Menu

Menu

Menu

De interés

Nuestro propósito y nuestros valores: Código de conducta

Reconocimientos

Loading Results

Análisis de la Sentencia del Tribunal de Justicia de la Unión Europea sobre la responsabilidad de las plataformas digitales respecto de las publicaciones de sus usuarios
El fallo analiza las obligaciones de los prestadores de servicios de intermediación en línea bajo el Reglamento General de Protección de Datos (RGPD) y la aplicabilidad de la exención de responsabilidad de la Directiva sobre el comercio electrónico

La Gran Sala del Tribunal de Justicia de la Unión Europea («TJUE») ha dictado sentencia en el asunto C‑492/23 (caso «Russmedia»), respondiendo a las cuestiones prejudiciales planteadas por el Tribunal Superior de Justicia de Rumanía. El fallo analiza las obligaciones de los prestadores de servicios de intermediación en línea bajo el Reglamento General de Protección de Datos (RGPD) y la aplicabilidad de la exención de responsabilidad de la Directiva sobre el comercio electrónico (Directiva 2000/31/CE) cuando los usuarios publican anuncios que contienen datos personales.

El litigio que da origen a la sentencia se inició a raíz de la publicación de un anuncio fraudulento en el portal de Russmedia Digital, un mercado en línea en Rumanía. Un tercero no identificado publicó un anuncio que presentaba falsamente a la demandante como oferente de servicios sexuales, incluyendo datos personales como imágenes y datos de contacto. Este caso llevó al Tribunal Superior de Rumanía a plantear cuatro cuestiones prejudiciales ante el TJUE para aclarar el alcance de la responsabilidad de la plataforma.

La demandante denunció dicha publicación ante Russmedia Digital, que procedió a su retirada inmediata. No obstante, durante el período en que el anuncio permaneció accesible en la plataforma, su contenido fue reproducido de manera idéntica en otros sitios web, con expresa referencia a la fuente original.

A raíz de estos hechos, la afectada demandó a Russmedia por vulneración de sus derechos fundamentales y tratamiento ilícito de datos personales. Aunque el juzgado de primera instancia condenó a Russmedia, el tribunal de apelación revocó la sentencia, aceptando el argumento de que la plataforma estaba amparada por la exención de responsabilidad de la Directiva sobre el comercio electrónico, al haber retirado el contenido con prontitud tras ser notificada.

Como consecuencia de lo anterior, la demandante interpuso recurso ante el Tribunal Superior de Rumanía, sosteniendo que Russmedia intervenía de manera activa en la gestión y difusión de los anuncios, así como que se reservaba determinados derechos sobre los contenidos publicados, conforme a lo dispuesto en sus Términos y Condiciones. En atención a ello, la recurrente alegó la inaplicabilidad de la exención de responsabilidad relativa a los datos almacenados en la plataforma, prevista en la Directiva 2000/31/CE.

Para resolver la controversia, el Tribunal rumano elevó las siguientes cuatro cuestiones prejudiciales al TJUE:

  1. Si la plataforma puede ser considerada «responsable del tratamiento» bajo el RGPD y, en tal caso, si debe verificar ex ante que el anunciante es el titular de los datos personales publicados.
  2. Si la plataforma tiene la obligación de revisar a priori el contenido de los anuncios para detectar y eliminar contenido potencialmente ilícito.
  3. Si la plataforma debe implementar medidas técnicas y organizativas para impedir la copia y redistribución (web scraping) del contenido publicado.
  4. Si la exención de responsabilidad de la Directiva sobre comercio electrónico es aplicable a un operador que, aunque aloja datos, sus términos y condiciones le otorgan un rol activo sobre el contenido.

Respuestas de La Gran Sala del Tribunal de Justicia de la Unión Europea 

El TJUE determina que un operador de un mercado en línea es «responsable del tratamiento» si determina los fines y medios de dicho tratamiento. En este caso, el Tribunal considera que Russmedia no se limita a alojar contenido, sino que, a través de sus Términos y Condiciones, se reserva derechos activos sobre los datos (copiar, distribuir, modificar, etc.), lo que implica que participa en la determinación de los fines del tratamiento. Por tanto, el tratamiento de datos personales en los anuncios es, también, su responsabilidad.

