Responsabilidad de plataformas en línea por la difusión por sus usuarios de datos personales

 

       Que la difusión de datos personales de terceros a través de Internet, por ejemplo, cuando alguien publica en una plataforma en línea un falso anuncio con datos de contacto de un tercero que supuestamente oferta servicios sexuales, constituye un tratamiento de datos personales de ese tercero por parte del usuario que publica el anuncio, no resulta algo controvertido. La sentencia del pasado martes del Tribunal de Justicia (Gran Sala) en el asunto Russmedia Digital and Inform Media Press, C-492/23, EU:C:2025:935, reviste singular interés en relación con las obligaciones de ciertas plataformas en línea en tanto que corresponsables junto al anunciante del tratamiento de los datos personales de terceros incluidos en el anuncio en situaciones de ese tipo (I, infra). Se trata de obligaciones que se traducen, entre otros, en deberes específicos de supervisión de los contenidos difundidos por terceros que puedan incluir datos personales, en particular, datos personales sensibles, y, en su caso, requerir recabar la identidad del usuario anunciante y verificar si es la persona cuyos datos sensibles figuran en dicho anuncio o incluso denegar la difusión del anuncio en cuestión, así como aplicar medidas de seguridad que restrinjan la difusión ulterior de los anuncios (II y III, infra). La sentencia aclara, además, que las normas sobre la exención de responsabilidad de las plataformas respecto de los contenidos difundidos por terceros a través de sus servicios y sobre la inexistencia de obligaciones generales de monitorización o de búsqueda activa de hechos indicativos de actividades ilícitas, de las que pueden beneficiarse las plataformas en línea en tanto que intermediarias, no resultan de aplicación a las cuestiones relativas a la protección de los datos personales (IV, infra).

    Se trata, por lo tanto, de una sentencia potencialmente de gran impacto en relación, entre otros aspectos, con el eventual ejercicio por los terceros cuyos datos, especialmente sensibles, han sido difundidos a través de ciertas plataformas sin su consentimiento, de acciones frente a la propia plataforma por vulneración de sus derechos de la personalidad y, en particular, tendentes a la indemnización de los daños y perjuicios materiales o inmateriales sufridos como consecuencia de la eventual infracción del RGPD por la plataforma a través de la cual el usuario difundió esa información. De hecho, a un supuesto de ese tipo va referido el litigio principal ante los tribunales rumanos que se encuentra en el origen de esta sentencia.  

Competencia territorial e ilícitos en línea: novedades en la jurisprudencia del Tribunal de Justicia

 

En su sentencia de hoy en el asunto Stichting Right to Consumer Justice y Stichting App Stores Claims, C-34/24, EU:C:2025:936, el Tribunal de Justicia (Gran Sala) precisa cómo debe concretarse qué órganos judiciales del Estado miembro donde se localiza el lugar de manifestación del daño en virtud del artículo 7.2 del Reglamento 1215/2012 (RBIbis) tienen competencia territorial en ciertas situaciones relativas a ilícitos cometidos en línea que generan daños dispersos en el conjunto del territorio del Estado en cuestión. Los litigios principales tienen su origen en el ejercicio ante los tribunales neerlandeses de acciones de representación interpuestas por fundaciones destinadas a la defensa de los intereses de víctimas de conductas contrarias a la competencia, quienes solicitan que se declare que sociedades del grupo Apple han actuado ilegalmente en perjuicio de usuarios de aplicaciones para iOS y que se condene a esas sociedades a reparar el daño causado. Las demandantes sostienen que Apple ha abusado de su posición de dominio en el mercado de distribución de aplicaciones para sus dispositivos al percibir una comisión del 30 % del precio pagado por los usuarios al adquirir las aplicaciones a través de la App Store. Según las demandantes, con ese proceder Apple no sólo infringe el artículo 102 TFUE, sino que, además, al llevar a cabo una fijación vertical de los precios, también infringe el artículo 101 TFUE. Para cuestionar la competencia del tribunal ante el que se habían presentado las demandas en los litigios principales, Apple sostenía que el tribunal de Ámsterdam no es competente o lo sería competente, a lo sumo, para conocer de las demandas respecto de los usuarios que hubieran realizado la compra, a través de la App Store dirigida al público neerlandés (App Store NL), en Ámsterdam, pero no de los usuarios que hubieran realizado la compra en otros lugares de los Países Bajos.

Pese a que entre las cuestiones prejudiciales relativas a la interpretación del artículo 7.2 RBIbis planteadas en este asunto al Tribunal de Justicia se incluía alguna relativa a la determinación del lugar de origen del daño, la sentencia aborda únicamente la determinación del lugar de manifestación del daño y lo hace en relación con el contexto específico de las acciones de representación ejercitadas en los litigios principales. La sentencia alcanza un resultado que parece distanciarse de pronunciamientos anteriores del Tribunal, pero lo cierto es que las características de situaciones en las que los daños derivados de actividades en línea son difusos como en los litigio principales en este asunto -relativos a los daños derivados de compras efectuadas a través de una plataforma en línea de aplicaciones que pueden descargarse desde cualquier lugar- se alejan de las que habían sido objeto de las resoluciones anteriores del Tribunal de Justicia en las que había abordado la determinación de la competencia territorial en relación con el lugar de manifestación del daño. El contenido resulta de especial interés en relación con ese tipo de reclamaciones de daños derivados de la eventual vulneración de las normas sobre libre competencia (I y II, infra). Ello, además, en un contexto en el que los desarrollos normativos favorecen la proliferación de esas reclamaciones u otras similares, por ejemplo, si tenemos en cuenta de cara al futuro el potencial relativo a la aplicación privada del Reglamento (UE) 2022/1925 de Mercados Digitales. Como complemento de lo anterior, la sentencia se presta también a la reflexión acerca de en qué medida el criterio adoptado ahora por el Tribunal de Justicia puede resultar de utilidad para guiar la determinación de la competencia territorial respecto de otras situaciones relativas a ilícitos cometidos en línea que generan daños dispersos en el territorio de un Estado miembro (III, infra).

Propuesta de Reglamento Ómnibus Digital (III): Datos personales

 

Las modificaciones en materia de datos personales aparecen recogidas en los artículos 3 a 5 de la Propuesta. El artículo 3 recoge los cambios que se pretenden introducir en el RGPD. Entre ellos se incluye la revisión de la definición misma de dato personal, mediante la un añadido que se presenta como una mera clarificación para facilitar la determinación de cuando los datos resultantes de la seudonimización no constituyen datos personales. Otras modificaciones previstas del RGPD afectan a cuestiones como las siguientes. La introducción de una definición amplia de “investigación científica” en el artículo 4.38 RGPD, que concurre con otros cambios para facilitar el tratamiento de datos personales con tales fines, incluyendo la precisión de que el tratamiento posterior con fines de investigación científicos es compatible con el fin para el cual se recogieron inicialmente los datos personales a los efectos del artículo 6.4 RGPD. La previsión de dos excepciones adicionales a la prohibición del tratamiento de categorías especiales de datos personales en el artículo 9.2 RGPD, con respecto al tratamiento de datos biométricos para confirmar la identidad del interesado cuando los datos y los medios de verificación estén bajo su control exclusivo, así como respecto del tratamiento residual de datos personales para el desarrollo y funcionamiento de un sistema de IA o un modelo de IA, cuando se respeten determinadas condiciones conforme a un nuevo artículo 9.5. Los considerandos del Reglamento propuesto incluyen precisiones acerca de la posibilidad de que ese tipo de tratamiento de datos personales puedan tenerse como base para su licitud el ser necesarios para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, de conformidad con lo dispuesto en el artículo 6.1.f) RGPD, que, como es conocido, exige la ponderación entre, de una parte tales intereses legítimos y, de otra intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales (cdos. 30 y 31 de la Propuesta de Reglamento). También se contempla la flexibilización de la información que debe facilitarse en virtud del artículo 13 RGPD cuando los datos personales se obtienen del interesado en virtud, eliminando esta obligación en situaciones en las que cabe suponer que el interesado ya dispone de la información. Con respecto al artículo 22 RGPD, en materia de decisiones individuales automatizadas, se contempla la modificación de la letra a) de su apartado 1, para precisar que la concurrencia del requisito de necesidad para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento, como presupuesto para la admisibilidad de tales decisiones, es independiente de si la decisión puede tomarse por medios distintos de los exclusivamente automatizados. También destaca la introducción de un nuevo artículo 88 bis en el RGPD, que se vincula con la integración en este instrumento del régimen contenido ahora en el artículo 5.3 de la Directiva 2002/58 en relación con el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario.

