En el contexto de la deficiente aplicación en el seno de la UE del ordenamiento
jurídico a ciertos prestadores de servicios digitales, interesa detenerse en la
sentencia del TJUE (Gran Sala) de ayer (no disponible
todavía en español) en los asuntos
acumulados WebGroup Czech
Republic y NKL Associates y Coyote
System, C-188/24 y C-190/24, EU:C:2026:492. Por una parte, la sentencia examina
la repercusión del criterio de mercado interior o principio de origen del
artículo 3 de la Directiva 2000/31 sobre el comercio electrónico (DCE) -que se
mantiene inalterado tras el RSD- como elemento condicionante de la aplicación
de medidas restrictivas como las que las autoridades francesas pretendían
imponer y que son impugnadas en los litigios principales (II, infra). Se trata, básicamente, de medidas restrictivas de la
difusión en línea de contenido pornográfico entre menores, así como de ciertas
prohibiciones de retransmitir información suministrada por los usuarios sobre
la ubicación de controles policiales en carreteras. Además, en relación con el empleo de
herramienta de IA en el funcionamiento de ciertas plataformas en línea, la sentencia
precisa cuándo plataformas de ese tipo no pueden beneficiarse de la exención de
responsabilidad con respecto a los datos almacenados por usuarios de sus
servicios prevista ahora en el artículo 6 del Reglamento de Servicios Digitales
(RSD) (recogida previamente en el art. 14 DCE) y analiza la compatibilidad de
ciertas medidas restrictivas con lo dispuesto en los artículos 14 y 15 DCE (6 y
8 RSD) (III, infra).
I. Caracterización de los asuntos acumulados C-188/24 y C-190/24
Los dos asuntos tienen su origen en procedimientos relativos a la
impugnación de disposiciones normativas francesas que contienen medidas relativas
a prestadores de servicios de la sociedad de la información, aplicables también
a los establecidos en otros Estados miembros. El asunto C-188/24 va referido
a la imposición a los editores de servicios de comunicación en línea de la obligación
de adoptar ciertas medidas técnicas, en particular mecanismos de verificación
de la edad, encaminadas a prevenir que los menores accedan a los contenidos
pornográficos que publican. Se trata de disposiciones contenidas en un decreto
que atribuyen a una autoridad la facultad de adoptar mandamientos requiriendo a
un editor de un servicio de comunicación en línea la adopción de las medidas
necesarias para impedir el acceso de los menores a los contenidos pornográficos
que difunde. Estas medidas están destinadas a hacer efectiva la prohibición de difusión
de pornografía entre menores tipificada como delito en el Código penal francés.
De hecho, las demandantes en el litigio principal en el asunto C‑188/24,
sociedades checas que explotan páginas web pornográficas, sostienen que, como
consecuencia de lo dispuesto en el Código penal, las disposiciones impugnadas tienen
por efecto obligar a los prestadores de servicios establecidos en otros Estados
miembros a adoptar medidas técnicas para bloquear el acceso
de menores a los contenidos pornográfico que difunden. Consideran que se
vulnera la DCE, habida cuenta de que el Decreto controvertido impone medidas
restrictivas de la prestación de servicios de la sociedad de la información
incompatibles con el artículo 3 DCE.
Por su parte, la demandante en el litigio principal en el asunto C-190/24
es una sociedad francesa que presta un servicio electrónico de ayuda a la
conducción mediante geolocalización. Esa sociedad impugnó una disposición del
Código de la circulación francés. En concreto, la que impone a los operadores de
un servicio de ese tipo ciertas prohibiciones de retransmitir durante un cierto
periodo y un territorio determinado los mensajes e informaciones enviados por
sus usuarios que habitualmente retransmite. Se trata, básicamente de mensajes
que revelar la localización de controles policiales. La demandante considera
que la imposición de tales prohibiciones infringe los objetivos de la DCE y, en
concreto, la prohibición de imponer una obligación general de monitorización o
de búsqueda activa de hechos a los prestadores de servicios intermediarios
conforme al artículo 15 DCE (ahora, art. 8 RSD). El órgano jurisdiccional
francés plantea tres cuestiones, las dos primeras relativas a la determinación
del «ámbito coordinado en la DCE» y la eventual
contradicción con la cláusula de mercado interior de las medidas impugnadas, y
la tercera relativa a la interpretación del mencionado artículo 15 DCE (que se
corresponde con el actual art. 8 RSD).
