De intermediarios a corresponsables: el nuevo estándar de responsabilidad de plataformas digitales en Europa y su efecto en Chile

Artículos31 de diciembre de 2025
con la próxima entrada en vigencia de la Ley N° 19.628 y su modificación por la Ley N° 21.719, sobre Protección de Datos Personales, el tránsito hacia un nuevo estándar de protección de datos personales que regirá para marketplaces, redes sociales y plataformas de intermediación locales enfrenta cada vez más desafíos urgentes.

La sentencia “Russmedia” (TJUE, 02.12.2025, C-492/23) redefine la responsabilidad de los operadores de mercados y plataformas en línea cuando se tratan datos personales en anuncios publicados por terceros, especialmente cuando incluyen datos sensibles, afirmando la prevalencia del Reglamento General de Protección de Datos de la Unión Europea (RGPD) sobre las “safe harbours” de la Directiva 2000/31 (Directiva sobre el comercio electrónico).


El caso surge por un anuncio en el sitio web rumano Publi24.ro que atribuía, falsamente, servicios sexuales, a la demandante, usando fotos y teléfono sin su consentimiento.. Aunque Russmedia retiró el anuncio rápidamente, este fue replicado por otros sitios. 


Tras fallos contradictorios en Rumania, el asunto llegó al TJUE para determinar si un marketplace puede ser considerado responsable (o corresponsable) del tratamiento de los datos personales contenidos en los anuncios que alojan terceros y si puede invocar las exenciones de responsabilidad de la Directiva 2000/31 frente a las obligaciones derivadas del RGPD.


El TJUE adoptó una visión amplia de responsable del tratamiento, coincidente con la Ley chilena en materia de protección de datos personales , entendiéndolo como cualquier entidad que “que, solo o junto con otros, determine los fines y medios del tratamiento” de datos personales.


De este modo, aún cuando el usuario anunciante, quien define el contenido y los datos incluidos en el anuncio, es el principal responsable, el operador del marketplace también puede ser considerado responsable del tratamiento de los datos personales contenidos en los anuncios cuando:

  • Publique datos con fines comerciales propios o publicitarios propios, que van más allá de la mera prestación técnica de alojamiento al anunciante.;
  • Sus condiciones de uso le permiten reutilizar o difundir la información;
  • Defina parámetros de visibilidad, duración o segmentación que influyen en la difusión de los datos.

En este sentido, lo relevante para atribuir la calidad de responsable es la actividad que de facto se realiza sobre los datos (difusión, monetización, configuración), y no solo la forma en que el operador se autodefine, por ejemplo, como un “mero intermediario”.


En cuanto a la aplicación de la exención de responsabilidad contenida en la Directiva 2000/31, el TJUE concluye que el RGPD se aplica sin perjuicio de la Directiva 2000/31 y que las normas de la Directiva no pueden menoscabar las exigencias del RGPD, ya que precisamente esta última es la normativa especializada. 


En consecuencia, el operador de un mercado en línea, que actúa como responsable del tratamiento de los datos personales contenidos en anuncios publicados en su mercado en línea, no puede invocar, respecto del incumplimiento de las obligaciones derivadas del RGPD, la Directiva 2000/31. Esto no impide que el operador pueda invocar los “safe harbours” frente a otras reclamaciones no relacionadas con protección de datos personales.


El núcleo más disruptivo de la sentencia se centra en que el Tribunal establece obligaciones reforzadas cuando hay datos personales sensibles, ya que exigue que el operador, antes de la publicación, deba identificar estos contenidos, verificar si el anunciante es el titular y, de no serlo, exigir consentimiento explícito o aplicar una excepción válida . Esto es compartido por la normativa nacional, ya que la Ley N°19.628, modificada por la Ley N° 21.719, señala que el tratamiento de datos sensibles sólo puede realizarse cuando el titular a quien conciernen estos datos manifiesta su consentimiento en forma expresa, salvo excepciones. 


El Tribunal vincula estas exigencias con el principio de responsabilidad proactiva  y las obligaciones de protección de datos desde el diseño y por defecto , principios compartidos por nuestra normativa. 

Por tanto, desde una perspectiva técnica, la sentencia de Russmedia nos entrega al menos cuatro vectores de novedad:

  • Extensión de la “joint controllership”: Se consolida la idea de que los operadores que estructuran visibilizan y monetizan anuncios de terceros comparten la condición de responsables con los usuarios anunciantes, aun sin intervenir en el contenido concreto ni conocer su ilicitud ex ante.
  • Establece obligaciones ex ante: Se exige identificar anuncios que contengan datos sensibles antes de su publicación, en función de una expectativa de riesgo “general” de que ese tipo de contenidos se suban a la plataforma.
  • Verificación de identidad y consentimiento explícito: Interpone una obligación de comprobar si el anunciante es la persona a la que se refieren los datos sensibles, y, si no lo es, exigirle prueba del consentimiento explícito, introduciendo un fuerte cuestionamiento a modelos que permiten publicación anónima de anuncios con contenido personal de terceros.
  • Separación entre régimen de intermediarios y régimen de datos personales: La sentencia determina que el estatuto de intermediario en la Directiva 2000/31 no neutraliza las obligaciones de seguridad, diseño y responsabilidad proactiva del RGPD.

Aun así, el TJUE aclara que estas exigencias no equivalen a una monitorización general prohibida en el sentido de la Directiva.


En Chile, donde no existe un “safe harbour” similar, esta decisión ofrece criterios para evaluar la corresponsabilidad de plataformas que estructuran y monetizan contenidos de terceros, y para diseñar obligaciones ex ante respecto de datos sensibles. Sectores como marketplaces, redes sociales, aplicaciones de citas, valoraciones profesionales o contenido generado por usuarios deberán revisar medidas de seguridad, trazabilidad y límites contractuales para evitar replicaciones ilícitas.


Por último, la sentencia abre el debate sobre cómo equilibrar la protección frente a anuncios falsos o degradantes, la necesidad de identificar a quienes publican datos de terceros y la preservación de espacios de expresión anónima.


________________________

[1] Artículo 2, letra n). Ley 19.628 y su modificación por la Ley 21.7189, sobre Protección de Datos Personales.  

[1] Artículo 4.7. RGPD

[1] Compartido por el Art. 13 del Código Civil chileno que señala que “las disposiciones de una ley, relativas a cosas o negocios particulares, prevalecerán sobre las disposiciones generales de la misma ley, cuando entre las unas y las otras hubiere oposición”. 

_______________________

[1] Las excepciones contenidas en el RGPD son taxativas y se encuentran contenidas en el Art. 9.2. RGPD. 

[1] Art. 16. Ley 19.628 y su modificación por la Ley 21.719, sobre Protección de Datos Personales. 

[1] La Ley 19.628 y su modificación por la Ley 21.719, sobre Protección de Datos Personales, incorpora el concepto de “responsabilidad proactiva” de forma estructural al régimen de protección de datos en Chile, lo que se traduce en obligaciones concretas y se materializa, por ejemplo, en la obligación de mantener un registro de actividades de tratamiento, realizar evaluaciones de impacto, implementar medidas preventivas y seguridad, documentar decisiones, y poder demostrar ante la autoridad que se cumplen los principios y obligaciones. 

[1] Artículo 14 quáter. Ley 19.628 y su modificación por la Ley 21.719, sobre Protección de Datos Personales. 

[1] Artículo 15. Inexistencia de obligación general de supervisión.

Una pasarela de vidrio suspendida sobre una estructura moderna con sombras proyectadas.

Socios relacionados

ACTUALIDAD #ECIJA