifică relația dintre vechiul regim de limitare a răspunderii pentru servicii de hosting și cerințele stricte ale Regulamentului General privind Protecția Datelor (GDPR), ridicând nivelul de exigență pentru furnizorii de platforme.
Un anunț fals cu consecințe reale
Cazul își are originea în România, unde pe platforma de anunțuri Publi24 a fost publicat un anunț fals prin care o femeie era prezentată ca oferind servicii sexuale. Anunțul conținea numeroase date personale (fotografii reale, numărul ei de telefon) folosite fără consimțământul victimei. Postarea a apărut pentru scurt timp înainte de a fi ștearsă, dar copia ei a început să circule rapid pe alte site-uri, unde a rămas activă vreme îndelungată, amplificând prejudiciul de imagine și încălcarea vieții private. Reclamanta a cerut despăgubiri în justiție, iar instanțele române au fost confruntate cu o întrebare cheie: ce obligații are platforma care găzduiește anunțul, dincolo de simpla eliminare ulterioară a conținutului?
Curtea de Apel Cluj, care judeca apelul în cauză, a sesizat CJUE pentru a clarifica raportul dintre Directiva privind comerțul electronic și GDPR. Pe scurt, judecătorii români au dorit să afle dacă un operator precum Russmedia, care administrează Publi24, poate fi considerat „operator de date” pentru anunțurile postate de utilizatori și dacă are obligații de verificare înainte de publicarea acestora atunci când sunt implicate date sensibile, precum cele referitoare la viața sexuală.
Platforma, nu doar „gazdă”: noțiunea de operator și responsabilitate
În hotărârea de publicată pe 2 decembrie 2025, CJUE stabilește că publicarea unui anunț de acest tip reprezintă o prelucrare de date cu caracter personal care intră sub incidența GDPR, indiferent dacă informațiile sunt reale sau false. Mai mult, Curtea confirmă că prezentarea unei persoane ca oferind servicii sexuale constituie o prelucrare de date sensibile, categorie supusă unui regim special de protecție. Deși conținutul a fost introdus de un utilizator anonim, platforma nu este exonerată automat de responsabilitate. Judecătorii au explicat că operatorul pieței online influențează modul, structura și scopurile prelucrării datelor, prin deciziile pe care le ia asupra modului de funcționare al platformei, asupra instrumentelor puse la dispoziție și asupra modului de clasificare și afișare a anunțurilor.
CJUE merge chiar mai departe și arată că, pentru publicarea anunțului, platforma și utilizatorul care a postat conținutul sunt operatori asociați, întrucât acționează împreună în stabilirea scopurilor și mijloacelor prelucrării. Aceasta înseamnă că Russmedia nu poate susține că rolul său este pur tehnic sau pasiv, iar responsabilitatea sa nu se limitează la eliminarea ulterioară a conținutului odată ce este notificată.
Obligații înainte de publicare
Unul dintre aspectele centrale ale hotărârii este caracterul „ex ante” al obligațiilor impuse platformei. Curtea a subliniat că operatorii care permit publicarea de conținut de către utilizatori trebuie să își proiecteze serviciile în așa fel încât să prevină încălcarea drepturilor fundamentale. În cazul datelor sensibile, platforma este obligată să adopte mecanisme prin care să poată identifica anunțurile care conțin astfel de date înainte ca acestea să devină publice. Judecătorii afirmă că, atunci când există riscul evident ca pe o platformă să fie publicate anunțuri ce pot conține date privind viața sexuală, anonimatul absolut al utilizatorilor nu poate fi combinat cu absența unui mecanism de verificare.
În consecință, platforma trebuie să verifice dacă persoana care postează anunțul este aceeași cu persoana ale cărei date apar în conținut. Dacă nu este așa, publicarea poate avea loc numai dacă autorul anunțului poate demonstra că deține consimțământul explicit al persoanei vizate sau că există o excepție legală prevăzută de GDPR. Dacă niciuna dintre aceste condiții nu este îndeplinită, platforma trebuie să refuze publicarea.
Prevenirea diseminării: noile cerințe privind securitatea
CJUE a clarificat și obligațiile privind securitatea datelor, precizând că platformele trebuie să implementeze măsuri tehnice și organizatorice eficiente pentru a preveni preluarea și republicarea ilicită a anunțurilor ce conțin date sensibile. Deși GDPR nu impune eliminarea completă a tuturor riscurilor, Curtea insistă că nivelul de protecție trebuie calibrat în funcție de gravitatea potențialului prejudiciu. În cazul datelor privind viața sexuală, o asemenea sarcină impune adoptarea celor mai avansate soluții disponibile, ținând cont de costuri și de amploarea riscului de pierdere a controlului asupra datelor.
În același timp, judecătorii observă că faptul că datele au ajuns pe alte site-uri nu este automat o dovadă a lipsei de securitate. Platforma are dreptul să dovedească faptul că a implementat măsuri adecvate, iar diseminarea s-a produs în pofida acestora, nu din cauza unei neglijențe.
CJUE: Directiva e-commerce nu poate slăbi regimul strict al RGPD
Un alt punct al hotărârii vizează relația dintre regimul de răspundere limitată pentru serviciile de găzduire, consacrat inițial de Directiva comerțului electronic și reconfigurat de Digital Services Act, și obligațiile stricte din GDPR. CJUE afirmă fără echivoc că articolele privind exonerarea de răspundere nu pot servi drept apărare împotriva obligațiilor privind protecția datelor. În zona protecției datelor, GDPR prevalează, iar platforma nu se poate ascunde în spatele statutului de intermediar neutru dacă nu respectă regulile privind prelucrarea datelor sensibile, verificarea identității sau măsurile de securitate.
Această precizare are potențialul de a reconfigura poziția juridică a platformelor în întregul spațiu european, întrucât stabilește o linie de demarcație fermă între responsabilitatea civilă pentru conținut și obligațiile care decurg din protecția datelor personale.
Consecințe pentru platforme și pentru instanțele naționale
Pentru instanțele române, hotărârea CJUE oferă un cadru precis de analiză în rejudecarea cazului. Judecătorii din România vor trebui să verifice dacă Publi24 a implementat mecanismele de identificare a datelor sensibile înainte de publicarea anunțurilor și dacă permitea postarea anonimă fără garanții adecvate. Vor analiza de asemenea dacă au fost adoptate măsuri tehnice proporționale pentru a preveni copierea și redistribuirea anunțului fals.
Pentru platformele online europene, decizia reprezintă un semnal categoric. Proiectarea tehnică a serviciilor nu mai poate fi separată de obligațiile juridice, iar protecția datelor sensibile nu mai poate depinde exclusiv de reacția la notificările primite din partea utilizatorilor. Obligațiile de verificare și prevenție, deși nu echivalează cu o monitorizare generală, devin parte integrantă din funcționarea unui marketplace digital.
Comentează