- Introducción
En los últimos años, la Unión Europea (UE) se ha propuesto convertirse en un faro en materia de regulación de tecnologías emergentes, especialmente en IA[1] y en tecnologías de registros distribuidos[2], creando nuevos marcos jurídicos e incluso espacios de prueba controlados -regulatory sandboxes-[3] que buscan desarrollar nuevos sectores y nuevos actores[4] en la Economía de los Datos.
Con tal objetivo en miras, la Comisión Europea (CE) ha impulsando recientemente dos normas muy disruptivas: Digital Markets Act (en adelante, DMA) y la Digital Services Act (en adelante, DSA), que se analizarán en el presente, y que buscan crear un espacio digital más seguro, en el que se protejan los derechos fundamentales de los usuarios y donde se establezcan condiciones de competencia equitativas para las empresas[5].
En este sentido, la DMA entró en vigor ya en Noviembre de 2022[6], pero algunas normas han entrado en vigor entre Mayo y Junio de 2023 y otras lo harán en Marzo de 2024[7]. En cambio, la DSA[8] entrará en vigor el 17 de Febrero de 2024[9], debiendo los Estados miembros de la UE designar a sus coordinadores de servicios digitales antes de esa fecha, fecha en la que las plataformas con más de 45 millones de usuarios activos en la UE tendrán ya que cumplir todas las obligaciones previstas en la DSA[10]. Se analizará primero la DMA y luego la DSA, y se esbozan luego algunas conclusiones.
- DMA: Evaluación e Impacto
La DMA[11] es una norma comunitaria con un marcado tinte de lealtad comercial y antitrust[12], que busca proteger a las startups y PyMEs europeas. En 54 artículos repartidos en 6 capítulos y un anexo, DMA busca poner fin a ciertas prácticas anticompetitivas o desleales que la CE detectó, y que oportunamente endilgó[13] a los guardianes de acceso -o gatekeepers: gigantescas empresas de base tecnológica que prestan ciertos servicios que han quedado dentro del perímetro regulatorio de la DMA definidas en el Art. 3.
Así, en la visión de la CE, la DMA tiene por objeto evitar que los guardianes de acceso impongan condiciones injustas a las empresas y los usuarios finales, y garantizar el carácter abierto de importantes servicios digitales[14]. Subyace una presunción de que las características específicas de los denominados servicios básicos de plataforma definidos en el Art. 2(2) hace que este tipo de empresas tengan una natural inclinación del mercado a su favor[15]: una vez que ha logrado cierta ventaja sobre sus rivales o potenciales competidores en términos de tamaño o poder de intermediación, su posición podría volverse inexpugnable y la situación podría evolucionar hasta un punto en el que sea probable que goce de una posición afianzada y duradera en un futuro cercano. Entonces, es ahí donde parece apropiado intervenir, antes de que se produzca una inclinación irreversible del mercado[16].
Por ejemplo, los guardianes de acceso recogen directamente datos personales de los usuarios finales para prestar servicios de publicidad on line cuando los usuarios finales utilizan sitios web y aplicaciones informáticas de terceros, e incluso éstos mismos también facilitan a los guardianes de acceso los datos personales de sus usuarios finales, para hacer un mejor uso de determinados servicios digitales prestados por los guardianes de acceso.
Desde la óptica del online advertising, el tratamiento de datos personales de terceros que utilizan servicios básicos de plataforma otorga de facto a los guardianes de acceso grandes ventajas potenciales en términos de acumulación de datos, dado que tratan datos personales de un número considerablemente mayor de terceros que otras empresas. Esto crea, potencialmente, obstáculos a la entrada al mercado de publicidad on line, obstáculos que se potencian cuando el gatekeeper, además: (i) combina datos personales de usuarios finales recogidos de un servicio básico de plataforma con datos recogidos de otros servicios, (ii) utiliza datos personales de un servicio básico de plataforma en otros servicios que el mismo guardián de acceso presta por separado; e (iii) inicia la sesión de usuarios finales en diferentes servicios de guardianes de acceso para combinar datos personales[17]. Para garantizar que los guardianes de acceso no menoscaben deslealmente la disputabilidad de los servicios básicos de plataforma, los guardianes deben permitir que los usuarios finales puedan elegir libremente participar en tales prácticas de tratamiento de datos e inicio de sesión, sin condicionar el uso del servicio básico de plataforma o de determinadas funcionalidades al consentimiento del usuario final. No prestar el consentimiento no debe ser más difícil que prestarlo[18].
Por otro lado, mediante la imposición de condiciones contractuales, los guardianes de acceso pueden restringir la capacidad de los usuarios profesionales -PyMEs y startups- para ofrecer productos o servicios a sus usuarios finales en condiciones más favorables, incluido el precio, a través de otros servicios de intermediación on line o de sus canales de venta directa. Cuando tales restricciones se refieren a servicios de intermediación en línea de terceros, limitan la disputabilidad entre plataformas, lo que, a su vez, limita las opciones de servicios alternativos de intermediación para los usuarios finales. Cuando tales restricciones se refieren a canales de venta directa, pueden limitar injustamente la libertad de los usuarios profesionales para utilizar dichos canales. Entonces luce evidente que no debe aceptarse que los guardianes de acceso limiten la posibilidad de que los usuarios profesionales escojan diferenciar las condiciones comerciales, incluido el precio o medidas de efecto equivalente, como el aumento de los porcentajes de comisión o la supresión de las ofertas de los usuarios profesionales[19].
Otro ámbito donde se ve claro el riesgo potencial antiturst es en el cloud computing: la obligación de no utilizar los datos de usuarios profesionales -PyMEs y startups- debe extenderse a los datos proporcionados o generados por los usuarios profesionales del guardián de acceso, cuando utilizan el servicio de computación cloud del guardián de acceso[20].
Análisis de Considerandos y Artículos Clave
A lo largo de casi 26 páginas con 109 considerandos, el Parlamento Europeo (PE) ratificó la visión de la CE y del Consejo de la Unión Europea (CUE), sancionando una norma de enorme impacto en el sector tecnológico global.
DMA reconoce lo evidente: que los servicios digitales en general y las plataformas on line[21] en particular desempeñan un papel cada vez más importante en la economía, especialmente en el mercado interior, posibilitando que las empresas lleguen a usuarios de toda la UE, facilitando el comercio transfronterizo y ofreciendo oportunidades de negocio completamente nuevas a un gran número de empresas en la UE en beneficio de los consumidores[22].
En la visión de la CE y del PE, entre esos servicios digitales existen los servicios básicos de plataforma -i.e. objeto de regulación de la DMA- que presentan características especiales: (i) economías de escala extremas, lo que implica costos marginales prácticamente nulos para sumar nuevos usuarios profesionales (empresas) o usuarios finales; (ii) efectos de red muy potentes; (iii) importante grado de dependencia de los usuarios profesionales y los usuarios finales, efectos de cautividad[23], falta de multiconexión para el mismo propósito por parte de los usuarios finales, integración vertical y enormes ventajas derivadas de los datos; y (iv) prácticas desleales de las empresas prestadoras de tales servicios básicos de plataforma, todo lo cual confiere al proveedor de esos servicios una posición que la CE ha bautizado “guardián de acceso”[24].
Esta plataforma fáctica justifica que un reducido número de grandes empresas prestadoras de servicios básicos de plataforma hayan acumulado un gran poder económico, que además les permite conectar a muchos usuarios profesionales con muchos usuarios finales a través de sus servicios, lo que, a su vez, les permite trasladar sus ventajas en materia de datos de un ámbito de actividad -i.e. en términos antitrust, de un mercado relevante de servicios- hacia otro u otros mercados.
