Noticias legislación

La reciente decisión del Tribunal de Justicia de la Unión Europea en el caso C-492/23, que involucra a Russmedia Digital e Inform Media Press, proporciona una clarificación sobre las responsabilidades de los operadores de plataformas en línea en relación con el manejo de datos personales que los usuarios publican en sus anuncios. Esta resolución se fundamenta en el Reglamento (UE) 2016/679 (RGPD) y establece que los operadores deben adoptar un enfoque proactivo para identificar y gestionar datos sensibles antes de permitir la publicación de cualquier contenido.

Responsabilidad del operador en el tratamiento de datos

El TJUE ha ratificado que los operadores de plataformas de anuncios son considerados responsables del tratamiento de los datos personales que se encuentran en los anuncios difundidos a través de su infraestructura, incluso si no han participado en la creación del contenido. Según los artículos 4.2 y 4.7 del RGPD, la capacidad de la plataforma para determinar cómo la información es accesible al público implica su participación en el tratamiento de datos, lo que conlleva obligaciones específicas:

• Garantizar la legalidad del tratamiento (artículo 6 RGPD).
• Implementar medidas técnicas y organizativas adecuadas (artículo 24 RGPD).
• Incorporar controles reforzados en presencia de datos de categorías especiales, conforme al artículo 9 RGPD.

Obligaciones en relación con datos sensibles

Un aspecto clave de la sentencia es la obligación del operador de identificar de manera previa si un anuncio contiene datos sensibles. Esto incluye información sobre la vida sexual, datos biométricos, imágenes íntimas o cualquier dato que pueda causar un daño significativo a los derechos fundamentales de la persona afectada.

El TJUE indica que la plataforma debe verificar:

• Si el anunciante es el propietario de los datos.
• Si existe un consentimiento explícito para su publicación.
• Si se aplica alguna de las excepciones del artículo 9.2 del RGPD.

Si no hay una base jurídica válida, el anuncio debe ser rechazado, lo que refuerza el principio de responsabilidad proactiva establecido en el artículo 5.2 del RGPD.

Prevención de la difusión no autorizada

La sentencia también impone una obligación adicional de diligencia: el operador debe implementar medidas para evitar la copia, extracción o difusión no autorizada de anuncios que contengan datos sensibles. Esto requiere la adopción de medidas de seguridad adecuadas, conforme a los artículos 25 y 32 del RGPD, que pueden incluir herramientas automáticas, restricciones a las descargas o mecanismos de trazabilidad.

Exenciones de la Directiva 2000/31/CE

El TJUE ha determinado que el operador no puede invocar las exenciones de responsabilidad de la Directiva 2000/31/CE, que son aplicables a los proveedores de servicios de intermediación. El Tribunal sostiene que estas exenciones no pueden anular las obligaciones establecidas por el RGPD, que representa un marco legal más reciente, específico y de aplicación directa en el ámbito de la protección de datos.

Importancia del caso y sus implicaciones

El litigio surgió a raíz de un anuncio que falsamente atribuía servicios sexuales a una mujer, incluyendo imágenes y su número de teléfono sin autorización. Aunque el anuncio fue eliminado, ya había sido replicado en otros sitios web, causando un daño duradero.

La sentencia establece un estándar europeo uniforme que obliga a los operadores a intensificar sus controles, asegurando una protección efectiva contra el uso indebido de datos personales y preservando derechos fundamentales como el honor, la intimidad y la propia imagen.