Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
RESUMEN
La sentencia C‑492/23
(X / Russmedia Digital SRL, Inform Media Press SRL, Gran Sala, de 02.12.2025,
declara que el operador de una plataforma en línea (marketplace) de anuncios
puede ser co-responsable del tratamiento de datos personales junto
con el usuario anunciante y que el Reglamento (UE) 2016/679, RGPD prevalece
sobre el régimen de exención de responsabilidad de alojamiento (“hosting”) de
la Directiva de comercio electrónico 2000/31 cuando la plataforma interviene
activamente en el tratamiento de datos personales, particularmente sensibles.
El hecho concreto es
que Russmedia explota un portal de anuncios en línea www.publi24.ro, en Rumanía,
en el que un tercero no identificado publicó un anuncio falso presentando a la
demandante como prestataria de servicios sexuales, con fotografías suyas y su número
de teléfono, sin su consentimiento. El anuncio fue copiado íntegramente por
otros sitios, citando como fuente la web de Russmedia; aunque Russmedia lo
retiró en menos de una hora tras la solicitud de la afectada, el contenido
siguió accesible en otras webs.
Entre las cuestiones
jurídicas, se abordaron los conceptos de “responsable del tratamiento” (art.
4.7 RGPD) y la posible co-responsabilidad entre la plataforma y el
anunciante (art. 26 RGPD) por el contenido de los datos personales, incluidos
datos sensibles; el alcance del principio de responsabilidad proactiva
(accountability, art. 5.2 RGPD) y las obligaciones de diseño y seguridad (arts.
24, 25 y 32 RGPD) respecto de contenidos generados por usuarios; el tratamiento
de categorías especiales de datos (art. 9 RGPD), en particular datos relativos
a la vida sexual, y la exigencia de consentimiento expreso de la persona
afectada. Y se precisó la relación entre RGPD (art. 2.4) y la Directiva
2000/31/CE (arts. 12‑15), respecto de la alegación de exención de sobre su responsabilidad
de “prestador intermediario” y sobre su implicación en el tratamiento, prevaleciendo
el régimen del RGPD.
El Fallo principal del
Tribunal de Justicia Europeo declara que el operador de un marketplace de
anuncios en línea es responsable del tratamiento de los datos
personales incluidos en los anuncios publicados por usuarios cuando determina
los fines y medios de ese tratamiento (Configurar categorías, reglas de
publicación, anonimato y conservación de contenidos); en consecuencia, el artículo
14 de la Directiva 2000/31/CE (exención de responsabilidad por hosting) no le exime de las
obligaciones del RGPD, que prevalece como lex
specialis en materia de protección de datos. El fallo precisa, además que las plataformas deben adoptar medidas
proactivas (arts. 24, 25 y 32 RGPD), tales como filtros de palabras clave
para datos sensibles (P.ej. vida sexual), verificación de identidad del
anunciante cuando hay alto riesgo de ilícitos, y mecanismos para impedir re-publicaciones
masivas, siendo co-responsables con el usuario anunciante
Sobre esta sentencia,
el reciente Decreto Legislativo 1724, publicado el 7 de febrero 2025
por Perú, retrocede respecto de la jurisprudencia europea pues permite la exención
responsabilidad de los proveedores de Internet, en la :Transmisión y
Enrutamiento por los datos que solo transitan por sus cables, ni por Almacenamiento
Temporal (Caching), ni específicamente por el Alojamiento de Información
(Hosting), ni por los Aplicativos de búsqueda, alineándose el Perú con los estándares
internacionales derivados del Acuerdo de Promoción Comercial (APC) con Estados
Unidos.
A fin de
acceder a normas similares y estándares europeos, las empresas, organizaciones
públicas y privadas interesadas en asesorías, consultorías, capacitaciones,
estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo
electrónico:cferreyros@ferreyros-ferreyros.com
__________________________________________________________
 | Diario Oficial | ES Serie C |
C/2026/602 | 9.2.2026 |
Sentencia del Tribunal de Justicia (Gran Sala) de 2 diciembre de 2025 (petición de decisión prejudicial planteada por el Curtea de Apel Cluj – Rumanía) – X / Russmedia Digital SRL, Inform Media Press SRL
(Asunto C-492/23, (1) Russmedia Digital e Inform Media Press)
(Procedimiento prejudicial - Protección de datos personales - Reglamento (UE) 2016/679 - Artículo 4, punto 7 - Concepto de «responsable del tratamiento» o «responsable» - Responsabilidad del operador de un mercado en línea por la publicación de los datos personales contenidos en anuncios colocados en su mercado en línea por usuarios anunciantes - Artículo 5, apartado 2, - Principio de responsabilidad - Artículo 26 - Corresponsabilidad con esos usuarios anunciantes - Artículo 9, apartados 1 y 2, letra a) - Anuncios que contienen datos sensibles - Licitud del tratamiento - Consentimiento - Artículos 24, 25 y 32 - Obligaciones del responsable del tratamiento - Identificación previa de los anuncios que contienen tales datos - Verificación previa de la identidad del usuario anunciante - Negativa a publicar anuncios ilícitos - Medidas de seguridad destinadas a impedir la copia de los anuncios y su publicación en otros sitios web - Comercio electrónico - Directiva 2000/31/CE - Artículos 12 a 15 - Posibilidad de que, respecto al incumplimiento de dichas obligaciones, tal operador invoque la exención de responsabilidad de un prestador intermediario de servicios de la sociedad de la información)
(C/2026/602)
Lengua de procedimiento: rumano
Órgano jurisdiccional remitente
Curtea de Appel Cluj
Partes en el procedimiento principal
Demandante: X
Demandadas: Russmedia Digital SRL, Inform Media Press SRL
Fallo
1) | Los artículos 5, apartado 2, y 24 a 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), deben interpretarse en el sentido de que el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, de dicho Reglamento, de los datos personales contenidos en anuncios publicados en su mercado en línea, está obligado, antes de la publicación de los anuncios y aplicando medidas técnicas y organizativas apropiadas,
|
2) | El artículo 32 del Reglamento 2016/679 debe interpretarse en el sentido de que el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, de dicho Reglamento, de los datos personales contenidos en anuncios publicados en su mercado en línea, está obligado a aplicar medidas de seguridad técnicas y organizativas apropiadas para impedir que anuncios que se hayan publicado en ese mercado y que contengan datos sensibles, en el sentido del artículo 9, apartado 1, del mismo Reglamento, sean copiados e ilícitamente publicados en otros sitios web. |
3) | El artículo 1, apartado 5, de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), y el artículo 2, apartado 4, del Reglamento 2016/679 deben interpretarse en el sentido de que el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, del Reglamento 2016/679, de los datos personales contenidos en anuncios publicados en su mercado en línea, no puede invocar, respecto al incumplimiento de las obligaciones resultantes de los artículos 5, apartado 2, 24 a 26 y 32 de este Reglamento, los artículos 12 a 15 de dicha Directiva, relativos a la responsabilidad de los prestadores de servicios intermediarios. |
(1) DO C, C/2023/1126.
ELI: http://data.europa.eu/eli/C/2026/602/oj
ISSN 1977-0928 (electronic edition)
No hay comentarios:
Publicar un comentario