II. Mercado interior y lucha contra actividades ilícitas en línea
Para dar respuesta a las tres cuestiones planteadas en el asunto C-188/24 y a las dos primeras planteadas
en el asunto C-190/24, la sentencia aborda las implicaciones y el funcionamiento
de las normas sobre mercado interior del artículo 3 de la DCE. En virtud del
artículo 3.1 DCE, los servicios de la sociedad de la información se hayan
sujetos únicamente al régimen jurídico del Estado miembro de establecimiento de
sus prestadores en todo lo relativo al «ámbito coordinado» por la Directiva. Conforme
al artículo 3.2 DCE, los Estados miembros no pueden «restringir la libertad de
prestación de servicios de la sociedad de la información de otro Estado miembro
por razones inherentes al ámbito coordinado». De manera coherente con el fundamento de la
DCE, el contenido y formulación de su artículo 3 y de las reglas concordantes
de la DCE, la sentencia constata que el «ámbito
coordinado», tal como se define en términos muy amplios en el artículo 2.h) de
la DCE, es mucho más amplio que las materias armonizadas por esta Directiva. Ciertamente,
es bien conocido que el criterio del mercado interior del artículo 3 DCE se
proyecta sobre el conjunto del «ámbito coordinado», lo que implica que tenga un
alcance mayor que en otros instrumentos de armonización de la UE, en los que el
criterio de origen sólo opera respecto de las materias objeto de armonización.
Habida
cuenta del amplio alcance del «ámbito coordinado», del reducido conjunto de
materias a las que la DCE no se aplica (art. 1.5 DCE) y de los concretos ámbitos
que quedan al margen del criterio del mercado interior (art. 3.3 y anexo DCE),
el TJUE concluye en la nueva sentencia que las disposiciones legislativas
objeto de litigio en los asuntos principales forman parte del «ámbito
coordinado» a los efectos de la DCE, pues incluyen requisitos relativos al ejercicio
de la actividad de los servicios de la sociedad de la información. En este
sentido, los apartados 41 a 66 de la sentencia llevan a cabo una interpretación
que se corresponde con el significado ampliamente aceptado sobre el alcance del
criterio de origen y su funcionamiento conforme a lo dispuestos en los
apartados 1 y 2 del artículo 3 DCE. Tampoco constituye una sorpresa la conclusión
por parte del TJUE acerca de que las normativas objeto de los litigios
principales restringen la libre circulación de servicios de la sociedad de la
información (apdo. 73 a 78), lo que resulta determinante de que la posibilidad de
que un Estado miembro las imponga a prestadores de servicios establecidos en
otro Estado miembro se subordina a que las adopte cumpliendo las condiciones
exigidas en el apartado 4 del artículo 3 DCE para la adopción de medidas que
constituyan excepciones al principio de origen (apdos. 89 a 103).
La interpretación
de esas condiciones había sido objeto de atención en la jurisprudencia previa
del Tribunal, de modo que la nueva sentencia constituye una aportación limitada
al respecto. Destaca, no obstante, la interpretación de la condición prevista
en el artículo 3.4.a)ii) DCE, que exige que se trate de medidas “tomadas en
contra de un servicio de la sociedad de la información”, lo que excluye, como
había puesto ya de relieve su jurisprudencia, que esta condición pueda ser cumplida
por una normativa general y abstracta que abarca, entre otras cosas, toda una
serie de categorías de servicios de la sociedad de la información descritas en
términos que se aplican sin distinción a los prestadores incluidos en dichas
categorías y establecidos, en su caso, en otro Estado miembro. La nueva
sentencia confirma que una prohibición general de difusión de pornografía en
línea entre menores, como la contenida en el Código penal francés, es una
normativa general y abstracta, que no puede cumplir con esa condición.
Ahora bien,
el Tribunal de Justicia establece que disposiciones como la del decreto
controvertido en el asunto en el asunto C-188/24, que contemplan notificaciones
individuales y otras medidas contra proveedores de servicios que difunden
contenidos pornográficos para que actúen para evitar su difusión entre menores
sí cumplen con la condición prevista en
el artículo 3.4.a)ii) DCE, de modo que -habida cuenta de su carácter
individualizado- sí pueden constituir excepciones admisibles al criterio de
origen si cumplen el resto de las condiciones previstas en el artículo 3.4 DCE
(apdos. 84 a 87 de la sentencia). Similar conclusión se impone con respecto a que
las medidas que puedan adoptarse en virtud de la legislación a la que se hace
referencia en el asunto C-190/24, como las decisiones que prohíban a los
operadores de un servicio concreto retransmitir determinada información (apdo.
