CJUE: Las plataformas de anuncios son responsables de los datos personales publicados por los usuarios. El caso se originó en Rumanía.
Bruselas, 2 de diciembre de 2025 La Corte de Justicia de la Unión Europea ha establecido que los operadores de plataformas de anuncios son responsables de la protección de los datos personales publicados en los anuncios cargados por los usuarios, siendo considerados "operadores de datos" en el sentido del GDPR. La decisión obliga a los marketplaces a adoptar medidas proactivas para verificar la identidad de la persona afectada y confirmar el consentimiento explícito, así como a impedir la republicación no autorizada de anuncios en otros sitios. La decisión tiene una relevancia mayor para el mercado en Rumanía, ya que el caso surgió de la publicación de un anuncio falso en una plataforma rumana.
En resumen
El CJUE establece que las plataformas de anuncios son "operadores de datos" en el sentido del GDPR y llevan responsabilidad directa.
Las plataformas deben verificar la identidad y el consentimiento de la persona afectada antes de la publicación del anuncio.
El caso proviene de Rumanía, donde los datos de una mujer fueron utilizados en un anuncio falso y redistribuidos en otros sitios.
El caso llegó ante el CJUE después de que una mujer de Rumanía descubriera que sus fotografías y su número de teléfono habían sido utilizados en un anuncio publicado en una plataforma online de anuncios, sin su consentimiento. El anuncio fue posteriormente copiado automáticamente y redistribuido en otros sitios, amplificando el daño. Aunque ella ganó en primera instancia, el tribunal de apelación planteó preguntas sobre la responsabilidad del operador de la plataforma y envió el caso para aclaración a la Corte de Justicia.
La Corte decidió que un marketplace que permite a los usuarios publicar anuncios procesa activamente los datos personales incluidos en esos anuncios. Por lo tanto, la plataforma no puede ser tratada como un simple intermediario técnico y no puede invocar el régimen de "safe harbour" de la Directiva sobre comercio electrónico. En la visión del CJUE, el operador de anuncios tiene la obligación de analizar si los datos incluidos son los de la persona que publica el anuncio, si la persona afectada ha dado su consentimiento y si la información no entra en la categoría de datos sensibles protegidos por el artículo 9 del GDPR.
La decisión introduce también una obligación adicional: las plataformas deben implementar medidas técnicas para prevenir la copia y redistribución no autorizada de anuncios, un aspecto de gran impacto en Rumanía, donde muchos sitios de anuncios están incluidos en redes automáticas de agregación.
La decisión del CJUE tiene implicaciones directas para todas las plataformas rumanas de anuncios, especialmente aquellas que permiten la publicación de contenido generado por usuarios de manera no filtrada. Los operadores deberán revisar y actualizar sus procedimientos internos, verificar la identidad de los usuarios en situaciones de alto riesgo, asegurar la trazabilidad del consentimiento y implementar barreras técnicas anti-scraping. Para los usuarios, la decisión ofrece un marco claro de protección cuando sus datos son utilizados abusivamente en anuncios falsos.
La decisión del CJUE se vuelve obligatoria para los tribunales de Rumanía y de todos los estados miembros de la UE. El expediente regresa ahora al tribunal rumano para su resolución de fondo, de acuerdo con la interpretación jurídica establecida por la Corte.