En este sentido, la CE es consciente que algunas de estas empresas controlan ecosistemas completos de plataformas en la economía digital, y que a los operadores del mercado existentes o nuevos les resulta sumamente difícil, por motivos estructurales, competir con ellos o disputarles el mercado[25]. Ello además se completa con enormes obstáculos a la entrada -altos costos de inversión- o para la salida del mercado -ausencia de algunos insumos clave como los datos-. Por todo ello, aumenta la probabilidad de que los mercados subyacentes no funcionen bien[26]. Esta es la razón por la cual DMA se aplica a priori sólo a grandes empresas que, en los hechos: (i) son una puerta de acceso importante a tales servicios, y dicha (ii) empresa tiene una gran influencia en el mercado interior y cuenta con (iii) una posición afianzada y duradera[27], o es previsible que alcance tal posición en el futuro[28]. Respecto de tales tipos de empresas, la CE debe poder designarlos directamente como guardianes de acceso[29].
Una vez designados como guardianes de acceso, estas empresas deberán cumplir las 25 obligaciones que se analizan más abajo, y que prohíben prácticas que menoscaban la disputabilidad del mercado[30] o que no son equitativas[31], o ambas cosas, y que tienen un impacto directo especialmente negativo en los usuarios profesionales -PyMEs- y los usuarios finales[32].
Por otro lado, la usual integración vertical de los gatekeepers permite que ofrezcan determinados productos o servicios a los usuarios finales a través de sus propios servicios básicos de plataforma, o a través de un usuario profesional sobre el que ejercen control, lo que con frecuencia conduce a conflictos de intereses, por ejemplo cuando un guardián de acceso presta sus propios servicios de intermediación a través de un propio motor de búsqueda. Al ofrecer esos productos o servicios dentro del servicio básico de plataforma, los guardianes de acceso pueden reservar una posición mejor a su propia oferta en términos de clasificación y de las funciones relacionadas de indexado y rastreo, comparado con los productos o servicios de terceros que también operan en ese servicio básico de plataforma[33].
Finalmente, aunque existan normas comunitarias antitrust[34], su aplicación no garantiza un funcionamiento óptimo de los mercados digitales y de todos los servicios en ellos prestados[35], y por tal razón, la DMA busca que los usuarios profesionales y los usuarios finales de servicios básicos de plataforma prestados por guardianes de acceso tengan garantías normativas adecuadas contra las prácticas desleales de los guardianes de acceso, a fin de facilitar las actividades comerciales transfronterizas dentro de la UE[36].
Servicios básicos de plataforma. Designación como guardián de acceso
La esencia de la DMA viene dada, en primer término, por la definición de servicios básicos de plataforma, que son servicios: (1) de intermediación incluyendo tiendas de descargas de Apps; (2) de motores de búsqueda; (3) de redes sociales; (4) de plataforma de intercambio de vídeos; (5) de comunicaciones interpersonales independientes de la numeración; (6) de sistemas operativos; (7) de navegadores web; (8) de asistentes virtuales; (9) de computación en nube; y (10) de publicidad on line, incluidas las redes de publicidad, las plataformas de intercambio de publicidad y cualquier otro servicio de intermediación publicitaria, prestados por una empresa que preste cualquiera de los nueve servicios básicos listados[37].
En segundo término, es esencial la definición de guardián de acceso: una empresa que presta cualquiera de los diez servicios enumerados[38] y que ha sido declarada como tal por la CE[39]. La norma también faculta a la CE a iniciar investigaciones de mercado para determinar si una empresa debe ser designada guardián de acceso, incluso si no tiene una posición afianzada en el mercado[40].
Obligaciones de los guardianes de acceso y prácticas prohibidas
El capítulo III -Arts. 5, 6 y 7- es el corazón de la DMA. Contienen 25 obligaciones[41] esenciales que los guardianes designados como tales deben cumplir con relación a cada servicio básico de plataforma. Bajo petición debidamente fundada por el guardián, la CE puede suspender el cumplimiento total o parcial de alguna de las obligaciones[42]. La CE también puede eximir motu proprio al guardián por razones de salud o seguridad públicas[43].
La lista de obligaciones del guardián es la siguiente: (1) no debe tratar, con el fin de prestar servicios de publicidad, los datos personales de los usuarios finales que utilicen servicios de terceros que hagan uso de los servicios básicos de plataforma del guardián de acceso; (2) no debe combinar datos personales de los servicios básicos de plataforma pertinentes con datos personales de cualesquiera servicios básicos de plataforma adicionales o de cualquier otro servicio prestado por el mismo guardián de acceso o con datos personales de servicios de terceros; (3) no debe cruzar datos personales del servicio básico de plataforma pertinente con otros servicios que preste el guardián de acceso por separado, otros servicios básicos de plataforma, y viceversa; (4) no debe iniciar la sesión de usuarios finales en otros servicios del guardián de acceso para combinar datos personales -salvo con consentimiento del usuario final-; (5) no debe aplicar obligaciones que impidan a los usuarios profesionales ofrecer los mismos productos o servicios a usuarios finales a través de servicios de intermediación de terceros, o de su propio canal de venta directa a precios o condiciones que sean diferentes de los ofrecidos a través de los servicios de intermediación del guardián de acceso; (6) debe permitir a los usuarios profesionales, de forma gratuita, comunicar y promover ofertas, en particular con condiciones diferentes, entre los usuarios finales adquiridos a través de su servicio básico de plataforma u otros canales y celebrar contratos con esos usuarios finales, independientemente de si utilizan los servicios básicos de plataforma del guardián de acceso; (7) debe permitir a los usuarios finales, a través de sus servicios básicos de plataforma, acceder a contenidos, suscripciones, prestaciones u otros elementos y hacer uso de ellos mediante aplicaciones informáticas de un usuario profesional, también cuando dichos usuarios finales hayan adquirido estos elementos a través del usuario profesional pertinente pero sin utilizar los servicios básicos de plataforma del guardián de acceso; (8) no impedirá directa o indirectamente que los usuarios profesionales o usuarios finales puedan presentar reclamaciones por incumplimiento; (9) no exigirá a los usuarios finales que utilicen un servicio de identificación, un motor de navegación web o un servicio de pago o servicios técnicos de ese guardián de acceso que permitan la prestación de servicios de pago, tales como los sistemas de pago para realizar compras integradas en una aplicación del guardián de acceso, en el marco de los servicios prestados por los usuarios profesionales que utilicen los servicios básicos de plataforma de dicho guardián de acceso; y, en el caso de los usuarios profesionales, el guardián de acceso no les puede exigir que utilicen y ofrezcan estos servicios ni que interoperen con ellos; (10) no exigirá a los usuarios profesionales o a los usuarios finales que se suscriban o registren en cualquier servicio básico de plataforma adicional, como condición para poder utilizar cualquiera de los servicios básicos de plataforma de ese guardián de acceso; (11) entregará a cada anunciante al que preste servicios de publicidad- o a terceros autorizados por los anunciantes a petición del anunciante- información diaria y gratuita sobre cada anuncio del anunciante, sobre el precio y comisiones pagados, incluidas deducciones y recargos, por cada uno de los servicios de publicidad prestados por el guardián de acceso; incluyendo la remuneración recibida por el editor con su consentimiento, incluidas deducciones y recargos, y las medidas a partir de las que se calculan precios, comisiones y remuneraciones; (12) entregará a cada editor al que preste servicios de publicidad -o a terceros autorizados por los editores, a petición del editor- información diaria y gratuita sobre cada anuncio que aparezca en el inventario del editor, respecto a la remuneración recibida, las comisiones pagadas por