Que la difusión de datos personales de terceros a través de Internet, por ejemplo, cuando alguien publica en una plataforma en línea un falso anuncio con datos de contacto de un tercero que supuestamente oferta servicios sexuales, constituye un tratamiento de datos personales de ese tercero por parte del usuario que publica el anuncio, no resulta algo controvertido. La sentencia del pasado martes del Tribunal de Justicia (Gran Sala) en el asunto Russmedia Digital and Inform Media Press, C-492/23, EU:C:2025:935, reviste singular interés en relación con las obligaciones de ciertas plataformas en línea en tanto que corresponsables junto al anunciante del tratamiento de los datos personales de terceros incluidos en el anuncio en situaciones de ese tipo (I, infra). Se trata de obligaciones que se traducen, entre otros, en deberes específicos de supervisión de los contenidos difundidos por terceros que puedan incluir datos personales, en particular, datos personales sensibles, y, en su caso, requerir recabar la identidad del usuario anunciante y verificar si es la persona cuyos datos sensibles figuran en dicho anuncio o incluso denegar la difusión del anuncio en cuestión, así como aplicar medidas de seguridad que restrinjan la difusión ulterior de los anuncios (II y III, infra). La sentencia aclara, además, que las normas sobre la exención de responsabilidad de las plataformas respecto de los contenidos difundidos por terceros a través de sus servicios y sobre la inexistencia de obligaciones generales de monitorización o de búsqueda activa de hechos indicativos de actividades ilícitas, de las que pueden beneficiarse las plataformas en línea en tanto que intermediarias, no resultan de aplicación a las cuestiones relativas a la protección de los datos personales (IV, infra).
Se trata, por lo tanto, de una sentencia potencialmente de gran impacto en relación, entre otros aspectos, con el eventual ejercicio por los terceros cuyos datos, especialmente sensibles, han sido difundidos a través de ciertas plataformas sin su consentimiento, de acciones frente a la propia plataforma por vulneración de sus derechos de la personalidad y, en particular, tendentes a la indemnización de los daños y perjuicios materiales o inmateriales sufridos como consecuencia de la eventual infracción del RGPD por la plataforma a través de la cual el usuario difundió esa información. De hecho, a un supuesto de ese tipo va referido el litigio principal ante los tribunales rumanos que se encuentra en el origen de esta sentencia.
I. Clasificación de los datos del anuncio como sensibles y calificación
de los operadores de ciertas plataformas como corresponsables del tratamiento
Como punto de
partida para identificar las disposiciones relevantes en materia de datos
personales, el Tribunal de Justicia constata que, entre las categorías de datos
para los que el artículo 9.1 RGPD establece un régimen de protección especial
por los particulares riesgos que generan, se encuentran los relativos a la vida
sexual o la orientación sexual de una persona física. La información de que
alguien ofrece servicios sexuales, acompañada -como en el anuncio del litigio
principal- de su fotografía y su número de teléfono, son datos personales
objeto de especial protección conforme al artículo 9 RGPD, cuyo tratamiento
está en principio prohibido salvo que concurra alguna de las excepciones de so
apartado 2. La calificación como datos sensibles no se ve afectada por el
carácter falso y lesivo de tales datos (apdos. 50 y 53 de la sentencia).
Una mayor aportación representa el análisis que lleva al Tribunal de Justicia a establecer que el operador del mercado en línea en el que el usuario difunde el anuncio debe ser calificado como responsable del tratamiento de los datos personales incluidos en el anuncio, sin perjuicio de que también lo sea el usuario que introduce la información. Recuerda la sentencia que la categoría de “responsable del tratamiento” aparece definida en términos amplios en el artículo 4.7 RGPD, de modo que abarca a cualquiera que, atendiendo a sus propios objetivos, influya en el tratamiento de los datos y participe, por tanto, en la determinación de los fines y los medios del tratamiento, y hace referencia a su jurisprudencia previa acerca de la posibilidad de que existan varios responsables en relación con un mismo tratamiento de datos personales, lo que tiene reflejo expreso en el artículo 26 RGPD relativo a los corresponsables del tratamiento (apdos. 56 a 63 de la sentencia). Destaca ahora el Tribunal, que, a esos efectos, cabe considerar que el operador de la plataforma, a través de la cual publica el anuncio el usuario, influye directamente en la difusión de los datos personales contenidos en ese anuncio “atendiendo a sus propios fines”, en particular cuando tal operador publica (da acceso a través de su servicio) a los datos personales en cuestión (el anuncio) “con fines comerciales o publicitarios que vayan más allá de la mera prestación del servicio en cuestión al usuario anunciante” (apdo. 66).
