Responsabilidad de plataformas en línea por la difusión por sus usuarios de datos personales

 

       Que la difusión de datos personales de terceros a través de Internet, por ejemplo, cuando alguien publica en una plataforma en línea un falso anuncio con datos de contacto de un tercero que supuestamente oferta servicios sexuales, constituye un tratamiento de datos personales de ese tercero por parte del usuario que publica el anuncio, no resulta algo controvertido. La sentencia del pasado martes del Tribunal de Justicia (Gran Sala) en el asunto Russmedia Digital and Inform Media Press, C-492/23, EU:C:2025:935, reviste singular interés en relación con las obligaciones de ciertas plataformas en línea en tanto que corresponsables junto al anunciante del tratamiento de los datos personales de terceros incluidos en el anuncio en situaciones de ese tipo (I, infra). Se trata de obligaciones que se traducen, entre otros, en deberes específicos de supervisión de los contenidos difundidos por terceros que puedan incluir datos personales, en particular, datos personales sensibles, y, en su caso, requerir recabar la identidad del usuario anunciante y verificar si es la persona cuyos datos sensibles figuran en dicho anuncio o incluso denegar la difusión del anuncio en cuestión, así como aplicar medidas de seguridad que restrinjan la difusión ulterior de los anuncios (II y III, infra). La sentencia aclara, además, que las normas sobre la exención de responsabilidad de las plataformas respecto de los contenidos difundidos por terceros a través de sus servicios y sobre la inexistencia de obligaciones generales de monitorización o de búsqueda activa de hechos indicativos de actividades ilícitas, de las que pueden beneficiarse las plataformas en línea en tanto que intermediarias, no resultan de aplicación a las cuestiones relativas a la protección de los datos personales (IV, infra).

    Se trata, por lo tanto, de una sentencia potencialmente de gran impacto en relación, entre otros aspectos, con el eventual ejercicio por los terceros cuyos datos, especialmente sensibles, han sido difundidos a través de ciertas plataformas sin su consentimiento, de acciones frente a la propia plataforma por vulneración de sus derechos de la personalidad y, en particular, tendentes a la indemnización de los daños y perjuicios materiales o inmateriales sufridos como consecuencia de la eventual infracción del RGPD por la plataforma a través de la cual el usuario difundió esa información. De hecho, a un supuesto de ese tipo va referido el litigio principal ante los tribunales rumanos que se encuentra en el origen de esta sentencia.  

Competencia territorial e ilícitos en línea: novedades en la jurisprudencia del Tribunal de Justicia

 

En su sentencia de hoy en el asunto Stichting Right to Consumer Justice y Stichting App Stores Claims, C-34/24, EU:C:2025:936, el Tribunal de Justicia (Gran Sala) precisa cómo debe concretarse qué órganos judiciales del Estado miembro donde se localiza el lugar de manifestación del daño en virtud del artículo 7.2 del Reglamento 1215/2012 (RBIbis) tienen competencia territorial en ciertas situaciones relativas a ilícitos cometidos en línea que generan daños dispersos en el conjunto del territorio del Estado en cuestión. Los litigios principales tienen su origen en el ejercicio ante los tribunales neerlandeses de acciones de representación interpuestas por fundaciones destinadas a la defensa de los intereses de víctimas de conductas contrarias a la competencia, quienes solicitan que se declare que sociedades del grupo Apple han actuado ilegalmente en perjuicio de usuarios de aplicaciones para iOS y que se condene a esas sociedades a reparar el daño causado. Las demandantes sostienen que Apple ha abusado de su posición de dominio en el mercado de distribución de aplicaciones para sus dispositivos al percibir una comisión del 30 % del precio pagado por los usuarios al adquirir las aplicaciones a través de la App Store. Según las demandantes, con ese proceder Apple no sólo infringe el artículo 102 TFUE, sino que, además, al llevar a cabo una fijación vertical de los precios, también infringe el artículo 101 TFUE. Para cuestionar la competencia del tribunal ante el que se habían presentado las demandas en los litigios principales, Apple sostenía que el tribunal de Ámsterdam no es competente o lo sería competente, a lo sumo, para conocer de las demandas respecto de los usuarios que hubieran realizado la compra, a través de la App Store dirigida al público neerlandés (App Store NL), en Ámsterdam, pero no de los usuarios que hubieran realizado la compra en otros lugares de los Países Bajos.