90). Esta interpretación facilita que los Estados miembros puedan adoptar medidas
como las que son objeto en los litigios principales, ya que si cumplen los
requisitos de fondo y de procedimiento establecidos en el artículo 3.4 DCE
resultarán excepciones admisiones a la libre prestación de servicios de la
sociedad de la información, pese a ser corolario de normas generales y
abstractas que no cumplen alguna de esas condiciones.
De singular
interés resulta el examen en la nueva sentencia del tratamiento de la legislación
penal en el marco del artículo 3 DCE. Se establece que la caracterización de
una disposición como de Derecho penal no excluye que quede comprendida dentro
del «ámbito coordinado» a los efectos del DCE cuando se refiera a requisitos contemplados
en el artículo 2.h) DCE, incluso si van referidas a materias que no son objeto
de armonización por las normas de la DCE (apdos. 58, 63 y 65 de la sentencia). Restricciones impuestas
en la legislación penal como las relativas a la prohibición de difusión de
contenidos pornográficos entre menores constituyen típicamente normas generales
y abstractas que abarcan, entre otras cosas, toda una serie de categorías de
servicios de la sociedad de la información siendo aplicables sin distinción a
los prestadores incluidos en dichas categorías y establecidos, en su caso, en
otro Estado miembro. En consecuencia, no cumplen al menos uno de los requisitos
para poder ser consideradas excepciones admisibles al criterio de mercado
interior con base en el artículo 3.4 DCE. La nueva sentencia aclara que medidas
individualizadas para hacer efectivas restricciones de ese tipo, por el
contrario, sí pueden constituir excepciones admisibles cuando cumplan con las
demás condiciones previstas en el artículo 3.4 DCE.
Si bien esto
último puede verse como un avance, no es menos cierto que el cumplimiento de algunas
de las condiciones previstas en el artículo 3.4 puede resultar en el caso
concreto gravoso, menoscabando en la práctica la posibilidad de imponer ciertas
restricciones, por ejemplo, en situaciones en las que no se hayan cumplido las
exigencias relativas a haber pedido al Estado miembro de origen, sin éxito, que
tome medidas y haber notificado a la Comisión y al Estado miembro de origen la intención
de adoptar las medidas de que se trate. En todo caso, resulta relevante que
conforme al artículo 3.4.b) DCE, estas obligaciones de procedimiento operan “sin
perjuicio de los procesos judiciales, incluidas las actuaciones preliminares y
los actos realizados en el marco de una investigación criminal” (apdo. 99 de la
sentencia con referencia también al considerando 26 de la DCE).
Un aspecto
no abordado en la sentencia es las posibles implicaciones en el ámbito penal el
criterio general establecido en relación con el significado del principio de
origen del artículo 3 DCE en materia civil y mercantil en la conocida sentencia
eDate Advertising (EU:C:2011:685). Cabe recordar que en esa sentencia el Tribunal concluyó que en virtud
del artículo 3 DCE, lo que deben garantizar los Estados miembros, al margen de
la aplicación de posibles excepciones con base en su apartado 4, es que el
prestador de un servicio de la sociedad de la información “no esté sujeto a
requisitos más estrictos que los previstos por el Derecho material en vigor en
el Estado miembro de establecimiento de dicho prestador” (apdo, 67 de la
sentencia). En consecuencia, si en el Estado de origen hay restricciones similares
(por ejemplo, una prohibición equivalente de difusión de contenidos
pornográficos entre menores) no debería excluirse la aplicación de las normas
del Estado miembro de destino, sin necesidad de recurrir al artículo 3.4 DCE. Este
criterio debería aplicarse teniendo en cuenta la dificultad en el ámbito penal
para proceder como en el civil, donde no hay obstáculo para aplicar en su caso los
requisitos previstos por el Derecho material en vigor en el Estado miembro de
establecimiento del prestador si son menos estrictos que los del Estado miembro
de destino.