ese editor, incluidas deducciones y recargos, por cada uno de los servicios de publicidad brindados por el guardián de acceso, incluyendo el precio pagado por el anunciante y la métrica a partir de la que se calculan cada uno de los precios y remuneraciones[44]; (13) no utilizará, en competencia con los usuarios profesionales, ningún dato que no sea públicamente accesible generado o proporcionado por dichos usuarios profesionales en el contexto de su uso de los servicios básicos de plataforma pertinentes, incluidos los datos generados o proporcionados por los clientes de dichos usuarios profesionales[45]; (14) permitirá y posibilitará técnicamente a los usuarios finales desinstalar cualquier aplicación informática del sistema operativo de dicho guardián de acceso, aunque dicho guardián pueda restringir la desinstalación de aplicaciones informáticas preinstaladas esenciales para el funcionamiento del sistema operativo o el dispositivo siempre que, desde un punto de vista técnico, no puedan ser ofrecidos de manera autónoma por terceros[46]; (15) permitirá y posibilitará técnicamente la instalación y el uso de aplicaciones informáticas o tiendas de aplicaciones informáticas de terceros que utilicen su sistema operativo o interoperen con él, y permitirá el acceso a estas aplicaciones o tiendas por medios distintos a los servicios básicos de plataforma pertinentes de dicho guardián de acceso[47]; (16) no tratará más favorablemente, ni en la clasificación ni en las funciones relacionadas de indexado y rastreo, a los servicios y productos ofrecidos por el propio guardián de acceso que a los servicios o productos similares de terceros y aplicará condiciones transparentes, equitativas y no discriminatorias a dicha clasificación; (17) no restringirá, técnicamente o de otra manera, la capacidad de los usuarios finales para cambiar entre diferentes aplicaciones informáticas y servicios accesibles mediante los servicios básicos de plataforma del guardián de acceso, y suscribirse a ellos, también en lo que respecta a la elección de los servicios de acceso a internet para los usuarios finales; (18) permitirá a los prestadores de servicios y a los proveedores de hardware interoperar de forma gratuita y efectiva con las mismas funciones del hardware y el software accesibles o controlables a través del sistema operativo o del asistente virtual que se encuentren disponibles para los servicios o el hardware prestados o suministrados por el guardián de acceso; permitirá también el acceso a esas funciones con fines de interoperabilidad, y permitirá a los usuarios profesionales y prestadores alternativos de servicios prestados junto con los servicios básicos de plataforma la interoperabilidad gratuita y efectiva con las mismas funciones del sistema operativo, el hardware o el software, y el acceso a esas funciones con fines de interoperabilidad, con independencia de si tales funciones forman o no parte del sistema operativo, de si están disponibles para ese guardián de acceso o de si las utiliza a la hora de prestar tales servicios, pero no se impedirá al guardián de acceso adoptar medidas necesarias y proporcionadas para garantizar que la interoperabilidad no comprometa la integridad de las funciones del sistema operativo, del asistente virtual, el hardware o el software suministrados por el guardián de acceso; (19) proporcionará a los anunciantes y los editores, así como a terceros autorizados por los anunciantes y los editores, a petición de estos y de forma gratuita, acceso a los instrumentos de medición del rendimiento del guardián de acceso y a los datos necesarios para que los anunciantes y los editores puedan realizar su propia verificación independiente del inventario de anuncios, incluidos los datos agregados y desagregados, de tal manera que se posibilite a los anunciantes y los editores utilizar sus propios instrumentos de verificación y medición para valorar el rendimiento de los servicios básicos de plataforma prestados por el guardián de acceso; (20) proporcionará a los usuarios finales y a terceros autorizados por un usuario final, a petición de estos y de forma gratuita, la portabilidad efectiva de los datos proporcionados por el usuario final o generados por la actividad del usuario final en el contexto del uso del servicio básico de plataforma pertinente, proporcionando instrumentos gratuitos para facilitar el ejercicio efectivo de dicha portabilidad de los datos, así como acceso continuo y en tiempo real a tales datos; (21) proporcionará a los usuarios profesionales y a terceros autorizados por un usuario profesional, a petición de estos y de forma gratuita, el acceso efectivo, de calidad, continuo y en tiempo real a los datos agregados o desagregados, y el uso de tales datos, incluidos los datos personales, que se proporcionen o se generen en el contexto de la utilización de los servicios básicos de plataforma o de los servicios prestados junto con los servicios básicos de plataforma pertinentes por parte de dichos usuarios profesionales y de los usuarios finales que recurran a los productos o servicios prestados por dichos usuarios profesionales[48]; (22) proporcionará a terceras empresas proveedoras de motores de búsqueda, a petición de estas, el acceso en condiciones equitativas, razonables y no discriminatorias a datos sobre clasificaciones, consultas, clics y visualizaciones en relación con la búsqueda gratuita y de pago generados por los usuarios finales en sus motores de búsqueda -los datos sobre consultas, clics y visualizaciones que sean datos personales se anonimizarán-; (23) aplicará a los usuarios profesionales condiciones generales equitativas, razonables y no discriminatorias de acceso a sus tiendas de aplicaciones, motores de búsqueda y servicios de redes sociales; (24) no establecerá condiciones generales para poner fin a la prestación de un servicio básico de plataforma que sean desproporcionadas; y (25) hará que las funcionalidades básicas[49] de sus servicios de comunicaciones interpersonales independientes de la numeración (e.g. WhatsApp) sean interoperables con los servicios de otro proveedor, proporcionando las interfaces técnicas necesarias o soluciones similares que faciliten la interoperabilidad, previa solicitud y de forma gratuita.
Norma antielusión. Merger control. Auditoría
Para evitar que los guardianes de acceso escapen de sus responsabilidades, el Art. 13 dispone que una empresa prestadora de servicios básicos de plataforma no segmentará, dividirá, subdividirá, fragmentará o separará servicios a través de medios contractuales, comerciales, técnicos o de otro tipo con el fin de eludir los umbrales cuantitativos del Art. 3, y ninguna de estas prácticas impedirá que la CE la designe guardián de acceso. Además, los guardianes deben garantizar que se cumplen plena y eficazmente las obligaciones establecidas en los artículos 5, 6 y 7, y no deben incurrir en ningún comportamiento que menoscabe el cumplimiento con independencia de que ese comportamiento sea contractual, comercial, técnico o de cualquier otra naturaleza, o consista en el recurso a técnicas basadas en el comportamiento o al diseño de interfaces. Los guardianes de acceso no deben degradar las condiciones o la calidad de ninguno de los servicios básicos de plataforma prestados a los usuarios profesionales o los usuarios finales que se acojan a los derechos u opciones establecidos en los artículos 5, 6 y 7, ni dificultará indebidamente el ejercicio de esos derechos u opciones, incluido el hecho de ofrecer a los usuarios finales opciones de una manera que no sea neutra, o de subvertir la autonomía y la toma de decisiones o la capacidad de elección de los usuarios finales o de los usuarios profesionales a través de la estructura, el diseño, la función o el modo de funcionamiento de la interfaz de usuario o sus componentes.
Por otro lado, el Art. 14 establece una obligación expresa de notificación a la CE para casos de concentración económica entre empresas que presten servicios básicos de plataforma[50]. A su turno, el Art. 15 ha dispuesto la obligación de entregar a la CE una descripción auditada de manera independiente respecto de las técnicas para elaborar perfiles de los consumidores que apliquen en sus servicios básicos de plataforma, que será hecho público mediante un resumen que debe presentarse en Marzo de 2024 y que debe actualizarse anualmente[51].