Por su parte, el artículo 4 de la Propuesta contempla la proyección de los cambios relevantes en el RGPD establecidos en el artículo 3 en el régimen paralelo del Reglamento (UE) 2018/1725 relativo al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. Por último, el artículo 5 incluye las modificaciones en la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas, entre las que merece especial atención la modificación de su artículo 5.3 relativo al almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, determinante, entre otras cuestiones del régimen aplicable en relación con las cookies y herramientas similares. Por su especial interés e impacto, me detendré en dos aspectos: la definición de dato personal en el artículo 4.1 del RGPD (I, infra) y la modificación del artículo 5.3 de la Directiva 2002/58 e integración de su contenido, con cambios relevantes, en el RGPD (II, infra).

Propuesta de Reglamento Ómnibus Digital (II): Datos (y contratos inteligentes)

 

Dejando de momento de lado los aspectos relativos a datos personales, en concreto las controvertidas modificaciones del RGPD (y de la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas) que se pretenden introducir, un aspecto central de la Propuesta de Reglamento Ómnibus Digital es la refundición del marco regulatorio referido a los datos en general (personales y no personales) en un único instrumento. En síntesis, la refundición se lleva a cabo mediante la integración en el Reglamento (UE) 2023/2854 de Datos de las normas relevantes del Reglamento (UE) 2022/868 de Gobernanza de Datos, el Reglamento (UE) 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea, y de la Directiva 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público. Los instrumentos cuyas normas se integran en el Reglamento de Datos quedarán derogados por el Reglamento Ómnibus Digital.

Propuesta de Reglamento Ómnibus Digital (I): Aspectos generales, supresión del Reglamento 2019/1150 y notificación de incidentes

 

    La semana pasada la Comisión presentó su paquete de propuestas de medidas de simplificación y mejora de su regulación en materia digital. Pese a estar orientado a simplificar el marco normativo y en parte poder contribuir a ese objetivo, el paquete en sí mismo supone un nuevo elemento de complejidad. Sobre todo, el paquete deja en evidencia las carencias del enfoque normativo de la Unión, que regularmente incluye la adopción de complejos instrumentos cuyo cumplimiento no se exige de manera efectiva, pero representan una gran carga especialmente para los operadores diligentes locales que desarrollan sus modelos de negocio en este contexto normativo (a diferencia de los que se expanden aquí tras haberlos desarrollado en terceros países). El instrumento central del nuevo paquete es una Propuesta de Reglamento Ómnibus Digital, que se proyecta especialmente sobre un conjunto heterogéneo de reglamento (y alguna directiva) de la Unión. Esa Propuesta contempla la supresión sin más del Reglamento 2019/1150 sobre usuarios profesionales de servicios de intermediación en línea (o Reglamento P2B, entre plataformas y empresas); prevé cambios muy significativas en materia de datos personales, incluyendo modificaciones del RGPD y de la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas; contempla la refundición de los diversos reglamentos en materia de datos en sentido amplio (es decir los que se centran en los datos no personales); así como la consolidación del heterogéneo conjunto de obligaciones en materia de notificación de incidentes previstas básicamente en diversos reglamentos en materia de ciberseguridad y otros instrumentos conexos, pero también en el propio RGPD. Al margen de la Propuesta de Reglamento Ómnibus Digital, resulta relevante que el Paquete incluye otra Propuesta de Reglamento que contempla modificaciones del Reglamento de Inteligencia Artificial; otra Propuesta de Reglamento para la creación de una Cartera europea de negocios, destinada a complementar la Cartera europea de identidad digital introducida en el Reglamento (UE) 2024/1183 que modificó el Reglamento (UE) 910/2014 (eIDAS 2), así como una Comunicación de la Comisión sobre la estrategia de datos de la UE. En relación precisamente con la aplicación del Reglamento de Datos resulta también de interés la presentación por la Comisión de Comunicaciones sobre dos conjuntos de Recomendaciones, una relativa a cláusulas contractuales tipo para el acceso y el uso de datos, y otra a cláusulas contractuales tipo para los contratos de computación en la nube.

Aunque no sean sus elementos de mayor enjundia, entre los aspectos de la Propuesta de Reglamento Ómnibus Digital que ponen especialmente de relieve las deficiencias de la manera de legislar en este ámbito en la UE cabe ahora hacer referencia a dos. Por una parte, la propuesta de derogación sin más del Reglamento 2019/1150, que va unida a la previsión de que algunas de sus disposiciones continúen siendo de aplicación hasta el 31 de diciembre de 2032 (I, infra). Llama la atención la aislada derogación en este momento de ese instrumento en su conjunto, con base en que su contenido ha pasado a ser innecesario tras la adopción de algunos instrumentos posteriores, en particular, el Reglamento de Servicios Digitales. Resulta difícil de entender que no se procediera a su derogación ordenada -y matizada mediante la eventual integración de algunas de sus reglas- en el marco de la adopción de los instrumentos que han convertido a buen parte de sus normas en redundantes. Por otra parte, muy ilustrativo de esas carencias es también el solapamiento de obligaciones en materia de notificación de incidentes, que se traduce ahora en una propuesta de consolidación de esas obligaciones, para evitar reiteraciones que deberían haberse tenido ya en cuenta al adoptar los sucesivos instrumentos en la materia (II, infra). Dejaré para más adelante las normas de la Propuesta de Reglamento Ómnibus Digital relativas, de una parte, a la consolidación en un único instrumento de los varios existentes en materia de datos en general (incluyendo la revisión de aspectos relevantes de su contenido) y, de otra, a la reforma de los instrumentos sobre datos personales.

 

Aplicación a Amazon de las normas del Reglamento de Servicios Digitales sobre plataformas de muy gran tamaño

 

En su sentencia de ayer en el asunto Amazon EU / Comisión, T-367/23, EU:T:2025:1038, el Tribunal General (TG) desestima el recurso de anulación frente a la Decisión de la Comisión por la que se designaba a Amazon Store como plataforma en línea de muy gran tamaño (PLMGT) en virtud del artículo 33 del Reglamento (UE) 2022/2065 de Servicios Digitales (RSD). Se trata de un asunto al que ya me referí al hilo de la solicitud de medidas provisionales presentada por Amazon (aquí), y en el que el recurso de Amazon frente a su designación como PLMGT ha tenido la misma suerte que el presentado por Zalando (véase aquí), si bien los motivos de impugnación diferían sustancialmente. Amazon invocaba una excepción de ilegalidad respecto de tres artículos del RSD: 33.1, 38 y 39. El artículo 33.1 es el que contempla el sometimiento a las obligaciones de la sección 5 del capítulo III RSD (arts. 33 a 43) de las plataformas (y buscadores) designadas como PLMGT -básicamente, las que alcanzan un promedio mensual de destinatarios del servicio activos en la Unión de cuarenta y cinco millones- y que se encuentra, por lo tanto, en el origen de la designación de Amazon Store como tal. El artículo 38 RSD es el que exige que las PLMGT, cuando utilizan sistemas de recomendación, ofrezcan al menos una opción para cada uno de tales sistemas que no se base en la elaboración de perfiles mediante la utilización de datos personales. Por su parte, el artículo 39 RSD impone a las PLMGT significativas obligaciones adicionales de transparencia con respecto de los anuncios publicitarios que presentan en sus interfaces en línea.

Licitud del envío por correo electrónico de boletines informativos sin consentimiento

 

    La disposición básica en el Derecho de la UE para hacer frente al spam, o envío masivo de comunicaciones comerciales no solicitadas por correo electrónico o medio equivalente, continúa siendo el artículo 13 de la Directiva 2022/58 (modificado por la Directiva 2009/136) relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. Su contenido, con ciertas modificaciones, se encuentra incorporado básicamente en el artículo 21 de la Ley 34/2002 o LSSICE (redactado conforme a la Ley 9/2014). El artículo 13 de la Directiva 2002/58 adoptó un régimen restrictivo, que en su apartado 1 subordina el envío de mensajes de correo electrónico “con fines de venta directa” a que los abonados o usuarios hayan dado su consentimiento previo. No obstante, su apartado 2 contiene una importante excepción, en virtud de la cual tal consentimiento no es necesario cuando la dirección de correo electrónico haya sido obtenida -conforme al RGPD- por el remitente “en el contexto de la venta de un producto o de un servicio” y “se utilice para la venta directa de sus propios productos o servicios de características similares”. La excepción sólo opera si se cumplen ciertas condiciones, en particular, que se ofrezca al destinatario la posibilidad de oponerse a esa utilización de las señas electrónicas en el momento en que se recojan y cada vez que reciban un mensaje (apdo. 2), al tiempo que el envío de mensajes electrónicos con fines de venta directa debe respetar en todo caso ciertos requisito (apdo. 4, por ejemplo, en relación con la identificación del remitente). La sentencia de hoy del Tribunal de Justicia en el asunto Inteligo Media, C-654/23, EU:C:2025:871, tiene el interés de precisar, en relación con el envío de boletines informativos a quienes se registran en servicios gratuitos, el alcance de la excepción del artículo 13.2 RGPD, y se presta también a ciertas consideraciones en relación con su transposición en España.

