Publicación de datos personales en anuncios colocados por usuarios en un mercado online

Protección de datos personales. Concepto de “responsable del tratamiento” o “responsable”. Responsabilidad del operador de un mercado en línea por la publicación de los datos personales contenidos en anuncios colocados por usuarios anunciantes.

El Tribunal de Justicia declara que:

1. Los artículos 5, apartado 2, y 24 a 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), deben interpretarse en el sentido de que el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, de dicho Reglamento, de los datos personales contenidos en anuncios publicados en su mercado en línea, está obligado, antes de la publicación de los anuncios y aplicando medidas técnicas y organizativas apropiadas,
   • a identificar los anuncios que contengan datos sensibles, en el sentido del artículo 9, apartado 1, del mismo Reglamento,
   • a verificar si el usuario anunciante que se dispone a colocar un anuncio de ese tipo es la persona cuyos datos sensibles figuran en el anuncio y, de no ser así,
   • a denegar su publicación, a menos que dicho usuario anunciante pueda demostrar que el interesado ha dado su consentimiento explícito para que los datos en cuestión se publiquen en ese mercado en línea, en el sentido del citado artículo 9, apartado 2, letra a), o concurra alguna de las otras excepciones establecidas en el citado artículo 9, apartado 2, letras b) a j).
2. El artículo 32 del Reglamento 2016/679 debe interpretarse en el sentido de que el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, de dicho Reglamento, de los datos personales contenidos en anuncios publicados en su mercado en línea, está obligado a aplicar medidas de seguridad técnicas y organizativas apropiadas para impedir que anuncios que se hayan publicado en ese mercado y que contengan datos sensibles, en el sentido del artículo 9, apartado 1, del mismo Reglamento, sean copiados e ilícitamente publicados en otros sitios ;web.
3. El artículo 1, apartado 5, de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), y el artículo 2, apartado 4, del Reglamento 2016/679 deben interpretarse en el sentido de que el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, del Reglamento 2016/679, de los datos personales contenidos en anuncios publicados en su mercado en línea, no puede invocar, respecto al incumplimiento de las obligaciones resultantes de los artículos 5, apartado 2, 24 a 26 y 32 de este Reglamento, los artículos 12 a 15 de dicha Directiva, relativos a la responsabilidad de los prestadores de servicios intermediarios.

(Sentencia del Tribunal de Justicia de la Unión Europea, Gran Sala, de 2 de diciembre de 2025, asunto C-429/23)