III. Exclusión de ciertas plataformas de la exención de responsabilidad
de los prestadores de servicios de alojamiento
La última parte de la sentencia se centra en dar respuesta a la tercera
cuestión prejudicial planteada en el asunto C‑190/24. Se aborda si la
prohibición de imponer a los prestadores de servicios intermediarios una
obligación general de supervisar los datos que transmitan o almacenen, o de
realizar búsquedas activas de hechos o circunstancias que indiquen actividades
ilícitas (actualmente contenida en el artículo 8 RSD que incorpora lo dispuesto
antes en el art. 15 DCE) se opone a una normativa nacional que permite prohibir
a un operador de un servicio electrónico de asistencia a la conducción por
geolocalización la retransmisión de información facilitada por los usuarios del
servicio relativa a determinados controles en carretera.
La norma del artículo 15 DCE va referida solo a «los servicios contemplados
en los artículos 12, 13 y 14». El Tribunal vincula la aplicación del
artículo 15 DCE a que se trate de proveedores de servicios de alojamiento comprendidos
en el artículo 14 DCE, es decir que se beneficien de la exención de
responsabilidad en tanto que prestadores de ese tipo de servicios intermediarios
(apdo. 113 de la sentencia). Con referencia a su jurisprudencia anterior,
especialmente los apdos. 105 y 106 de la sentencia de 22 de junio de 2021, YouTube
y Cyando, C‑682/18 y C‑683/18, EU:C:2021:503 -reseñada aquí-, el Tribunal de Justicia recuerda que la exención de responsabilidad
del artículo 14 DCE solo abarca situaciones en las que el prestador del
servicio de almacenamiento de datos desempeña una función neutral, de modo que su
actuación es meramente técnica, automática y pasiva, lo que implica que no
tiene conocimiento ni control sobre los contenidos que almacena. Esta posición
neutral se contrapone a la que el prestador de servicios ocupa cuando desempeña
una función activa que le permite tener conocimiento o control sobre dichos
contenidos. Destaca, además, que, a la luz del considerando 42 de la DCE, esas
dos condiciones —el conocimiento y el control— son alternativas e
independientes entre sí. Para beneficiarse de la exención prevista en el
artículo 14 DCE debe cumplir las dos condiciones cumulativamente.
La gran aportación de la nueva sentencia en este ámbito está en su apartado
111, en el que siguiendo expresamente el criterio adoptado por el Abogado General
en el apartado 239 de sus conclusiones, se afirma que el ejercicio mediante su
algoritmo de control sobre la información almacenada puede ser determinante de
que el prestador de servicios de alojamiento no cumpla alguno de los requisitos
para beneficiarse de la exención de responsabilidad del artículo 14 DCE. En
concreto, se establece que siempre que haya predeterminado, mediante dicho
algoritmo, las condiciones en las que dicha información puede o no difundirse, cabe
entender que habrá dejado de ser un intermediario neutral, incluso si ese operador
no realiza por sí mismo intervenciones adicionales que tengan por efecto
promover, modificar o suprimir la información almacenada con vistas a su
difusión.
El apartado 112 de la sentencia establece que el prestador de servicios
ejerce control sobre la información que almacena cuando, más allá de la mera
clasificación e indexación de la información con el fin de mejorar su
accesibilidad, el algoritmo que emplea determina, en interés del operador o de
su servicio, en qué condiciones, cómo y con qué orden de prioridad se difunde o
no dicha información. En tales circunstancias no es un prestador de servicios
de alojamiento comprendido en el artículo 14 DCE. Llama la atención que
fundamentar este criterio la nueva sentencia invoque haga referencia en ese
apartado a estos precedentes: «las sentencias de 23 de marzo de 2010, Google
France y Google, C‑236/08 a C‑238/08, EU:C:2010:159,
apartados 115 y 117; de 12 de julio de 2011, L’Oréal y otros, C‑324/09,
EU:C:2011:474, apartado 116; y de 22 de junio de 2021, YouTube
y Cyando, C‑682/18 y C‑683/18, EU:C:2021:503, apartado 114».