 

Conflictos de jurisdicción en materia de patentes esenciales: medidas antiproceso, competencia judicial y derecho aplicable

 

                La adopción por la División Local de Mannheim del Tribunal Unificado de Patentes (TUP) el pasado 30 de septiembre en el marco del asunto UPC_CFI_0000936/2025 (InterDigital VC Holdings, Inc et al v. Amazon.com, Inc. et al)  de una peculiar antisuit injunction (en concreto, una anti-interim-license injunction tendente a evitar el otorgamiento de una licencia provisional) reviste singular interés en el contexto de los conflictos de jurisdicción (en el sentido en el que el término se utiliza en el art. 81 TFUE) surgidos en los últimos años en el marco de la litigación relativa a patentes esenciales. También se presta a la reflexión al hilo de las clarificaciones llevadas a cabo por el TJUE en su sentencia BSH Hausgeräte respecto de las normas de la UE sobre competencia judicial internacional en litigios en materia de patentes (comentada aquí y aquí y aquí). Precisamente, desde la perspectiva de la litigación internacional, la práctica de los tribunales ingleses en relación con su competencia para establecer con alcance mundial las condiciones FRAND (fair, reasonable and non-discriminatory) o RAND de licencias sobre patentes esenciales y el canon correspondiente resulta particularmente controvertida. No es de extrañar, por lo tanto, que la anti-interim-license injunction ahora reseñada se haya adoptado frente a un procedimiento en curso ante los tribunales del Reino Unido. En concreto, la medida cautelar del TUP busca preservar la posibilidad de que el titular de las patentes europeas relativas al territorio unitario – InterDigital, demandante ante el TUP- pueda hacerlas valer ejercitando las correspondientes acciones de infracción frente al supuesto infractor (eventual licenciatario y demandante ante los tribunales del RU -Amazon-), sin verse privado de tal posibilidad como consecuencia del otorgamiento de una licencia que cubra el territorio de protección de la patente unitaria en el marco del procedimiento seguido ante los tribunales ingleses. La medida adoptada por el TUP suscita ciertas reflexiones acerca de la interacción con los procedimientos en este ámbito tramitados en el RU, que también resultan relevantes desde la perspectiva de España al encontrarse al margen del sistema del TUP (III, infra). Previamente, se hará referencia al contexto de estas controversias (I, infra) y a ciertos elementos de la práctica de los tribunales del RU que condicionan esta reacción del TUP (II, infra).

Inaplicación de las restricciones nacionales a los acuerdos de jurisdicción regidos por el artículo 25 del Reglamento Bruselas I bis

 

             Al regular la eficacia de los acuerdos de jurisdicción a favor de los tribunales de un Estado miembro, el artículo 25 RBIbis incluye la salvedad de que su eficacia atributiva (y derogatoria) de competencia opera “a menos que el acuerdo sea nulo de pleno derecho en cuanto a su validez material según el Derecho de dicho Estado miembro”. A mi modo de ver, la principal aportación de la sentencia de hoy del Tribunal de Justicia en el asunto Pome, C-398/24, EU:C:2025:843, es confirmar que ese condicionante no permite la aplicación de normas de los Estados miembros que imponen restricciones específicas a la eficacia de acuerdos de jurisdicción (a favor de tribunales de Estados miembros) en relación con ciertas materias o situaciones. Digo “confirma”, pues como recuerda la sentencia de hoy, ya en su célebre sentencia Società Italiana Lastre, reseñada aquí, cabía leer que el concepto de nulidad «de pleno derecho en cuanto a [la] validez material» de un acuerdo atributivo de competencia, en el marco del artículo 25.1 RBIbis,  “se refiere a las causas generales de nulidad de un contrato, a saber, en particular, los vicios del consentimiento, como el error, el dolo o la violencia, y la incapacidad para contratar, causas que, a diferencia de los requisitos de validez propios de los acuerdos atributivos de competencia, no se rigen por el Reglamento Bruselas I bis, sino por el Derecho del Estado miembro cuyos órganos jurisdiccionales hayan sido designados” (apdo. 36 sentencia Società Italiana Lastre). Además, esa sentencia continuaba diciendo que tal concepto debe interpretarse “en el sentido de que se refiere únicamente a la nulidad de este en función de las causas generales de nulidad de un contrato propias del Derecho nacional del órgano jurisdiccional designado por dicho acuerdo” (apdo. 37 sentencia Società Italiana Lastre).

También lo digo porque en España el criterio ampliamente aceptado es que la aplicación del artículo 25 RBIbis no resulta afectada por normas nacionales que podrían producir efectos semejantes, como, por ejemplo, la disposición adicional segunda de la Ley 12/1992, de 27 de mayo, sobre Contrato de Agencia (“La competencia para el conocimiento de las acciones derivadas del contrato de agencia corresponderá al Juez del domicilio del agente, siendo nulo cualquier pacto en contrario”) o incluso el artículo 54.2 LEC (“No será válida la sumisión expresa contenida en contratos de adhesión, o que contengan condiciones generales impuestas por una de las partes…”), así como el artículo 468 de la Ley de Navegación Marítima, objeto de la STJUE de 25 de abril de 2024, en los asuntos acumulados Maersk, Mapfre España Compañía de Seguros y Reaseguros y Maersk, C-345/22, C-346/22 y C-347/22, EU:C:2024:349 (reseñada aquí), que la nueva sentencia no cita.

Restricciones al tratamiento de datos personales por guardianes de acceso: artículo 5.2 Reglamento de Mercados Digitales

 

Las recientes Directrices conjuntas sobre la interacción entre el Reglamento de Mercados Digitales (RMD) y el Reglamento General de Protección de Datos (RGPD) (Joint Guidelines on the Interplay between the Digital Markets Act and the General Data Protection Regulation), todavía en consulta pública, adoptadas por la Comisión Europea y el Comité Europeo de Protección de Datos, presentan especial interés en relación con la aplicación práctica del artículo 5.2 RMD. Esa disposición impone prohibiciones a los guardianes de acceso con respecto a sus servicios básicos de plataforma en relación con el tratamiento de datos personales con fines de prestación de servicios de publicidad en línea, combinación, uso cruzado o inicio de sesión de usuarios finales con el fin de combinar datos personales. Se trata de restricciones al tratamiento de datos personales adicionales a las que resultan de aplicación al conjunto de los responsables del tratamiento conforme al RGPD, que se vinculan con la peculiar posición en el mercado de los guardianes de acceso y la ingente cantidad de datos personales objeto de tratamiento en el marco de sus servicios (una somera presentación de conjunto del RMD puede leerse aquí, mientras que la lista actual de guardianes de acceso y sus respectivos servicios básicos de plataforma designados está accesible aquí).

 

Acuerdos atributivos de competencia: oponibilidad al deudor cedido

 

La sentencia de hoy del Tribunal de Justicia en el asunto C‑682/23, E.B. (Prorogation de compétence), EU:C:2025:827, complementa su jurisprudencia anterior acerca de la posibilidad de invocar acuerdos de jurisdicción contenidos en un contrato en situaciones de cesión de créditos. La jurisprudencia previa había abordado, en particular, supuestos en los que se planteaba la oponibilidad de la cláusula de jurisdicción incluida en un contrato frente al cesionario de un crédito derivado del mismo (en particular aquí y aquí). Ciertamente, en esas sentencias había ya concluido el Tribunal que la oponibilidad frente al cesionario que no haya dado su consentimiento es posible cuando conforme al Derecho nacional aplicable al crédito cedido el cesionario sucede a la parte contratante inicial en todos sus derechos y obligaciones. La nueva sentencia proyecta ese criterio sobre los supuestos en los que el acuerdo atributivo de competencia al que resulta de aplicación el artículo 25 del Reglamento 1215/2012 (RBIbis) se invoca frente al deudor cedido, admitiendo la posibilidad de que el cesionario de un crédito oponga la cláusula de jurisdicción incluida en el contrato del que deriva el crédito frente al deudor cedido, en las mismas condiciones en las que podría haberlo hecho el cedente. Tal posibilidad existe en la medida en que la cesión de crédito opere una transmisión al cesionario no solo del derecho de crédito derivado del contrato sino también de sus derechos accesorios, de conformidad con la ley aplicable al contrato en cuestión. Para impedir ese resultado es necesario que las partes originarias del contrato acuerden expresamente la inoponibilidad frente a ellas del acuerdo de jurisdicción en caso de cesión a un tercero del crédito en cuestión (apdo. 52 de la nueva sentencia).

