martes, 7 de julio de 2026

Derecho al olvido: interacción con las exenciones de responsabilidad de los prestadores de servicios digitales

 

    La sentencia del Tribunal Supremo (Civil) 2557/2026 de 15 de junio de 2026, ES:TS:2026:2557, constituye un nuevo ejemplo de ejercicio en vía civil (art. 79 RGPD) del derecho de supresión en materia de protección de datos personales (o derecho al olvido, art. 17 RGPD), como alternativa a la mucho más habitual interposición de una reclamación ante una autoridad de control (como la AEPD) (art. 77 RGPD) y un eventual recurso en vía contencioso-administrativa frente a la decisión de esa autoridad de control (art. 78 RGPD). Tanto por una como por otra vía se puede obtener un pronunciamiento relativo a la eliminación por parte del buscador de los enlaces de que se trate entre los resultados generados cuando se busca utilizando el nombre de la persona afectada. En la nueva sentencia, el Tribunal Supremo aprecia que, en el caso concreto, la acción de supresión frente al motor de búsqueda en Internet es procedente, por el tiempo transcurrido desde los hechos objeto de la información enlazada y la pérdida de su interés informativo con el paso de los años, al carecer de actualidad e interés histórico esa información y tener escasa relevancia pública el demandante (punto 7 del Fdto. Dcho. 2).

    El Tribunal Supremo rechaza el criterio de la sentencia objeto de recurso, que había desestimado la pretensión de derecho al olvido.  La Audiencia Provincial había alcanzado ese resultado al entender que no se cumplía el requisito del «conocimiento efectivo» exigido por el art. 17 LSSI para que pudiera responder Google (como recoge el punto 2 del Fdto. Dcho 2 de la STS reseñada). El Tribunal Supremo considera que la Audiencia había aplicado indebidamente el estándar exigible al evaluar en el contexto de la aplicación del Derecho de supresión “la exigencia de que Google, en cuanto prestador de un servicio que facilita enlaces a contenidos o instrumentos de búsqueda, debiera tener un «conocimiento efectivo» de la ilicitud del tratamiento de esos datos” (en los términos del punto 6 del Fdto. Dcho 2 de la STS). Ciertamente, la interpretación por parte de la Audiencia Provincial del requisito del conocimiento de la ilicitud por parte de Google a los efectos del artículo 17 LSSI -al exigir un previo pronunciamiento de una autoridad administrativa o judicial que declarara la ilicitud del tratamiento de esos datos- era errónea a la luz de la jurisprudencia del TS relativa a los artículos 16 y 17 LSSI. Ahora bien, aunque en el presente supuesto no altere el resultado alcanzado, lo cierto es que lo que procede afirmar es que el artículo 17 LSSI resulta en todo caso inaplicable cuando se ejercita el derecho de supresión con base en el artículo 17 RGPD.

    Este resultado se impone a la luz de lo dispuesto en la Directiva 2000/31 sobre el comercio electrónico (DCE) y del propio RGPD. Conforme al artículo 1.5.b) de la DCE, las normas de esta Directiva -incluidas las reglas sobre responsabilidad de los prestadores de servicios de la sociedad de la información intermediarios, de las que trae causa el art. 17 LSSI- no se aplican a “cuestiones relacionadas con servicios de la sociedad de la información incluidas en las Directivas 95/46/CE…”, referencia que debe entenderse hecha ahora al RGPD.

    En este sentido, en su sentencia de 2 de diciembre de 2025 el Tribunal de Justicia (Gran Sala) en el asunto Russmedia Digital and Inform Media Press, C-492/23, EU:C:2025:935 (reseñada aquí) dejó claro que del artículo 1.5.b) DCE resulta que la exención de responsabilidad condicional prevista para los prestadores de servicios de alojamiento de datos en el artículo 14 de la DCE no puede interferir con las obligaciones de tales prestadores en materia de protección de datos personales, en especial, las que les impone el RGPD en tanto que responsables del tratamiento de datos personales (apdos. 129 a 132 de la sentencia Russmedia). Esa conclusión, habida cuenta de su fundamento, se proyecta no solo sobre el artículo 16 LSSI sino también sobre el artículo 17 LSSI. Aclaró, además, el Tribunal de Justicia que la previsión en el artículo 2.4 RGPD de que este instrumento “se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15”, debe entenderse, en coherencia con el artículo 1.5.b) de la Directiva, en el sentido de que el RGPD no excluye que el operador de una plataforma pueda invocar las normas sobre limitación de responsabilidad de la DCE para cuestiones distintas de las relativas a la protección de los datos personales (apdos. 133 y 134).

    De cara al futuro, en la medida en que los artículos 14 a 17 LSSI deben entenderse suprimidos por el Reglamento de Servicios Digitales -art. 89- y sustituidos por sus artículos 4 a 6, es relevante apreciar que el marco de interacción entre las normas sobre exención de responsabilidad de los prestadores de servicios digitales y sus obligaciones en virtud de la legislación sobre protección de datos personales (incluido el derecho de supresión previsto en el art. 17 RGPD) no resulta modificado. Conforme a su artículo 2.4.g), el RSD debe entenderse sin perjuicio de las normas establecidas por otros actos jurídicos de la Unión que regulen otros aspectos de la prestación de servicios intermediarios en el mercado interior, en particular el RGPD.