El Tribunal de Justicia de la Unión Europea (Gran Sala) ha dictado sentencia de 2 de diciembre de 2025 (asunto C-492/23), que establece criterios sobre las obligaciones que incumben a los operadores de mercados en línea como responsables del tratamiento de datos personales contenidos en anuncios publicados por terceros, precisando el alcance de su responsabilidad cuando dichos anuncios contienen datos sensibles y la inaplicabilidad de las exenciones de responsabilidad previstas para prestadores de servicios intermediarios en materia de protección de datos.
Antecedentes del litigio principal
Russmedia Digital SRL, sociedad rumana, es propietaria del sitio web www.publi24.ro, un mercado en línea donde pueden publicarse gratuitamente o a cambio de remuneración anuncios relativos a la venta de bienes o prestación de servicios en Rumanía.
El 1 de agosto de 2018, un tercero no identificado publicó en dicho sitio web un anuncio falso y lesivo que presentaba a la demandante como alguien que ofrecía servicios sexuales. El anuncio contenía fotografías de la demandante utilizadas sin su consentimiento y su número de teléfono. Posteriormente, ese anuncio se reprodujo de forma idéntica en otros sitios web de contenido publicitario, con indicación de la fuente de origen.
Tras ser contactada por la demandante, Russmedia Digital retiró el anuncio de su sitio web menos de una hora después de la recepción de la correspondiente solicitud. No obstante, según la demandante, ese mismo anuncio sigue siendo accesible en otros sitios web que lo han reproducido.
La demandante consideró que el anuncio vulneraba sus derechos a la imagen, al honor, a la reputación y a la intimidad, e infringía las normas relativas al tratamiento de datos personales. Presentó demanda contra Russmedia ante la Judecătoria Cluj-Napoca (Tribunal de Primera Instancia de Cluj-Napoca, Rumanía), que condenó a Russmedia a abonarle una indemnización por daños y perjuicios de 7.000 euros en concepto de daño moral.
Russmedia impugnó esta resolución. El Tribunalul Specializat Cluj (Tribunal Especializado de Cluj, Rumanía) estimó el recurso, considerando que la demanda era infundada, dado que el anuncio no procedía de Russmedia, que solo prestaba un servicio de alojamiento sin implicación activa en su contenido. Declaró aplicable la exención de responsabilidad establecida en el artículo 14, apartado 1, letra b), de la Ley rumana n.º 365/2002 sobre Comercio Electrónico (transposición de la Directiva 2000/31/CE). Consideró que un prestador de servicios de la sociedad de la información no está obligado a controlar la información que transmite ni a buscar activamente datos relativos a actividades aparentemente ilícitas.
La demandante interpuso recurso de casación ante la Curtea de Apel Cluj (Tribunal Superior de Cluj, Rumanía), alegando interpretación errónea de la legislación aplicable. Sostuvo que, al no ser la Ley n.º 365/2002 una norma especial respecto al Reglamento General de Protección de Datos (RGPD), debía examinarse la aplicabilidad de este último. Argumentó que Russmedia no se limitaba a proporcionar acceso técnico al servidor de alojamiento, sino que desempeñaba un papel de gestor interviniendo en el contenido de los anuncios. Según las condiciones generales de uso del mercado en línea, Russmedia se reservaba el derecho a utilizar, copiar, distribuir, transmitir, publicar, reproducir, modificar, traducir, ceder a socios comerciales y suprimir contenidos en cualquier momento sin necesidad de justificarlo.
Cuestiones prejudiciales planteadas
La Curtea de Apel Cluj (Tribunal Superior de Cluj, Rumanía), que conoce del asunto en calidad de órgano jurisdiccional de casación cuya resolución será firme, planteó al Tribunal de Justicia cuatro cuestiones prejudiciales relativas a:
- La aplicabilidad de las exenciones de responsabilidad previstas en los artículos 12 a 14 de la Directiva 2000/31/CE (Directiva sobre comercio electrónico) a un prestador de servicios de almacenamiento-alojamiento que se reserva amplios derechos de utilización sobre los materiales publicados.
