El arbitraje en los contratos internacionales de consumo tras la Directiva (UE) 2025/2647

 

Las importantes restricciones al arbitraje en los contratos de consumo, orientadas a lograr una adecuada protección de los consumidores, junto con la tradicional dimensión estatal del marco regulador de las entidades y los procedimientos de resolución alternativa de litigios en materia de consumo, ha venido lastrando el empleo efectivo del arbitraje respecto de los contratos internacionales de consumo celebrados a distancia, pese a la expansión de tales contratos en el entorno digital. Me refiero, en particular, a los contratos que un consumidor residente en España celebra desde nuestro país con comerciantes establecidos en el extranjero (o un comerciante español con consumidores residentes en otros Estados miembros de la UE). La Directiva (UE) 2025/2647, de 16 de diciembre de 2025, por la que se modifica la Directiva 2013/11/UE, relativa a la resolución alternativa de litigios en materia de consumo, tras la supresión de la plataforma europea de resolución de litigios en línea, atribuye especial importancia a la extensión del ámbito de aplicación de la Directiva 2013/11/UE para incluir, no solo los “litigios transfronterizos” cubiertos ya en la versión inicial de ese instrumento, sino además los “litigios con un comerciante de un tercer país”. Según su cdo. 3, supuestamente, “al menos dos de cada cinco transacciones en línea que efectúan los consumidores residentes en la Unión implican a comerciantes establecidos en terceros países”. Esta nueva Directiva, cuyo periodo de transposición termina el 20 de marzo de 2028, justifica volver sobre el régimen del arbitraje en los contratos internacionales de consumo en el marco español y de la Unión. Para ello, tras una breve introducción acerca del encaje de la Directiva (UE) 2025/2647 en el panorama normativo español y de la UE (I, infra); mencionaré sus principales novedades, con especial referencia a la extensión del ámbito material de aplicación de la Directiva 2013/11/UE (II, infra) y a la dimensión internacional (III, infra). Finalmente, aunque se trata de normas de la Directiva 2013/11 que no son ahora objeto de modificación, haré referencia a las particularidades de la determinación del régimen jurídico aplicable a los contratos internacionales de consumo en el marco del arbitraje (IV, infra).

Difusión de contenidos en sitios web: alcance espacial de los actos de comunicación al público y relevancia de las medidas de geobloqueo

 

    ¿Dónde se lleva a cabo el acto de comunicación al público de una obra cuando se difunde a través de un sitio web? ¿En qué territorios eventualmente se infringe el derecho de comunicación al público sobre la obra difundida en un sitio web? ¿Cuál es la relevancia del empleo de medidas de bloqueo geográfico para restringir el acceso desde ciertos territorios? ¿Y la repercusión de que ciertos usuarios eludan tales medidas mediante el empleo de redes privadas virtuales (VPNs)? Tras la frustración que supuso la retirada de la cuestión prejudicial en el asunto Grand Production, C-423/21, de modo que hubo que conformarse con las conclusiones del AG Szpunar, EU:C:2022:818; el asunto Anne Frank Fonds, C-788/24, brinda al Tribunal de Justicia la posibilidad de pronunciarse sobre las cuestiones reseñadas. Las recientes conclusiones del AG Rantos en este asunto, EU:C:2026:12, abordan la importancia de las medidas de geobloqueo para garantizar el cumplimiento de obligaciones legales -típicamente de carácter territorial- respecto de actividades en línea potencialmente globales (II, infra), así como la incidencia de la elusión de tales medidas mediante el empleo de redes privadas virtuales (VPN) (III, infra). Se trata de aspectos que resultan de interés más allá del ámbito de los derechos de autor que es objeto del litigio principal. En este sentido, cabe recordar que, conforme al Derecho de la Unión, el alcance territorial de las medidas frente a contenidos ilícitos en línea debe limitarse a lo estrictamente necesario para alcanzar su objetivo (art. 9.2.b) Reglamento de Servicios Digitales o RSD), es decir, en principio, a impedir el acceso a los contenidos sólo desde los territorios en los que resulten ilícitos (por ejemplo, en el ámbito distinto de la protección de datos personales, puede verse la STJUE 24 de septiembre de 2019, C-507/17,Google (Portée territoriale dudéréférencement), EU:C:2019:772). Además, las conclusiones en el asunto Anne Frank Fonds, C-788/24, se prestan a la reflexión acerca de cuál es el alcance espacial de los actos de comunicación al público cuando obras protegidas por derechos de autor son objeto de difusión mediante sitios web (I, infra).

