L’articolo 5, paragrafo 2, e gli articoli da 24 a 26 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che:
il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto, prima di pubblicare gli annunci, e mediante misure tecniche e organizzative adeguate ad individuare gli annunci che contengono dati sensibili, a norma dell’articolo 9, paragrafo 1, di detto regolamento; a verificare se l’utente inserzionista che si appresta a collocare un annuncio di questo tipo sia la persona i cui dati sensibili figurano in tale annuncio e, in caso contrario, a rifiutare la pubblicazione di quest’ultimo, a meno che tale utente inserzionista possa dimostrare che la persona interessata ha prestato il proprio consenso esplicito affinché i dati in questione siano pubblicati in tale mercato online, ai sensi di detto articolo 9, paragrafo 2, lettera a), o che sia soddisfatta una delle altre eccezioni previste da tale articolo 9, paragrafo 2, lettere da b) a j). L’articolo 32 del regolamento 2016/679 dev’essere interpretato nel senso che: il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto a mettere in atto misure di sicurezza tecniche e organizzative adeguate al fine di impedire che annunci ivi pubblicati e contenenti dati sensibili, a norma dell’articolo 9, paragrafo 1, di detto regolamento, siano riprodotti e illecitamente pubblicati su altri siti Internet. L’articolo 1, paragrafo 5, lettera b), della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico»), e l’articolo 2, paragrafo 4, del regolamento 2016/679, devono essere interpretati nel senso che: il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, del regolamento 2016/679, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, non può invocare – a fronte di una violazione degli obblighi derivanti dall’articolo 5, paragrafo 2, e dagli articoli da 24 a 26 e 32 di tale regolamento – gli articoli da 12 a 15 di detta direttiva relativi alla responsabilità dei prestatori intermediari.