- Si el operador, como responsable del tratamiento, está obligado a verificar con carácter previo a la publicación de un anuncio si existe identidad entre la persona que publica el anuncio y el titular de los datos personales al que se refiere dicho anuncio.
- Si el operador está obligado a verificar previamente el contenido de los anuncios enviados por los usuarios para eliminar aquellos que tengan contenido potencialmente ilícito o que puedan afectar a la vida privada y familiar de una persona.
- Si el operador está obligado a tomar medidas de seguridad que puedan impedir o limitar la copia y redistribución del contenido de los anuncios publicados a través de su plataforma.
Marco normativo aplicable
El TJUE examina la articulación entre dos instrumentos normativos de la Unión Europea:
Reglamento (UE) 2016/679 (RGPD): Establece el marco de protección de datos personales. El artículo 4, punto 7, define «responsable del tratamiento» como la persona física o jurídica que, solo o junto con otros, determina los fines y medios del tratamiento. El artículo 9, apartado 1, prohíbe el tratamiento de categorías especiales de datos personales (datos sensibles), entre los que figuran los relativos a la vida sexual o la orientación sexual. Los artículos 5, apartado 2, 24 y 25 establecen el principio de responsabilidad proactiva y la obligación de aplicar medidas técnicas y organizativas apropiadas. El artículo 32 regula la seguridad del tratamiento.
Directiva 2000/31/CE (Directiva sobre comercio electrónico): Los artículos 12 a 15 establecen exenciones de responsabilidad para prestadores de servicios intermediarios de la sociedad de la información. El artículo 14 regula la responsabilidad en caso de almacenamiento de datos. El artículo 15 prohíbe imponer obligaciones generales de supervisión.
El artículo 1, apartado 5, letra b), de la Directiva 2000/31 establece que esta no se aplica a cuestiones relacionadas con servicios de la sociedad de la información incluidas en las Directivas sobre protección de datos. El artículo 2, apartado 4, del RGPD dispone que este se entiende sin perjuicio de la aplicación de la Directiva 2000/31, en particular sus normas relativas a la responsabilidad de prestadores de servicios intermediarios.
Concepto de «responsable del tratamiento» y «corresponsables»
El TJUE aborda como cuestión preliminar la calificación del operador del mercado en línea como responsable del tratamiento.
Definición amplia: El artículo 4, punto 7, del RGPD define de manera amplia el concepto de «responsable del tratamiento» para garantizar una protección eficaz de las libertades y derechos fundamentales de las personas físicas y un elevado nivel de protección del derecho a la protección de datos personales.
Criterio de determinación: Cualquier persona física o jurídica que, atendiendo a sus propios objetivos, influya en el tratamiento de datos personales y participe en la determinación de los fines y los medios del tratamiento puede ser considerada responsable de dicho tratamiento.
Pluralidad de responsables: El concepto no se refiere necesariamente a un único organismo, sino que puede aludir a varios agentes que participen en ese tratamiento, cada uno de los cuales estará sujeto a las disposiciones aplicables en materia de protección de datos.
Corresponsabilidad: El artículo 26 del RGPD establece que, cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento, deben ser calificados de «corresponsables». Esta responsabilidad conjunta no requiere necesariamente decisiones comunes, pudiendo resultar de decisiones convergentes que se complementan. No supone que cada responsable tenga acceso a los datos personales ni una responsabilidad equivalente, debiendo evaluarse el nivel de responsabilidad de cada uno según las circunstancias del caso concreto.
Aplicación al caso concreto
El TJUE establece que en el litigio principal concurren dos responsables del tratamiento:
Usuario anunciante: Determinó con carácter principal los fines y medios del tratamiento al colocar el anuncio falso y lesivo.