Como elemento particularmente relevante para apreciar la concurrencia de esa circunstancia a los efectos de la calificación del operador de la plataforma como corresponsable del tratamiento, destaca la sentencia que la plataforma implicada en el litigio principal se reserva en sus condiciones generales una gran libertad para utilizar la información que publican los usuarios de su servicio, con la posibilidad de “valorizar esos datos atendiendo a sus propios fines publicitarios y comerciales” (apdo. 67). La calificación del operador de la plataforma como responsable del tratamiento al influir, en consideración a sus propios fines, en la difusión de la información relevante no se ve afectada por el hecho de que no participara en la determinación de los fines engañosos y lesivos perseguidos por el usuario anunciante, pues sí participó en la determinación de la finalidad de hacer accesibles a los usuarios de Internet los datos personales valorizando su publicación, al tiempo que facilitó la publicación de los datos sin consentimiento del interesado permitiendo la colocación de manera anónima de los anuncios por los usuarios del servicio (apdo. 69). También se considera que la plataforma participa en la determinación de los medios de la publicación de los datos personales, al poner a disposición del usuario la plataforma en línea para que publicase el anuncio en el que se incluyen (apdo. 70).
Cuando la plataforma, aunque no determine el contenido del anuncio que incluye datos personales, fija los “parámetros de difusión” de tales anuncios, determina “la presentación, la duración de dicha difusión o las rúbricas que estructuran la información publicada u organiza la clasificación que determinará las modalidades de tal difusión”, se entiende que “participa en la determinación de los medios esenciales de la publicación de los datos personales de que se trate, influyendo así de manera decisiva en la difusión global de estos últimos” (apdo. 72). Destaca la sentencia la eventual relevancia del contenido de las condiciones generales de prestación del servicio de plataforma para apreciar a estos efectos si su operador determina los medios de tratamiento al influir de manera decisiva en dicho tratamiento. Además, precisa que así será típicamente cuando en esas condiciones el operador “se reserva el derecho a distribuir, transmitir, publicar, suprimir o incluso reproducir la información contenida en los anuncios” (apdo. 73).
Estos apartados de la sentencia resultan ahora
de especial relevancia para concretar en qué medida plataformas digitales son
susceptibles de ser calificadas como corresponsables del tratamiento de los
datos personales relativos a terceros que los usuarios difunden a través de sus
servicios.
II. Medidas a adoptar por la plataforma como responsable del tratamiento
en relación con la difusión de contenidos que puedan incluir datos personales
sensibles
El Tribunal recuerda
que el tratamiento de datos sensibles -como los que son objeto del anuncio
controvertido- está prohibido en virtud del artículo 9.1 RGPD, salvo que concurra
alguna de las excepciones previstas en su apartado 2. Entre ellas se encuentra el
que el interesado haya dado su consentimiento explícito para el tratamiento de
sus datos personales sensibles, excepto cuando el Derecho de la Unión o de los
Estados miembros establezca que tal prohibición no puede ser levantada por el
interesado (art. 9.2.a) RGPD) (apdo. 84 de la sentencia). Insiste, además, en que
todo responsable del tratamiento es responsable del cumplimiento de todos los
principios del tratamiento y debe ser capaz de demostrarlo («responsabilidad
proactiva») (art. 5.2 RGPD), lo que requiere que aplique medidas técnicas y
organizativas apropiadas a fin de garantizar y poder demostrar que el
tratamiento es conforme con el RGPD (art. 24.1). Por su parte, el artículo 25
RGPD, relativo a la protección de datos desde el diseño y por defecto, exige
que el responsable del tratamiento aplique ya en el momento de determinar los
medios de tratamiento, medidas técnicas y organizativas apropiadas para aplicar
de forma efectiva los principios de protección de datos e integrar las
garantías necesarias en el tratamiento (apdos. 84 a 89 de la sentencia).
Seguidamente, aborda el Tribunal qué medidas pueden resultan exigibles al operador de la plataforma, en tanto que corresponsable del tratamiento de datos personales, para cumplir con lo dispuesto en los artículos 5, 24 y 25 RGPD con respecto a la eventual inclusión por sus usuarios de datos personales sensibles de terceros en los anuncios que pretenden difundir a través de la plataforma del operador, centrándose en los elementos acerca de los que el órgano remitente solicitaba aclaración.
En primer lugar, alcanza una respuesta afirmativa en lo relativo a si el
operador de la plataforma debe identificar los anuncios que contienen datos
sensibles una vez que el usuario lo sube a la plataforma y antes de proceder a
su publicación. El Tribunal de Justicia deriva la exigencia de tal
identificación de la obligación de los corresponsables del tratamiento -es
decir, también de la plataforma- de poder demostrar que los datos incluidos en
el anuncio por el anunciante son publicados de manera lícita, lo que requiere
que el interesado cuyos datos se pretenden difundir haya dado su consentimiento
salvo cuando se pueda invocar alguna de las otras condiciones de licitud del
tratamiento establecidas en el artículo 6.1 RGPD. Además, en el caso de los datos
sensibles el artículo 9.2.a) exige que el consentimiento del interesado al
tratamiento -en este caso, a la publicación- haya sido explícito (apdo. 93).
Al valorar que la
exigencia de identificación previa de los anuncios que contengan datos
sensibles constituye una concreta medida técnica y organizativa apropiada en el
marco de los artículos 24 y 25 RGPD, el Tribunal destaca los importantes riesgos
que para los interesados implica la publicación de sus datos personales por terceros
a través de plataformas en línea, habida cuenta de que semejante tratamiento
facilita que los datos sean accesibles a cualquier usuario de Internet y puedan
ser copiados y reproducidos en otros sitios web, dificultando o imposibilitando
que el interesado obtenga su supresión efectiva de Internet (apdo. 95). Tales
riesgos, y la eventual injerencia en los derechos fundamentales del interesado,
incluido el derecho a la protección de datos, resultan especialmente graves en
el caso de que los datos personales concernidos sean datos sensibles objeto de
especial protección en el artículo 9 (apdo. 96).
¿Qué operadores de
plataforma están obligados a esa identificación previa de la presencia de datos
personales sensibles antes de la publicación del contenido? La sentencia
proyecta sobre cualquier operador de un mercado en línea (en realidad, cabe
entender, plataforma en el sentido en el que este término se define en el
Reglamento de Servicios Digitales) que reúna las condiciones para poder ser
considerado corresponsable del tratamiento de los datos personales que los usuarios
introducen en sus contenidos (vid. sección I, supra), “en la medida
en que… sepa o debería saber que, de manera general, anuncios que contienen
datos sensibles, en el sentido del artículo 9.1 RGPD, pueden ser publicados por
usuarios anunciantes en su mercado en línea”. Así lo establece el apartado 97
de la sentencia, que deja claro que el cumplimiento de esa obligación le es
exigible antes de que se publique el anuncio en la plataforma que opera.
En segundo lugar, el
Tribunal de Justicia considera que también es exigible al operador de la
plataforma, en tanto que corresponsable del tratamiento de datos personales sensibles
en tales situaciones, la verificación de la identidad del usuario anunciante
cuando el anuncio incluye datos personales sensibles. Esa exigencia se
desprende, por una parte, del deber de comprobar que el interesado presta su
consentimiento expreso al tratamiento de sus datos personales sensibles conforme
al artículo 9.2.a), admitiendo que tal consentimiento puede tener lugar
mediante la colocación por el propio interesado de un anuncio que contenga sus
datos sensibles, mientras que tal consentimiento no estará presente como
consecuencia de esa actividad cuando los datos personales que se pretenden
difundir son los de un tercero. Además, el TJUE invoca la obligación de los
responsables del tratamiento -incluido, por lo tanto, el anunciante- de
facilitar su identidad y datos de contacto al interesado (arts. 13.1ª) y 14.1.a)
RGPD), así como que la circunstancia de que uno de los responsables del
tratamiento permanezca en el anonimato frente al otros, haría imposible el
cumplimiento de la exigencia que impone el artículo 26 RGPD de que los corresponsables
de un mismo tratamiento de datos personales definan de manera transparente sus
obligaciones respectivas (apdos. 99 a 101 de la sentencia). Destaca la
sentencia cómo se trata de medidas necesarias para hacer frente a los riesgos
inherentes a las conductas de usurpación de identidad, que tienen lugar
típicamente para cometer actos fraudulentos, como la publicación del anuncio
falso y lesivo en el litigio principal (apdos. 103-104 de la sentencia). Por lo
demás, cabe reseñar que en sus conclusiones el Abogado General puso de relieve que la verificación
de la identidad de los usuarios anunciantes es compatible con el postulado del
uso de Internet bajo el anonimato, en la medida en que los datos facilitados
por el anunciante para su verificación por responsable del tratamiento no serán
accesibles a terceros (apdo. 135 de las conclusiones).
En tercer lugar, el
TJUE establece que cuando no sea posible para el operador de la plataforma
llevar a cabo de manera satisfactoria la verificación de la identidad del usuario
anunciante en tales situaciones, debe denegar la publicación del anuncio, salvo
que a menos que ese anunciante demuestre que el interesado ha dado su
consentimiento explícito para que los datos en cuestión se publiquen en esa
plataforma (apdo. 105).
Cabe señalar que tal denegación debe tener
lugar también cuando se trate de datos sensibles respecto de los que el Derecho
de la Unión o de los Estados miembros establezca que la prohibición mencionada en
el artículo 9.1 no puede ser levantada por el interesado, conforme a lo
previsto en su artículo 9.2.a). A este respecto, cabe recordar que en España,
conforme al artículo 9.1 de la Ley Orgánica 3/2018 de Protección de Datos
Personales y Garantía de los Derechos Digitales, el solo consentimiento del
afectado no basta para levantar la prohibición del tratamiento de datos cuya
finalidad principal sea identificar su ideología, afiliación sindical,
religión, orientación sexual, creencias u origen racial o étnico. El RGPD no aclara
cómo se determina la concreta legislación nacional aplicable a esta cuestión,
que típicamente será la del establecimiento principal del responsable o la de
la residencia del interesado. Aunque la cuestión sigue siendo incierta, habida
cuenta de su fundamento, cabría plantear que la prohibición del artículo 9.1 LO
3/2018 en relación con el artículo 9.2.a) RGPD resulta de aplicación típicamente
respecto de cualquier interesado que tenga su residencia en España, con independencia
del lugar de establecimiento de la plataforma a través de la cual sus datos son
difundidos.
III. Obligación de impedir o limitar la ulterior difusión de los
anuncios que contienen datos personales sensibles
De la nueva sentencia resulta que el RGPD
impone también a los operadores de plataformas que permiten la difusión por sus
usuarios de contenidos que incluyen datos personales sensibles, en la medida en
que el operador de la plataforma reúna los elementos para ser considerado
corresponsable del tratamiento de tales datos, obligaciones muy relevantes para
restringir la ulterior difusión de esos datos cuando son publicados en su
servicio. El alcance de estas obligaciones se vincula también con los
especiales riesgos para los derechos fundamentales del interesado de la
difusión en línea de sus datos personales sensibles, en la medida en que cualquiera
puede tener acceso a los mismos y darles ulterior difusión en circunstancias que
pueden dar lugar a una pérdida de control de los datos personales en cuestión,
que priva de todo efecto útil a los derechos y garantías establecidos en el
RGPD en beneficio del interesado, incluido el derecho a la supresión de su
artículo 17 contemplado en el artículo 17 de dicho Reglamento (apdo. 120 de la
sentencia).
Esa circunstancia
condiciona decisivamente el alcance respecto de estas situaciones de la
obligación de todo responsable del tratamiento de aplicar medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo, tomando en consideración, entre otros elementos los riesgos de
probabilidad y gravedad variables para los derechos y libertades de las
personas físicas, conforme al artículo 32.1 RGPD. En concreto, el TJUE considera
que para cumplir con el artículo 32.1, el operador de la plataforma responsable
del tratamiento cuyo usuario difunde el contenido con datos personales sensible
“debe considerar, en particular, todas las medidas técnicas disponibles en el
actual estado de la técnica que puedan bloquear la copia y la reproducción del
contenido en línea” (apdo. 122 de la sentencia). En todo caso, se trata de una
obligación de medios no de resultado, de modo que no cabe excluir que pese a
que el responsable del tratamiento haya adoptado medidas apropiadas pueda tener
lugar una diseminación ilícita de esos datos por un tercero. No obstante, en principio,
en el litigio principal no parece darse esa situación, pues la pérdida de
control sobre los datos personales sensibles incluidos en el anuncio tenía su
origen en la publicación inicial ilícita del anuncio sin respetar los
requisitos establecidos en el RGPD (apdos. 123 y 125).
IV. Interacción con las normas sobre responsabilidad de los
intermediarios de la Directiva sobre el comercio electrónico (y del Reglamento
de Servicios Digitales)
En la medida en que
el operador del mercado electrónico implicado en el litigio principal pretendía
invocar las disposiciones de la Directiva 2000/31 sobre el comercio electrónico
-hoy incorporadas en el Reglamento (UE) 2022/2065 de Servicios Digitales-,
relativas a las exenciones condicionales de responsabilidad de los intermediarios,
para quedar exonerado de responsabilidad, la parte final de la sentencia aborda
la repercusión de esas normas sobre su responsabilidad derivada de la
legislación de protección de datos personales en tanto que responsable del
tratamiento conforme al RGPD.
El Tribunal de
Justicia establece que la respuesta a esa cuestión resulta con claridad de lo
dispuesto en el artículo 1.5.b), de la Directiva 2000/31 -que era el
instrumento aplicable por motivos temporales al litigio principal-, que dispone
que la Directiva no es aplicable a las cuestiones relativas a los servicios de
la sociedad de la información incluidas en la legislación sobre datos
personales. De esta disposición, deriva el Tribunal que ni la exención de
responsabilidad condicional prevista para los prestadores de servicios de alojamiento
de datos en el artículo 14 de la Directiva 2000/31 ni la prohibición de imponer
a tales prestadores una obligación general de supervisión de los contenidos
alojados en sus servicios, prevista en su artículo 15, pueden interferir con las
obligaciones de tales prestadores en materia de protección de datos personales,
en especial, las que les impone el RGPD en tanto que responsables del tratamiento
de datos personales (apdos. 129 a 132).
Aclara el Tribunal
que la previsión en el artículo 2.4 RGPD de que este instrumento “se entenderá
sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus
normas relativas a la responsabilidad de los prestadores de servicios
intermediarios establecidas en sus artículos 12 a 15”, debe entenderse, en
coherencia con el artículo 1.5.b) de la Directiva, en el sentido de que el RGPD
no excluye que el operador de una plataforma pueda invocar las normas sobre
limitación de responsabilidad de la Directiva 2000/31 para cuestiones distintas
de las relativas a la protección de los datos personales (apdos. 133 y 134).
En la actualidad las
normas de los artículos 14 y 15 de la Directiva 2000/31 se encuentran
contenidas en los artículos 6 y 8 del Reglamento (UE) 2022/2065 de Servicios
Digitales. Conforme a su artículo 2.4.g), el Reglamento de Servicios Digitales
debe entenderse sin perjuicio del Derecho de la Unión en materia de protección
de datos personales, en particular el Reglamento (UE) 2016/679 y la Directiva
2002/58/CE. Adicionalmente, el considerando 10 del Reglamento de Servicios
Digitales precisa expresamente que “(l)La protección de las personas físicas
con respecto al tratamiento de los datos personales se rige exclusivamente por
las disposiciones del Derecho de la Unión sobre esa materia, en particular el
Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. En consecuencia, no cabe
duda de que la interpretación contenida en la sentencia reseñada en relación
con la Directiva 2000/31 es también aplicable con respecto a las normas equivalentes
del Reglamento de Servicios Digitales.