Reglamento de Servicios Digitales y tratamiento de datos personales

 

Tanto el Reglamento (UE) 2022/2065 de Servicios Digitales (RSD) como el Reglamento (UE) 2022/1925 de Mercados Digitales (RMD) dejan claro que son instrumentos que han de entenderse sin perjuicio de las normas de la Unión en materia de datos personales, especialmente el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas. La protección de las personas físicas con respecto al tratamiento de los datos personales se rige por las disposiciones del Derecho de la Unión en la materia, que siguen siendo plenamente aplicables tanto a las actividades de los prestadores de servicios digitales sometidos al RSD como a las actividades de los guardianes de acceso obligados por el RMD (cdo. 10 y art. 2.4.g) RSD y cdos. 12, 37. 48 y 49 RMD). En este contexto, presenta especial interés la reciente publicación por el Comité Europeo de Protección de Datos de dos documentos -en fase de consulta pública- con Directrices acerca de la aplicación de las normas sobre protección de datos, por una parte, en el marco del RSD (Guidelines 3/2025 on the interplay between the DSA and the GDPR) y, por otra, en relación con el RMD (Joint Guidelines on the Interplay between the Digital Markets Act and the General Data Protection Regulation).

La interacción con el RGPD es especialmente intensa en el caso del RMD, habida cuenta de que algunas de las principales obligaciones que impone a los guardianes de acceso van referidas al tratamiento de datos personales, como es el caso de las prohibiciones establecidas en su artículo 5.2 -cuya relevancia e interacción con la aplicación del RGPD han quedado ya acreditadas por las medidas adoptadas por la Comisión con base en esa norma frente a los modelos de consentimiento o pago en materia de datos personales de ciertos guardianes de acceso-, o complementan derechos establecidos en el RGPD, como sucede con el artículo 6.9 RMD en materia de portabilidad de datos. No obstante, cabe empezar por hacer referencia a la interacción entre el RSD y el RGPD, dejando para más adelante la referencia a las Directrices conjuntas con la Comisión sobre las relaciones entre el RMD y el RGPD. Las Directrices 3/2025 proporcionan criterios relevantes en relación con la conducta de los prestadores de servicios digitales para cumplir con lo dispuesto en el RGPD en situaciones a las que resulta de aplicación el RSD y tales prestadores ocupan la posición de responsables o encargados del tratamiento de datos personales. Estas Directrices se centran en la aplicación de las normas del RSD que incluyen referencias al tratamiento de datos personales o emplean conceptos tomados del RGPD. Con carácter previo, para quienes no estén familiarizados con el RSD, puede ser útil que lo esencial de su contenido aparece sintetizado aquí.

Cesión de créditos y competencia judicial internacional

En su sentencia del jueves pasado en el asunto Deutsche Lufthansa (Cession d’une créance découlant d’un contrat de transport), C-551/24, EU:C:2025:771, el Tribunal de Justicia confirma que el cesionario de un crédito derivado de un contrato tiene la posibilidad de ejercitar contra el deudor cedido las acciones basadas en ese contrato ante los tribunales que serían competentes en virtud del fuero especial en materia contractual (art. 7.1 RBIbis), como alternativa al fuero general del domicilio del demandado (art. 4 RBIbis). Eso es así, aunque, ciertamente, el cesionario (demandante) y el deudor (demandado) no se encuentren vinculados por el contrato cuyo lugar de cumplimiento resulta determinante para atribuir competencia con base en el mencionado artículo 7.1 RBIbis, que es el contrato del que deriva el crédito objeto de cesión y que sirve de fundamento a la demanda.

Contratos internos y acuerdos de jurisdicción: la sentencia Cabris lnvestments

 

                En su sentencia de ayer en el asunto C-540/24, Cabris lnvestments, el Tribunal de Justicia vuelve sobre la cuestión de la posibilidad de atribuir competencia con base en el artículo 25 del Reglamento Bruselas I bis (RBIbis) a los tribunales de un Estado miembro para conocer de litigios relativos a contratos entre partes establecidas en un mismo Estado distinto del designado en el acuerdo de jurisdicción. A diferencia de su ya célebre sentencia Inkreal, reseñada aquí, la particularidad del asunto Cabris lnvestments es que las dos partes contratantes que habían acordado someterse a los tribunales de un Estado miembro (Austria) tenían su domicilio en un Estado tercero (Reino Unido). La aportación y el interés de la sentencia no van referidos a la posibilidad de que los tribunales de un Estado miembro designados en un acuerdo de elección de foro sean competentes en los términos del artículo 25 RBIbis cuando quienes concluyen el acuerdo de elección se encuentran establecidos o tienen su domicilio fuera de la UE, pues el texto del artículo 25 RBIbis ya es explícito en el sentido de que se aplica con independencia del domicilio de las partes. Lo relevante del caso es que aclara el tratamiento de las situaciones en las que las partes implicadas están domiciliadas en un mismo Estado tercero y en principio el contrato en cuestión no tiene vínculos adicionales con el Estado miembro designado en el acuerdo de jurisdicción. El TJUE destaca que, a excepción de la cláusula atributiva de competencia controvertida (y de la cláusula de elección de la ley austriaca como aplicable), “no existe un vínculo aparente entre las partes del litigio principal y la República de Austria” (apdo. 24 de la sentencia Cabris lnvestments). Es decir, básicamente se trata de la misma situación que se encontraba en el origen del litigio principal en el asunto Inkreal, pero con la diferencia de que el “contrato interno” no es ahora entre partes establecidas en un mismo Estado de la UE -como en Inkreal- sino en un mismo Estado tercero. El Tribunal de Justicia opta por un criterio que favorece la posibilidad de que, en uso de su autonomía de la voluntad, las partes puedan designar como competentes los tribunales de un Estado miembro, pese a que los demás vínculos del contrato -incluido el domicilio de las partes – se encuentren en un mismo Estado tercero.

 

Acerca del concepto de servicio intermediario en el Reglamento de Servicios Digitales

 

En los últimos días el Tribunal General ha adoptado sus primeras sentencias relativas a la interpretación del Reglamento (UE) 2022/2065 de Servicios Digitales (RSD). Por una parte, en sus sentencias de ayer en los asuntos Meta Platforms Ireland / Comisión, T-55/24, EU:T:2025:842; y Tiktok Technology / Comisión, T-58/24, EU:T:2025:843, el Tribunal General ha anulado las Decisiones de Ejecución de la Comisión relativas a la determinación de las tasas de supervisión previstas en el artículo 43 RSD aplicables, de una parte, a Facebook y a Instagram, y, de otra, a TikTok, si bien las sentencias acuerdan mantener temporalmente los efectos de esas decisiones, al no apreciar un error respecto a la obligación de las empresas de pagar la tasa. En síntesis, la anulación se fundamenta en que la Comisión, con base en lo dispuesto en los artículos 33.3, 43 y 87 del RSD, debería haber adoptado la metodología de cálculo del promedio mensual de destinatarios activos en un acto delegado y no en meros actos de ejecución como las decisiones anuladas. El Tribunal considera que, habida cuenta del vínculo entre la metodología de determinación de las tasas de supervisión anuales, que debe fijarse mediante un acto delegado (art. 44.4 RSD), y los promedios mensuales de destinatarios activos de los servicios a la luz de los cuales deben determinarse las tasas, elementos suficientemente detallados de la metodología para calcular tales promedios mensuales deben establecerse mediante acto delegado, lo que no hizo la Comisión al adoptar el Reglamento Delegado 2023/1127, en el marco del cual se adoptaron las decisiones de ejecución anuladas en las que se incluyeron esos elementos.