Investigaciones de mercado. Cautelares en sede administrativa. Compliance Officer. Multas. Cooperación antitrust. Otras autoridades
La DMA otorga importantes facultades a la CE para investigar posibles incumplimientos de los guardianes respecto de las obligaciones que se les imponen[52], o sobre nuevos servicios o nuevas prácticas que deban ser regulados o prohibidos, respectivamente[53]. También se faculta a la CE a dictar medidas cautelares[54] y se obliga a los guardianes a designar un agente de cumplimiento para garantizar el cumplimiento de las obligaciones[55]. Los incumplimientos intencionados o negligentes debidamente comprobados pueden ser multados con hasta el 10% del volumen de negocios total a nivel mundial en el ejercicio anterior[56], multa que puede escalar hasta el 20% en caso de reincidencia[57]. También se prevén multas coercitivas diarias para ciertos incumplimientos[58]. Se fija en 5 años el plazo de prescripción para imponer sanciones[59] o ejecutarlas[60].
Finalmente, la DMA prevé que la CE coopere con las autoridades nacionales competentes de los Estados miembros encargadas de hacer cumplir las normas de defensa de la competencia, estando facultadas para comunicarse entre sí cualquier información sobre cuestiones de hecho y de derecho, incluida información confidencial. Además, se establece que cuando la autoridad nacional competente tenga la intención de iniciar una investigación antitrust sobre los guardianes de acceso sobre la base de la legislación nacional, informará por escrito a la CE de su primera medida formal de investigación, antes o inmediatamente después del inicio de dicha medida[61]. También se prevé que que 3 o más Estados miembros pueden solicitar a la CE que inicie una investigación de mercado para designar a una empresa como guardián de acceso[62]. Dispone la creación de un Grupo de Alto Nivel que asiste a la CE en su labor[63] y la creación de un Comité Consultivo sobre DMA[64].
- DSA: Evaluación e Impacto
Como se adelantó, la DSA[65] entrará en vigor el 17 de Febrero de 2024[66], debiendo los Estados miembros de la UE designar a sus coordinadores de servicios digitales antes de esa fecha, fecha en la que las plataformas con más de 45 millones de usuarios activos tengan que cumplir todas las normas de la DSA[67].
De la lectura de las 40 páginas con 156 considerandos, y de sus 93 artículos repartidos en 5 capítulos, se extrae que el dictado de DSA reconoce que han aparecido nuevos e innovadores modelos de negocio y servicios -e.g. redes sociales y las plataformas- que permiten a los consumidores celebrar contratos a distancia con comerciantes, que permiten también a los usuarios profesionales -PyMEs y startups- y a los consumidores comunicar información y acceder a ella, y efectuar transacciones de formas novedosas.
Sin embargo, la transformación digital y el creciente uso de tales servicios también entraña nuevos riesgos[68], los que deben ser abordados de manera comunitaria para evitar la fragmentación del mercado de la UE por el dictado de normas nacionales inconexas. Con tal objetivo, DSA establece las condiciones mínimas para que en el mercado interior surjan y se desarrollen servicios digitales innovadores, buscando también garantizar la seguridad jurídica, de modo que se reduzca la incertidumbre para los desarrolladores y se fomente la interoperabilidad[69].
En este sentido DSA se aplica a ciertos servicios de la sociedad de la información, previamente definidos en la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo[70]: cualquier servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición de un destinatario a título individual, lo que incluye a los prestadores de servicios intermediarios[71], en particular los conocidos como de “mera transmisión[72]”, de “memoria caché[73]” y de “alojamiento de datos[74]”, sin importar el lugar de establecimiento o ubicación, en la medida en que ofrezcan servicios en la UE[75], si el número de destinatarios del servicio en uno o varios Estados es significativo en relación con su población, o cuando se orienten actividades hacia uno o más Estados miembros[76].
A diferencia de DMA que tiene, como se dijo, un tinte más antitrust motivado en jurisprudencia europea, DSA busca garantizar un entorno on line seguro, predecible y digno de confianza, abordando la difusión de contenidos ilícitos[77] y los riesgos de la difusión de desinformación u otros contenidos[78]. En este sentido, se establece un régimen de exclusión de responsabilidad para los prestadores de servicios intermediarios en relación con contenidos ilícitos proporcionados por los destinatarios del servicio[79], sujeto a que el intermediario no tenga control efectivo ni conocimiento sobre tales contenidos[80].
Entrando a las características de los servicios regulados, es preciso distinguir una categoría general de prestadores de servicios de alojamiento de datos, con varias subcategorías: (i) las plataformas en línea[81], como las redes sociales o las plataformas que permiten a los consumidores celebrar contratos a distancia con comerciantes -market places-, como prestadores de servicios de alojamiento de datos que no solo almacenan información proporcionada por los destinatarios del servicio a petición de estos, sino que además difunden dicha información al público a petición de los destinatarios del servicio; y (ii) los servicios de computación en la nube -cloud computing- o de alojamiento web -hosting-, que no deben ser considerados plataformas en línea cuando la difusión al público de información específica constituya una característica menor y auxiliar o una funcionalidad menor de dichos servicios[82].
Debida diligencia. Cláusulas contractuales. Uso abusivo. Prohibición de diseño engañoso. Regulación de la publicidad on line. Grandes plataformas y buscadores
A fin de garantizar un entorno en línea seguro y transparente, DSA establece obligaciones comunitarias de diligencia debida para los prestadores de servicios intermediarios, adaptadas al tipo, el tamaño y la naturaleza del servicio intermediario de que se trate[83]. Por tanto, DSA establece: (i) obligaciones básicas aplicables a todos los prestadores de servicios intermediarios, (ii) ciertas obligaciones adicionales[84] para los prestadores de servicios de alojamiento de datos[85] y, más concretamente, (iii) para los prestadores de plataformas en línea[86], (iv) para las plataformas de muy gran tamaño[87] y (v) para los motores de búsqueda de muy gran tamaño. Respecto de éstos, DSA entiende que pueden usarse de modo que influyan en gran medida en la seguridad on line, en la opinión y el discurso públicos, así como en el e-commerce. Por esta razón, DSA dispone que deben evaluar los riesgos sistémicos[88] que entrañan el diseño, funcionamiento y uso de sus servicios, así como los posibles usos indebidos por parte de los destinatarios de estos servicios, y deben adoptar medidas de reducción de riesgos apropiadas respetando los derechos fundamentales[89], las que deben ser auditadas por terceros independientes[90].
En la medida en que los prestadores de servicios intermediarios pertenezcan a varias de las diferentes categorías en función de la naturaleza de sus servicios y de su tamaño, deben cumplir con todas las obligaciones, pero nótese que se tiene en cuenta el tamaño de la empresa: a las micro y PyMEs no se exigirán las mismas obligaciones que a las grandes plataformas o buscadores[91].
Por otro lado, la DSA establece determinadas normas sobre el contenido, la aplicación y la ejecución de las condiciones generales de dichos prestadores por motivos de transparencia y protección de los destinatarios del servicio y para evitar resultados injustos o arbitrarios[92], incluyendo la prohibición del diseño de interfaces engañosas[93]. Además, los prestadores de plataformas deben suspender temporalmente sus actividades pertinentes respecto de una persona que muestre comportamientos abusivos[94].
