Tribunal de Justicia de la Unión Europea (2.12.2025)

- SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala) de 2 de diciembre de 2025, en el asunto C‑34/24 (Stichting Right to Consumer Justice y Stichting App Stores Claims): Procedimiento prejudicial — Competencia judicial, reconocimiento y ejecución de resoluciones judiciales en materia civil y mercantil — Reglamento (UE) n.º 1215/2012 — Artículo 7, punto 2 — Competencia especial en materia delictual o cuasidelictual — Determinación de la competencia territorial de un órgano jurisdiccional de un Estado miembro — Lugar donde se ha producido el hecho dañoso — Lugar donde se ha materializado el daño — Acción de representación que tiene por objeto la reparación de los daños causados por prácticas contrarias a la competencia consistentes en la facturación por parte del gestor de una plataforma en línea, dirigida a todos los usuarios de un Estado miembro, de una comisión excesiva sobre el precio de las aplicaciones y productos digitales comercializados en dicha plataforma — Acción ejercitada por una entidad habilitada para defender los intereses colectivos de una pluralidad de usuarios no identificados, pero identificables.

Fallo del Tribunal:
"El artículo 7, punto 2, del Reglamento (UE) n.º 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil,
debe interpretarse en el sentido de que,
en el mercado de un Estado miembro supuestamente afectado por la realización de prácticas contrarias a la competencia, consistentes en la facturación por parte del gestor de una plataforma en línea, dirigida a todos los usuarios establecidos en ese Estado, de una comisión excesiva sobre el precio de las aplicaciones y productos digitales integrados en esas aplicaciones, comercializados en dicha plataforma, cualquier órgano jurisdiccional del referido Estado con competencia material para conocer de una acción de representación ejercitada por una entidad habilitada para defender los intereses colectivos de una pluralidad de usuarios no identificados, pero identificables, que hayan adquirido productos digitales en la mencionada plataforma tiene competencia internacional y territorial, por razón del lugar de materialización del daño, para conocer de dicha acción en relación con todos esos usuarios."

- SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala) de 2 de diciembre de 2025, en el asunto C‑492/23 (Russmedia Digital y Inform Media Press): Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 4, punto 7 — Concepto de “responsable del tratamiento” o “responsable” — Responsabilidad del operador de un mercado en línea por la publicación de los datos personales contenidos en anuncios colocados en su mercado en línea por usuarios anunciantes — Artículo 5, apartado 2, — Principio de responsabilidad — Artículo 26 — Corresponsabilidad con esos usuarios anunciantes — Artículo 9, apartados 1 y 2, letra a) — Anuncios que contienen datos sensibles — Licitud del tratamiento — Consentimiento — Artículos 24, 25 y 32 — Obligaciones del responsable del tratamiento — Identificación previa de los anuncios que contienen tales datos — Verificación previa de la identidad del usuario anunciante — Negativa a publicar anuncios ilícitos — Medidas de seguridad destinadas a impedir la copia de los anuncios y su publicación en otros sitios web — Comercio electrónico — Directiva 2000/31/CE — Artículos 12 a 15 — Posibilidad de que, respecto al incumplimiento de dichas obligaciones, tal operador invoque la exención de responsabilidad de un prestador intermediario de servicios de la sociedad de la información.

Fallo del Tribunal:
"1) Los artículos 5, apartado 2, y 24 a 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
deben interpretarse en el sentido de que
el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, de dicho Reglamento, de los datos personales contenidos en anuncios publicados en su mercado en línea, está obligado, antes de la publicación de los anuncios y aplicando medidas técnicas y organizativas apropiadas,
   – a identificar los anuncios que contengan datos sensibles, en el sentido del artículo 9, apartado 1, del mismo Reglamento,
   – a verificar si el usuario anunciante que se dispone a colocar un anuncio de ese tipo es la persona cuyos datos sensibles figuran en el anuncio y, de no ser así,
   – a denegar su publicación, a menos que dicho usuario anunciante pueda demostrar que el interesado ha dado su consentimiento explícito para que los datos en cuestión se publiquen en ese mercado en línea, en el sentido del citado artículo 9, apartado 2, letra a), o concurra alguna de las otras excepciones establecidas en el citado artículo 9, apartado 2, letras b) a j).
2) El artículo 32 del Reglamento 2016/679
debe interpretarse en el sentido de que
el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, de dicho Reglamento, de los datos personales contenidos en anuncios publicados en su mercado en línea, está obligado a aplicar medidas de seguridad técnicas y organizativas apropiadas para impedir que anuncios que se hayan publicado en ese mercado y que contengan datos sensibles, en el sentido del artículo 9, apartado 1, del mismo Reglamento, sean copiados e ilícitamente publicados en otros sitios web.
3) El artículo 1, apartado 5, de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), y el artículo 2, apartado 4, del Reglamento 2016/679
deben interpretarse en el sentido de que
el operador de un mercado en línea, como responsable del tratamiento, en el sentido del artículo 4, punto 7, del Reglamento 2016/679, de los datos personales contenidos en anuncios publicados en su mercado en línea, no puede invocar, respecto al incumplimiento de las obligaciones resultantes de los artículos 5, apartado 2, 24 a 26 y 32 de este Reglamento, los artículos 12 a 15 de dicha Directiva, relativos a la responsabilidad de los prestadores de servicios intermediarios."