Digo que llama la atención porque precisamente en ese apartado 114 de la
sentencia YouTube y Cyando lo que dijo el Tribunal fue que «el hecho de que el operador de una plataforma de intercambio de
contenidos en línea proceda a una indexación automatizada de contenidos subidos
a esa plataforma y de que esta contenga una función de búsqueda y recomiende
vídeos en función del perfil o de las preferencias de los usuarios no puede
bastar para considerar que ese operador tiene un conocimiento «concreto» de las
actividades ilícitas realizadas en esa misma plataforma o de las informaciones
ilícitas almacenadas en ella». Por lo tanto, en realidad en ese apartado,
tan favorable a la posición de las plataformas, se refería a la otra condición,
el conocimiento de la ilicitud, pero no la ausencia de control. De hecho, el
criterio adoptado en la sentencia de ayer en relación con el papel del algoritmo
como determinante de pérdida de la condición de intermediario neutral del
operador del servicio cabe supone que debería representar un avance -en la
medida en que limita la posibilidad de operadores como plataformas de beneficiarse
de las exenciones de responsabilidad- con respecto a lo afirmado en el apartado
114 de la sentencia YouTube y
Cyando , No obstante, ese avance es compatible
con lo dicho en ese apartado 114, en la medida en que éste iba referido solo a
uno de las dos condiciones que son presupuesto para beneficiarse de la exención
de responsabilidad, pero no a la que resulta clave de la pérdida de la exención
de responsabilidad en estas situaciones, que es el ejercicio de control -a
través del algoritmo- respecto de los contenidos de terceros cuya difusión
resulta condicionada por la configuración y funcionamiento del servicio que se
proporciona.
El planteamiento
adoptado en la nueva sentencia referido a la interpretación de los artículos 14
y 15 DCE deberá proyectarse, manteniendo el resultado ahora alcanzado, sobre la
interpretación en el futuro sea el artículo 8 RSD, que es la norma que ha sustituido
al artículo 15 DCE. La formulación del artículo 8 RSD es distinta, pues no
incluye una referencia expresa a las normas de los artículos 4, 5 y 6 RSD. Será
importante tener en cuenta que, conforme al considerando 41 RSD «las obligaciones de diligencia debida son independientes de la cuestión de
la responsabilidad de los prestadores de servicios intermediarios y, por tanto,
deben apreciarse por separado». Es decir, el cumplimiento cumulativo de las dos
condiciones antes señaladas seguirá siendo determinante para que el operado
pueda beneficiarse de la limitación de responsabilidad en materia de alojamiento
de datos (art. 6), pero el incumplimiento de alguna de esas condiciones -por
ejemplo, como consecuencia del control ejercido sobre la disponibilidad de
ciertos contenidos por su algoritmo- no impedirá que quede sometido a las
obligaciones de diligencia debida que le sean aplicables en virtud del Capítulo
III RSD (véase, por analogía, STG de 3 de septiembre de 2025, Zalando /
Comisión, T-348/23, EU:T:2025:821,
reseñada aquí).
La inaplicación de ese régimen de exención de responsabilidad implica que
en el contexto de la DCE no opere la inexistencia de obligación general de
supervisión, en la medida en que la prohibición a los Estados miembros de imponer
tales medidas se formula en el artículo 15.1 DCE únicamente «respecto de los servicios
contemplados en los artículos 12, 13 y 14». La posibilidad de que los Estados miembros
adopten medidas de prohibición para que el operador no retransmita las
informaciones de los usuarios relativas a los controles policiales, incluso
cuando el operador queda comprendido en el artículo 14 DCE, se ve reforzada al
confirmar el Tribunal de su jurisprudencia previa relativa a la interpretación
de los actuales artículos 6.4 y 8 RSD (antes art. 14.3 y 15 DCE), que facilita
la adopción de mandamientos frente a un prestador de servicios intermediarios
para que ponga fin o impida una infracción, incluso en situaciones en las que
no pueda ser considerado responsable al beneficiarse de la exención de
responsabilidad.
Como recuerda el apartado 116 de la nueva sentencia, conforme al articulo
14.3 DCE (6.4 RSD), la exención de responsabilidad no afecta a la posibilidad
de que un tribunal o una autoridad administrativa “exijan al prestador de
servicios de poner fin a una infracción o impedirla, ni a la posibilidad de que
los Estados miembros establezcan procedimientos por los que se rija la retirada
de datos o impida el acceso a ellos”. Además, cuando resulta de
aplicación el artículo 15 DCE, la jurisprudencia del TJUE había ya establecido
que esa disposición no impide que las autoridades nacionales adopten órdenes para
que un prestador de servicios de alojamiento retire elementos específicos del
contenido almacenado y que el que la orden abarque los contenidos similares a los
declarados ilícitos por un órgano jurisdiccional nacional no impone a dicho prestador
la obligación de supervisar de manera general la información que almacena en el
sentido prohibido por el artículo 15 DCE (apdos. 119 y 120 de la nueva
sentencia con referencia a los apdos. 34, 46 y 47 de la sentencia de 3 de
octubre de 2019, Glawischnig-Piesczek, C‑18/18, EU:C:2019:821, reseñada
aquí).