Por otra parte, en su sentencia de la semana pasada en el asunto Zalando / Comisión,  T-348/23, EU:T:2025:821, el Tribunal General desestimó el recurso de anulación interpuesto por Zalando contra la decisión de la Comisión Europea relativa a su designación como plataforma en línea de muy gran tamaño en el marco del artículo 33 RSD. Una parte importante de la sentencia va referida a la desestimación de los argumentos de Zalando en relación con la aplicación del umbral fijado en el artículo 33 para esa designación: que la plataforma en línea tenga un promedio mensual de destinatarios del servicio activos en la Unión igual o superior a cuarenta y cinco millones. Se trata de una parte de la sentencia que contiene precisiones significativas acerca de los criterios para llevar a cabo tal cálculo, y que avala el sistema establecido al respecto en el RSD. Con carácter previo, la sentencia desestima el motivo de impugnación de Zalando basado en considerar que el RSD no le resulta aplicable. Según Zalando, su actividad no consiste en la prestación de un servicio intermediario, pues no constituye un servicio de alojamiento de datos ni de plataforma en línea en el sentido del RSD, de modo que no le resultaría aplicable este instrumento. Por su interés en relación con la delimitación del ámbito de aplicación subjetivo del RSD en su conjunto (y especialmente de sus obligaciones de diligencia debida), interesa detenerse en esta parte de la sentencia.

Acciones de cesación y derecho a indemnización en materia de datos personales

 

En su sentencia del pasado jueves en el asunto C‑655/23, Quirin Privatbank, EU:C:2025:655, el Tribunal de Justicia vuelve sobre la cuestión de la interpretación del concepto de «daños y perjuicios inmateriales», a los efectos del derecho de quien sufre daños y perjuicios materiales o inmateriales como consecuencia de una infracción del Reglamento General de Protección de Datos (RGPD) a recibir del responsable del tratamiento una indemnización por tales daños y perjuicios, de conformidad con su artículo 82. En concreto, el Tribunal aborda en qué medida sentimientos negativos -como el temor o el enfado - que el interesado experimenta cuando se transmiten sin autorización sus datos personales a un tercero son susceptibles de ser considerados daños y perjuicios inmateriales susceptibles de indemnización (II, infra). Con carácter previo, el Tribunal se pronuncia acerca de en qué medida cabe que el interesado, cuando no solicite que se supriman sus datos, ejercite una acción judicial preventiva en la que se ordene al responsable del tratamiento que se abstenga en el futuro de ulteriores tratamientos ilícitos de sus datos personales (I, infra).

Aplicación de las reglas sobre modelos de IA de uso general (II): ámbito territorial y determinación del proveedor que introduce el modelo en el mercado de la Unión

 

Especialmente en el contexto global en el que se desarrollan y pretenden ser explotados los modelos IA de uso general, un aspecto relevante de las Directrices de la Comisión sobre el alcance de las obligaciones de los proveedores de modelos de IA de uso general (como continuación de la entrada anterior), es la determinación de quién es el proveedor que introduce en el mercado de la Unión el modelo (o sistema de IA relevante) en situaciones en las que tal modelo es desarrollado y puesto a disposición desde un tercer Estado. Se trata de una cuestión que resulta determinante para establecer quién está obligado a cumplir con lo dispuesto en el Capítulo V RIA, así como en qué medida proveedores de sistemas de IA que integran modelos GPAI deben cumplir con las normas relevantes del RIA. Tras una referencia a los presupuestos del ámbito de aplicación territorial del Capítulo V del RIA (I, infra), se aborda a continuación la determinación del proveedor del modelo de IA al que resulta aplicable el Capítulo V RIA (II), así como la determinación de la aplicación del Capítulo V del RIA en los casos en los que los modelos GPAI están integrados en sistemas de IA (III), para concluir con un par de reflexiones finales (IV).

Aplicación de las reglas sobre modelos de IA de uso general (I): ámbito material de las Directrices de la Comisión

 

         Desde el pasado día 2, conforme al artículo 113 del Reglamento(UE) 2024/1689 de Inteligencia Artificial (RIA), son aplicables las normas de su capítulo V sobre modelos de IA de uso general. Es bien conocido que, pese a no figurar en la propuesta de Reglamento, las normas del RIA sobre modelos de IA de uso general (GPAI models) han pasado a ser, al hilo de la expansión y el desarrollo de tales modelos, un elemento esencial del nuevo marco normativo. Los proveedores de modelos de IA de uso general introducidos en el mercado (de la UE) después de esa fecha deben cumplir con lo dispuesto en el Capítulo V (artículos 51 a 56). Además, los proveedores de modelos de IA de uso general que se hubieran introducido en el mercado antes del 2 de agosto, deben adoptar las medidas necesarias para cumplir las obligaciones establecidas en el RIA a más tardar el 2 de agosto de 2027 (art. 111(3) RIA). Para facilitar su aplicación, la Comisión ha publicado justo antes del pasado día 2 sus Directrices sobre el alcance de las obligaciones de los proveedores de modelos de IA de uso general (Guidelines on the scope of obligations for providers of general-purpose AI models under the AI Act), que, sin ser, obviamente, vinculantes para los tribunales, pretenden, al recoger la posición de la Comisión, ayudar a “los agentes del ecosistema de IA a comprender si las obligaciones se les aplican y qué se espera de ellos” (aquí). También ha hecho público el GPAI Code of Practice, como instrumento voluntario con orientaciones para ayudar a los proveedores a cumplir con sus obligaciones, así como el Template for the public summary oftraining content of GPAI models, a modo de plantilla para que los proveedores proporcionen una visión general de los datos utilizados para entrenar sus modelos, incluidas las fuentes de las que se obtuvieron los datos e información sobre los aspectos del tratamiento de datos para que las partes con intereses legítimos puedan ejercer sus derechos con base en la legislación de la UE.

Criptoactivos: Directrices de ESMA sobre la aplicación de MiCA a empresas de terceros países (y quienes contribuyen a captar clientes para ellas)

 

          El elemento determinante del ámbito territorial del Reglamento (UE) 2023/1114 relativo a los mercados de criptoactivos (MICA) es que resulta aplicable a toda persona y a determinadas empresas que participen en la emisión, la oferta pública y la admisión a negociación de criptoactivos o que presten servicios relacionados con los criptoactivos en la Unión (articulo 2.1, junto a otras disposiciones referidas a la oferta de criptoactivos o servicios al público en la Unión). Determinante para concretar la existencia de ofrecimiento al público en la Unión es que el emisor o prestador de servicios pretenda captar clientes en la Unión, en particular, mediante la promoción o publicidad de los servicios o actividades relativos a  criptoactivos en la Unión. Al margen del Reglamento (y de la exigencia de autorización conforme a MiCA del prestador de servicios de criptoactivos del tercer país) quedan las situaciones en las que personas con residencia en la Unión reciben, por iniciativa propia, servicios de criptoactivos prestados por empresas de terceros países, pues en tal caso se considera que esos servicios no han sido prestados en la Unión (exención de captación inversa). El párrafo segundo del artículo 61.1 MICA, así como su considerando 75, precisan que esa excepción no concurre cuando la empresa de un tercer país capte clientes en la Unión, o anuncie o promocione servicios o actividades relacionados con criptoactivos en la Unión. Conforme al párrafo tercero del artículo 61, la anterior conclusión no puede verse modificada por ninguna cláusula o declaración de exención de responsabilidad, incluidas aquellas que afirmen que la prestación de servicios por la empresa del tercer país se considera como un servicio prestado a iniciativa exclusiva del cliente.

           La publicación por ESMA (European Securities and Markets Authority) el pasado día 1 de su tabla acerca del cumplimiento de sus “Directrices sobre las situaciones en las que se considera que unaempresa de un tercer país capta clientes establecidos o situados en la Unión, ysobre las prácticas de supervisión para detectar y prevenir la elusión de laexención de captación inversa en virtud del Reglamento sobre los mercados de criptoactivos(MiCA)”, justifica volver sobre este texto (basado en este informe previo), que aborda, con un enfoque actualizado, una cuestión central de la regulación de las actividades en línea transfronterizas. Basta tener presente que la cuestión abordada en esas Directrices es, en realidad, la misma que plantea la interpretación del criterio de las “actividades dirigidas” para determinar la competencia judicial internacional y la ley aplicable en los contratos de consumo en el marco del artículo 17.1.c) Reglamento Bruselas Ibis y del artículo 6.1.c) del Reglamento de Roma. Incluso, dejando al margen el Derecho internacional privado, la cuestión abordada es muy similar al tipo de análisis que es necesario para determinar, por ejemplo, cuándo la venta de un producto en línea está destinada al mercado en el que una marca está protegida cuando el litigio trata sobre la eventual infracción de tal marca (como, por ejemplo, en la entrada inmediatamente anterior) o incluso el análisis que resulta pertinente para concretar la aplicación el RGPD con base en su artículo 3 a los responsables y encargados del tratamiento no tienen un establecimiento en la UE.