En materia de publicidad -muy relacionada con la prestación de servicios de plataformas cuando ésta se remunera total o parcialmente, directa o indirectamente vía ingresos publicitarios- DSA entiende que, no regulada, la publicidad on line puede efectivamente contribuir a la generación de riesgos significativos, desde anuncios publicitarios que sean en sí mismos contenidos ilícitos hasta contribuir a incentivar económicamente la publicación o amplificación de contenidos y actividades en línea que sean ilícitos o de otro modo nocivos, o la presentación discriminatoria de anuncios que afecten a la igualdad de trato y oportunidades de los ciudadanos[95]. Lo anterior se refuerza cuando se trata de una gran plataforma o buscador (e.g. más de 45 millones de usuarios[96]). El legislador europeo entiende que cuando se presentan anuncios basados en técnicas de segmentación optimizadas para responder a sus intereses y apelar potencialmente a sus vulnerabilidades, los efectos negativos pueden ser especialmente graves, y hasta pueden afectar negativamente a grupos enteros y amplificar perjuicios sociales, por ejemplo, contribuyendo a campañas de desinformación o discriminando a determinados grupos[97]. Por tal razón, se prohíben ciertos anuncios basados en la elaboración de perfiles que utilzan ciertos datos personales[98] y se obliga a las grandes plataformas y buscadores a entregar información esencial respecto del funcionamiento de sus sistemas[99].
Por otro lado, DSA también entiende que una parte fundamental del negocio de una plataforma es la manera en que prioriza y presenta la información para facilitar y optimizar el acceso a ella, mediante la recomendación, clasificación y priorización algorítmica de la información, la distinción de texto u otras representaciones visuales, o la organización de manera diferente de la información facilitada por los destinatarios[100]. Estos sistemas también desempeñan un papel importante en la amplificación de determinados mensajes, la difusión viral de información y la promoción de comportamientos en línea. Por tanto, DSA exige a las plataformas que informen a sus destinatarios cómo los sistemas de recomendación afectan la forma en que se muestra la información y pueden influir en la manera en que la información se les presenta, explicitando los criterios más importantes a la hora de determinar la información sugerida al destinatario del servicio y las razones de su importancia respectiva, también cuando se dé prioridad a la información basada en la elaboración de perfiles y en su comportamiento en línea[101].
Know-Your-Business (KYB). Compliance Officer. Códigos de Conducta
Para disuadir a los comerciantes de vender productos o servicios que infrinjan normas, DSA dispone que las plataformas que permitan a los consumidores celebrar contratos a distancia con los comerciantes -i.e. marketplaces- deben asegurarse de que dichos comerciantes puedan ser objeto de trazabilidad, y exigirle a los mismos determinada información esencial que permita a los consumidores celebrar contratos a distancia con los comerciantes, incluso para promocionar mensajes o realizar ofertas sobre productos, a fin de posibilitar la presentación de reclamaciones contra el comerciante o la ejecución de órdenes relacionadas con el comerciante[102]. Sin embargo, los prestadores de plataformas no deben estar obligados a realizar actividades excesivas o costosas de búsqueda de hechos ni a realizar comprobaciones sobre el terreno desproporcionadas, ni debe entenderse que garanticen la fiabilidad de la información al consumidor u otros interesados[103]. Notablemente, DSA dispone que la CE debe fomentar la trazabilidad de los productos intermediados a través de soluciones tecnológicas, como códigos de respuesta rápida firmados digitalmente -códigos QR- o tokens no fungibles (NFTs)[104].
Por otro lado, respecto de las grandes plataformas o buscadores, DSA dispone que deben establecer una función de cumplimiento, independiente de las funciones operativas, y que debe reportar directamente a la dirección. Estos DSA compliance officers deben poseer la cualificación, la experiencia, la capacidad y los conocimientos necesarios para poner en práctica medidas y vigilar el cumplimiento de la DSA[105]. Asimismo, la CE debe fomentar la elaboración de códigos de conducta voluntarios[106], donde se definan claramente la naturaleza de los objetivos de interés público que se persiguen, los mecanismos para la evaluación independiente y que presenten una definición clara de la función de las autoridades competentes[107], y, especialmente, deben contemplar medidas de reducción de riesgos relativas a tipos concretos de contenidos ilícitos a través de acuerdos de autorregulación y corregulación. La adhesión de una plataforma o de un buscador de muy gran tamaño a un determinado código de conducta y su cumplimiento puede considerarse una medida apropiada de reducción de riesgos.
Reparto de competencias. Cautelares administrativas. Non bis in idem.
En materia de competencias nacionales, DSA dispone que cada Estado debe designar un coordinador de servicios digitales[108] independiente[109] -creando una nueva oficina o designando a una ya existente- para aplicar este reglamento, debidamente dotado de recursos humanos y financieros, y con el fin último de: (i) buscar un correcto funcionamiento del mercado interior de servicios intermediarios para un entorno on line seguro, predecible y fiable que facilite la innovación, y (ii) verificar el cumplimiento de las obligaciones de diligencia debida aplicables a las diferentes categorías de prestadores de servicios intermediarios, para garantizar el cumplimiento de los derechos fundamentales[110].
En este sentido, los coordinadores nacionales pueden iniciar investigaciones conjuntas[111], derivar investigaciones a la CE[112], y, en el caso de la CE, está facultada para dictar medidas cautelares administrativas[113] en caso de riesgo de perjuicios graves[114], debiendo conseguir órden judicial para allanamientos y respetar el secreto profesional abogado-cliente[115]. Deben además informar sobre las denuncias recibidas y sanciones aplicadas[116]. Ahora bien, DSA reserva para la CE la competencia exclusiva para investigar y sancionar -secundada por autoridades nacionales- cuestiones de riesgos sistémicos asociados a los prestadores de plataformas de muy gran tamaño[117] y motores de búsqueda de muy gran tamaño[118]. Tanto la CE como las autoridades nacionales tienen competencia concurrente para verificar el cumplimiento de las obligaciones de diligencia debida, y es la CE la que debe evaluar si considera adecuado ejercer esas competencias compartidas en un caso determinado y, una vez que inicie el procedimiento, precluye la posibilidad para los Estados miembros[119].
Multas. Prescripción. Junta Europea de Servicios Digitales. Observatorio de la Economía de las Plataformas en línea. Impacto en PyMEs.
En materia de sanciones previstas en la DSA -multas sancionadoras y disuasorias o coercitivas, de similar tenor a las previstas en DMA[120]-, éstas deben ser proporcionadas y disuasorias en función de la naturaleza, gravedad, recurrencia y duración del incumplimiento, y de la capacidad económica del infractor, el número de destinatarios del servicio afectados, el carácter intencionado o negligente de la infracción y si el prestador mantiene actividad en varios Estados miembros. Prescriben a los 5 años las infracciones a la DSA, y en el mismo plazo prescribe la acción de la CE para sancionarlas, sujetos ambos a supuestos de interrupción y suspensión[121].
Respecto de proveedores de servicios regulados que no tengan asiento legal o representante designado en la UE, como se adelantó, todos los Estados miembros o la CE, en su caso, deben tener competencia para aplicar las normas de DSA, siempre que el prestador no esté sujeto a procedimientos de ejecución por los mismos hechos ante otra autoridad competente o la CE. Para esto, cada Estado miembro que tenga la intención de ejercer su competencia con respecto a dichos prestadores debe informar sin dilación indebida a todas las demás autoridades, incluida la CE, a través del sistema de intercambio de información establecido en DSA[122].