Responsabilidad de administradores societarios de sitios web de apuestas: interpretación del Reglamento Roma II

 

    La oferta de juegos de azar en línea por parte de operadores establecidos en Malta a consumidores domiciliados en otros Estados miembros de la Unión (con frecuencia, pese a carecer de licencia para operar en estos otros Estados) ha generado ya sentencias relevantes incluso del Tribunal de Justicia relativas a la interpretación de los instrumentos fundamentales del Derecho internacional privado de la Unión (véase, en particular, esta reseña). Incluso ha dado lugar al insólito hecho de que la Comisión abra un procedimiento de infracción contra Malta por incumplimiento de las obligaciones que le incumben en virtud del Reglamento Bruselas I bis. En particular, el incumplimiento de la adopción de legislación que obliga a sus tribunales a denegar sistemáticamente, por razones de orden público, el reconocimiento de las resoluciones dictadas por los tribunales de otros Estados miembros contra empresas de juegos de azar con licencia maltesa, en relación especialmente con demandas contractuales ejercitadas por consumidores (acerca de la tramitación del procedimiento (INFR(2025)2100), aquí). En este contexto de particular dificultad para obtener reparación por parte de los usuarios de tales sitios de apuestas, se encuadra el peculiar litigio principal al que va referida la sentencia de hoy del Tribunal de Justicia en el asunto Wunner, C-77/24, EU:C:2026:1 (vid. apdos. 19 a 21 de las conclusiones del Abogado General Emiliou).

    Se trata de un litigio en el que un consumidor con residencia habitual en Viena demanda ante los tribunales austriacos a los administradores de una sociedad en liquidación que ofrecía juegos de azar sólo con licencia maltesa. El sitio web de la sociedad maltesa “era accesible en todo el mercado europeo” (apdo. 11 de la sentencia). La peculiaridad del caso es que en la demanda se ejercita una acción de responsabilidad civil frente a los administradores sociales por daños y perjuicios que equivalen a las pérdidas de juego del demandante, pero con fundamento en la infracción de la Ley austriaca de Juegos de Azar, que prohíbe la oferta de juegos de azar en línea en Austria sin licencia. Esa infracción constituiría, según el Derecho austriaco, un hecho dañoso que genera responsabilidad extracontractual por parte de los administradores de la sociedad que opera el sitio de apuestas. La sentencia aborda dos cuestiones de gran interés. En primer lugar, la delimitación entre el supuesto de hecho de la norma de conflicto sobre ley aplicable a los aspectos societarios (en España, el artículo 9.11 Cc) (que en este caso, llevaría a la aplicación de la ley maltesa) y de las normas sobre responsabilidad extracontractual del Reglamento Roma II (que abriría la posibilidad a que la responsabilidad que se reclama a los administradores societarios debiera determinarse conforme a la ley austriaca en virtud del artículo 4 del Reglamento Roma II) (I, infra). En segundo lugar, la concreción del lugar de manifestación del daño a los efectos determinar la ley aplicable a este tipo de ilícitos en línea y la interpretación, por lo tanto, de la regla general sobre ley aplicable contenida en el artículo 4 del Reglamento Roma II (II, infra).

Restricciones al comercio en línea para proteger la diversidad cultural y libre circulación de mercancías

 

     Con respecto al margen de los Estados miembros para imponer restricciones en el ámbito del comercio electrónico y los servicios de la sociedad de la información, la sentencia del Tribunal de Justicia del pasado jueves en el asunto Amazon EU (Tarifs minimaux de livraison de livres), C-366/24, EU:C:2025:990, tiene, en primer lugar, el interés de aclarar la interpretación del artículo 1.6 de la Directiva 2000/31 sobre el comercio electrónico (DCE). Esa disposición, que se integra en el artículo dedicado al “(o)bjetivo y ámbito de aplicación” de la DCE, y que aparece reproducida mutatis mutandis en el artículo 1.4 de la Directiva 2006/123 relativa a los servicios en el mercado interior, establece que la DCE “no afectará a las medidas adoptadas en el plano comunitario ni nacional, dentro del respeto del Derecho comunitario, para fomentar la diversidad cultural y lingüística y garantizar la defensa del pluralismo”. La nueva sentencia aclara que el inciso “dentro del respeto del Derecho comunitario” supone que las medidas nacionales destinadas a preservar la diversidad cultural, aunque quedan fuera, en virtud de esas disposiciones, del ámbito de aplicación de la DCE y de la Directiva 2006/123, por lo que no cabe exigir su conformidad con esas Directivas, sí están sometidas a la exigencia de ser conformes con el Derecho de la Unión y, en particular, con la libre circulación de mercancías garantizada por el artículo 34 TFUE y la libre prestación de servicios garantizada por el artículo 56 TFUE (apdos. 42-44 de la sentencia). En segundo lugar, la sentencia precisa que medidas como la que es objeto del litigio principal típicamente resultan incompatibles con la libre circulación de mercancías. En concreto, el litigio principal va referido a la imposición por las autoridades francesas de una tarifa mínima para los servicios de entrega a domicilio de libros, con el propósito de proteger a las librerías tradicionales frente a las plataformas de comercio electrónico.