Territorialidad y derecho de marcas: el almacenamiento para la venta en línea en el extranjero como acto de infracción

 

        A raíz del carácter estrictamente territorial de los derechos de propiedad industrial, podría pensarse que los actos -por ejemplo, de almacenamiento de productos infractores- realizados en el país A no pueden infringir una marca en el país B. No obstante, es cierto que la jurisprudencia del Tribunal de Justicia había puesto ya de relieve que, en el contexto del comercio electrónico, ciertas actividades llevadas a cabo en el país A pueden infringir una marca en el país B, como sucede cuando a través de un interfaz en línea el supuesto infractor desde el país A ofrece y comercializa en línea en el país B productos que infringen una marca en este último país. En su sentencia del pasado día 1, Tradeinn Retail Services, C-76/24, EU:C:2025:593 el Tribunal de Justicia ha establecido que de su jurisprudencia previa al respecto se desprende también que el almacenamiento de productos en el país A (en el litigio principal era España) para su venta en línea en el país B (en el litigio principal, Alemania) puede constituir una infracción de marca en el país B, lo que determina que los tribunales del país B puedan prohibir a la empresa establecida en el país A el almacenamiento en el país A de los productos en cuestión con el fin de ofrecerlos a la venta o comercializarlos en el país B (Estado miembro en el que esa marca esté protegida) (I, infra). La sentencia precisa también el alcance de la noción de “almacenamiento” como hecho preparatorio de la infracción en situaciones en las que el supuesto infractor no ejerce el dominio directo y efectivo sobre los productos almacenados (II, infra).

 

Neutralidad de la Red: prohibición de medidas que diferencian entre categorías de tráfico

 

El Reglamento (UE) 2015/2120 por el que se establecen medidas en relación con el acceso a una Internet abierta dispone con carácter general una obligación de neutralidad respecto de la prestación de servicios de acceso a Internet, si bien lo hace en términos en los que su efectividad se ve condicionada por las excepciones permitidas. La obligación de neutralidad aparece recogida con carácter general en el párrafo 1 del artículo 3.3, que impone a los proveedores de servicios de acceso a Internet la obligación de tratar «todo el tráfico de manera equitativa, sin discriminación, restricción o interferencia, e independientemente del emisor y el receptor, el contenido al que se accede o que se distribuye, las aplicaciones o servicios utilizados o prestados, o el equipo terminal empleado». Sin embargo, esa obligación de los proveedores de acceso no impide, conforme al párrafo 2 del artículo 3.3, que puedan aplicar medidas razonables de gestión de tráfico que cumplan determinados requisitos. En consecuencia, el alcance de tales medidas resulta fundamental para valorar los límites de la neutralidad. Además, ciertas excepciones a la prohibición de adoptar medidas de gestión del tráfico que vayan más allá de las consideradas razonables en el párrafo segundo y, en particular, a la obligación de abstenerse de bloquear, ralentizar, alterar, restringir, interferir, degradar y discriminar entre contenidos, aplicaciones o servicios aparecen previstas taxativamente en el tercer párrafo del artículo 3.3 del Reglamento. La sentencia del Tribunal de Justicia del pasado jueves en el asunto Telekom România Mobile Communications, C-367/24, EU:C:2025:561 complementa su jurisprudencia anterior sobre la interpretación de la obligación de neutralidad y sus excepciones.

 

Indemnización por inquiokupación: competencia judicial internacional

 

La sentencia del TJUE de hoy en el asunto Chmieka, C-99/24, EU:C:2025:563, analiza qué fueros son aplicables en el marco del Reglamento 1215/2012 (Reglamento Bruselas Ibis) para determinar la competencia judicial internacional en relación con la reclamación por el propietario de una vivienda de una indemnización frente a quienes han permanecido residiendo en la misma una vez ordenado el desahucio tras la resolución del contrato de arrendamiento. En el litigio principal, una entidad municipal polaca, país en el que se encuentra la vivienda, ejercita una demanda ante los tribunales polacos para que se condene a quien había sido arrendataria y a sus tres hijos a pagarle una “indemnización por la ocupación sin base contractual de la vivienda” durante dos años tras la resolución del contrato. Uno de los hijos codemandados, en concreto una hija domiciliada en los Países Bajos, se opone a la competencia de los tribunales polacos.

Modelos de IA y propiedad intelectual: resoluciones sobre fair use

 

   Tras el reciente planteamiento ante el TJUE de una primera cuestión prejudicial acerca de la interacción entre herramientas de IA y propiedad intelectual, que ha dado lugar al asunto C-250/50, la actualidad en este ámbito ha estado marcada por las dos resoluciones estadounidenses de la semana pasada relativas al alcance de la doctrina del fair use. Se trata de las resoluciones (de dos jueces federales diferentes) de la United States District Court for the Northern District of California en el asunto Bartz v. Anthropic y en el asunto Kadrey v. Meta Platforms. Aunque estas dos resoluciones parciales hayan sido favorables para las demandadas, al considerar ciertas actividades supuestamente infractoras como admisibles con base en la doctrina del fair use de la legislación estadounidense, resultan ilustrativas de los límites de esta doctrina en este ámbito. Precisamente, en un contexto distinto había alcanzado ya un resultado diferente el pasado mes de febrero la resolución de la United States District Court for the District of Delaware en el asunto Thomson Reuters Enterprise Centre GmbH & West Publishing Corp. v. ROSS Intelligence Inc., considerando en ese caso que la actividad infractora de la demandada -utilizando contenidos de la demandante para desarrollar un modelo destinado competidor- no estaba amparada por la doctrina del fair use. Cabe recordar que esta doctrina, recogida en la Sección 107 de la US Copyright Act, es la pieza clave del sistema de límites a los derechos de autor en EEUU. Se trata de un marco legal que contrasta con el sistema rígido de limitaciones y excepciones a los derechos de autor y derechos afines instaurado en la UE, como resulta principalmente de lo dispuesto en el artículo 5 de la Directiva 2001/29 y en el Título II de la Directiva 2019/790. Sin perjuicio de que el diferente marco legal facilita respuestas parcialmente distintas a ambos lados del Atlántico, no cabe desconocer que se trata de un ámbito en el que la armonización internacional promueve también cierta coordinación, como ilustra, en particular, el llamado criterio de los tres pasos, que requiere que las excepciones y limitaciones únicamente sean aplicables en determinados casos concretos que no entren en conflicto con la explotación normal de la obra o prestación y no perjudiquen injustificadamente los intereses legítimos del titular del derecho.

 

Nuevamente sobre la caracterización de sitios de Internet (y canales y perfiles de plataformas) como servicios de comunicación audiovisual (II): referencia a la situación en España

    Como se recoge en la entrada anterior, la sentencia de ayer en los asuntos acumulados C‑555/23 y C‑556/23, Makeleio y Zougla, EU:C:2025:484, confirma que los sitios de Internet, así como los canales o perfiles de plataformas, cuando reúnen los elementos establecidos en el artículo 1.1.a) DSCAV, son servicios de comunicación audiovisual. Básicamente, esos elementos o requisitos son los siguientes. Primero, ser un servicio a los efectos de los artículos 56 y 57 TFUE, lo que requiere que se trate de una actividad económica, de modo que los sitios de Internet y canales o perfiles de plataforma quedan al margen de la DSCAV. Segundo, tener como finalidad principal del conjunto o de una parte del servicio -como es habitual, por ejemplo, en el caso de los sitios web de periódicos digitales con una sección de vídeos- ofrecer programas al público en general. Tercero, a esos efectos, el concepto de programa se interpreta en términos muy amplios, susceptible de incluir cualquier vídeo o retransmisión (art. 1.1.b DSCAV). Cuarto, tales programas deben ofrecerse con objeto de “informar, entretener o educar”, lo que también se interpreta en sentido amplio y permite y debe entenderse teniendo en cuenta, además, que también son servicios de comunicación audiovisual las “comunicaciones comerciales audiovisuales”, que no tienen ese objeto y reciben un tratamiento específico. Quinto, esos programas se ofrecen para la responsabilidad editorial del prestador, lo que también se interpreta en términos amplios, pues basta con que el prestador controle elementos como “la puesta en línea y la retirada de vídeos, el calendario y los horarios de difusión de los vídeos en ese sitio, el período durante el que los internautas podrán acceder a los vídeos, la estructura de dicho sitio de Internet, la forma de presentar y seleccionar los vídeos, el sistema de búsqueda de los vídeos y la actualización del contenido de ese mismo sitio” (apdo. 53 de la sentencia de ayer). Sexto, el servicio debe ofrecerse a través de redes de comunicaciones electrónicas, lo que típicamente se cumple cuando se difunden a través de Internet. Por otro lado, la sentencia de ayer también constata que, pese a tratarse de una armonización de mínimos, las normas que la DSCAV impone respecto de los prestadores de servicios de comunicación audiovisual son aplicables con independencia de que se difundan a través de Internet o por otras vías.