El tejido institucional se completa con la creación de la Junta Europea de Servicios Digitales (JESD), un grupo consultivo independiente a escala de la UE que presta apoyo a la CE, integrada por los coordinadores de servicios digitales, y que coordina las acciones de éstos[123]. Además, debe colaborar en la preparación de modelos y códigos de conducta, y emitir dictámenes o recomendaciones no vinculantes[124] sobre asuntos relacionados con las normas. Específicamente respecto de las plataformas y buscadores de muy gran tamaño, se espera que la JESD y la CE, en cooperación con los coordinadores de servicios digitales, desarrollen conocimientos especializados para la supervisión efectiva de estas grandes plataformas y buscadores. A tal fin, la CE también puede confiar en los conocimientos especializados y las capacidades del Observatorio de la Economía de las Plataformas en Línea[125].
Finalmente, la CE debe evaluar las consecuencias de las obligaciones para las pequeñas empresas y las microempresas en un plazo de tres años a partir del comienzo de su aplicación[126].
- Conclusión
El célebre profesor de Derecho de Harvard, Lawrence Lessig, recientemente afirmó[127] que cuando nació Internet -al irrumpir la Web1-, John Perry Barlow[128] decía que Internet simplemente “es” un lugar donde no se puede regular el comportamiento, y eso llevó -erróneamente- a la sociedad en general a no prestar atención a la forma en que la arquitectura de la Internet estaba evolucionando para hacer realmente fácil identificar, rastrear y regular todo tipo de comportamientos, justamente lo opuesto a lo que, quizás ingenuamente, se pensaba que Internet iba a proteger y evitar.
En la misma línea, afirma Lessig que aún hoy -en la época de la Web3 y con una Web4[129] del Metaverso a pocos años de irrumpir- nos falta reconocer esta realidad, dado que el hecho de disponer de potentes computadoras que ejecutan modelos de AI para orientar la publicidad en función de las preferencias de las personas impulsó la tecnología del Capitalismo de la Vigilancia.
Esta es una característica o un error de esta tecnología, cada vez más sofisticada y eficiente para decidir: “Sé quién eres, y voy a alimentarte con lo que quieres, y no voy a alimentarte con lo que sé que no quieres porque no me mirarás tanto si lo hago”. Afirma Lessig que ha llegado el momento de ser sensibles y críticos respecto de tales valores implícitos en la arquitectura actual de la Internet, dado que es evidente que tales valores son a priori incoherentes con y opuestos a los que decimos que son nuestros valores occidentales[130], y es entonces necesario re-plantearnos ¿Qué vamos a hacer al respecto? ¿Vamos a aceptarlo sin más?
Redoblando el punto, afirma Lessig que esta arquitectura actual de la Internet, que permite el Capitalismo de Vigilancia, sumado a los incentivos de los modelos de negocio de las plataformas Web2, producen un mercado político de ideas que tiene un incentivo para mantener a la gente ignorante y enojada con la gente del otro lado -polarización-, y eso puede afectar gravemente la posibilidad de la democracia, como ya nos ilustró el caso Cambridge Analytica[131]. Cuando eso se reconoce, aparecen allí las preguntas incómodas, afirma Lessig: ¿Qué vamos a hacer al respecto? ¿Nada? ¿Vamos a quedarnos sentados y dejar que la democracia[132] se derrumbe a causa de esta interacción?
Sin dudas, es difícil no coincidir con Lessig. Explicitar estas conexiones y realidades de la actual Internet facilita la reflexión sobre cómo pueden intervenir los Estados soberanos, qué pueden hacer. En ese sentido, es muy probable que no se tomen medidas contra la tecnología per se más allá de algunas prohibiciones expresas a ciertos usos no deseables[133], pero sí se puede empezar a pensar en cómo gravar mejor el modelo de negocios de las plataformas y los gatekeepers, para incentivar o desincentivar comportamientos corporativos deseables.
Afirma Lessig que hay un montón de maneras de intervenir para hacer frente a este problema, y los Estados deben prepararse para enfrentar el hecho de que la intervención es necesaria. Afirma Lessig que lo que el regulador tiene que hacer es dar un paso atrás y analizar: ¿Cuál es la intervención más fácil o el tipo de intervención menos restrictiva? Dada la dimensión que se está tratando de maximizar, ¿Cuál es la forma correcta de intervenir para lograr el resultado que se está tratando de alcanzar?
Pues bien, DMA y DSA constituyen, sin dudas, el primer intento geopolítico de envergadura global, realmente dirigido a embeber y a hacer respetar los valores europeos dentro de los modelos de negocios de las grandes empresas tecnológicas. Lo hace creando un catálogo de disruptivas obligaciones, aplicables tanto a los mercados de datos como a los servicios, y en general, regulando la forma en la que la oferta global de servicios digitales puede contactar con la demanda de los usuarios europeos. También lo hace teniendo en especial consideración la proporcionalidad de las nuevas normas, y su impacto eventual en las micro, PyMEs y startups europeas.
Ahora bien, sólo el tiempo dirá si las autoridades europeas han logrado o lograrán torcer el brazo a las grandes tecnológicas, varias veces multadas por violar normas europeas de defensa de la competencia, por no respetar el régimen de los datos personales[134], por conductas desleales, y por no respetar los valores de la Carta de los Derechos Fundamentales de la UE[135].
Citas
(*) Sebastián Heredia Querro es Abogado (UCC), Magíster en Derecho Empresario (U. Austral) y Magíster en Finanzas (ESADE). Es co-fundador de Wootic, una software factory boutique enfocada en DLTs y machine learning.
[1] Ampliar en Heredia Querro, Sebastián, Apuntes sobre el nuevo Reglamento de Inteligencia Artificial de la Unión Europea, publicado en Diario La Ley, día 29/12/2023.
[2] Ampliar e Heredia Querro, Sebastián y Bertoni, Martin, De prospectos y white papers… El deber de información del emisor de tokens criptográficos. La posición europea, en Diario La Ley, Suplemento Especial Blockchain y Derecho, 28/12/2022, disponible al 28/12/23 en https://colabogmza.com.ar/wp-content/uploads/2022/12/1672252050521_Diario-28-12-22.pdf. Para un estudio sobre las Tecnologías de Registro Distribuido (DLTs su acrónimo en inglés), los tokens criptográficos y los smart contracts, véase Heredia Querro Sebastián, Smart Contracts: Qué son, para qué sirven y para qué no servirán, 1ra. Ed. 2020, Cathedra Jurídica, disponible al 30/01/23 en https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3875645.
[3] Véase el DLT Pilot Regime, en vigor desde Marzo de 2023, impulsado en 2020 por la CE, disponible al 28/12/23 en: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CONSIL:PE_88_2021_REV_2. Véase o.c. en nota 2 en relación al sandbox europeo de IA.
[4] Ampliar en Heredia Querro, Sebastián, Hacia un mercado europeo de datos: el nuevo régimen de los intermediarios (neutrales) de datos, publicado en el portal Abogados.com.ar.
[5] Comisión Europea, Paquete de la ley de servicios digitales, disponible al 28/12/23 en https://digital-strategy.ec.europa.eu/es/policies/digital-services-act-package.
[6] CE, comunicado de prensa sobre entrada en vigor de DMA, recuperado el 28/12/23 en: https://ec.europa.eu/commission/presscorner/detail/es/ip_22_6423
[7] Ibid. DMA comenzó a aplicarse el 2 de mayo de 2023; el 3 de julio de 2023 los posibles guardianes de acceso notificaron a la CE sus servicios básicos de plataforma, y en Septiembre de 2023 la CE ratificó y designó a los guardianes de acceso, los que tienen hasta el 6 de Marzo 2024 para cumplir toda la normativa que les resulte aplicable.
