El 2 de diciembre de 2025, el Tribunal de Justicia de la Unión Europea («TJUE») dictó una sentencia de especial relevancia en el asunto C-492/23 (Russmedia), en la que clarificó las responsabilidades de los operadores de mercados en línea en virtud del Reglamento General de Protección de Datos («RGPD»). El Tribunal dejó claro que estos operadores no pueden ampararse en su condición de meros proveedores de alojamiento para eludir sus obligaciones en materia de protección de datos, especialmente cuando están en juego datos personales sensibles.
Antecedentes
Russmedia Digital, una empresa constituida conforme al Derecho rumano, gestiona un marketplace en el que los usuarios pueden publicar anuncios de forma gratuita o de pago, relativos, entre otras actividades, a la venta de bienes y a la prestación de servicios en Rumanía.
El 1 de agosto de 2018, una persona no identificada publicó en una plataforma un anuncio en el que se afirmaba, falsamente, que una mujer ofrecía servicios sexuales. El anuncio incluía fotografías de la mujer, utilizadas sin su consentimiento, así como su número de teléfono. La afectada sostuvo que el contenido era falso y dañino y solicitó su retirada. Russmedia eliminó el anuncio en una hora; sin embargo, este ya había sido reproducido en otros sitios web, donde continuó estando accesible.
Posteriormente, la afectada interpuso una demanda ante los tribunales rumanos, en la que reclamaba una indemnización por daños morales derivados del tratamiento ilícito de sus datos personales, así como la vulneración de sus derechos a la propia imagen, al honor y a la privacidad. En segunda instancia, el órgano jurisdiccional remitenteplanteó una cuestión prejudicial al TJUE para que se pronunciara sobre si, a la luz del RGPD, el operador de un marketplace debe considerarse responsable del tratamiento de los datos personales contenidos en los anuncios generados por los usuarios y si dicho operador puede acogerse a la exención de responsabilidad prevista para los prestadores de servicios de alojamiento en la Directiva 2000/31/CE a fin de quedar exento de dichas obligaciones.
Decisión del TJUE
El Tribunal de Justicia consideró que un operador de un marketplace como Russmedia debe ser considerado responsable del tratamiento, en el sentido del RGPD, de los datos personales incluidos en los anuncios publicados en su plataforma. Aunque el contenidosea cargado por un usuario, solo se hace accesible al público gracias a las acciones y la intervención y a la infraestructura técnica del propio operador.
Por consiguiente, antes de la publicación de un anuncio, el operador debe identificar (mediante la adopción de medidas técnicas y organizativas adecuadas) aquellosanuncios que contengan datos personales sensibles, como los que concurren en el presente caso. Asimismo, debe comprobar si el usuario que remite el anuncio es la persona a la que se refieren dichos datos.
Cuando no sea así, el operador debe verificar si la persona cuyos datos se van a publicar ha otorgado su consentimiento explícito para la publicación de sus datos sensibles. A falta de dicho consentimiento, el operador está obligado a denegar la publicación del anuncio, a menos que se aplique otra base jurídica válida en virtud del RGPD. Además, el operador debe tomar medidas destinadas a impedir que los anuncios que contengan datos sensibles sean copiados desde su plataforma y republicados ilícitamente en otros sitios web, lo que exige la aplicación de medidas de seguridad técnicas y organizativas adecuadas.
Por último, el Tribunal precisó que un operador de un marketplace no puede eludir lasobligaciones que le impone el RGPD, amparándose en la exención de responsabilidad prevista para los prestadores de servicios de alojamiento en la Directiva 2000/31/CE.