I. El asunto Russmedia
Russmedia Digital, es propietaria del sitio web www.publi24.ro, un mercado en línea en el que pueden publicarse, gratuitamente o a cambio de una remuneración, anuncios relativos, en particular, a la venta de bienes o a la prestación de servicios en Rumanía, el Vinted o Wallapop rumano.
La demandante en el litigio principal alegaba que un tercero no identificado publicó en dicho sitio web un anuncio falso y lesivo que la presentaba como alguien que ofrecía servicios sexuales. En particular, el anuncio contenía fotografías de la demandante, utilizadas sin su consentimiento, y su número de teléfono. Con posterioridad, ese anuncio se reprodujo de forma idéntica en otros sitios web de contenido publicitario, en los que se publicó en línea, con indicación de la fuente de origen. Tras ser contactada por la demandante en el litigo principal, Russmedia Digital retiró dicho anuncio de su sitio web menos de una hora después de la recepción de la correspondiente solicitud. No obstante, según la demandante en el litigio principal, ese mismo anuncio sigue siendo accesible en otros sitios web que lo han reproducido.
Al considerar la demandante que el anuncio vulneraba sus derechos a la imagen, al honor y a la reputación, así como a la intimidad, e infringía las normas relativas al tratamiento de los datos personales, presentó una demanda contra Russmedia ante el Tribunal de Primera Instancia de Cluj-Napoca, Rumanía. Dicho órgano jurisdiccional condenó a Russmedia a abonarle una indemnización por daños y perjuicios de un importe de 7.000 euros en concepto de daño moral causado por la vulneración del derecho a la imagen, el honor y la reputación, así como por la vulneración del derecho a la intimidad y el tratamiento ilícito de sus datos personales.
II. Corresponsabilidad y obligaciones de la plataforma online
El TJUE declara que el operador de una plataforma que publica anuncios generados por usuarios actúa como corresponsable del tratamiento respecto de los datos personales incluidos en dichos anuncios, de manera conjunta con el usuario anunciante (en la fase inicial o principal del tratamiento). Esta conclusión se fundamenta en que la accesibilidad pública del contenido es posible gracias a la actuación del propio prestador, que organiza y facilita la difusión del anuncio. El Tribunal entiende que esta actividad implica una determinación de los fines y medios del tratamiento y que, por tanto, el operador no puede presentarse como un mero intermediario pasivo. El tenor literal de la STJUE, establece:
A partir de esta premisa, la Sentencia impone al prestador una serie de obligaciones derivadas del RGPD que incluyen:
a) la corresponsabilidad respecto del tratamiento de datos personales que se contengan en un anuncio publicado en ese mercado,
b) identificar los anuncios que contengan datos sensibles, lo que supone una monitorización ex ante, también relación con la base de licitud del tratamiento,
c) la verificación de identidad del anunciante para comprobar si es la persona cuyos datos sensibles figuran en el anuncio,
d) denegar la publicación si no hay excepción del art. 9.2 RGPD que legitime el tratamiento de datos sensibles,
e) la adopción de medidas técnicas y organizativas para garantizar que la publicación del contenido sea lícita, segura y respetuosa con los derechos de terceros,
f) impedir la copia o redistribución no autorizada del contenido considerado como datos sensibles (art. 9.1 RGPD), algo especialmente complejo en ecosistemas donde la información circula de manera instantánea y potencialmente ilimitada.
III. La exención de responsabilidad de la Directiva e-Commerce, la DSA y el tratamiento de datos personales
La exención de responsabilidad para prestadores de servicios de alojamiento, prevista en la Directiva de Comercio Electrónico y mantenida por la Ley 34/2002 en España (LSSI) se basa en la idea de que el intermediario no participa activamente en la creación, selección o modificación del contenido. Sin embargo, el TJUE concluye que, cuando el contenido incluye datos personales (sensibles), la valoración debe hacerse desde el prisma del RGPD, no desde el régimen clásico de responsabilidad. De este modo, el análisis deja de girar en torno a la mera neutralidad técnica para centrarse en el control material que el prestador ejerce sobre el tratamiento de los datos personales.
Este planteamiento adquiere una dimensión aún más relevante cuando se considera la realidad operativa de grandes plataformas como Meta, X, TikTok o YouTube. Estas plataformas ya no se limitan a alojar contenido: intervienen activamente en su ordenación, presentación y visibilidad mediante algoritmos de recomendación, clasificación y priorización, diseñados para maximizar la interacción o el tiempo de visualización. La exposición de un contenido frente a otro no es fruto del azar, sino del resultado de decisiones técnicas y comerciales integradas en la arquitectura algorítmica de la plataforma. La DSA, si bien mantiene formalmente el sistema de exención de responsabilidad para contenidos ilícitos (aun teniendo en cuenta esta gestión algorítmica), incorpora obligaciones de transparencia algorítmica, mecanismos de notice and action, mitigación de riesgos, etc.. Todo ello, sin perjuicio de aquellos servicios que puedan no ser considerados intermediarios, en cuyo caso no les será aplicable el régimen de exención de responsabilidad.
Desde esta perspectiva, la sentencia Russmedia señala que las plataformas en línea se han convertido en agentes activos en la difusión de información, siendo por tanto corresponsables (del tratamiento) en, al menos, algunas de las operaciones del tratamiento y, por tanto, en mayor o menor medida, del impacto que su arquitectura tiene en los derechos de los usuarios. El criterio del TJUE establece que la consideración de “intermediario” del prestador deberá ser matizado, en relación con la exención de responsabilidad, en contextos donde la plataforma controla de forma significativa la exposición del contenido y este supone el tratamiento de datos personales.
IV. Conclusiones y “extensión” de los efectos de la STJUE Russmedia
Teniendo en cuenta lo anterior, y aquí viene lo relevante, el TJUE parece poner el foco en los “anunciantes”, si bien la argumentación podría ser extrapolable a la publicación de otro tipo de contenido y, lo más interesante, no solo respecto al tratamiento de datos de categoría especial (art. 9.1 RGPD).
En primer lugar, deberíamos determinar si el usuario de la plataforma, en todo caso, tiene la condición de responsable del tratamiento, debiendo tener en cuenta, en su caso, la excepción doméstica y la doctrina del TJUE sobre el alcance y difusión de los datos personales. Además, aunque las consideraciones del TJUE se realizan en el marco del tratamiento de datos sensibles (de categoría especial), nada obstaría a que las obligaciones que se le imponen a la plataforma apliquen también cuando no se trata de datos sensibles si bien ello podría socavar otros principios recogidos en la Directiva e-Commerce y la DSA. Y, no menos importante, no olvidemos que el TJUE indica que aunque los datos que se publiquen sobre un interesado sean falsos, no por ello dejan de ser datos personales de categoría especial.
Lo que establece el TJUE en Russmedia es la designación de la plataforma como controlador conjunto para el tratamiento principal, le impone obligaciones de diligencia debida y comprobación del contenido ex ante. Esto implicaría que el operador de la plataforma debe monitorizar y, en su caso, filtrar sistemáticamente el contenido en busca de datos de categorías especiales y, cuando se encuentren coincidencias, identificar al responsable principal, lo que supone imponer obligaciones de verificación de identidad a los efectos de comprobar, a su vez, si existe base de legitimación para el tratamiento de datos personales de terceros que no tienen porque tener cuenta abierta en la plataforma.