Cláusulas contractuales tipo sobre el acceso a los datos y su utilización (II): elección de foro

 

                La circunstancia de que, como se ha indicado en la entrada precedente, el Reglamento de Datos incluya normas (internacionalmente) imperativas, cuyo ámbito territorial de aplicación delimita expresamente, es uno de los elementos relevantes al valorar las carencias que presenta la formulación de la cláusula sobre solución de controversias que en lo sustancial se reitera en cada uno de los cuatro tipos de contratos relativos al acceso y el uso de datos objeto de las cláusulas contractuales tipo recomendadas ahora por la Comisión. En lo relativo a la determinación de los tribunales competentes las cláusulas tipo, cuyo objetivo básico declarado es proporcionar seguridad jurídica, deberían haber recomendado expresamente que se incluyera un acuerdo de jurisdicción designando con carácter exclusivo los tribunales de una circunscripción de un Estado miembro de la Unión (salvo, en su caso, cuando se trate de contratos con consumidores y las reglas relativas a su protección excluyan la eficacia de ese tipo de cláusulas, de conformidad, en particular, con los artículos 19 y 25.4 del Reglamento Bruselas I bis). No recomendar expresamente la inclusión de un acuerdo de jurisdicción designando los tribunales de una circunscripción de un Estado miembro de la Unión parece cuestionable, ya que designar en alguno de los contratos contemplados un tribunal de un tercer Estado (por ejemplo, el del establecimiento del titular de datos situado en un tercer Estado) facilita que el acuerdo atributivo de competencia pueda no ser eficaz en la Unión. También resulta cuestionable la falta de atención a si ciertas cláusulas de jurisdicción incluso a favor de los tribunales de un Estado miembro pueden llegar a ser considerada abusivas en contratos entre empresas conforme a los artículos 13.4.b) y 13.5.a) del RD (II, infra). En todo caso, fuera de esas situaciones, es importante destacar que no designar ningún tribunal será fuente de incertidumbre acerca de los posibles foros competentes en relación con los litigios que surjan del contrato de acceso a datos y su utilización (III, infra).

Cláusulas contractuales tipo sobre el acceso a los datos y su utilización (I): ley aplicable

 

Para dar cumplimiento, aunque con retraso, a lo dispuesto en el artículo 41 del Reglamento (UE) 2023/2854 de Datos (RD), recientemente la Comisión Europea ha publicado su Recomendación relativa a las cláusulas contractuales tipo no vinculantes sobre el acceso a los datos y su utilización. Cabe recordar que el Reglamento de Datos regula, entre otras cuestiones, el acceso por los usuarios de un producto conectado o servicio relacionado a los datos generados por su uso, así como la utilización de esos datos, incluso compartiéndolos con terceros -destinatarios de datos- a su elección, por ejemplo, con quienes desean que les presten servicios de mantenimiento o reparación o con quienes pueden estar interesados en usarlos para desarrollar productos innovadores. Las normas sobre esas cuestiones objeto del Capítulo II (arts. 3 a 7 RD) se complementan con las relativas al régimen de puesta a disposición de tales destinarios de los datos por parte de sus titulares, que son objeto del Capítulo III (arts. 8 a 12), así como con las que excluyen la aplicación entre empresas de cláusulas contractuales abusivas sobre el acceso a los datos, su utilización o la responsabilidad y vías de recurso por incumplimiento de obligaciones relativas a datos (Capítulo IV o art. 13). En síntesis, el RD establece los derechos y obligaciones de las partes implicadas en el acceso y la utilización de datos, fija normas para el intercambio obligatorio de datos y permite a las partes determinar mediante contratos el ejercicio práctico de sus derechos y obligaciones en relación con dicho acceso y utilización de datos (cdo. 3 de la Recomendación). Se trata en gran medida de normas jurídico-privadas de Derecho contractual, si bien presentan típicamente carácter imperativo, estando destinadas a hacer posible una utilización equitativa de los datos y evitar la explotación de desequilibrios contractuales por parte de los titulares de datos para obstaculizar el acceso a los datos por los usuarios o terceros destinatarios (cdo. 5 RD). Son disposiciones puntuales destinadas en parte a complementar en las relaciones entre empresas el acervo comunitario sobre contratos de consumo establecido en la Directiva 93/13, sin que, salvo cuando se disponga otra cosa, el Reglamento de Datos afecte a las normas nacionales de Derecho contractual, incluidas las relativas a la celebración, validez o efectos de los contratos (cdo. 9 RD).

