El TJUE se pronuncia sobre el control algorítmico y su impacto en el Safe Harbour de los proveedores de servicios de alojamiento
Autores
La Sentencia del Tribunal de Justicia de la Unión Europea (“TJUE”) de 16 de junio de este año 2026 resuelve dos cuestiones prejudiciales presentadas por el Conseil d’État francés relativas a los casos: (i) C-188/24, que enfrentaba a WebGroup Czech Republic, a.s. y NKL Associates s.r.o. (sociedades checas titulares de plataformas de contenidos para adultos) con las autoridades francesas, por haber impuesto restricciones a sus negocios en Francia mediante una norma francesa que obliga a la implementación de un sistema de verificación de edad para evitar el acceso por parte de menores; y (ii) C-190/24, que enfrentaba a Coyote System (titular de una plataforma de asistencia a la conducción y notificación de incidencias de tráfico) también con las autoridades francesas, por la prohibición de redifusión a través de su plataforma de información sobre la ubicación de determinados controles de tráfico.
El análisis del TJUE abarca, de un lado, la extensión del “ámbito coordinado” previsto en la Directiva 2000/31/CE, sobre el comercio electrónico (“DCE”) y, de otro lado, el impacto del control algorítmico a los efectos de considerar si los actos de difusión de información sujetos a ese control están o no amparados por la exención de responsabilidad prevista en la DCE para los prestadores de servicios de la sociedad de la información.
1.- Con respecto al ámbito coordinado y de conformidad con el principio de control en el Estado Miembro de origen, el TJUE recuerda que los Estados Miembros no pueden imponer restricciones generales a los prestadores de servicios de la sociedad de la información ubicados en otros Estados Miembros, salvo que se trate de medidas necesarias, específicas y proporcionadas atendiendo a motivos de interés público, protección de la salud, seguridad pública o protección de consumidores.
En los casos analizados, el TJUE considera que la implementación de un sistema de verificación de edad para evitar el acceso a menores a contenidos pornográficos y la prohibición de notificaciones sobre controles de tráfico son medidas legítimas y justificadas por motivos de orden público y que, por tanto, su aplicación por los Estados Miembros es conforme al Derecho de la Unión.
2.- A continuación, el TJUE aborda uno de los puntos más interesante de la sentencia, a saber, en qué medida la difusión de información sobre controles de tráfico realizada en la plataforma de Coyote Systems puede quedar amparada por la exención de responsabilidad de la DCE para servicios de alojamiento. Análisis que el TJUE realiza sobre la base del concepto de “prestador de servicios de la sociedad de la información” y los requisitos de aplicación del régimen de responsabilidad, de conformidad con los artículos 14 y 15 de la DCE —suprimidos, con efectos a partir del 17 de febrero de 2024, por el Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (“DSA”)—.
A este respecto, el TJUE alcanza las dos siguientes conclusiones:
- Por lo que respecta a la exención de responsabilidad, el TJUE da un paso más en su jurisprudencia sobre cuándo debe considerarse que un proveedor de servicios de alojamiento goza de un grado de conocimiento o de control sobre el contenido que le impide beneficiarse de la exención de responsabilidad del artículo 14 de la DCE (hoy en día, el artículo 6 de la DSA). Como es sabido, tanto el artículo 14 de la DCE como el artículo 6 de la DSA condicionan la aplicación de la exención de responsabilidad a que: (a) el prestador de servicios no tenga conocimiento efectivo de la actividad o la información ilícita y, en lo que se refiere a solicitudes de indemnización por daños y perjuicios, no tenga conocimiento de hechos o circunstancias por que revelen su carácter ilícito; o (b) en cuanto tenga ese conocimiento, el prestador actúe con prontitud para retirar los datos o impedir el acceso al contenido ilícito. Esta exención no se aplica cuando el destinatario del servicio actúe bajo la autoridad o control del prestador. A este respecto, el TJUE ha venido exigiendo (en línea con lo actualmente previsto en el Considerando (18) y siguientes y artículo 6 de la DSA), para que un prestador se beneficie de la exención de responsabilidad, que este adopte un papel tecnológicamente neutro, lo que exige que la actividad del prestador sea meramente técnica, automática