[8] Confr. Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales), disponible en español al 28/12/23 en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32022R2065
[9] Ibid, nótese que el Art. 93 dispone que a partir del 16 de noviembre de 2022 se aplicaban ya las normas sobre transparencia (Art. 24), sobre el protocolo de respuesta a crisis de seguridad o salud públicas extraordinarias (Art. 36), sobre lineamientos fijados por la CE para la auditoría independiente a la que deben someterse los grandes buscadores y plataformas (Art. 37), y la forma de éstos de dar acceso a sus datos (Art. 40), además de las normas procedimentales para poder investigar a los grandes buscadores y plataformas.
[10] Ibid, confr. Art. 33 y ss.
[11] Confr. REGLAMENTO (UE) 2022/1925 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de septiembre de 2022
sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales), disponible en español al 28/12/23 en https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32022R1925, junto con su Reglamento de Ejecución, del 14/04/23, disponible al 28/12/23 en español aquí: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13540-Disposiciones-de-aplicacion-de-la-Ley-de-Mercados-Digitales_es
[12] Ibid, considerandos 10 y 11: la DMA complementa el Derecho comunitario de la competencia, y se aplica sin perjuicio de éste (i.e. artículos 101 y 102 del Tratado de Funcionamiento de la UE), de las normas nacionales de competencia correspondientes y en otras normas nacionales de competencia relativas a conductas unilaterales basadas en una valoración individualizada de las posiciones en el mercado y el comportamiento en este, incluidos sus efectos reales o potenciales y el alcance exacto del comportamiento prohibido, y que prevén la posibilidad de que las empresas presenten justificaciones fundadas sobre la eficiencia y los objetivos del comportamiento de que se trate, así como de lo dispuesto en las normas nacionales relativas al control de las concentraciones. La DMA persigue un objetivo complementario, pero distinto al de proteger la competencia no falseada en un mercado determinado: garantizar que los mercados donde haya guardianes de acceso sean y sigan siendo disputables y equitativos, independientemente de los efectos reales, potenciales o supuestos sobre la competencia en un mercado determinado de la conducta de un determinado guardián de acceso al que se aplique la DMA. Por lo tanto, la DMA tiene por objeto proteger un interés jurídico diferente del protegido por esas normas y debe aplicarse sin perjuicio de la aplicación de estas últimas.
[13] Véase los casos citados en la pieza de Damián Navarro y Verónica Volman, Regulación de plataformas digitales. Digital Services Act y Digital Markets Act: Europa regula a las grandes plataformas digitales, publicado en Abogados.com.ar con fecha 13/11/23, recuperado el 29/12/23 en https://abogados.com.ar/regulacion-de-plataformas-digitales-digital-services-act-y-digital-markets-act-europa-regula-a-las-grandes-plataformas-digitales/33790. En la misma línea, véase también Heiko Richter, New rules for tech giants, recuperado el 28/12/23 en https://www.mpg.de/18346442/new-rules-for-tech-giants quien afirma que muchas de las prohibiciones ahora codificadas en la DMA se originaron en la jurisprudencia impulsada tanto por la CE como por autoridades nacionales antitrust. Para un estudio más profundo de la jurisprudencia existente (hasta 2018), véase también la pieza de Botta, Marco y Wiedemann, Klaus, EU Competition Law Enforcement Vis-À-Vis Exploitative Conducts in the Data Economy Exploring the Terra Incognita (May 24, 2018). Max Planck Institute for Innovation & Competition Research Paper No. 18-08, disponible al 28/12/23 en https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3184119.
[14] Confr. CE, preguntas y respuestas sobre la DMA, Septiembre de 2023, recuperado el 28/12/23 en https://ec.europa.eu/commission/presscorner/detail/es/QANDA_20_2349
[15] Confr. REGLAMENTO (UE) 2022/1925, considerando 46. Un guardián de acceso puede aprovechar su doble función para utilizar los datos generados o suministrados por sus usuarios profesionales en el marco de las actividades que dichos usuarios profesionales desarrollan cuando utilizan los servicios básicos de plataforma, o los servicios prestados junto con los servicios básicos de plataforma o en apoyo de tales servicios, en beneficio de sus propios servicios o productos. Los datos de los usuarios profesionales también pueden incluir los datos generados o suministrados en el transcurso de las actividades de sus usuarios finales. Este caso puede darse, por ejemplo, cuando un guardián de acceso ofrezca un mercado en línea o una tienda de aplicaciones informáticas a usuarios profesionales y, al mismo tiempo, preste servicios como empresa prestadora de servicios minoristas en línea o de aplicaciones informáticas. Para evitar que los guardianes de acceso se beneficien injustamente de su doble función, es necesario garantizar que no utilicen datos agregados o desagregados de ningún tipo, los cuales pueden incluir datos anonimizados y personales que no sean públicos, para prestar servicios similares a los de sus usuarios profesionales. Esta obligación debe aplicarse al guardián de acceso en su conjunto, que incluye, aunque no exclusivamente, a su unidad de negocio que compite con los usuarios profesionales de un servicio básico de plataforma.
[16] Confr. REGLAMENTO (UE) 2022/1925, considerando 26.
[17] Ibid, Considerando 37.
[18] Confr. DMA, Art. 5.
[19] Ibid, Considerando 39. DMA, Art. 6.
[20] Ibid, Considerando 48.
[21] Confr. REGLAMENTO (UE) 2022/1925, considerando 14. En particular, el DMA hace foco en los servicios de intermediación en línea, los motores de búsqueda en línea, los sistemas operativos, las redes sociales en línea, los servicios de plataforma de intercambio de vídeos, los servicios de comunicaciones interpersonales independientes de la numeración, los servicios de computación en nube, los asistentes virtuales, los navegadores web y los servicios de publicidad en línea, incluidos los servicios de intermediación publicitaria. Por tal razón, éstos servicios deben incluirse en la definición de los servicios básicos de plataforma regulados por DMA, norma que busca que la definición de servicios básicos de plataforma sea neutral desde el punto de vista tecnológico y debe entenderse que incluye los servicios prestados en o a través de diversos medios o dispositivos, como los televisores inteligentes o los servicios digitales integrados en vehículos. En determinadas circunstancias, el concepto de usuarios finales debe comprender a los usuarios que tradicionalmente se consideran usuarios profesionales, pero en determinadas situaciones no utilizan los servicios básicos de plataforma para suministrar productos o prestar servicios a otros usuarios finales, como por ejemplo las empresas que dependen de los servicios de computación en nube para sus propios fines.
[22] Confr. REGLAMENTO (UE) 2022/1925, considerando 1.
[23] Ibid, considerando 59: Los guardianes de acceso se benefician del acceso a grandes cantidades de datos que recopilan cuando prestan servicios básicos de plataforma, así como otros servicios digitales. Debe concederse a los usuarios finales, así como a los terceros autorizados por un usuario final, acceso efectivo e inmediato a los datos que hayan proporcionado o generado y deben garantizar medidas técnicas adecuadas y de calidad, como interfaces de programación de aplicaciones, que los usuarios finales o los terceros autorizados por los usuarios finales puedan portar libremente los datos de forma continua y en tiempo real. Esto debe aplicarse también a todos los demás datos en diferentes niveles de agregación que sean necesarios para permitir efectivamente dicha portabilidad.
[24] Ibid, considerando 2.
[25] Ibid, considerando 3.
[26] Id.
[27] Ibid, considerando 21, 23 y 24: goza de una posición afianzada y duradera en sus operaciones o es previsible que goce de tal posición en el futuro, en particular, cuando la disputabilidad de su posición es limitada. Es probable que así sea cuando esa empresa haya prestado un servicio básico de plataforma en al menos tres Estados miembros a un número muy elevado de usuarios profesionales y usuarios finales a lo largo de un período de al menos tres años. Ahora bien, tales tipos de empresas deben poder refutar la presunción legal, en circunstancias excepcionales, y aunque alcance o supere los umbrales cuantitativos, puede no cumplir los requisitos para la designación como guardián de acceso, siendo el onus probandi suyo.
