Responsabilidad del operador en línea por datos personales

Contexto jurídico general

El Tribunal de Justicia de la Unión Europea ha resuelto el asunto C-492/23, Russmedia Digital e Inform Media Press, precisando el alcance de las obligaciones que corresponden a los operadores de mercados en línea en relación con los datos personales incorporados en los anuncios publicados por sus usuarios. La cuestión se centra en la correcta interpretación del Reglamento (UE) 2016/679 (RGPD) y en la posible aplicación de las exenciones de responsabilidad previstas en la Directiva 2000/31/CE sobre servicios de la sociedad de la información.

Origen del litigio y relevancia de la sentencia

El caso se inició tras la publicación en el portal publi24.ro, gestionado por Russmedia Digital, de un anuncio que atribuía falsamente a una mujer servicios sexuales e incluía sus fotografías y teléfono sin consentimiento. Aunque el anuncio fue retirado, ya había sido replicado en otros sitios web. Este hecho motivó la intervención de los tribunales rumanos y, finalmente, la consulta del Tribunal Superior de Cluj al TJUE.

Responsabilidad del operador conforme al RGPD

Según declara el TJUE, el operador de un mercado en línea es responsable del tratamiento de los datos personales incluidos en los anuncios difundidos en su plataforma. Aunque sea el usuario quien introduce el contenido, es el operador quien posibilita su publicación, por lo que se considera que participa en el tratamiento conforme al artículo 4.7 RGPD.

Como responsable del tratamiento, el operador debe aplicar medidas técnicas y organizativas adecuadas (art. 24 RGPD). Estas medidas deben permitir identificar de forma previa los anuncios que incluyan datos sensibles, definidos en el artículo 9 RGPD, y verificar que el anunciante es el titular de los datos o cuenta con un consentimiento explícito válido para su publicación. Si esta verificación no es posible, el anuncio debe ser rechazado salvo que concurra alguna de las excepciones del artículo 9.2 RGPD.

Además, el operador debe adoptar mecanismos destinados a evitar que los anuncios con datos sensibles puedan ser copiados o republicados ilícitamente en sitios web externos, lo que exige la implantación de controles razonables de seguridad.

Inaplicabilidad de la exención de la Directiva 2000/31/CE

El TJUE subraya que el operador no puede invocar la exención de responsabilidad prevista en la Directiva 2000/31/CE para los prestadores de servicios de alojamiento. Estas exenciones no permiten eludir las obligaciones específicas establecidas por el RGPD, que tienen carácter autónomo y se aplican de manera prioritaria en materia de protección de datos.