El Tribunal extiende esta responsabilidad al tratamiento de categorías especiales de datos (ej. orientación sexual). Al no restringir su publicación, y dado que su tratamiento está prohibido salvo excepciones muy tasadas, la plataforma incurre en un tratamiento ilícito. El TJUE subraya que el consentimiento no puede presuponerse por el simple hecho de que un usuario suba el contenido. En aplicación del principio de responsabilidad proactiva (accountability), el operador debe adoptar medidas técnicas y organizativas, desde el diseño, para (i) impedir la publicación de datos sensibles innecesarios, o (ii) implementar controles ex ante para verificar que se cuenta con el consentimiento explícito del titular de los datos.

Por ello, el TJUE establece que, aunque Russmedia no persiguiera los fines ilícitos del anunciante, sí participó en la finalidad de hacer accesibles los datos, permitiendo anuncios anónimos y facilitando la publicación de datos sin consentimiento. Esta participación la convierte en corresponsable del tratamiento junto con el usuario que publicó el anuncio ilícito.

Sobre la copia de contenidos (scrapping), el TJUE considera que la publicación de datos personales en línea conlleva un riesgo inherente de difusión masiva y pérdida de control por parte del interesado.

Por ello, el responsable del tratamiento está obligado a aplicar medidas técnicas y organizativas apropiadas para prevenir dicha pérdida de control (ej. tecnologías anti-copia). El Tribunal fundamenta esta obligación en el artículo 32 del RGPD (seguridad del tratamiento) y señala que su incumplimiento puede anular en la práctica derechos como el de supresión. Corresponderá al tribunal nacional verificar si Russmedia adoptó las medidas adecuadas.

En otro orden de cosas, el TJUE aclara que, aunque los artículos 12 a 15 de la Directiva 2000/31 sobre comercio electrónico establecen una exención general de responsabilidad para los prestadores de servicios intermediarios, como los de transmisión de datos, caching o alojamiento, de modo que no estén obligados a supervisar los datos que transmiten o almacenan ni a realizar búsquedas activas para detectar actividades ilícitas, dicha exención no es aplicable cuando entra en juego la normativa de protección de datos. Así lo confirma el artículo 5.1, letra b), de la Directiva, que excluye la posibilidad de que estas limitaciones de responsabilidad afecten al cumplimiento de obligaciones derivadas de otras normas, como el RGPD.

En este sentido la prohibición de exigir a dichos intermediarios llevar a cabo una vigilancia general no impide que sea necesaria la aplicación de controles para prevenir que se lleven a cabo tratamientos ilícitos de datos.

El TJUE indica no es necesario llevar a cabo una monitorización general y permanente de todo lo que suben los usuarios ni impone una verificación de identidad universal para todos los anunciantes en cualquier caso; sino que se trata de aplicar verificaciones proporcionadas al riesgo. 

Conclusiones

La sentencia eleva el estándar de diligencia para los operadores de mercados en línea. El TJUE concluye que estos pueden ser responsables o corresponsables del tratamiento junto con los usuarios, ya que determinan cómo se organizan y difunden los anuncios, obteniendo un beneficio de ello. Esto les obliga a implementar medidas para verificar si los anuncios contienen datos personales (especialmente sensibles) y si el anunciante tiene legitimación para publicarlos (por ser el titular o contar con su consentimiento).

Asimismo, el TJUE aclara que el operador de un mercado en línea, como responsable del tratamiento, está obligado a aplicar medidas de seguridad técnicas y organizativas apropiadas para impedir que anuncios que se hayan publicado en su mercado y que contengan categorías especiales de datos sean copiados e ilícitamente publicados en otros sitios web. Sin embargo no especifica qué medidas de seguridad deberían adoptarse.

Por último, el TJUE señala que el operador de un mercado en línea, como responsable del tratamiento, no puede invocar, la exención de responsabilidad de la Directiva de comercio electrónico aplicable a los prestadores de servicios intermediarios en la medida en la que la Directiva no puede inferir en el régimen de responsabilidad establecido en el RGPD.

¿Cómo afecta esta sentencia a su plataforma? ¿Qué medidas debe tomar para adecuar su actividad a estas nuevas obligaciones?

Si quieres conocer las respuestas a estas y otras preguntas, no dudes en contactar con nosotros.

Artículo elaborado por Marta Llamazares, senior manager de PwC Tax & Legal, y Marina Alonso, senior associate de PwC Tax & Legal. 

Artículo elaborado desde una perspectiva de protección de datos, analizando el caso Russmedia y su impacto en la configuración del régimen jurídico aplicable a los servicios digitales.

 

Contacta con nosotros

Fernando Fernández-Miranda

Fernando Fernández-Miranda

Socio responsable de NewLaw Pulse, PwC Tax & Legal

Email

© 2016 - 2026 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.