Il caso Assonime n. 2/2026 analizza la sentenza della Corte di giustizia UE del 2 dicembre 2025 (C‑492/23), che segna un punto di svolta nella definizione delle responsabilità delle piattaforme digitali in materia di protezione dei dati personali. La Corte stabilisce che le piattaforme che determinano modalità di accesso, utilizzo e diffusione dei dati – anche per finalità commerciali – agiscono come titolari del trattamento e sono quindi pienamente soggette agli obblighi del GDPR. Esse devono adottare misure tecniche e organizzative adeguate al rischio, con garanzie rafforzate per i dati particolari, senza poter beneficiare del regime di responsabilità limitata dell’e-commerce. La decisione chiarisce inoltre il coordinamento con il Digital Services Act, orientando verso un modello di compliance integrata che unisce tutela dei diritti fondamentali, gestione dei rischi sistemici e principi di privacy by design e by default nella progettazione dei servizi digitali.

Assonime ha pubblicato il caso n. 2/2026 dal titolo “Privacy e responsabilità delle piattaforme: i nuovi orientamenti della Corte di Giustizia”. In particolare Assonime pone l’attenzione sulla sentenza della Corte di giustizia dell’Unione europea del 2 dicembre 2025, nella causa C‑492/23, che rappresenta un passaggio decisivo per la regolazione dell’offerta e dell’utilizzo dei servizi digitali. La decisione ridefinisce infatti il ruolo delle piattaforme online e le loro responsabilità rispetto al trattamento dei dati personali.Secondo la Corte, una piattaforma che gestisce dati personali e stabilisce le modalità con cui tali informazioni possono essere rese accessibili o diffuse – anche per scopi commerciali o pubblicitari – deve essere considerata a tutti gli effetti un titolare del trattamento. Di conseguenza, essa è pienamente soggetta agli obblighi previsti dal GDPR. Ciò implica che le piattaforme devono implementare misure tecniche e organizzative proporzionate al livello di rischio connesso ai dati trattati, adottando tutele più stringenti quando sono coinvolte categorie particolari di dati. In questa prospettiva, il GDPR si applica integralmente alla loro attività, escludendo la possibilità di invocare il regime di responsabilità limitata previsto dalla normativa sul commercio elettronico. La pronuncia assume inoltre un peso rilevante nel coordinamento con il nuovo quadro regolatorio introdotto dal Digital Services Act. La Corte contribuisce infatti a chiarire come si intreccino gli obblighi in materia di protezione dei dati personali con quelli relativi alla rimozione tempestiva dei contenuti illeciti e alla gestione dei rischi sistemici. Ne emerge un orientamento verso un modello di compliance integrata: le piattaforme devono considerare congiuntamente, fin dalla fase di progettazione dei servizi, sia le esigenze del mercato digitale sia la tutela dei diritti fondamentali degli utenti. In questo contesto, i principi di privacy by design e by default diventano elementi strutturali, imponendo che le garanzie di protezione dei dati siano incorporate direttamente nell’architettura dei servizi digitali. Copyright © - Riproduzione riservata

Per accedere a tutti i contenuti senza limiti abbonati a IPSOA Quotidiano Premium 1 anno € 118,90 (€ 9,90 al mese) Acquista Primi 3 mesi € 19,90 poi € 35,90 ogni 3 mesi Acquista Sei già abbonato ? Accedi

Fonte: https://www.ipsoa.it/documents/quotidiano/2026/03/07/privacy-corte-ue-ridefinisce-ruolo-piattaforme-online