Operador del mercado en línea (Russmedia): El TJUE constata que Russmedia publica anuncios en su mercado en línea atendiendo a sus propios fines comerciales. Las condiciones generales de uso confieren a Russmedia gran libertad para utilizar la información publicada: distribuirla, transmitirla, reproducirla, modificarla, traducirla, cederla a socios comerciales y suprimirla sin necesidad de justificarlo. Por tanto, Russmedia no se limita a publicar los datos personales por cuenta de los usuarios anunciantes, sino que trata y puede valorizar esos datos atendiendo a sus propios fines publicitarios y comerciales.
Participación en la determinación de fines: Russmedia participó en la determinación de la finalidad del tratamiento consistente en hacer accesibles a los usuarios de Internet los datos personales contenidos en el anuncio para valorizar dichas publicaciones. Al permitir que en su mercado en línea se coloquen anuncios de manera anónima, Russmedia facilitó la publicación de datos sin el consentimiento del interesado.
Participación en la determinación de medios: Al poner a disposición del usuario anunciante su mercado en línea, Russmedia participó en la determinación de los medios de dicha publicación. Cuando el operador fija los parámetros de difusión de los anuncios, determina la presentación, la duración de dicha difusión, las rúbricas que estructuran la información publicada u organiza la clasificación que determinará las modalidades de tal difusión, participa en la determinación de los medios esenciales de la publicación de los datos personales, influyendo de manera decisiva en la difusión global de estos.
Doctrina establecida: El operador de un mercado en línea no puede eludir su responsabilidad como responsable del tratamiento apoyándose en que no fue él quien determinó el contenido del anuncio controvertido. Sería incompatible con el claro tenor del artículo 4, punto 7, del RGPD y con su objetivo de garantizar una protección eficaz y completa de los interesados excluir a tal operador de esta definición por ese único motivo.
Datos sensibles y régimen de protección especial
El TJUE califica los datos controvertidos como datos sensibles y precisa el régimen aplicable:
Concepto de datos personales: Constituyen datos personales toda información sobre una persona física identificada o identificable. El anuncio contenía fotografías de la demandante, su número de teléfono y la presentaba como alguien que ofrecía servicios sexuales.
Datos sensibles: El artículo 9, apartado 1, del RGPD establece un régimen de protección especial para categorías especiales de datos, entre los que figuran los relativos a la vida sexual o la orientación sexual de una persona física. La finalidad de esta disposición consiste en garantizar una mayor protección contra tratamientos que, debido a la particular sensibilidad de los datos, pueden constituir una injerencia especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos personales, garantizados por los artículos 7 y 8 de la Carta.
Definición amplia: Esa protección reforzada requiere necesariamente una definición amplia de tales «datos sensibles». El artículo 9, apartado 1, del RGPD se aplica no solo a datos intrínsecamente sensibles, sino también a datos que desvelan indirectamente, mediante un ejercicio intelectual de deducción o de cruce de datos, informaciones de esta naturaleza.
Irrelevancia del carácter falso: El carácter falso y lesivo de los datos relativos a la vida sexual o la orientación sexual de una persona física no puede obstar a que tales datos se califiquen de «datos sensibles».
Prohibición de tratamiento y excepciones: El artículo 9, apartado 1, del RGPD prohíbe en principio el tratamiento de datos sensibles. Esta prohibición podrá dejar de aplicarse únicamente cuando concurra alguna de las excepciones establecidas en el artículo 9, apartado 2, letras a) a j), que deben interpretarse estrictamente. Entre estas excepciones, el artículo 9, apartado 2, letra a), establece que la prohibición no se aplica cuando el interesado hubiera dado su consentimiento explícito para el tratamiento de sus datos personales sensibles con uno o más de los fines especificados.
Obligaciones del responsable del tratamiento: principio de responsabilidad proactiva
El TJUE analiza el alcance de las obligaciones que pesan sobre el responsable del tratamiento en aplicación del principio de responsabilidad establecido en el artículo 5, apartado 2, del RGPD:
Principio de responsabilidad: El responsable del tratamiento es responsable del cumplimiento de los principios establecidos en el artículo 5, apartado 1, del RGPD y debe ser capaz de demostrar que respeta cada uno de estos principios, recayendo sobre él la carga de tal prueba.
Principios aplicables al tratamiento: Los datos personales deben ser tratados de manera lícita, leal y transparente (artículo 5, apartado 1, letra a), ser exactos y actualizados (artículo 5, apartado 1, letra d), y tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito (artículo 5, apartado 1, letra f).
Condiciones de licitud del tratamiento: El artículo 6, apartado 1, del RGPD establece una lista exhaustiva y taxativa de casos en que un tratamiento de datos personales puede considerarse lícito. En particular, el tratamiento solo será lícito si el interesado dio su consentimiento para uno o varios fines específicos (artículo 6, apartado 1, letra a). El artículo 7, apartado 1, precisa que el responsable deberá ser capaz de demostrar que el interesado consintió el tratamiento. A falta de tal consentimiento, o cuando este no se haya prestado de forma libre, específica, informada e inequívoca, tal tratamiento puede estar justificado cuando cumple alguno de los requisitos de necesidad mencionados en el artículo 6, apartado 1, letras b) a f).
Medidas técnicas y organizativas apropiadas: El artículo 24 del RGPD exige que, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con dicho Reglamento.
Prevención de infracciones: Los artículos 5, apartado 2, y 24 del RGPD imponen al responsable del tratamiento obligaciones generales de responsabilidad y de cumplimiento, exigiendo que adopte las medidas apropiadas destinadas a prevenir las posibles infracciones de las normas establecidas por el RGPD, a fin de garantizar el derecho a la protección de datos.
Protección de datos desde el diseño y por defecto: El artículo 25, apartado 1, del RGPD impone al responsable del tratamiento la obligación de aplicar, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas concebidas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento. El artículo 25, apartado 2, relativo a la protección de datos por defecto, establece que las medidas técnicas y organizativas apropiadas deben garantizar que, por defecto, los datos personales no sean accesibles, sin la participación de la persona afectada, a un número indeterminado de personas físicas.
Consideración especial para datos sensibles: Cuando los datos personales objeto de tratamiento sean datos sensibles, el responsable del tratamiento, a fin determinar cuáles son las medidas apropiadas, debe tener en cuenta que una vulneración de los principios enunciados en el RGPD que concierna al tratamiento de tales datos puede constituir una injerencia especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos personales garantizados en los artículos 7 y 8 de la Carta.
Obligaciones específicas previas a la publicación de anuncios con datos sensibles
El TJUE establece tres obligaciones concretas que incumben al operador de un mercado en línea antes de la publicación de anuncios:
Primera obligación: Identificación de anuncios con datos sensibles
El TJUE declara que el operador de un mercado en línea y el usuario anunciante deben ser considerados corresponsables cuando el anuncio se publique en él. De ello se deduce que tanto el operador como el usuario anunciante están obligados a velar por el cumplimiento de las obligaciones resultantes de los artículos 5, apartado 2, 24 y 25 del RGPD. En particular, deben poder demostrar que los datos personales son publicados de manera lícita. Cuando se trate de datos sensibles, el consentimiento a tal publicación debe ser explícito.
Para determinar cuáles son las medidas técnicas y organizativas apropiadas que el operador está obligado a adoptar, el TJUE señala que el carácter apropiado debe evaluarse de manera concreta, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el grado de probabilidad y gravedad de los riesgos para los derechos y libertades del interesado.
Riesgos significativos: La publicación de datos personales en un mercado en línea entraña riesgos significativos, ya que hace que esos datos sean accesibles a cualquier usuario de Internet. Una vez publicados, pueden copiarse y reproducirse en otros sitios web, de modo que puede resultar difícil, o incluso imposible, que el interesado obtenga su supresión efectiva de Internet.
Los riesgos vinculados a tal publicación son aún más graves cuando se trata de datos sensibles. El tratamiento de tales datos puede constituir una injerencia especialmente grave en los derechos fundamentales. El grado de probabilidad de que se produzca una vulneración de estos derechos es muy elevado cuando el propio usuario anunciante no es el interesado y cuando el mercado en línea permite colocar tales anuncios de manera anónima.
Deber de identificación previa: En la medida en que el operador de un mercado en línea sepa o debería saber que, de manera general, anuncios que contienen datos sensibles pueden ser publicados por usuarios anunciantes en su mercado en línea, ese operador, como responsable del tratamiento, está obligado, desde el momento en que diseñe su servicio, a aplicar las medidas técnicas y organizativas apropiadas para identificar tales anuncios antes de su publicación y, de ese modo, poder verificar si los datos sensibles que contienen son publicados de conformidad con los principios enunciados en el RGPD. Como se desprende del artículo 25, apartado 1, del RGPD, la obligación de aplicar tales medidas le incumbe no solo en el momento del tratamiento, sino también en un momento previo, al determinar los medios del tratamiento y, por tanto, incluso antes de que se publiquen datos sensibles que vulneren esos principios, obligación que precisamente tiene por objeto prevenir tal vulneración.
Segunda obligación: Verificación de identidad del usuario anunciante
El TJUE establece que el operador del mercado en línea debe verificar la identidad del usuario anunciante antes de la publicación.
Fundamento normativo: Si bien el hecho de que el interesado coloque un anuncio que contenga sus datos sensibles en un mercado en línea puede constituir un consentimiento explícito, tal consentimiento no existe cuando ese anuncio es colocado por un tercero, a menos que este pueda demostrar que el interesado ha dado su consentimiento explícito para la publicación del anuncio en el mercado en línea de que se trate.
Obligación de recabar y verificar identidad: A fin de garantizar y poder demostrar que se cumplen los requisitos establecidos en el artículo 9, apartado 2, letra a), del RGPD, el operador del mercado en línea está obligado a verificar, antes de la publicación de ese anuncio, si el usuario anunciante que se dispone a colocarlo es la persona cuyos datos sensibles figuran en él, lo que presupone recabar la identidad de ese anunciante usuario.
Transparencia de responsables: Los artículos 13, apartado 1, letra a), y 14, apartado 1, letra a), del RGPD disponen que los responsables del tratamiento de datos personales deben facilitar su identidad y sus datos de contacto al interesado. El artículo 26 del RGPD obliga a los corresponsables de un mismo tratamiento a definir de manera transparente sus obligaciones respectivas. Esta obligación resultaría imposible si uno de los responsables pudiera permanecer en el anonimato frente al otro.
Prevención de usurpación de identidad: Del considerando 75 del RGPD se desprende que, en particular en caso de usurpación de identidad, el tratamiento de datos personales puede entrañar riesgos para los derechos y libertades de los interesados, que podrían encontrarse ante la imposibilidad de ejercer el control sobre sus datos personales. Una identidad se usurpa generalmente con el objetivo de cometer actos fraudulentos en perjuicio del interesado o de terceros.
Medidas apropiadas de verificación: Habida cuenta de los riesgos significativos, para poder garantizar y demostrar que los datos sensibles contenidos en los anuncios son tratados de conformidad con los requisitos del RGPD, el operador de un mercado en línea debe establecer, con arreglo a los artículos 24 y 25 de dicho Reglamento, medidas técnicas y organizativas apropiadas que le permitan no solo recabar, sino también verificar la identidad del usuario anunciante antes de la publicación de esos anuncios, en particular a fin de poder determinar si se trata de la persona cuyos datos sensibles figuran en dichos anuncios. Tales medidas deben permitir limitar el riesgo de que los datos personales de los interesados sean tratados de manera ilícita y luchar contra el uso irresponsable de ese mercado en línea, limitando el sentimiento de impunidad e incitando a los usuarios anunciantes a que cumplan las obligaciones impuestas por el RGPD.
Tercera obligación: Denegación de publicación de anuncios ilícitos
Cuando, tras verificar la identidad del usuario anunciante que se dispone a colocar un anuncio que contenga datos sensibles, el operador constate que no se trata de la persona cuyos datos sensibles figuran en el anuncio, no puede excluirse que dicha publicación vulnere la prohibición de tratamiento de dichos datos establecida en el artículo 9, apartado 1, del RGPD.
Por tanto, a menos que ese usuario anunciante pueda demostrar de modo suficiente en Derecho que el interesado ha dado su consentimiento explícito para que los datos en cuestión se publiquen en ese mercado en línea, o concurra alguna de las otras excepciones establecidas en el artículo 9, apartado 2, letras b) a j), el operador de ese mercado en línea debe denegar la publicación del anuncio en cuestión, lo que ha de garantizar aplicando medidas técnicas y organizativas apropiadas.
Obligación de aplicar medidas de seguridad para impedir copias ilícitas
El TJUE aborda la obligación de seguridad que incumbe al operador respecto de la difusión posterior de los anuncios:
Marco normativo: El artículo 32 del RGPD tiene específicamente por objeto la seguridad del tratamiento. Esta disposición concreta y precisa un aspecto específico de los requisitos establecidos en el artículo 24, que, junto con el artículo 5, apartado 2, define de manera general la responsabilidad del responsable del tratamiento.
Contenido de la obligación: El artículo 32, apartado 1, del RGPD establece que, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El artículo 32, apartado 2, dispone que, al evaluar la adecuación del nivel de seguridad, se tendrán particularmente en cuenta los riesgos que presente el tratamiento, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Régimen de gestión de riesgos: La referencia a un «nivel de seguridad adecuado al riesgo» pone de manifiesto que el RGPD instaura un régimen de gestión de riesgos y que en modo alguno pretende eliminar los riesgos de violación de la seguridad de los datos personales. El artículo 32 del RGPD se limita a obligar al responsable del tratamiento a adoptar medidas técnicas y organizativas destinadas a evitar, en la medida de lo posible, cualquier violación de la seguridad de los datos personales. El carácter apropiado de tales medidas debe evaluarse en cada caso concreto.
Consideración del carácter sensible de los datos: Para determinar el riesgo concreto que constituye el tratamiento, debe tenerse en cuenta el eventual carácter sensible de los datos personales tratados. El tratamiento de datos sensibles puede constituir una injerencia especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos personales.
Riesgo de pérdida de control: Una vez que un anuncio que contiene datos personales está en línea y es accesible globalmente, la diseminación de los datos implica el riesgo de una pérdida de control de los datos personales que, cuando se produce, priva de todo efecto útil a los derechos y garantías establecidos en el RGPD en beneficio del interesado, entre ellos fundamentalmente el derecho a la supresión contemplado en el artículo 17 de dicho Reglamento.
Obligación específica: Cuando se publican en línea datos sensibles, el responsable del tratamiento está obligado, en virtud del artículo 32 del RGPD, a adoptar todas las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad que pueda prevenir eficazmente la pérdida de control de esos datos. Para ello, el responsable del tratamiento debe considerar, en particular, todas las medidas técnicas disponibles en el actual estado de la técnica que puedan bloquear la copia y la reproducción del contenido en línea.
No presunción de inadecuación: Los artículos 24 y 32 del RGPD no pueden entenderse en el sentido de que una diseminación ilícita de datos personales publicados inicialmente en línea baste para concluir que las medidas adoptadas por el responsable del tratamiento no eran apropiadas, sin permitir a este último aportar prueba en contrario.
Inaplicabilidad de las exenciones de responsabilidad de la Directiva 2000/31
El TJUE aborda la cuestión fundamental de la articulación entre el RGPD y la Directiva 2000/31 sobre comercio electrónico:
Exclusión expresa en la Directiva 2000/31: El artículo 1, apartado 5, letra b), de la Directiva 2000/31 precisa que esta no es aplicable a las cuestiones relativas a los servicios de la sociedad de la información incluidas en las Directivas sobre protección de datos (actualmente RGPD y Directiva 2002/58).
Interpretación consolidada: Esta disposición ha sido interpretada por el TJUE en el sentido de que las cuestiones relacionadas con la protección de la confidencialidad de las comunicaciones y de los datos personales deben apreciarse a la luz del RGPD y de la Directiva 2002/58, que sustituyeron, respectivamente, a la Directiva 95/46 y a la Directiva 97/66, habida cuenta de que la protección que tiene por objeto garantizar la Directiva 2000/31 no puede, en ningún caso, ir en perjuicio de las exigencias resultantes del RGPD y de la Directiva 2002/58.
No interferencia del artículo 14 de la Directiva 2000/31: De ello se desprende que la eventual aplicación de la exención establecida en el artículo 14, apartado 1, de la Directiva 2000/31, que el operador de un mercado en línea podría invocar respecto a la información alojada en su sitio de Internet, no puede interferir con el régimen del RGPD, aplicable a ese operador al igual que a cualquier otro operador comprendido en el ámbito de aplicación de dicho Reglamento.
Artículo 15 y ausencia de obligación general de supervisión: Lo mismo sucede con el artículo 15 de la Directiva 2000/31, en virtud del cual los Estados miembros no pueden imponer a los prestadores de servicios una obligación general de supervisión respecto de los servicios contemplados en el artículo 14 de dicha Directiva. La obligación del operador de un mercado en línea de cumplir las exigencias derivadas del RGPD en ningún caso puede calificarse como tal obligación general de supervisión.
Cláusula de salvaguardia del artículo 2, apartado 4, del RGPD: El artículo 2, apartado 4, del RGPD dispone que este se entenderá sin perjuicio de la aplicación de la Directiva 2000/31, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15. Este artículo debe entenderse en el sentido de que el hecho de que un operador sea titular de obligaciones establecidas en el RGPD no excluye automáticamente que pueda invocar los artículos 12 a 15 de la Directiva 2000/31 para cuestiones distintas de las relativas a la protección de los datos personales.
Principio de no interferencia: De la lectura conjunta del artículo 1, apartado 5, letra b), de la Directiva 2000/31 y del artículo 2, apartado 4, del RGPD se desprende que las disposiciones de esta Directiva, en particular sus artículos 12 a 15, no deben interferir en el régimen de dicho Reglamento.
Fallo del Tribunal de Justicia
El TJUE resuelve las cuestiones prejudiciales estableciendo la siguiente doctrina:
Primera resolución: Los artículos 5, apartado 2, y 24 a 26 del RGPD deben interpretarse en el sentido de que el operador de un mercado en línea, como responsable del tratamiento de los datos personales contenidos en anuncios publicados en su mercado en línea, está obligado, antes de la publicación de los anuncios y aplicando medidas técnicas y organizativas apropiadas:
- A identificar los anuncios que contengan datos sensibles, en el sentido del artículo 9, apartado 1, del RGPD.
- A verificar si el usuario anunciante que se dispone a colocar un anuncio de ese tipo es la persona cuyos datos sensibles figuran en el anuncio y, de no ser así.
- A denegar su publicación, a menos que dicho usuario anunciante pueda demostrar que el interesado ha dado su consentimiento explícito para que los datos en cuestión se publiquen en ese mercado en línea, o concurra alguna de las otras excepciones establecidas en el artículo 9, apartado 2, letras b) a j).
Segunda resolución: El artículo 32 del RGPD debe interpretarse en el sentido de que el operador de un mercado en línea, como responsable del tratamiento de los datos personales contenidos en anuncios publicados en su mercado en línea, está obligado a aplicar medidas de seguridad técnicas y organizativas apropiadas para impedir que anuncios que se hayan publicado en ese mercado y que contengan datos sensibles sean copiados e ilícitamente publicados en otros sitios web.
Tercera resolución: El artículo 1, apartado 5, de la Directiva 2000/31 y el artículo 2, apartado 4, del RGPD deben interpretarse en el sentido de que el operador de un mercado en línea, como responsable del tratamiento de los datos personales contenidos en anuncios publicados en su mercado en línea, no puede invocar, respecto al incumplimiento de las obligaciones resultantes de los artículos 5, apartado 2, 24 a 26 y 32 del RGPD, los artículos 12 a 15 de dicha Directiva, relativos a la responsabilidad de los prestadores de servicios intermediarios.