”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

Article CJUE C-492/23: Platformele online redescoperă GDPR în 2026

Introducere

Domeniul protecției datelor cu caracter personal nu se dezice de cel mai nou trend al acestui an, „2026 is the new 2016”. 2016 a reprezentat un moment de cotitură raportat la protecția datelor cu caracter personal, prin apariția GDPR. 2026 reprezintă un moment al rafinării coordonatelor trasate prin GDPR. Hotărârea CJUE în cauza C-492/23 deschide acest an și arată că o platformă online sau un marketplace nu mai poate avea un rol pasiv vizavi de protecția datelor. Platformele online sau marketplace-urile sunt, deci, operatori care trebuie să identifice, înainte de a publica, anunțurile care conțin date sensibile și să verifice dacă persoana care publică anunțul este chiar persoana ale cărei date personale sunt partajate sau are acordul explicit al acesteia.

Schimbări notabile: Pasivitate vs. Responsabilitate

Cauza C-492/23 oferă un punct de reper pentru modul în care platformele online se vor conforma la obligațiile impuse de GDPR. Astfel, acestea sunt considerate operatori pentru datele personale publicate de un utilizator prin intermediul unui anunț. 

Dacă până acum o platformă online opera cu o oarecare incertitudine, din postura unor intermediari neutrii, în privința gestionării datelor personale, această decizie clarifică faptul că în baza unor criterii, precum natura structurată,  categorizarea și monetizarea conținutului (anunțurilor) utilizatorilor, transformă platforma online într-un veritabil operator de date cu caracter personal. 

Punctual, o companie care găzduiește o platformă online (sau chiar compania dvs.)  nu se mai poate baza pe modele pur reactive în materie de conformitate. Responsabilitatea se măsoară prin proactivitate. Spre exemplu, platformele online trebuie să verifice înainte de publicarea anunțurilor comerciale identitatea utilizatorului. De asemenea, este încurajată tranziția și investiția în mecanisme automatizate care să detecteze datele sensibile ce pot apărea în diferitele anunțuri. 

Responsabilitatea impusă companiilor va influența și modelele de business. Obligațiile de conformare pot genera costuri operaționale mărite și cerințe de onboarding mai stricte. În orice caz, decizia CJUE nu trebuie privită singular, ci într-un amplu context de legislație interdependentă, câteva exemple fiind intersecțiile cu Digital Services Act sau AI Act. Se prefigurează un viitor apropiat în care protecția datelor, moderarea conținutului și responsabilitatea algoritmică sunt strâns legate între ele, furnizorii având obligația, deci, de a integra noile cerințe în structurile lor de guvernanță corporativă, pentru a gestiona riscurile și menține încrederea. 

Hotărârea CJUE C-492/23, pe scurt 

Cazul privește o platformă online din România care permitea publicarea de anunțuri de către utilizatori. În 2018, pe platformă a fost publicat un anunț nelegal ce conținea fotografii și un număr de telefon aparținând unei femei, sugerând în mod fals că aceasta oferea servicii sexuale. Anunțul a fost publicat fără consimțământul ei și includea date cu caracter personal sensibile. Deși operatorul platformei a eliminat rapid anunțul după notificare, conținutul fusese deja preluat și redistribuit pe alte site-uri. Femeia a solicitat despăgubiri pentru prejudiciu moral, invocând încălcarea dreptului la viață privată, onoare și imagine, precum și prelucrarea ilegală a datelor sale personale.

Instanța română a ridicat întrebări preliminare către CJUE privind rolul juridic al operatorului platformei: dacă acesta acționa doar ca intermediar de tip „hosting” în sensul Directivei eCommerce sau dacă avea calitatea de operator (sau operator asociat) de date potrivit GDPR. În special, s-a pus problema dacă platforma avea obligația de a verifica identitatea advertiserilor, de a preveni publicarea anunțurilor ilegale și de a adopta măsuri proactive pentru identificarea datelor sensibile, precum și dacă poate beneficia de limitările de răspundere ale Directivei eCommerce în condițiile în care exercita un anumit control asupra modului de publicare și gestionare a anunțurilor.

Impactul pentru business

Hotărârea nu este doar un reper legal sau o clarificare în limbaj de specialitate a unor concepte legale, ci are o reală importanță strategică pentru businessurile din zona marketplace-urilor online. 

În primul rând, Curtea a decis că o asemenea platformă nu va beneficia de limitările Directivei eCommerce, GDPR-ul fiindu-i direct aplicabil. 

De asemenea, urmărind parcursul acestui caz, putem trage un semnal de alarmă asupra riscului reputațional generat de o eventuală neconformare la GDPR. Orice neconformare poate fi mediatizată dintr-o perspectivă negativă, precum a fost în cazul Publi24, iar din asta rezultă o scădere a încrederii atât din partea consumatorilor, cât și a partenerilor. Implicit este și riscul financiar care se împarte în sancțiunea propriu-zisă și costurile operaționale. Departamentele IT, Legal, operaționale pot fi blocate o perioadă de timp în rezolvarea neconformităților în loc să se concentreze pe taskurile lor uzuale. 

Recomandări practice

Din decizia Curții putem extrage câteva recomandări practice care să asigure fluiditatea proceselor de business. 

  • Realizați frecvent audituri interne prin care să identificați tipurile de date cu caracter personal și evaluați riscurile.
  • Implementați măsuri tehnice adecvate precum filtre automate, verificarea identirății utilizatorilor sau proceduri de ștergere rapidă a datelor sensibile.
  • În materie de politici și termeni, actualizați frecvent termenii și condițiile, clarificați rolul dvs. ca operator în măsura în care compania dvs. se ocupă de gestionarea unui marketplace online și formați echipe eficiente în zona de compliance.

Concluzie

„2026 is the new 2016” și prin maturitatea forțată pe care o impune hotărârea CJUE C-492/23 pentru platforme. Nu mai există o zonă de confort pentru hostingul pasiv. Operatorii trebuie așadar să aleagă între asumarea responsabilității și proactivitate în prelucrarea datelor utilizatorilor, ceea ce presupune sutomat și o investiție în procesele de compliance și protecție  sau acceptarea riscului financiar și reputațional derivat din nerespectarea GDPR. 




Oana Sîrbu

Junior Privacy and Data Protection Consultant

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Transparența în inteligența artificială: De ce este ea inevitabilă

Transparența în inteligența artificială: De ce este ea inevitabilă

AEPD amendează Curenergía cu 500.000 de euro

AEPD amendează Curenergía cu 500.000 de euro

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Un an cu DORA. Ce au avut de făcut instituțiile financiare privind conformitatea cu DORA

Un an cu DORA. Ce au avut de făcut instituțiile financiare privind conformitatea cu DORA

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI