En su sentencia del día 2 de diciembre de 2025, asunto C-492/23, el Tribunal de Justicia de la Unión Europea ha dictaminado que los operadores de mercados en línea son responsables del tratamiento de los datos personales incluidos en los anuncios publicados en sus plataformas, estableciendo nuevas obligaciones bajo el Reglamento General de Protección de Datos (RGPD).
Antecedentes
La decisión surge a raíz de un litigio en Rumanía donde una sociedad rumana (en adelante, «sociedad») es propietaria de un mercado en línea en el que se pueden publicar anuncios gratuitamente o a cambio de una remuneración. Estos anuncios se refieren, en particular, a la venta de bienes o a la prestación de servicios en Rumanía.
El 1 de agosto de 2018, una persona no identificada publicó en ese sitio web un mensaje en el que afirmaba que una mujer ofrecía servicios sexuales. El mensaje contenía fotografías de esta última, utilizadas sin su consentimiento, y su número de teléfono. La mujer consideró que el anuncio inducía a engaño y era lesivo, por lo que solicitó al propietario del sitio web que lo retirara. Si bien la sociedad retiró la publicación en la hora siguiente a esta solicitud, el anuncio en cuestión ya se había difundido en otros sitios web, en los que sigue siendo accesible.
En estas circunstancias, al considerar que el anuncio vulneraba sus derechos a la imagen, al honor y a la reputación, así como a la intimidad, e infringía las normas relativas al tratamiento de los datos personales, la mujer recurrió a la Justicia rumana. El Tribunal de Primera Instancia de Cluj-Napoca falló a su favor y condenó a la sociedad a abonar una indemnización de 7.000 euros en concepto de daños morales. Sin embargo, en apelación, el Tribunal Especializado de Cluj estimó el recurso interpuesto por la sociedad, a la que calificó de mero prestador de un servicio de alojamiento de datos, que no es responsable del contenido publicado por sus usuarios.
Cuestión prejudicial
La víctima interpuso entonces un recurso de casación ante el Tribunal Superior de Cluj. Este tribunal decidió remitir el asunto al Tribunal de Justicia para obtener aclaraciones sobre la interpretación del Derecho de la Unión, en esencia sobre las obligaciones que incumben al operador de un mercado en línea en virtud del RGPD, y sobre la cuestión de si este puede eludir dichas obligaciones con arreglo a la exención de responsabilidad establecida por la Directiva 2000/31 respecto de los prestadores de servicios de la sociedad de la información.
Resolución del Tribunal de Justicia de la Unión Europea
En su sentencia del día 2 de diciembre de 2025, el Tribunal de Justicia declara que el operador de un mercado en línea es responsable, en el sentido del RGPD, del tratamiento de los datos personales contenidos en los anuncios publicados en su mercado en línea. En efecto, aunque el anuncio sea colocado por un usuario, se publica en Internet y, de ese modo, es accesible a los usuarios de Internet gracias al mercado en línea.
Por consiguiente, el operador de un mercado en línea, antes de la publicación de dichos anuncios y mediante la aplicación de medidas técnicas y organizativas apropiadas, debe identificar aquellos que contengan datos sensibles, como los que son objeto del presente asunto, y verificar si el usuario que se dispone a colocar un anuncio de ese tipo es la persona cuyos datos sensibles figuran en él.
De no ser así, debe verificar si la persona cuyos datos se publican ha dado su consentimiento explícito a la publicación. A falta de dicho consentimiento, el operador de un mercado en línea debe denegar la publicación del anuncio de que se trate, a menos que esté cubierta por alguna de las otras excepciones establecidas por el RGPD. Asimismo, el operador de un mercado en línea debe esforzarse en impedir que los anuncios que contengan datos sensibles que se publican en su sitio web sean copiados y publicados ilícitamente en otros sitios web. A tal fin, debe aplicar medidas de seguridad técnicas y organizativas apropiadas.
Por último, el Tribunal de Justicia precisa que el operador de un mercado en línea no puede eludir estas obligaciones, que le incumben en virtud del RGPD, invocando la exención de responsabilidad establecida por la Directiva 2000/31.
Fuente: Tribunal de Justicia de la Unión Europea
Documentos relacionados
Prácticos
- Fundamento de la protección de datos de carácter personal. Práctico de Protección de datos de carácter personal. (Abril 2024). Escrito por Alberto Palomar (Magistrado de lo contencioso-administrativo) y por Javier Fuertes (Magistrado).
- Agencia Española de Protección de Datos. Práctico de Protección de datos de carácter personal. (Diciembre 2023). Escrito por Alberto Palomar (Magistrado de lo contencioso-administrativo) y por Javier Fuertes (Magistrado).
- Infracciones muy graves en materia de protección de datos. Práctico de Protección de datos de carácter personal. (Septiembre 2024). Escrito por Alberto Palomar (Magistrado de lo contencioso-administrativo) y por Javier Fuertes (Magistrado).
- Política de las telecomunicaciones de la Unión Europea. Práctico de Derecho de la Unión Europea (Noviembre 2025). Escrito por Carmen Pérez González (Catedrática de Derecho Internacional público y relaciones internacionales).
Artículos Doctrinales
- e-Privacy y RGPD en las comunicaciones comerciales electrónicas (STJUE de 13 de noviembre de 2025, asunto C-654/23). Revista de Derecho vLex. (ISSN: 2462-3423). Núm. 258, Noviembre 2025. Autor vLex.
- La insuficiencia del marco normativo de la protección de datos y el advenimiento del reglamento europeo sobre inteligencia artificial. Desafíos jurídicos de la inteligencia artificial. Reflexiones sobre la toma de decisiones judiciales. (ISBN: 978-84-10044-79-1). Publicado en 2024. Escrito por Pere Simón Castellano. Profesor Titular de Derecho Constitucional en la Universidad Internacional de la Rioja.
Webinars
- Personal Data Protection in EU Data Spaces. European Webinars (2024). Malte Beyer-Katzenberger. Team leader en la Comisión Europea.
Formularios
- Contrato de cesión de datos. Formularios de Protección de datos personales (Septiembre 2024). Autor vLex.
- Política de Privacidad para página web. Formularios de Protección de datos personales (Septiembre 2024). Autor vLex.
Legislación
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
- Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico)
