• CJUE confirmă că o piață online care exploatează comercial conținutul și stabilește modul de diseminare a anunțurilor nu este un „o gazdă pasivă”, ci un operator de date în sensul GDPR, împreună cu utilizatorul care publică anunțul.
• Platforma trebuie, înainte de publicare, să identifice anunțurile care conțin date sensibile, să verifice identitatea celui care postează și existența consimțământului explicit al persoanei vizate, iar în lipsa acestuia să refuze publicarea.
• Operatorul trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a împiedica sau reduce, pe cât posibil, copierea și publicarea ilicită, pe alte site-uri, a anunțurilor cu date sensibile.
• Operatorul unei piețe online nu se poate prevala de limitările de răspundere pentru furnizorii de servicii intermediari (art. 12–15 din Directiva 2000/31) atunci când i se impută încălcarea obligațiilor pe care GDPR i le impune în calitate de operator de date.

Soluția în cauza C-492/23 (Russmedia Digital și Inform Media Press) vizează o cunoscută platformă online din România pe care pot fi publicate anunțuri, gratuit sau contracost. În 2018, cineva publica pe site-ul respectiv un anunț care o prezenta pe X ca oferind servicii sexuale, folosind fotografii reale ale acesteia și numărul ei de telefon, toate acestea, desigur, fără consimțământul ei. Deși a fost publicat inițial doar pe această platformă, anunțul a ajuns apoi și pe alte site-uri de anunțuri similare, cu indicarea sursei și, deși a fost șters de Russmedia la mai puțin de o oră de la solicitarea X, a rămas accesibil pe alte site-uri care îl copiaseră. 

X a dat în judecată Russmedia, cerând despăgubiri pentru atingerea adusă imaginii, onoarei, vieții private și pentru prelucrarea ilegală a datelor sale personale. În primă instanță, compania a fost obligată la plata a 7.000 euro daune morale, atât pentru încălcarea drepturilor la imagine și viață privată, cât și pentru prelucrarea ilegală a datelor cu caracter personal. Viziunea s-a schimbat cu totul la tribunal, unde judecătorii au considerat că respectiva companie e doar furnizor de hosting (stocare) pentru informația furnizată de utilizatori și beneficiază de exonerarea de răspundere prevăzută de Legea nr. 365/2002 (transpunerea art. 14 din Directiva UE privind comerțul electronic), neexistând astfel obligație de monitorizare activă a conținutului și, cum anunțul a fost șters prompt după notificare, Russmedia n-ar fi răspunzătoare.

În recurs, X a susținut că instanța de apel a ignorat GDPR, care este legea specială în materie de protecția datelor, și că compania nu e un simplu „depozitar tehnic”, ci un actor care administrează și exploatează conținutul anunțurilor. La nivelul Curții de Apel Cluj s-a decis, astfel, sesizarea CJUE cu o serie de întrebări preliminare privind interpretarea GDPR și a Directivei 2000/31/CE.

Curtea (Marea Cameră) a stabilit, prin decizia pronunțată azi, trei lucruri esențiale:

1. Platforma de anunțuri este operator de date (și operator asociat cu utilizatorul care postează). Ca operator în sensul GDPR, înainte de publicarea anunțurilor care pot conține date sensibile (art. 9 GDPR - inclusiv date privind viața sexuală sau orientarea sexuală), platforma trebuie, prin măsuri tehnice și organizatorice adecvate să identifice anunțurile care conțin astfel de date sensibile, să verifice dacă G utilizatorul care postează este persoana vizată de datele sensibile din anunț și, dacă nu este, să refuze publicarea anunțului, cu excepția cazului în care utilizatorul poate demonstra consimțământul explicit al persoanei vizate sau aplicabilitatea unei alte excepții din art. 9 alin. (2) RGPD.

2. Platforma trebuie să implementeze măsuri de securitate pentru a limita copierea și redistribuirea anunțurilor cu date sensibile. În temeiul art. 32 GDPR,  operatorul pieței online are obligația de a implementa măsuri tehnice și organizatorice „potrivite riscului” pentru a împiedica sau, cel puțin, a limita copierea și publicarea ilicită, pe alte site-uri, a anunțurilor cu date sensibile. Nu se cere eliminarea oricărui risc, dar se cere un nivel de securitate adecvat gravității riscului (inclusiv pierderea controlului asupra datelor și compromiterea reputației).

