Recientemente, el TJUE ha dictado una sentencia —con fecha de 2 de diciembre de 2025, en el asunto C-492/23— que refuerza la protección de datos personales en el ámbito de los mercados en línea.
📌 Hechos y objeto del procedimiento
- El caso se planteó mediante cuestión prejudicial a raíz de un litigio entre una persona física (X) y varias sociedades editoras de un mercado online, por la publicación de anuncios insertados por usuarios anunciantes que contenían datos personales, algunos de ellos sensibles. curia.europa.eu
- La cuestión principal era determinar si el operador del mercado en línea debía ser considerado responsable del tratamiento de esos datos personales, con las obligaciones que ello implica bajo el Reglamento (UE) 2016/679 (RGPD), o si podía invocar la exención de responsabilidad aplicable a intermediarios conforme a la Directiva 2000/31/CE (Directiva de Comercio Electrónico). curia.europa.eu
✅ Decisión del TJUE: operador responsable, no mero intermediario
El Tribunal de Justicia declara lo siguiente:
- Un operador de un mercado en línea puede ser considerado responsable del tratamiento en los casos en que permite la publicación de anuncios con datos personales insertados por usuarios anunciantes. curia.europa.eu
- En particular, cuando tales anuncios contienen datos sensibles, dicho operador debe cumplir las obligaciones previstas en el RGPD: obtener consentimiento explícito u otra base jurídica válida, aplicar medidas de protección, garantizar el principio de minimización, transparencia, seguridad, etc.
- No es suficiente la mera invocación de las exenciones de responsabilidad previstas para los intermediarios de servicios de la sociedad de la información: la carga normativa recae sobre el operador cuando su actividad supera un mero rol técnico-pasivo de almacenamiento o transmisión.
🛡️ Implicaciones para plataformas y usuarios/as
Para los operadores de mercados en línea:
- Deben revisar sus políticas de publicación: cualquier anuncio que contenga datos personales, especialmente sensibles, conlleva obligaciones propias de un responsable de tratamiento bajo RGPD.
- Es necesario implementar medidas técnicas y organizativas apropiadas (diseño y por defecto), procedimientos internos de verificación, y obtener consentimiento explícito cuando aplique.
Para los usuarios / interesados cuyos datos se publiquen:
- Este pronunciamiento fortalece la protección de sus derechos fundamentales —vida privada, datos personales— frente a plataformas digitales.
- Permite exigir cumplimiento efectivo del RGPD y responsabilización del operador ante un tratamiento ilícito.
Conclusión
La sentencia C-492/23 del TJUE marca un punto de inflexión en la responsabilidad de plataformas de mercado en línea: cuando permiten la publicación de anuncios con datos personales (y en particular datos sensibles), no pueden considerarse meros intermediarios exentos de responsabilidad, sino responsables del tratamiento. Esto implica que deben cumplir con todas las obligaciones del RGPD.
En definitiva en la era digital no puedes beneficiarte económicamente de un servicio donde circulan datos personales y a la vez desentenderte de las consecuencias alegando que solo pones la infraestructura. Si diseñas el servicio, si determinas cómo funciona, si tienes capacidad de control sobre lo que se publica, entonces tienes responsabilidad sobre esos datos.