Nuevamente sobre la caracterización de sitios de Internet (y canales y perfiles de plataformas) como servicios de comunicación audiovisual (I): la sentencia Makeleio y Zougla

 

     En su sentencia de hoy en los asuntos acumulados C‑555/23 y C‑556/23, Makeleio y Zougla, EU:C:2025:484, el Tribunal de Justicia vuelve sobre la cuestión de la calificación como prestadores de servicios de comunicación audiovisual, a los efectos de quedar sometidos a la Directiva de servicios de comunicación audiovisual (DSCAV), de ciertos prestadores de servicios de la sociedad de la información. Cabe recordar que ya en el marco previo a la reforma de la DSCAV por la Directiva (UE) 2018/1808, en su sentencia en el asunto New Media Online (reseñada aquí en relación con ese marco normativo previo) el Tribunal de Justicia llevó a cabo una interpretación del concepto de “programa” que facilita que sitios web que difunden vídeos -en el caso concreto, el de un periódico con una sección de vídeos- queden comprendidos en el concepto de “servicio de comunicación audiovisual”, a los efectos de quedar sometidos al régimen de la DSCAV. Con respecto a la situación actual, debe partirse, además, de que la reforma de la DSCAV mediante la Directiva (UE) 2018/1808 clarificó la inclusión dentro de la categoría de servicios de comunicación audiovisual, no sólo de sitios de Internet (siempre que sean servicios en el sentido del TFUE, por tener el carácter de actividad económica) cuyo objeto principal -o el de una de sus partes autónomas- sea suministrar programas con el fin de informar, entretener o educar, sino también de canales que se ofrezcan a través de una plataforma de intercambio de vídeos (cdo. 3 de la Directiva (UE) 2018/1808). Todo esto sin prejuicio precisamente de la introducción de un régimen adicional específico respecto de los “servicios de intercambio de vídeos a través de plataforma” o “plataformas de intercambio de vídeos”, que no son servicios de comunicación audiovisual, por la ausencia de responsabilidad editorial con respecto a los contenidos que sus usuarios difunden a través de tales intermediarios.

Publicidad (en línea) de profesiones reguladas

 

La sentencia de hoy del Tribunal de Justicia en el asunto Comisión / Pologne (Publicité pour les pharmacies), C-200/24, EU:C:2025:459, tiene el interés, en primer lugar, de ir referida a la interpretación del artículo 8 de la Directiva 2000/31 sobre el comercio electrónico (DCE), que exige a los Estados miembros que garanticen que está permitido el uso de comunicaciones comerciales que en todo o en parte constituyan un servicio de la sociedad de la información facilitado por un miembro de una profesión regulada, sin perjuicio del cumplimiento de ciertas condiciones. La nueva sentencia tiene su origen en un recurso de incumplimiento interpuesto por la Comisión frente a Polonia frente a la legislación que, con carácter general, establece que: “Queda prohibida la publicidad de farmacias y puntos de venta farmacéuticos y sus actividades.” En todo caso, la aportación de la nueva sentencia respecto de la interpretación del artículo 8 DCE es escasa, habida cuenta del precedente de su sentencia de 4 de mayo de 2017, Vanderborght, C‑339/15, EU:C:2017:335 -reseñada en su momento aquí-, al hilo de otra prohibición de amplísimo alcance, en ese caso de la publicidad de los servicios de odontología por el legislador belga.

Apuntes sobre el Informe de la Comisión relativo a la aplicación del Reglamento Bruselas I bis

 

        Anteayer publicó la Comisión europea el Informe sobre la aplicación del Reglamento 1215/2012 o Reglamento Bruselas I bis (RBIbis) previsto en su artículo 79, acompañado de un Documento de trabajo complementario. Se trata de dos documentos relativamente breves y claros, que dan cuenta de las principales dificultades en la aplicación del Reglamento, por lo que resultan de lectura obligada para los interesados. El Informe utiliza, entre otros, los resultados del estudio encargado en su momento por la Comisión para servir de apoyo, accesible aquí. El Informe, que no va acompañado de una propuesta de modificación del Reglamento, concluye con el anuncio, en términos vagos, de que la Comisión iniciará una revisión formal del Reglamento con el fin de valorar y eventualmente preparar una propuesta de modificación o refundición, en caso de que tal revisión concluya que los cambios son necesarios y apropiados. Por mi parte, me limitaré ahora a algunas reflexiones puntuales sobre las cuestiones abordadas por la Comisión que me parecen más relevantes en relación con la evolución futura del Reglamento. Me referiré a los siguientes aspectos: exclusión del arbitraje (I, infra), medidas provisionales o cautelares ex parte (II), regulación de la competencia respecto a demandados no domiciliados en Estados miembros (III), fuero especial en materia contractual (IV), fuero especial en materia delictual (V), contratos de consumo (VI), competencias exclusivas (y eficacia derogatoria de los acuerdos de jurisdicción a terceros Estados) (VII) y reconocimiento y ejecución de resoluciones (VIII).

 

Reglamento de Inteligencia Artificial y Derecho internacional privado

 

        El último número de la Revista Española de Derecho Internacional incluye una breve contribución titulada “Reglamento (UE) 2024/1689 de Inteligencia Artificial y Derecho internacional privado”, que escribí hace unos meses, y que está accesible en abierto aquí.        

 

Protección de menores en línea (II): proyecto de Ley Orgánica

 

El Proyecto de Ley Orgánica para la protección de las personas menores deedad en los entornos digitales, en tramitación parlamentaria desde el mes pasado, combina medidas muy heterogéneas, incorporando los avances más significativos entre sus disposiciones finales, mediante reformas de otras leyes, incluyendo la LO 3/2018 o LOPDGDD, el TRLGDCU, la LOPJ,  la Ley reguladora de la Jurisdicción Contencioso-Administrativa, la Ley General de Comunicación Audiovisual, o el Código Penal. Desde el punto de vista de la técnica legislativa, no puede merecer una opinión favorable el desproporcionado apartado I de su exposición de motivos, en general, irrelevante, por su escasa utilidad para la mejor comprensión y futura interpretación de las normas que el proyecto incorpora. Más útil sería que el legislador se esforzara por explicar, por ejemplo, el encaje en el marco de nuestro ordenamiento, especialmente en el contexto del Derecho de la UE, de algunas de sus normas, como el artículo 4 y las obligaciones que impone a “los fabricantes de equipos terminales digitales con conexión a internet”. El Proyecto se inicia con un Título preliminar con unas disposiciones generales, que incluyen una relación de derechos de personas menores de edad (art. 3) y una serie de fines programáticos (art. 4), de escasa relevancia normativa y aportación práctica en relación con el marco legal prexistente (en la línea de buena parte de las disposiciones del Título X de la LOPDGDD). Prosigue con un Título I, que contempla dos únicas medidas en el ámbito de la protección de los consumidores y usuarios.

Protección de menores en línea (I): Directrices relativas al artículo 28(4) del Reglamento de Servicios Digitales

 

Entre los ámbitos en los que la aplicación efectiva del marco legal a las actividades en línea ha presentado mayores carencias se encuentra el relativo a las restricciones de ciertas actividades respecto de menores. Restricciones, por cierto, orientadas a la salvaguarda de derechos fundamentales. Sin ir más lejos, resultan notorias las prohibiciones a la difusión de ciertos contenidos entre menores, las prohibiciones relativas a la comercialización de determinados productos o servicios a quienes no han alcanzado una determinada edad, así como las especiales restricciones al tratamiento de datos personales de quienes no han alcanzado una determinada edad. La exigencia de cumplir con esas prohibiciones en el entorno digital no está subordinada al desarrollo de soluciones tecnológicas que hagan particularmente sencillo y poco gravoso su cumplimiento por quienes llevan a cabo esas actividades de prestación de servicios o tratamiento de datos personales. Al contrario, son quienes llevan a cabo las actividades que infringen de manera sistemática tales prohibiciones -por ejemplo, permitiendo el acceso o facilitando el tratamiento de datos personales con base en una mera autodeclaración del interesado de que alcanza la edad requerida- quienes desde el principio deberían adaptar (haber adaptado) su modelo de negocio para no vulnerar sistemáticamente tales prohibiciones. Sin duda, la deficiente aplicación por las autoridades competentes del marco jurídico ya existente -sin perjuicio de la conveniencia de su progresiva adaptación- se encuentra en el origen de los problemas de desprotección y manipulación de los menores en línea. En este contexto, tiene interés hacer referencia a dos textos recientes. Por una parte, la versión para consulta pública de Directrices de la Comisión Europea para garantizar un elevado nivel de privacidad, seguridad y protección de los menores conforme al artículo 28.4 del Reglamento (UE) 2022/2065 de Servicios Digitales (RSD). Por otra parte, el Proyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales. Comenzaré con el primero de esos dos instrumentos. Tanto en esta reseña como en la siguiente, relativa al Proyecto de Ley Orgánica, me limitaré a hacer referencia a algunos aspectos puntuales que suscitan estas iniciativas.