3. Regimul „safe harbour” din Directiva comerț electronic nu poate fi opus GDPR. Operatorul unei piețe online nu se poate prevala de articolele 12–15 din Directiva 2000/31 (limitarea răspunderii furnizorilor de servicii intermediari) pentru a scăpa de răspunderea care îi revine ca operator de date în temeiul GDPR. Normele privind hostingul și absența obligației generale de monitorizare nu pot reduce exigențele de protecție a datelor impuse de GDPR.

Caracterul mincinos al datelor nu le scoate de sub protecția art. 9 GDPR

În cazuri precum este acesta trebuie să ne uităm, în primul rând, la natura datelor personale aflate în discuție și la gravitatea riscului: anunțul conținea date cu caracter personal (fotografii, număr de telefon) și, mai mult, date sensibile privind viața sexuală (prezentarea persoanei ca furnizând servicii sexuale). Curtea subliniază că datele sunt „sensibile” chiar dacă informația este falsă și defăimătoare: caracterul mincinos nu le scoate de sub protecția art. 9 GDPR.

Prelucrarea unor astfel de date sensibile poate aduce o ingerință deosebit de gravă în drepturile fundamentale la viață privată și protecția datelor, mai ales când anunțul este asociat, în percepția publicului, cu infracțiuni grave (proxenetism, trafic de persoane), arată judecătorii Curții. De aici, se deduce că nivelul de protecție și obligațiile preventive ale operatorului trebuie să fie foarte ridicate. 

În speța de față, Curtea interpretează larg noțiunea de „operator”:

• operator este orice entitate care, singură sau împreună cu altele, stabilește scopurile și mijloacele prelucrării;

• pot exista mai mulți operatori pentru aceeași prelucrare („operatori asociați”), cu responsabilități diferite, dar toți supuși GDPR.

În cazul Russmedia, utilizatorul care postează anunțul stabilește scopul imediat (publicarea acelui conținut, cu intenție vătămătoare), Russmedia însă nu se limitează la o stocare neutră, întrucât exploatează comercial conținutul (anunțurile sunt baza modelului său de business), își rezervă, prin termeni și condiții, dreptul de a copia, distribui, publica, modifica, traduce, cesiona și șterge conținutul, stabilește parametrii diseminării (durata, structura rubricilor, modul de afișare, clasificare etc.) și permite postarea de anunțuri în mod anonim.

Curtea concluzionează că Russmedia influențează în scopuri proprii prelucrarea datelor și participă decisiv la stabilirea scopurilor și mijloacelor, deci este operator alături de utilizator (operator asociat). Practic, odată ce e operator, platforma cade direct sub incidența obligațiilor GDPR, nu doar a regimului de hosting din Directiva e-commerce.

Plecând de la art. 5 alin. (2) și art. 24–25 GDPR, Curtea accentuează faptul că operatorul nu trebuie doar să respecte regulile GDPR, ci să poată demonstra conformitatea, trebuie să implementeze măsuri tehnice și organizatorice adecvate încă de la momentul conceperii serviciului („data protection by design and by default”), dar și că acel caracter „adecvat” se evaluează în funcție de natura datelor, context, scopuri și, mai ales, de riscul pentru drepturile persoanelor vizate.

Platformele de anunțuri nu pot doar să reacționeze după notificare, ci trebuie să existe și mecanisme „ex ante”

Tocmai pentru că publicarea de date (mai ales sensibile) pe o platformă deschisă, unde pot fi copiate și redistribuite, generează un risc deosebit de grav, respectiv pierderea controlului asupra datelor și imposibilitatea practică a „dreptului de a fi uitat”, nu e suficient să există o reacție doar „după notificare”, trebuie să existe mecanisme care să opereze și înainte, adică să permită, să zicem, identificarea automată sau prin filtre a anunțurilor ce conțin date sensibile, să permită interdicția postării anonime atunci când se prelucrează astfel de date sau, cel puțin, verificarea identității celui care postează și refuzarea publicării acolo unde nu există consimțământ explicit sau alt temei legal.

Curtea leagă aceste obligații direct de art. 9 din regulamentul european: dacă persoana vizată își postează singură anunțul, asta poate echivala cu un consimțământ explicit pentru publicare; dacă însă anunțul este postat de un terț, consimțământul nu poate fi prezumat, trebuie verificat, iar în lipsa sa, anunțul nu poate fi publicat.