y pasiva. Solo así se entenderá que el prestador no tiene conocimiento ni control sobre la información que retransmite o almacena. Hasta la fecha, la jurisprudencia del TJUE había venido abordando el conocimiento y el control del contenido de forma conjunta, de modo que se podía entender que el control presupone en cierto modo el conocimiento del contenido ilícito. Sin embargo, en su sentencia de 16 de junio de 2026 (§110), el TJUE establece con claridad que conocimiento y control son dos condiciones alternativas y autónomas entre sí, de modo que puede existir control sin que el prestador del servicio tenga conocimiento efectivo del ilícito. En particular, tras examinar el caso en cuestión, el TJUE determinó que el rol de Coyote Systems no era neutral, es decir, su actuación no era únicamente técnica, automática y pasiva, ya que, a través de sus algoritmos, determinaba, en beneficio de su plataforma, qué informaciones difundir o no, en qué condiciones y en qué orden de prioridad. En concreto, la sentencia concluyó:
- Que un algoritmo utilizado por un prestador de servicios de la sociedad de la información para determinar, en su propio beneficio o en el de su servicio, si la información facilitada por el usuario se transmite o no, y, en su caso, bajo qué condiciones, cómo y en qué orden, implica un control del contenido por parte del prestador que no le permite beneficiarse de la liability exemption.
- Que Coyote System, al haber implementado ese “algoritmo controlador” no tenía un rol neutral como prestador de un servicio de la sociedad de la información que le permitiese beneficiarse de la excepción de responsabilidad, ya que, aunque almacenaba información facilitada por sus usuarios, controlaba dicha información a través del algoritmo.
A nuestro modo de ver, la conclusión del TJUE debe entenderse en el contexto de la actividad del prestador de servicios y el concreto modelo de control algorítmico empleado: un servicio de asistencia a la conducción, donde la información facilitada por los usuarios no tiene una entidad autónoma, sino que opera en beneficio de la plataforma y en el que el control algorítmico tiene por función, precisamente, optimizar la prestación del servicio. Por tanto, estas conclusiones no necesariamente serán aplicables a otros sistemas de filtrado o de moderación de contenidos potenciados por algoritmos, pues ello vaciaría de contenido el sistema de exención de responsabilidad de la DSA.
- Por último, también resulta de interés el análisis que realiza el TJUE respecto a la ausencia de obligación de monitorización activa de los contenidos, en relación con la alegación de Coyote System sobre a la improcedencia de establecer una prohibición general que obligue al prestador a impedir la difusión de información sobre determinados controles de tráfico. Al respecto, la sentencia indica que Coyote System retrasmite mensajes vía plataforma en los que sus usuarios generalmente notifican controles de alcohol y drogas, así como controles policiales de otro tipo. A pesar de que el artículo 15 de la DCE (al igual que el actual artículo 8 de la DSA) no obliga a los prestadores de servicios de la sociedad de la información a monitorizar el contenido que almacenan, el TJUE declara que ello es compatible con que las autoridades nacionales puedan imponer ciertas obligaciones de monitorización del contenido a los prestadores de servicios de la sociedad de la información siempre que se trate de medidas específicas, limitadas a casos concretos (es decir, no obligaciones generales de monitorización). En este caso, el TJUE considera que una prohibición de compartir información sobre determinados controles de tráfico es suficientemente concreta y limitada, pudiendo incluso implementarse de forma automatizada por el prestador del servicio, por lo que su imposición no resultaría contraria a la prohibición de imposición de obligaciones legales de monitorización activa de contenidos.
En definitiva, esta sentencia es relevante por varios motivos: (i) aclara la posibilidad y requisitos para que los Estados Miembros impongan ciertas restricciones (no generales y muy justificadas) a las plataformas, teniendo en cuenta el principio de control por el Estado Miembro de origen; y (ii) establece que, en determinados supuestos, el control algorítmico puede poner en riesgo la aplicación de la exención de responsabilidad (hosting liability exemption) hoy recogida en la DSA.