 

Ofertas promocionales en línea: obligaciones de transparencia

 

      La Directiva (CE) 2000/31 sobre el comercio electrónico (DCE) incorpora en su artículo 6 ciertas obligaciones de transparencia en relación con las comunicaciones comerciales que forman parte o constituyen un servicio de la sociedad de la información. Se trata de obligaciones que se proyectan sobre cualquier mensaje publicitario de una página web en relación con su propia oferta de productos y servicios, y que se encuentran traspuestas en el artículo 20 de la Ley 34/2002 (LSSI). Con el posterior desarrollo del Derecho de la UE en materia de obligaciones de información en el ámbito del comercio electrónico, en particular, las contenidas en la Directiva 2011/83 sobre los derechos de los consumidores -traspuestas fundamentalmente en el TRLGDCU- y en la Directiva 2005/29 -incorporadas en la Ley de Competencia Desleal (LCD)-, las obligaciones establecidas en la DCE han recibido una atención menor, que se ha sumado a las notables carencias en la aplicación efectiva de la LSSI. La sentencia de ayer del Tribunal de Justicia en el asunto bonprix, C-100/24, EU:C:2025:352, tiene el interés de realizar una interpretación amplia del concepto de “ofertas promocionales”, al concretar el alcance de las obligaciones de información acerca de su identificación como tales y de la accesibilidad y presentación de las condiciones que deben cumplirse para accederse a tales ofertas. La relevancia práctica de esa interpretación amplia es que resulta determinante del alcance de obligaciones de información que típicamente se proyectan sobre todo titular de un sitio web que incluya entre sus contenidos tales “ofertas promocionales” -por ejemplo, sobre los procedimientos de pago - y que el responsable del sitio web debe facilitar desde el momento el que el usuario accede al sitio web que muestra ese mensaje. La sentencia aclara también la interacción entre esas obligaciones de transparencia de la DCE (LSSI) y las contenidas en la Directiva 2011/83 (TRLGDCU) y la Directiva 2005/29 (LCD).

Delimitación entre los servicios de comparación de ofertas en línea y la publicidad comparativa

 

           El artículo 4 de la Directiva 2006/114/CE sobre publicidad engañosa y publicidad comparativa (traspuesto mediante la Ley 29/2009 en el artículo 10 de la Ley de Competencia desleal) subordina la licitud de la publicidad comparativa a que la comparación cumpla una serie condiciones. Entre esas condiciones exigibles a la comparación, se incluyen las siguientes: que la comparación no sea engañosa; que compare bienes o servicios que satisfagan las mismas necesidades o tengan la misma finalidad; que compare de modo objetivo una o más características esenciales, pertinentes, verificables y representativas de dichos bienes y servicios; que no desacredite ni denigre a algún competidor; que no obtenga indebidamente ventaja de la reputación de una marca u otro signo de algún competidor; que no dé lugar a confusión entre los comerciantes, entre el anunciante y un competidor o entre signos distintivos o los bienes o servicios del anunciante y los de algún competidor. En su sentencia de ayer en el asunto HUK-COBURG Haftpflicht-Unterstützungs-Kasse, C-697/23, EU:C:2025:338, el Tribunal de Justicia establece que el régimen de la publicidad comparativa no resulta de aplicación típicamente con respecto a las comparaciones de productos o servicios que realizan los comparadores en línea entre ofertas de productos o servicios.

Límites del Derecho de la Unión a la concesión de la nacionalidad por los Estados miembros

 

Distanciándose del criterio propuesto por el Abogado General en sus conclusiones, el Tribunal de Justicia (Gran Sala), en su sentencia de ayer en el asunto Comisión / Malte (Citoyenneté par investissement), C-181/23, EU:C:2025:283, ha decidido que el "programa de ciudadanía (nacionalidad) para inversores", o "procedimiento transaccional de naturalización a cambio de pagos o de inversiones predeterminados", establecido por la República de Malta viola el Derecho de la Unión, en concreto, el artículo 20 TFUE y el artículo 4.3 TUE. Se trata de una sentencia muy significativa, en la medida en que determina que el Derecho de la UE, en particular el principio de cooperación leal (art. 4.3 TUE), en relación con la ciudadanía de la Unión atribuida a toda persona que tenga la nacionalidad de un Estado miembro -y que incluye el derecho a circular y residir libremente en el territorio de todos los Estados miembros- (art. 20 TFUE), limita la libertad de los Estados miembros en un ámbito tan particular de soberanía y de su competencia, como es la concesión de la nacionalidad. El Tribunal de Justicia deriva de esas disposiciones límites al ejercicio por los Estados miembros de su competencia en materia de concesión de la nacionalidad.

Directrices sobre el tratamiento de datos personales mediante tecnologías blockchain

 

La publicación por el Comité Europeo de Protección de Datos (CEPD o EDPB) de sus Guidelines 02/2025 onprocessing of personal data through blockchain technologies (Version 1.1 para consulta pública), de 8 de abril, constituye un hito en el análisis de los desafíos que el cumplimiento del marco legal imperativo de la UE en materia de protección de datos personales plantea en relación con ciertos usos de las tecnologías de registros distribuidos, especialmente algunas de las que han recibido más atención en los últimos años, como las llamadas public permissionless blockchains. Por ejemplo, destaca la constatación de que la persona física o jurídica que controla un nodo de una cadena de bloques de ese tipo puede en determinadas circunstancias ser considerada responsable del tratamiento de datos personales a los efectos del Reglamento (UE) 2016/679 general de protección de datos (RGPD) (apdos. 43 y 130 de las Directrices). Antes de hacer referencia a algunos aspectos del contenido de las Directrices, la lectura del documento se presta a dos reflexiones generales. La primera es que constituye un buen ejemplo de un principio básico aplicable en lo que tiene que ver con la regulación de las nuevas tecnologías y los modelos de negocio disruptivos basados en ellas, aunque frecuentemente olvidado.

De nuevo sobre la competencia judicial internacional de los tribunales de la Unión Europea en materia de infracción de patentes

 

     El auto del Tribunal de Primera Instancia (División Local de París) del Tribunal Unificado de Patentes (TUP) del pasado 21 de marzo constituye el primer supuesto de aplicación del criterio de la STJUE BSH Hausgeräte, del 25 de febrero pasado, que constata la paradójica situación a la que conduce la redacción del artículo 24.4 Reglamento 1215/2012 o Reglamento Bruselas I bis (RBIbis), combinada con el criterio adoptado por el TJUE en esa sentencia (al respecto, aquí y aquí). Más allá del contenido de ese auto, en el marco de un litigio relativo a la infracción, además de una patente europea con efecto unitario, de las expedidas en España, Suiza y el Reino Unido, cabe ilustrar el estado de la cuestión tomando como ejemplo el siguiente supuesto hipotético.

Datos personales de representantes de personas jurídicas

 

    El considerando 20 del RGPD -cuyo objeto se limita a la protección de las personas físicas (art. 1)- señala que este instrumento “no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto”. En su sentencia de ayer, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale), C-710/23, EU:C:2025:231, el Tribunal de Justicia confirma que lo anterior no es obstáculo para apreciar que la información relativa a las personas físicas que, como órgano de una sociedad o miembro de este, tengan poder para obligar a una sociedad con respecto a terceros constituye «datos personales», siempre que se trate de datos vinculados a una persona física identificada o identificable. Por lo tanto, es necesario diferenciar entre los datos de contacto de la persona física que representa a la persona jurídica y los datos de contacto de la propia persona jurídica. A diferencia de estos últimos, los primeros pueden ir referidos a personas físicas identificadas o identificables y en esa medida quedan comprendidos dentro del RGPD. En consecuencia, la comunicación a terceros de datos personales -como el nombre, la firma o los datos de contacto- de tales personas físicas representantes de la persona jurídica constituyen un tratamiento de datos personales conforme al artículo 4.2 RGPD.