La sentencia del Tribunal
Supremo (Civil) 2557/2026 de 15 de junio de 2026, ES:TS:2026:2557, constituye
un nuevo ejemplo de ejercicio en vía civil (art. 79 RGPD) del derecho de
supresión en materia de protección de datos personales (o derecho al olvido, art.
17 RGPD), como alternativa a la mucho más habitual interposición de una reclamación
ante una autoridad de control (como la AEPD) (art. 77 RGPD) y un eventual
recurso en vía contencioso-administrativa frente a la decisión de esa autoridad
de control (art. 78 RGPD). Tanto por una como por otra vía se puede obtener un
pronunciamiento relativo a la eliminación por parte del buscador de los enlaces
de que se trate entre los resultados generados cuando se busca utilizando el
nombre de la persona afectada. En la nueva sentencia, el Tribunal Supremo aprecia
que, en el caso concreto, la acción de supresión frente al motor de búsqueda en
Internet es procedente, por el tiempo transcurrido desde los hechos objeto de
la información enlazada y la pérdida de su interés informativo con el paso de los
años, al carecer de actualidad e interés histórico esa información y tener
escasa relevancia pública el demandante (punto 7 del Fdto. Dcho. 2).
El Tribunal Supremo rechaza el
criterio de la sentencia objeto de recurso, que había desestimado la pretensión
de derecho al olvido. La Audiencia Provincial
había alcanzado ese resultado al entender que no se cumplía el requisito del
«conocimiento efectivo» exigido por el art. 17 LSSI para que pudiera responder
Google (como recoge el punto 2 del Fdto. Dcho 2 de la
STS reseñada). El Tribunal Supremo considera que la Audiencia había
aplicado indebidamente el estándar exigible al evaluar en el contexto de la
aplicación del Derecho de supresión “la exigencia de que Google, en cuanto
prestador de un servicio que facilita enlaces a contenidos o instrumentos de
búsqueda, debiera tener un «conocimiento efectivo» de la ilicitud del
tratamiento de esos datos” (en los términos del punto 6 del Fdto. Dcho 2 de la
STS). Ciertamente, la interpretación por parte de la Audiencia Provincial del
requisito del conocimiento de la ilicitud por parte de Google a los efectos del
artículo 17 LSSI -al exigir un previo pronunciamiento de una autoridad
administrativa o judicial que declarara la ilicitud del tratamiento de esos
datos- era errónea a la luz de la jurisprudencia del TS relativa a los artículos
16 y 17 LSSI. Ahora bien, aunque en el presente supuesto no altere el resultado
alcanzado, lo cierto es que lo que procede afirmar es que el artículo 17 LSSI resulta
en todo caso inaplicable cuando se ejercita el derecho de supresión con base en
el artículo 17 RGPD.
Este resultado se impone a la luz de lo dispuesto en la Directiva 2000/31 sobre el comercio electrónico (DCE) y del propio RGPD. Conforme al artículo 1.5.b) de la DCE, las normas de esta Directiva -incluidas las reglas sobre responsabilidad de los prestadores de servicios de la sociedad de la información intermediarios, de las que trae causa el art. 17 LSSI- no se aplican a “cuestiones relacionadas con servicios de la sociedad de la información incluidas en las Directivas 95/46/CE…”, referencia que debe entenderse hecha ahora al RGPD.
En este sentido, en su sentencia de 2 de diciembre de 2025 el Tribunal de Justicia (Gran
Sala) en el asunto Russmedia Digital and Inform Media Press, C-492/23,
EU:C:2025:935 (reseñada aquí) dejó claro que del artículo 1.5.b) DCE
resulta que la exención de responsabilidad condicional prevista para los
prestadores de servicios de alojamiento de datos en el artículo 14 de la DCE no
puede interferir con las obligaciones de tales prestadores en materia de
protección de datos personales, en especial, las que les impone el RGPD en
tanto que responsables del tratamiento de datos personales (apdos. 129 a 132 de
la sentencia Russmedia). Esa conclusión, habida cuenta de su fundamento,
se proyecta no solo sobre el artículo 16 LSSI sino también sobre el artículo 17
LSSI. Aclaró, además, el Tribunal de Justicia que la previsión en el artículo
2.4 RGPD de que este instrumento “se entenderá sin perjuicio de la aplicación
de la Directiva 2000/31/CE, en particular sus normas relativas a la
responsabilidad de los prestadores de servicios intermediarios establecidas en
sus artículos 12 a 15”, debe entenderse, en coherencia con el artículo 1.5.b)
de la Directiva, en el sentido de que el RGPD no excluye que el operador de una
plataforma pueda invocar las normas sobre limitación de responsabilidad de la DCE
para cuestiones distintas de las relativas a la protección de los datos
personales (apdos. 133 y 134).
De cara al futuro, en la medida
en que los artículos 14 a 17 LSSI deben entenderse suprimidos por el Reglamento
de Servicios Digitales -art. 89- y sustituidos por sus artículos 4 a 6, es relevante
apreciar que el marco de interacción entre las normas sobre exención de
responsabilidad de los prestadores de servicios digitales y sus obligaciones en
virtud de la legislación sobre protección de datos personales (incluido el derecho de supresión previsto en el art. 17 RGPD) no resulta
modificado. Conforme a su artículo 2.4.g), el RSD debe entenderse sin perjuicio
de las normas establecidas por otros actos jurídicos de la Unión que regulen
otros aspectos de la prestación de servicios intermediarios en el mercado
interior, en particular el RGPD.