Pese a que entre las cuestiones prejudiciales relativas a la interpretación del artículo 7.2 RBIbis planteadas en este asunto al Tribunal de Justicia se incluía alguna relativa a la determinación del lugar de origen del daño, la sentencia aborda únicamente la determinación del lugar de manifestación del daño y lo hace en relación con el contexto específico de las acciones de representación ejercitadas en los litigios principales. La sentencia alcanza un resultado que parece distanciarse de pronunciamientos anteriores del Tribunal, pero lo cierto es que las características de situaciones en las que los daños derivados de actividades en línea son difusos como en los litigio principales en este asunto -relativos a los daños derivados de compras efectuadas a través de una plataforma en línea de aplicaciones que pueden descargarse desde cualquier lugar- se alejan de las que habían sido objeto de las resoluciones anteriores del Tribunal de Justicia en las que había abordado la determinación de la competencia territorial en relación con el lugar de manifestación del daño. El contenido resulta de especial interés en relación con ese tipo de reclamaciones de daños derivados de la eventual vulneración de las normas sobre libre competencia (I y II, infra). Ello, además, en un contexto en el que los desarrollos normativos favorecen la proliferación de esas reclamaciones u otras similares, por ejemplo, si tenemos en cuenta de cara al futuro el potencial relativo a la aplicación privada del Reglamento (UE) 2022/1925 de Mercados Digitales. Como complemento de lo anterior, la sentencia se presta también a la reflexión acerca de en qué medida el criterio adoptado ahora por el Tribunal de Justicia puede resultar de utilidad para guiar la determinación de la competencia territorial respecto de otras situaciones relativas a ilícitos cometidos en línea que generan daños dispersos en el territorio de un Estado miembro (III, infra).

Propuesta de Reglamento Ómnibus Digital (III): Datos personales

 

Las modificaciones en materia de datos personales aparecen recogidas en los artículos 3 a 5 de la Propuesta. El artículo 3 recoge los cambios que se pretenden introducir en el RGPD. Entre ellos se incluye la revisión de la definición misma de dato personal, mediante la un añadido que se presenta como una mera clarificación para facilitar la determinación de cuando los datos resultantes de la seudonimización no constituyen datos personales. Otras modificaciones previstas del RGPD afectan a cuestiones como las siguientes. La introducción de una definición amplia de “investigación científica” en el artículo 4.38 RGPD, que concurre con otros cambios para facilitar el tratamiento de datos personales con tales fines, incluyendo la precisión de que el tratamiento posterior con fines de investigación científicos es compatible con el fin para el cual se recogieron inicialmente los datos personales a los efectos del artículo 6.4 RGPD. La previsión de dos excepciones adicionales a la prohibición del tratamiento de categorías especiales de datos personales en el artículo 9.2 RGPD, con respecto al tratamiento de datos biométricos para confirmar la identidad del interesado cuando los datos y los medios de verificación estén bajo su control exclusivo, así como respecto del tratamiento residual de datos personales para el desarrollo y funcionamiento de un sistema de IA o un modelo de IA, cuando se respeten determinadas condiciones conforme a un nuevo artículo 9.5. Los considerandos del Reglamento propuesto incluyen precisiones acerca de la posibilidad de que ese tipo de tratamiento de datos personales puedan tenerse como base para su licitud el ser necesarios para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, de conformidad con lo dispuesto en el artículo 6.1.f) RGPD, que, como es conocido, exige la ponderación entre, de una parte tales intereses legítimos y, de otra intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales (cdos. 30 y 31 de la Propuesta de Reglamento). También se contempla la flexibilización de la información que debe facilitarse en virtud del artículo 13 RGPD cuando los datos personales se obtienen del interesado en virtud, eliminando esta obligación en situaciones en las que cabe suponer que el interesado ya dispone de la información. Con respecto al artículo 22 RGPD, en materia de decisiones individuales automatizadas, se contempla la modificación de la letra a) de su apartado 1, para precisar que la concurrencia del requisito de necesidad para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento, como presupuesto para la admisibilidad de tales decisiones, es independiente de si la decisión puede tomarse por medios distintos de los exclusivamente automatizados. También destaca la introducción de un nuevo artículo 88 bis en el RGPD, que se vincula con la integración en este instrumento del régimen contenido ahora en el artículo 5.3 de la Directiva 2002/58 en relación con el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario.

Por su parte, el artículo 4 de la Propuesta contempla la proyección de los cambios relevantes en el RGPD establecidos en el artículo 3 en el régimen paralelo del Reglamento (UE) 2018/1725 relativo al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. Por último, el artículo 5 incluye las modificaciones en la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas, entre las que merece especial atención la modificación de su artículo 5.3 relativo al almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, determinante, entre otras cuestiones del régimen aplicable en relación con las cookies y herramientas similares. Por su especial interés e impacto, me detendré en dos aspectos: la definición de dato personal en el artículo 4.1 del RGPD (I, infra) y la modificación del artículo 5.3 de la Directiva 2002/58 e integración de su contenido, con cambios relevantes, en el RGPD (II, infra).