Se descartará cualquier intento de justificación por motivos económicos con la que se pretenda entrar en la definición del mercado o demostrar eficiencias derivadas de un tipo específico de comportamiento por parte de la empresa prestadora de servicios básicos de plataforma, ya que no es pertinente para la designación como guardián de acceso. Como contracara, también debe preverse la valoración de la función de guardián de acceso de las empresas prestadoras de servicios básicos de plataforma que no alcancen todos los umbrales cuantitativos: cuando la empresa sea una empresa mediana o pequeña o una microempresa, la valoración debe considerar atentamente si dicha empresa podría menoscabar sustancialmente la disputabilidad de los servicios básicos de plataforma, dado que la DMA se dirige principalmente a grandes empresas con un poder económico considerable, más que a empresas medianas, pequeñas o microempresas.
[28] Ibid, considerando 15.
[29] Ibid, considerando 16.El hecho de que una empresa tenga un gran volumen de negocios en la UE y preste un servicio básico de plataforma en al menos tres Estados miembros constituye un indicio convincente de que esa empresa tiene una gran influencia en el mercado interior. Lo mismo es cierto si la empresa tiene una capitalización bursátil muy elevada o un valor justo de mercado equivalente. Por lo tanto, se presume que una empresa que presta un servicio básico de plataforma tiene una gran influencia en el mercado interior cuando presta un servicio básico de plataforma en al menos tres Estados miembros y cuando el volumen de negocios logrado por su grupo en la Unión es igual o superior a un umbral alto determinado, o cuando la capitalización bursátil del grupo es igual o superior a un valor absoluto alto determinado.
[30] Ibid, considerando 32: la disputabilidad está relacionada con la capacidad de las empresas para superar de forma efectiva los obstáculos a la entrada y la expansión, y competir con el guardián de acceso sobre la base de la calidad de sus productos y servicios. Las características de los servicios básicos de plataforma -efectos de red, economías de escala importantes y la ventaja en materia de datos- limitan la disputabilidad de dichos servicios y de los ecosistemas conexos, lo que reduce los incentivos para innovar y mejorar los productos y servicios para el guardián de acceso, sus usuarios profesionales, sus competidores y clientes y, por tanto, afecta negativamente al potencial de innovación de la economía de las plataformas en línea en sentido amplio.
[31] Ibid, considerando 33: la falta de equidad implica un desequilibrio entre los derechos y las obligaciones de los usuarios profesionales por el que el guardián de acceso obtiene una ventaja desproporcionada. Debido a su posición de puerta de acceso y a su mayor poder de negociación, es posible que los guardianes de acceso adopten comportamientos que no permitan que otros cosechen plenamente los beneficios de sus propias contribuciones, y establezcan unilateralmente condiciones desequilibradas para el uso de sus servicios básicos de plataforma o de servicios prestados junto con sus servicios básicos de plataforma o en apoyo de estos. Este desequilibrio no queda excluido por el hecho de que el guardián de acceso ofrezca un servicio concreto de forma gratuita a un grupo específico de usuarios, y también puede consistir en excluir o discriminar a usuarios profesionales, en particular si estos últimos compiten con los servicios prestados por el guardián de acceso.
[32] Ibid, considerando 31.
[33] bid, considerando 51. Esto puede ocurrir, por ejemplo, con servicios básicos de plataforma, que clasifican los resultados de los motores de búsqueda en línea, o que están parcial o totalmente integrados en los resultados de los motores de búsqueda en línea, grupos de resultados especializados en un tema determinado, mostrados junto con los resultados de un motor de búsqueda, que son considerados o utilizados por determinados usuarios finales como un servicio distinto o adicional al motor de búsqueda en línea. Otros ejemplos son las Apps distribuidas a través de tiendas de aplicaciones informáticas como Apple Store o Google Play, los vídeos distribuidos a través de plataformas de intercambio de vídeos como YouTube, los productos o servicios resaltados y mostrados en la sección de noticias de un servicio de red social en línea como Facebook, los productos o servicios clasificados en los resultados de búsqueda o mostrados en un Marketplace propietario, o los productos o servicios ofrecidos a través de un asistente virtual como Alexa. Los guardianes de acceso pueden reservar una posición mejor a su propia oferta incluso antes de la clasificación que sigue a una búsqueda, por ejemplo, durante el rastreo y el indexado y así favorecer sus propios contenidos frente a los de terceros ya en la fase de rastreo, que es el proceso por el que se descubren contenidos nuevos y actualizados, y durante el indexado, que consiste en almacenar y organizar los contenidos encontrados durante el proceso de rastreo. En estos casos, los guardianes de acceso tienen una doble función de intermediarios para empresas terceras y de empresas per se que suministran o prestan directamente sus propios productos o servicios. Los gatekeepers tienen la capacidad de menoscabar directamente la disputabilidad respecto de esos productos o servicios ofrecidos por ellos mismos dentro de los servicios básicos de plataforma, perjudicando a los usuarios profesionales -startups y PyMEs- que son independientes y no están controlados por los guardianes de acceso. Debe prohibirse que los guardianes de acceso concedan un trato diferenciado o preferente de ningún tipo, por lo que respecta a la clasificación en el servicio básico de plataforma y a las funciones relacionadas de indexado y rastreo, ya sea a través de medios jurídicos, comerciales o técnicos, respecto de los productos o servicios que ofrecen directamente o a través de usuarios profesionales bajo su control. Para garantizar que esta obligación sea efectiva, las condiciones que se aplican a dicha clasificación también deben ser, en general, justas y transparentes. En este sentido, la clasificación debe comprender todas las formas de prominencia relativa, entre las que se incluyen la visualización, la valoración, la generación de enlaces o los resultados de voz, y debe incluir también los casos en los que un servicio básico de plataforma presenta o comunica al usuario final un solo resultado.
[34] Ibid, considerando 5: aunque los arts. 101 y 102 del TFUE se aplican a la conducta de los guardianes de acceso, el ámbito de aplicación de dichas disposiciones se limita a determinados casos de poder de mercado (por ejemplo, dominio en mercados específicos) y de comportamiento contrario a la competencia, y el control del cumplimiento se produce ex post y requiere una investigación extensa caso por caso de hechos per se muy complejos. Además, el Derecho de la Unión no aborda los retos para el funcionamiento eficaz del mercado interior que plantean los guardianes de acceso que no son necesariamente dominantes en términos de derecho de la competencia.
[35] Ibid, considerando 13: las prácticas desleales en el sector digital son más frecuentes en algunos servicios que en otros: afectan especialmente a los servicios digitales generalizados y de uso común, que sirven principalmente de intermediarios directos entre los usuarios profesionales y los usuarios finales y presentan características como economías de escala extremas, efectos de red muy potentes, la capacidad de conectar a muchos usuarios profesionales con muchos usuarios finales gracias al carácter multilateral de los servicios, efectos de cautividad -por la dependencia en los datos que los gatekeerps controlan-, falta de multiconexión o integración vertical. Esos servicios digitales son generalmente prestados por una sola gran empresa, o por un número muy reducido de grandes empresas, que son guardianes de acceso, con capacidad de establecer fácilmente condiciones comerciales de manera unilateral y perjudicial para sus usuarios profesionales y usuarios finales.
[36] Ibid, considerando 7.
[37] Confr. REGLAMENTO (UE) 2022/1925, Art. 2.
[38] Confr. REGLAMENTO (UE) 2022/1925, