Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

La sentencia C‑492/23 (X / Russmedia Digital SRL, Inform Media Press SRL, Gran Sala, de 02.12.2025, declara que el operador de una plataforma en línea (marketplace) de anuncios puede ser co-responsable del tratamiento de datos personales junto con el usuario anunciante y que el Reglamento (UE) 2016/679, RGPD prevalece sobre el régimen de exención de responsabilidad de alojamiento (“hosting”) de la Directiva de comercio electrónico 2000/31 cuando la plataforma interviene activamente en el tratamiento de datos personales, particularmente sensibles.

El hecho concreto es que Russmedia explota un portal de anuncios en línea www.publi24.ro, en Rumanía, en el que un tercero no identificado publicó un anuncio falso presentando a la demandante como prestataria de servicios sexuales, con fotografías suyas y su número de teléfono, sin su consentimiento.​ El anuncio fue copiado íntegramente por otros sitios, citando como fuente la web de Russmedia; aunque Russmedia lo retiró en menos de una hora tras la solicitud de la afectada, el contenido siguió accesible en otras webs.​

Entre las cuestiones jurídicas, se abordaron los conceptos de “responsable del tratamiento” (art. 4.7 RGPD) y la posible co-responsabilidad entre la plataforma y el anunciante (art. 26 RGPD) por el contenido de los datos personales, incluidos datos sensibles; el alcance del principio de responsabilidad proactiva (accountability, art. 5.2 RGPD) y las obligaciones de diseño y seguridad (arts. 24, 25 y 32 RGPD) respecto de contenidos generados por usuarios; el tratamiento de categorías especiales de datos (art. 9 RGPD), en particular datos relativos a la vida sexual, y la exigencia de consentimiento expreso de la persona afectada.​ Y se precisó la relación entre RGPD (art. 2.4) y la Directiva 2000/31/CE (arts. 12‑15), respecto de la alegación de exención de sobre su responsabilidad de “prestador intermediario” y sobre su implicación en el tratamiento, prevaleciendo el régimen del RGPD.

El Fallo principal del Tribunal de Justicia Europeo declara que el operador de un marketplace de anuncios en línea es responsable del tratamiento de los datos personales incluidos en los anuncios publicados por usuarios cuando determina los fines y medios de ese tratamiento (Configurar categorías, reglas de publicación, anonimato y conservación de contenidos); en consecuencia, el artículo 14 de la Directiva 2000/31/CE (exención de responsabilidad por hosting) no le exime de las obligaciones del RGPD, que prevalece como lex specialis en materia de protección de datos. El fallo precisa, además que las plataformas deben adoptar medidas proactivas (arts. 24, 25 y 32 RGPD), tales como filtros de palabras clave para datos sensibles (P.ej. vida sexual), verificación de identidad del anunciante cuando hay alto riesgo de ilícitos, y mecanismos para impedir re-publicaciones masivas, siendo co-responsables con el usuario anunciante

Sobre esta sentencia, el reciente Decreto Legislativo 1724, publicado el 7 de febrero 2025 por Perú, retrocede respecto de la jurisprudencia europea pues permite la exención responsabilidad de los proveedores de Internet, en la :Transmisión y Enrutamiento por los datos que solo transitan por sus cables, ni por Almacenamiento Temporal (Caching), ni específicamente por el Alojamiento de Información (Hosting), ni por los Aplicativos de búsqueda, alineándose el Perú con los estándares internacionales derivados del Acuerdo de Promoción Comercial (APC) con Estados Unidos. ​

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

__________________________________________________________

European flag
Diario Oficial
de la Unión Europea

ES

Serie C

C/2026/602

9.2.2026

Sentencia del Tribunal de Justicia (Gran Sala) de 2 diciembre de 2025 (petición de decisión prejudicial planteada por el Curtea de Apel Cluj – Rumanía) – X / Russmedia Digital SRL, Inform Media Press SRL

(Asunto C-492/23, (1) Russmedia Digital e Inform Media Press)

(Procedimiento prejudicial – Protección de datos personales – Reglamento (UE) 2016/679 – Artículo 4, punto 7 – Concepto de «responsable del tratamiento» o «responsable» – Responsabilidad del operador de un mercado en línea por la publicación de los datos personales contenidos en anuncios colocados en su mercado en línea por usuarios anunciantes – Artículo 5, apartado 2, – Principio de responsabilidad – Artículo 26 – Corresponsabilidad con esos usuarios anunciantes – Artículo 9, apartados 1 y 2, letra a) – Anuncios que contienen datos sensibles – Licitud del tratamiento – Consentimiento – Artículos 24, 25 y 32 – Obligaciones del responsable del tratamiento – Identificación previa de los anuncios que contienen tales datos – Verificación previa de la identidad del usuario anunciante – Negativa a publicar anuncios ilícitos – Medidas de seguridad destinadas a impedir la copia de los anuncios y su publicación en otros sitios web – Comercio electrónico – Directiva 2000/31/CE – Artículos 12 a 15 – Posibilidad de que, respecto al incumplimiento de dichas obligaciones, tal operador invoque la exención de responsabilidad de un prestador intermediario de servicios de la sociedad de la información)

(C/2026/602)

Lengua de procedimiento: rumano

Órgano jurisdiccional remitente: Curtea de Appel Cluj

Partes en el procedimiento principal

Demandante: X

Demandadas: Russmedia Digital SRL, Inform Media Press SRL

Fallo 1)

Los artículos 5, apartado 2, y 24 a 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

deben interpretarse en el sentido de que

el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, de dicho Reglamento, de los datos personales contenidos en anuncios publicados en su mercado en línea, está obligado, antes de la publicación de los anuncios y aplicando medidas técnicas y organizativas apropiadas,

— a identificar los anuncios que contengan datos sensibles, en el sentido del artículo 9, apartado 1, del mismo Reglamento,

— a verificar si el usuario anunciante que se dispone a colocar un anuncio de ese tipo es la persona cuyos datos sensibles figuran en el anuncio y, de no ser así,

— a denegar su publicación, a menos que dicho usuario anunciante pueda demostrar que el interesado ha dado su consentimiento explícito para que los datos en cuestión se publiquen en ese mercado en línea, en el sentido del citado artículo 9, apartado 2, letra a), o concurra alguna de las otras excepciones establecidas en el citado artículo 9, apartado 2, letras b) a j).

2) El artículo 32 del Reglamento 2016/679

debe interpretarse en el sentido de que

el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, de dicho Reglamento, de los datos personales contenidos en anuncios publicados en su mercado en línea, está obligado a aplicar medidas de seguridad técnicas y organizativas apropiadas para impedir que anuncios que se hayan publicado en ese mercado y que contengan datos sensibles, en el sentido del artículo 9, apartado 1, del mismo Reglamento, sean copiados e ilícitamente publicados en otros sitios web.

3) El artículo 1, apartado 5, de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), y el artículo 2, apartado 4, del Reglamento 2016/679

deben interpretarse en el sentido de que

el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, del Reglamento 2016/679, de los datos personales contenidos en anuncios publicados en su mercado en línea, no puede invocar, respecto al incumplimiento de las obligaciones resultantes de los artículos 5, apartado 2, 24 a 26 y 32 de este Reglamento, los artículos 12 a 15 de dicha Directiva, relativos a la responsabilidad de los prestadores de servicios intermediarios.

(1) DO C, C/2023/1126.

ELI: http://data.europa.eu/eli/C/2026/602/oj

ISSN 1977-0928 (electronic edition)