La responsabilidad de las plataformas en línea frente a contenidos ilícitos generados por terceros ha sido, durante años, uno de los terrenos más complejos del Derecho digital europeo. La sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala) de 2 de diciembre de 2025, asunto C-492/23 (Russmedia), introduce un giro relevante en este debate al aclarar hasta dónde llega la exención de responsabilidad del alojamiento cuando entran en juego datos personales y, en particular, datos especialmente sensibles.
El caso no se limita a un conflicto entre normas. Parte de una situación especialmente grave: la publicación anónima de un anuncio falso que atribuía a una persona la oferta de servicios sexuales, incluyendo fotografías y número de teléfono, sin su consentimiento. Un supuesto que combina daño reputacional, intromisión en la intimidad y tratamiento ilícito de datos personales sensibles. La pregunta clave era si la plataforma que alojaba ese contenido podía refugiarse en la Directiva de comercio electrónico o si, por el contrario, debía responder conforme al RGPD.
La respuesta del Tribunal es clara: cuando una plataforma influye en los fines y medios del tratamiento de datos personales, deja de ser un mero intermediario técnico y pasa a ser responsable del tratamiento, con todas las obligaciones que ello implica.
Datos falsos, pero igualmente sensibles
Uno de los primeros puntos relevantes de la sentencia es la calificación de los datos publicados. El TJUE recuerda que el concepto de “datos personales” debe interpretarse de forma amplia y que la falsedad de la información no excluye su naturaleza personal. Aún más: el hecho de que los datos sean falsos no impide que sean considerados datos de categorías especiales.
La atribución de servicios sexuales afecta directamente a la vida sexual de una persona y, por tanto, encaja en el artículo 9.1 del RGPD. El Tribunal subraya que la protección reforzada de los datos sensibles no desaparece porque la información sea inexacta o difamatoria. De hecho, al contrario: el potencial lesivo se incrementa.
Este matiz es esencial desde una perspectiva práctica. No se trata solo de proteger “datos verdaderos”, sino de evitar tratamientos que, por su contenido, generan una injerencia especialmente grave en los derechos fundamentales de la persona afectada.
La plataforma como responsable (y corresponsable) del tratamiento
El núcleo de la sentencia se encuentra en la calificación jurídica del papel de la plataforma. Russmedia alegaba que su intervención era puramente técnica y pasiva: alojar anuncios creados por terceros. Sin embargo, el Tribunal analiza con detalle el funcionamiento real del mercado en línea y, en particular, sus condiciones generales de uso.
El TJUE destaca que la plataforma:
- persigue fines comerciales propios al publicar los anuncios,
- organiza su difusión, clasificación y visibilidad,
- se reserva amplios derechos sobre los contenidos (reproducción, distribución, cesión a socios, modificación o supresión)
- y permite la publicación anónima.
Todo ello lleva a una conclusión determinante: la plataforma no se limita a facilitar un soporte técnico, sino que participa activamente en la determinación de los fines y medios del tratamiento. En consecuencia, es responsable del tratamiento conforme al artículo 4.7 del RGPD, y corresponsable junto con el usuario anunciante.
El Tribunal es tajante: una plataforma no puede eludir su responsabilidad alegando que no decide el contenido concreto del anuncio. Si influye de manera decisiva en la difusión de los datos personales, entra de lleno en el ámbito del RGPD.
Obligaciones antes de publicar: no todo vale
Uno de los aspectos más disruptivos de la sentencia es el énfasis en las obligaciones previas a la publicación. El TJUE no se conforma con una reacción diligente a posteriori (retirada rápida del contenido), sino que exige medidas preventivas cuando el riesgo es elevado.
En particular, el Tribunal establece que el operador del mercado en línea debe:
- identificar de forma previa los anuncios que contengan datos sensibles,
- verificar la identidad del usuario anunciante,
- comprobar si ese usuario es la persona cuyos datos aparecen en el anuncio,
- y, en caso contrario, denegar la publicación si no existe consentimiento explícito del interesado o una excepción válida del artículo 9.2 del RGPD.
Este enfoque refuerza la idea de protección de datos desde el diseño y por defecto. Cuando una plataforma sabe (o debería saber) que su servicio puede utilizarse para difundir datos sensibles de terceros, no puede permanecer pasiva ni ampararse en el anonimato de los usuarios.
Seguridad y control de la difusión: más allá de la retirada
La sentencia también habla acerca de una cuestión clave en la práctica digital: la reproducción en cadena de contenidos ilícitos. Aunque Russmedia retiró el anuncio original con rapidez, este ya había sido copiado y difundido en otros sitios web, generando una pérdida de control casi irreversible.
El TJUE recuerda que el artículo 32 del RGPD impone una obligación de seguridad basada en la gestión del riesgo. Cuando se trata de datos sensibles, el nivel de exigencia es máximo. Las plataformas deben aplicar medidas técnicas y organizativas que, en la medida de lo posible, limiten la copia y redistribución ilícita de los contenidos.
El Tribunal es realista: el RGPD no exige eliminar todo riesgo. Pero sí obliga a adoptar medidas acordes al estado de la técnica y a la gravedad del impacto potencial. En este contexto, permitir sin más la difusión masiva de anuncios con datos sensibles supone incumplir el deber de seguridad.
La Directiva de comercio electrónico no es un escudo frente al RGPD
Por último, el TJUE aclara la relación entre la Directiva 2000/31 y el RGPD. Aunque ambas normas coexisten, la exención de responsabilidad de los artículos 12 a 15 de la Directiva de comercio electrónico no puede utilizarse para eludir las obligaciones específicas en materia de protección de datos.
El Tribunal afirma expresamente que un operador no puede invocar la condición de prestador intermediario para justificar el incumplimiento de los artículos 5, 24 a 26 y 32 del RGPD. La protección de los datos personales prevalece y no queda neutralizada por el régimen de “alojamiento”.
Además, cumplir el RGPD no equivale a imponer una obligación general de supervisión prohibida por la Directiva. Se trata de obligaciones concretas, proporcionadas y ligadas a riesgos claramente identificados.
Reflexión final
La sentencia Russmedia marca un punto de inflexión en la responsabilidad de las plataformas digitales. El mensaje es claro: cuando se permite y facilita la difusión de datos personales especialmente sensibles, no basta con reaccionar cuando el daño ya está hecho.
Las organizaciones que operan mercados en línea deben revisar sus procesos de publicación, sus sistemas de verificación y sus medidas de seguridad. El anonimato absoluto, la ausencia de controles previos y la confianza ciega en la exención de responsabilidad ya no son sostenibles desde la óptica del RGPD.
En definitiva, el TJUE refuerza una idea central del Derecho de protección de datos: la responsabilidad no depende de cómo se autodefina una plataforma, sino de lo que realmente hace y del impacto que su actividad tiene sobre los derechos fundamentales de las personas.
Si quieres profundizar en otras resoluciones clave sobre responsabilidad de plataformas y protección de datos personales, puedes consultar otras entradas de nuestro blog pinchando aquí.
