Responsabilidad de plataformas en línea por la difusión por sus usuarios de datos personales

 

       Que la difusión de datos personales de terceros a través de Internet, por ejemplo, cuando alguien publica en una plataforma en línea un falso anuncio con datos de contacto de un tercero que supuestamente oferta servicios sexuales, constituye un tratamiento de datos personales de ese tercero por parte del usuario que publica el anuncio, no resulta algo controvertido. La sentencia del pasado martes del Tribunal de Justicia (Gran Sala) en el asunto Russmedia Digital and Inform Media Press, C-492/23, EU:C:2025:935, reviste singular interés en relación con las obligaciones de ciertas plataformas en línea en tanto que corresponsables junto al anunciante del tratamiento de los datos personales de terceros incluidos en el anuncio en situaciones de ese tipo (I, infra). Se trata de obligaciones que se traducen, entre otros, en deberes específicos de supervisión de los contenidos difundidos por terceros que puedan incluir datos personales, en particular, datos personales sensibles, y, en su caso, requerir recabar la identidad del usuario anunciante y verificar si es la persona cuyos datos sensibles figuran en dicho anuncio o incluso denegar la difusión del anuncio en cuestión, así como aplicar medidas de seguridad que restrinjan la difusión ulterior de los anuncios (II y III, infra). La sentencia aclara, además, que las normas sobre la exención de responsabilidad de las plataformas respecto de los contenidos difundidos por terceros a través de sus servicios y sobre la inexistencia de obligaciones generales de monitorización o de búsqueda activa de hechos indicativos de actividades ilícitas, de las que pueden beneficiarse las plataformas en línea en tanto que intermediarias, no resultan de aplicación a las cuestiones relativas a la protección de los datos personales (IV, infra).

    Se trata, por lo tanto, de una sentencia potencialmente de gran impacto en relación, entre otros aspectos, con el eventual ejercicio por los terceros cuyos datos, especialmente sensibles, han sido difundidos a través de ciertas plataformas sin su consentimiento, de acciones frente a la propia plataforma por vulneración de sus derechos de la personalidad y, en particular, tendentes a la indemnización de los daños y perjuicios materiales o inmateriales sufridos como consecuencia de la eventual infracción del RGPD por la plataforma a través de la cual el usuario difundió esa información. De hecho, a un supuesto de ese tipo va referido el litigio principal ante los tribunales rumanos que se encuentra en el origen de esta sentencia.  

Competencia territorial e ilícitos en línea: novedades en la jurisprudencia del Tribunal de Justicia

 

En su sentencia de hoy en el asunto Stichting Right to Consumer Justice y Stichting App Stores Claims, C-34/24, EU:C:2025:936, el Tribunal de Justicia (Gran Sala) precisa cómo debe concretarse qué órganos judiciales del Estado miembro donde se localiza el lugar de manifestación del daño en virtud del artículo 7.2 del Reglamento 1215/2012 (RBIbis) tienen competencia territorial en ciertas situaciones relativas a ilícitos cometidos en línea que generan daños dispersos en el conjunto del territorio del Estado en cuestión. Los litigios principales tienen su origen en el ejercicio ante los tribunales neerlandeses de acciones de representación interpuestas por fundaciones destinadas a la defensa de los intereses de víctimas de conductas contrarias a la competencia, quienes solicitan que se declare que sociedades del grupo Apple han actuado ilegalmente en perjuicio de usuarios de aplicaciones para iOS y que se condene a esas sociedades a reparar el daño causado. Las demandantes sostienen que Apple ha abusado de su posición de dominio en el mercado de distribución de aplicaciones para sus dispositivos al percibir una comisión del 30 % del precio pagado por los usuarios al adquirir las aplicaciones a través de la App Store. Según las demandantes, con ese proceder Apple no sólo infringe el artículo 102 TFUE, sino que, además, al llevar a cabo una fijación vertical de los precios, también infringe el artículo 101 TFUE. Para cuestionar la competencia del tribunal ante el que se habían presentado las demandas en los litigios principales, Apple sostenía que el tribunal de Ámsterdam no es competente o lo sería competente, a lo sumo, para conocer de las demandas respecto de los usuarios que hubieran realizado la compra, a través de la App Store dirigida al público neerlandés (App Store NL), en Ámsterdam, pero no de los usuarios que hubieran realizado la compra en otros lugares de los Países Bajos.