Como se destaca en los considerandos de la Recomendación, en el marco del RD, que establece un sistema en el que la utilización de los datos se basa en contratos, está previsto que las cláusulas contractuales sobre el acceso a los datos y su utilización ahora publicadas desempeñen un papel muy relevante. Se trata de un instrumento no vinculante o modelo para los participantes en tales contratos, destinado a aportar seguridad jurídica respecto de los derechos y obligaciones entre las partes, facilitando la conclusión de estos contos contratos y promoviendo de esta manera el intercambio de datos. Teniendo en cuenta el entorno digital en los que estos contratos están llamados a operar, con frecuencia serán internacionales, e incluso no será raro que alguna de las partes implicadas -por ejemplo, el titular de datos- sea una persona o entidad de un tercer país. De hecho, el carácter típicamente internacional de muchos de estos contratos tiene su reflejo en la inclusión en los diversos modelos contractuales ahora presentados de cláusulas de elección de la ley estatal aplicable y de elección de foro. No obstante, a la luz del contenido de tales cláusulas, cabe lamentar que las cuestiones de Derecho internacional privado no hayan recibido una mayor atención en las cláusulas contractuales tipo no vinculantes sobre el acceso a los datos y su utilización. Tras una breve panorámica de los diversos tipos de contratos objeto de las varias categorías de cláusulas tipo (I, infra) y de la naturaleza y ámbito de aplicación de las normas del RD relevantes desde la perspectiva de la contratación internacional (II, infra), me centraré en esta entrada en sus cláusulas sobre ley aplicable (III, infra), para hacer referencia en la siguiente entrada a las cláusulas relativas a la competencia judicial.

Responsabilidad de plataformas en línea por la difusión por sus usuarios de datos personales

 

       Que la difusión de datos personales de terceros a través de Internet, por ejemplo, cuando alguien publica en una plataforma en línea un falso anuncio con datos de contacto de un tercero que supuestamente oferta servicios sexuales, constituye un tratamiento de datos personales de ese tercero por parte del usuario que publica el anuncio, no resulta algo controvertido. La sentencia del pasado martes del Tribunal de Justicia (Gran Sala) en el asunto Russmedia Digital and Inform Media Press, C-492/23, EU:C:2025:935, reviste singular interés en relación con las obligaciones de ciertas plataformas en línea en tanto que corresponsables junto al anunciante del tratamiento de los datos personales de terceros incluidos en el anuncio en situaciones de ese tipo (I, infra). Se trata de obligaciones que se traducen, entre otros, en deberes específicos de supervisión de los contenidos difundidos por terceros que puedan incluir datos personales, en particular, datos personales sensibles, y, en su caso, requerir recabar la identidad del usuario anunciante y verificar si es la persona cuyos datos sensibles figuran en dicho anuncio o incluso denegar la difusión del anuncio en cuestión, así como aplicar medidas de seguridad que restrinjan la difusión ulterior de los anuncios (II y III, infra). La sentencia aclara, además, que las normas sobre la exención de responsabilidad de las plataformas respecto de los contenidos difundidos por terceros a través de sus servicios y sobre la inexistencia de obligaciones generales de monitorización o de búsqueda activa de hechos indicativos de actividades ilícitas, de las que pueden beneficiarse las plataformas en línea en tanto que intermediarias, no resultan de aplicación a las cuestiones relativas a la protección de los datos personales. A ese respecto la sentencia se presta también a la reflexión acerca de la eventual interacción entre, de una parte, las circunstancias relevantes para calificar a la plataforma como responsable del tratamiento de datos personales respecto de los incluidos en sus contenidos por los usuarios de sus servicios y, de otra, las que determinan que un prestador de servicios digitales no sea considerado como mero intermediario neutral a los efectos de beneficiarse de la exención de responsabilidad del artículo 6 del Reglamento (UE) 2022/2065 de Servicios Digitales (RSD)  con respecto a reclamaciones por la ilicitud de tales contenidos en sectores distintos a la protección de datos personales (IV, infra).

    Se trata, por lo tanto, de una sentencia potencialmente de gran impacto en relación, entre otros aspectos, con el eventual ejercicio por los terceros cuyos datos, especialmente sensibles, han sido difundidos a través de ciertas plataformas sin su consentimiento, de acciones frente a la propia plataforma por vulneración de sus derechos de la personalidad y, en particular, tendentes a la indemnización de los daños y perjuicios materiales o inmateriales sufridos como consecuencia de la eventual infracción del RGPD por la plataforma a través de la cual el usuario difundió esa información. De hecho, a un supuesto de ese tipo va referido el litigio principal ante los tribunales rumanos que se encuentra en el origen de esta sentencia.