Bienvenido a Zero Party Data “WTF edition”. Lo sé, el Digital Omnibus también ameritaba un número urgente especial, pero llegamos hasta donde llegamos.

El caso:

Russmedia Digital es la propietaria del sitio web www.publi24.ro, lo que viene a ser el Wallapop rumano -mercado en línea donde se pueden publicar anuncios gratuitos o de pago para la venta de bienes o servicios en Rumanía-.

“X” alegó que, en agosto de 2018, un tercero no identificado publicó en publi24 un anuncio falso con sus datos personales, incluidas fotografías y su número de teléfono haciendo creer que ella ofrecía servicios sexuales.

A su requerimiento, Russmedia eliminó el anuncio de su sitio web menos de una hora después de recibir la solicitud, pero el mismo anuncio seguía aún disponible en otros sitios web que lo habían “escrapeado”.

X presentó una demanda de indemnización por daños morales derivados del tratamiento ilícito de sus datos personales e infracción de sus derechos de imagen, honor e intimidad. La cuestión prejucial se plantea en segunda instancia.

La cuestión prejudicial del Tribunal rumano

Se plantea sustancialmente hasta dónde llegan las consecuencias si Russmedia es calificada como “responsable” o “corresponsable del tratamiento” de los datos personales de X al publicar el anuncio a requerimiento de su cliente, que es un tercero.

Recordemos que los prestadores de servicios “intermediarios” -hosting como p.ej. Google o publicación como p. ej. Youtube- están (espóiler: “ESTABAN”) exentos de responsabilidad (Directivas e-commerce, ePrivacy) por ilícitos relacionados con los contenidos almacenados o publicados por un tercero mientras no tuvieran conocimiento directo de la misma -de ahí los botoncitos de notificación y denuncia ofrecidos a los usuarios-.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad tecnológica desde el punto de vista del derecho de protección de datos y la IA de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

La nueva doctrina jurisprudencial

El TJUE aplica en su sentencia un montón de doctrinas sentadas en los últimos años:

.- La protección reforzada de los datos sensibles exige una interpretación extensiva de éstos.

.- Aunque los datos que publiquen sobre tu vida u orientación sexual sean falsos, todavía son “datos sensibles” (categoría especial).

.- Russmedia es corresponsable de tratamiento a efectos del RGPD, junto con el usuario anunciante, porque:

· Se beneficia económicamente de lo que publica, lo hace en nombre propio, no por cuenta de sus usuarios, ha diseñado de forma activa el servicio: no es neutral.

· En sus condiciones se reserva el derecho a “distribuir, transmitir, publicar, suprimir o incluso reproducir la información contenida en los anuncios, incluidos los datos personales que contengan”. Este wording es omnipresente en plataformas online.

· No por ello es responsable de la suplantación de identidad perpetrada por su usuario. Pero sí por la publicación.

Conclusiones de la sentencia

.- Operador y usuario anunciante son corresponsables de la publicación y por tanto deben poder demostrar que los datos personales contenidos en el anuncio en cuestión son publicados de manera lícita, es decir, con el consentimiento del interesado titular de los datos publicados, u otra base legítima del art. 6 RGPD.

.- Cuando los datos son de categoría especial, el consentimiento debe ser explícito y además, es particularmente importante que los datos sean exactos.

.- El operador es responsable, no en el momento de la publicación, sino desde el diseño del servicio, de aplicar medidas efectivas para identificar datos sensibles en publicaciones y validar su conformidad de acuerdo con lo anterior.

.- Además debe evitar que terceros hagan data scraping de estas publicaciones con datos sensibles. El TJUE no concreta cómo puede hacerse eso.