Pese a que entre las cuestiones prejudiciales relativas a la interpretación del artículo 7.2 RBIbis planteadas en este asunto al Tribunal de Justicia se incluía alguna relativa a la determinación del lugar de origen del daño, la sentencia aborda únicamente la determinación del lugar de manifestación del daño y lo hace en relación con el contexto específico de las acciones de representación ejercitadas en los litigios principales. La sentencia alcanza un resultado que parece distanciarse de pronunciamientos anteriores del Tribunal, pero lo cierto es que las características de situaciones en las que los daños derivados de actividades en línea son difusos como en los litigio principales en este asunto -relativos a los daños derivados de compras efectuadas a través de una plataforma en línea de aplicaciones que pueden descargarse desde cualquier lugar- se alejan de las que habían sido objeto de las resoluciones anteriores del Tribunal de Justicia en las que había abordado la determinación de la competencia territorial en relación con el lugar de manifestación del daño. El contenido resulta de especial interés en relación con ese tipo de reclamaciones de daños derivados de la eventual vulneración de las normas sobre libre competencia (I y II, infra). Ello, además, en un contexto en el que los desarrollos normativos favorecen la proliferación de esas reclamaciones u otras similares, por ejemplo, si tenemos en cuenta de cara al futuro el potencial relativo a la aplicación privada del Reglamento (UE) 2022/1925 de Mercados Digitales. Como complemento de lo anterior, la sentencia se presta también a la reflexión acerca de en qué medida el criterio adoptado ahora por el Tribunal de Justicia puede resultar de utilidad para guiar la determinación de la competencia territorial respecto de otras situaciones relativas a ilícitos cometidos en línea que generan daños dispersos en el territorio de un Estado miembro (III, infra).

Propuesta de Reglamento Ómnibus Digital (III): Datos personales

 

Las modificaciones en materia de datos personales aparecen recogidas en los artículos 3 a 5 de la Propuesta. El artículo 3 recoge los cambios que se pretenden introducir en el RGPD. Entre ellos se incluye la revisión de la definición misma de dato personal, mediante la un añadido que se presenta como una mera clarificación para facilitar la determinación de cuando los datos resultantes de la seudonimización no constituyen datos personales. Otras modificaciones previstas del RGPD afectan a cuestiones como las siguientes. La introducción de una definición amplia de “investigación científica” en el artículo 4.38 RGPD, que concurre con otros cambios para facilitar el tratamiento de datos personales con tales fines, incluyendo la precisión de que el tratamiento posterior con fines de investigación científicos es compatible con el fin para el cual se recogieron inicialmente los datos personales a los efectos del artículo 6.4 RGPD. La previsión de dos excepciones adicionales a la prohibición del tratamiento de categorías especiales de datos personales en el artículo 9.2 RGPD, con respecto al tratamiento de datos biométricos para confirmar la identidad del interesado cuando los datos y los medios de verificación estén bajo su control exclusivo, así como respecto del tratamiento residual de datos personales para el desarrollo y funcionamiento de un sistema de IA o un modelo de IA, cuando se respeten determinadas condiciones conforme a un nuevo artículo 9.5. Los considerandos del Reglamento propuesto incluyen precisiones acerca de la posibilidad de que ese tipo de tratamiento de datos personales puedan tenerse como base para su licitud el ser necesarios para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, de conformidad con lo dispuesto en el artículo 6.1.f) RGPD, que, como es conocido, exige la ponderación entre, de una parte tales intereses legítimos y, de otra intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales (cdos. 30 y 31 de la Propuesta de Reglamento). También se contempla la flexibilización de la información que debe facilitarse en virtud del artículo 13 RGPD cuando los datos personales se obtienen del interesado en virtud, eliminando esta obligación en situaciones en las que cabe suponer que el interesado ya dispone de la información. Con respecto al artículo 22 RGPD, en materia de decisiones individuales automatizadas, se contempla la modificación de la letra a) de su apartado 1, para precisar que la concurrencia del requisito de necesidad para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento, como presupuesto para la admisibilidad de tales decisiones, es independiente de si la decisión puede tomarse por medios distintos de los exclusivamente automatizados. También destaca la introducción de un nuevo artículo 88 bis en el RGPD, que se vincula con la integración en este instrumento del régimen contenido ahora en el artículo 5.3 de la Directiva 2002/58 en relación con el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario.

Por su parte, el artículo 4 de la Propuesta contempla la proyección de los cambios relevantes en el RGPD establecidos en el artículo 3 en el régimen paralelo del Reglamento (UE) 2018/1725 relativo al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. Por último, el artículo 5 incluye las modificaciones en la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas, entre las que merece especial atención la modificación de su artículo 5.3 relativo al almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, determinante, entre otras cuestiones del régimen aplicable en relación con las cookies y herramientas similares. Por su especial interés e impacto, me detendré en dos aspectos: la revisión de la definición de dato personal en el artículo 4.1 del RGPD (I, infra) y la modificación del artículo 5.3 de la Directiva 2002/58 e integración de su contenido, con cambios relevantes, en el RGPD (II, infra).

Propuesta de Reglamento Ómnibus Digital (II): Datos (y contratos inteligentes)

 

Dejando de momento de lado los aspectos relativos a datos personales, en concreto las controvertidas modificaciones del RGPD (y de la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas) que se pretenden introducir, un aspecto central de la Propuesta de Reglamento Ómnibus Digital es la refundición del marco regulatorio referido a los datos en general (personales y no personales) en un único instrumento. En síntesis, la refundición se lleva a cabo mediante la integración en el Reglamento (UE) 2023/2854 de Datos de las normas relevantes del Reglamento (UE) 2022/868 de Gobernanza de Datos, el Reglamento (UE) 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea, y de la Directiva 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público. Los instrumentos cuyas normas se integran en el Reglamento de Datos quedarán derogados por el Reglamento Ómnibus Digital.

Propuesta de Reglamento Ómnibus Digital (I): Aspectos generales, supresión del Reglamento 2019/1150 y notificación de incidentes

 

    La semana pasada la Comisión presentó su paquete de propuestas de medidas de simplificación y mejora de su regulación en materia digital. Pese a estar orientado a simplificar el marco normativo y en parte poder contribuir a ese objetivo, el paquete en sí mismo supone un nuevo elemento de complejidad. Sobre todo, el paquete deja en evidencia las carencias del enfoque normativo de la Unión, que regularmente incluye la adopción de complejos instrumentos cuyo cumplimiento no se exige de manera efectiva, pero representan una gran carga especialmente para los operadores diligentes locales que desarrollan sus modelos de negocio en este contexto normativo (a diferencia de los que se expanden aquí tras haberlos desarrollado en terceros países). El instrumento central del nuevo paquete es una Propuesta de Reglamento Ómnibus Digital, que se proyecta especialmente sobre un conjunto heterogéneo de reglamento (y alguna directiva) de la Unión. Esa Propuesta contempla la supresión sin más del Reglamento 2019/1150 sobre usuarios profesionales de servicios de intermediación en línea (o Reglamento P2B, entre plataformas y empresas); prevé cambios muy significativas en materia de datos personales, incluyendo modificaciones del RGPD y de la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas; contempla la refundición de los diversos reglamentos en materia de datos en sentido amplio (es decir los que se centran en los datos no personales); así como la consolidación del heterogéneo conjunto de obligaciones en materia de notificación de incidentes previstas básicamente en diversos reglamentos en materia de ciberseguridad y otros instrumentos conexos, pero también en el propio RGPD. Al margen de la Propuesta de Reglamento Ómnibus Digital, resulta relevante que el Paquete incluye otra Propuesta de Reglamento que contempla modificaciones del Reglamento de Inteligencia Artificial; otra Propuesta de Reglamento para la creación de una Cartera europea de negocios, destinada a complementar la Cartera europea de identidad digital introducida en el Reglamento (UE) 2024/1183 que modificó el Reglamento (UE) 910/2014 (eIDAS 2), así como una Comunicación de la Comisión sobre la estrategia de datos de la UE. En relación precisamente con la aplicación del Reglamento de Datos resulta también de interés la presentación por la Comisión de Comunicaciones sobre dos conjuntos de Recomendaciones, una relativa a cláusulas contractuales tipo para el acceso y el uso de datos, y otra a cláusulas contractuales tipo para los contratos de computación en la nube.

Aunque no sean sus elementos de mayor enjundia, entre los aspectos de la Propuesta de Reglamento Ómnibus Digital que ponen especialmente de relieve las deficiencias de la manera de legislar en este ámbito en la UE cabe ahora hacer referencia a dos. Por una parte, la propuesta de derogación sin más del Reglamento 2019/1150, que va unida a la previsión de que algunas de sus disposiciones continúen siendo de aplicación hasta el 31 de diciembre de 2032 (I, infra). Llama la atención la aislada derogación en este momento de ese instrumento en su conjunto, con base en que su contenido ha pasado a ser innecesario tras la adopción de algunos instrumentos posteriores, en particular, el Reglamento de Servicios Digitales. Resulta difícil de entender que no se procediera a su derogación ordenada -y matizada mediante la eventual integración de algunas de sus reglas- en el marco de la adopción de los instrumentos que han convertido a buen parte de sus normas en redundantes. Por otra parte, muy ilustrativo de esas carencias es también el solapamiento de obligaciones en materia de notificación de incidentes, que se traduce ahora en una propuesta de consolidación de esas obligaciones, para evitar reiteraciones que deberían haberse tenido ya en cuenta al adoptar los sucesivos instrumentos en la materia (II, infra). Dejaré para más adelante las normas de la Propuesta de Reglamento Ómnibus Digital relativas, de una parte, a la consolidación en un único instrumento de los varios existentes en materia de datos en general (incluyendo la revisión de aspectos relevantes de su contenido) y, de otra, a la reforma de los instrumentos sobre datos personales.

 

Aplicación a Amazon de las normas del Reglamento de Servicios Digitales sobre plataformas de muy gran tamaño

 

En su sentencia de ayer en el asunto Amazon EU / Comisión, T-367/23, EU:T:2025:1038, el Tribunal General (TG) desestima el recurso de anulación frente a la Decisión de la Comisión por la que se designaba a Amazon Store como plataforma en línea de muy gran tamaño (PLMGT) en virtud del artículo 33 del Reglamento (UE) 2022/2065 de Servicios Digitales (RSD). Se trata de un asunto al que ya me referí al hilo de la solicitud de medidas provisionales presentada por Amazon (aquí), y en el que el recurso de Amazon frente a su designación como PLMGT ha tenido la misma suerte que el presentado por Zalando (véase aquí), si bien los motivos de impugnación diferían sustancialmente. Amazon invocaba una excepción de ilegalidad respecto de tres artículos del RSD: 33.1, 38 y 39. El artículo 33.1 es el que contempla el sometimiento a las obligaciones de la sección 5 del capítulo III RSD (arts. 33 a 43) de las plataformas (y buscadores) designadas como PLMGT -básicamente, las que alcanzan un promedio mensual de destinatarios del servicio activos en la Unión de cuarenta y cinco millones- y que se encuentra, por lo tanto, en el origen de la designación de Amazon Store como tal. El artículo 38 RSD es el que exige que las PLMGT, cuando utilizan sistemas de recomendación, ofrezcan al menos una opción para cada uno de tales sistemas que no se base en la elaboración de perfiles mediante la utilización de datos personales. Por su parte, el artículo 39 RSD impone a las PLMGT significativas obligaciones adicionales de transparencia con respecto de los anuncios publicitarios que presentan en sus interfaces en línea.

Licitud del envío por correo electrónico de boletines informativos sin consentimiento

 

    La disposición básica en el Derecho de la UE para hacer frente al spam, o envío masivo de comunicaciones comerciales no solicitadas por correo electrónico o medio equivalente, continúa siendo el artículo 13 de la Directiva 2022/58 (modificado por la Directiva 2009/136) relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. Su contenido, con ciertas modificaciones, se encuentra incorporado básicamente en el artículo 21 de la Ley 34/2002 o LSSICE (redactado conforme a la Ley 9/2014). El artículo 13 de la Directiva 2002/58 adoptó un régimen restrictivo, que en su apartado 1 subordina el envío de mensajes de correo electrónico “con fines de venta directa” a que los abonados o usuarios hayan dado su consentimiento previo. No obstante, su apartado 2 contiene una importante excepción, en virtud de la cual tal consentimiento no es necesario cuando la dirección de correo electrónico haya sido obtenida -conforme al RGPD- por el remitente “en el contexto de la venta de un producto o de un servicio” y “se utilice para la venta directa de sus propios productos o servicios de características similares”. La excepción sólo opera si se cumplen ciertas condiciones, en particular, que se ofrezca al destinatario la posibilidad de oponerse a esa utilización de las señas electrónicas en el momento en que se recojan y cada vez que reciban un mensaje (apdo. 2), al tiempo que el envío de mensajes electrónicos con fines de venta directa debe respetar en todo caso ciertos requisito (apdo. 4, por ejemplo, en relación con la identificación del remitente). La sentencia de hoy del Tribunal de Justicia en el asunto Inteligo Media, C-654/23, EU:C:2025:871, tiene el interés de precisar, en relación con el envío de boletines informativos a quienes se registran en servicios gratuitos, el alcance de la excepción del artículo 13.2 RGPD, y se presta también a ciertas consideraciones en relación con su transposición en España.