Concretamente (apartado 137), cuando medien datos sensibles, el operador debe:

a. Identificar los anuncios que contengan datos sensibles, (del art 9 RGPD). Para hacer eso hay que controlar los contenidos propuestos por los usuarios ex ante.

b. Verificar si el usuario anunciante que se dispone a colocar un anuncio de ese tipo es la persona cuyos datos sensibles figuran en el anuncio (es decir: tiene no necesariamente verificar la identidad del usuario, pero casi) y, de no ser así,

c. Denegar su publicación, a menos que dicho usuario anunciante pueda demostrar que el interesado ha dado su consentimiento explícito o concurre otra circunstancia del 9.2 RGPD (es decir: denegar su publicación).

d. Aplicar medidas de seguridad técnicas y organizativas apropiadas para impedir que anuncios que se hayan publicado en ese mercado y que contengan datos sensibles, sean copiados e ilícitamente publicados en otros sitios web. (Esto es, directamente, imposible técnicamente).

Pero oiga, ¿Esta nueva doctrina no contraviene la famosa exención de responsabilidad de la directiva e-commerce, e ePrivacy?

137.3 “El operador de un mercado en línea, como responsable del tratamiento, en el sentido del RGPD de los datos personales contenidos en anuncios publicados en su mercado en línea, no puede invocar, respecto al incumplimiento de las obligaciones resultantes de los artículos 5.2, 24 a 26 y 32 de este Reglamento, los artículos 12 a 15 de dicha Directiva, relativos a la responsabilidad de los prestadores de servicios intermediarios.”

¿Esta doctrina es extrapolable a otros casos?

Pocas dudas sobre esto.

El TJUE califica explícitamente en esta sentencia (apartados 71, 72) también como responsables a estos efectos a (i) los mercados en línea como publi24, a (ii) plataformas como Facebook o Instagram. (Hola, Twitter, Threads, Bluesky) y a (iii) motores de búsqueda.

Este es el párrafo (74) que te corta la respiración:

74.- “De cualquier modo, el operador de un mercado en línea no puede eludir su responsabilidad, como responsable del tratamiento de datos personales, apoyándose en que no fue él quien determinó el contenido del anuncio controvertido publicado en dicho mercado. En efecto, sería incompatible no solo con el claro tenor del artículo 4, punto 7, del RGPD, sino también con el objetivo de esta disposición.”

Otras actividades “potencialmente” afectadas:

.- Apps y plataformas de citas. “Comprueba que tu usuario es quien dice ser, y si no, no publiques su perfil”. La parte más sabrosa de cualquier perfil es la sensible. Por otro lado esta doctrina se lleva por delante, por definición, modelos como el de Grindr. O OnlyFans.

.- Apps y plataformas para conseguir crowdfunding: normalmente cuentan pelos y señales (necesidad de una operación, de un tratamiento médico) de terceros: justamente los beneficiarios de la ayuda económica, que no son el usuario.

.- Plataformas de opiniones y valoraciones de profesionales médicos, en las que el usuario habla de su dolencia y puede mentir sobre si acudió siquiera al profesional que critica.

.- Cualquier servicio que admita y publique reseñas o valoraciones que recurrente o puntualmente contengan datos sensibles (la más obvia: las denuncias por trato discriminatorio en función del dato del 9 que más les guste).

.- El ¿“AI training”?: la ingesta masiva de todo tipo de datos incluyendo personales y dentro de estos, de categoría especial, no suministrados por los interesados. Es discutible que este tratamiento culmine en su publicación o algo parecido pero ¡Eh! El TJUE siempre consigue sorprendernos.

.- Last but not least, cualquier feed de noticias que se les ocurra: los servicios agregadores de noticias que emplean servicios de recomendación personalizada son cualquier cosa menos servicios pasivos.

Los medios editores de las noticias están protegidos por la libertad de prensa, pero los agregadores de noticias… ¿Tienen que cerciorarse de si el último exabrupto proveniente de un pseudo medio subvencionado desde un partido o una Consejería ha sido o no escrito por el interesado?

Y en caso contrario, si lo publicado (¿enlazar es igual que republicar, a efectos Russmedia?) es o no inexacto?. Ah, preguntas.

Parece adecuado aplicar aquí la muy asentada doctrina sobre la hiperflexibilización -léase “desustancialización”- del derecho de protección de datos de las “personas públicas” fuera de su ámbito estrictamente personal y familiar.

Jorge García Herrero

DPO externo de Freepik

Si te ha gustado Zero Party Data, compártelo, no seas asín.

Compartir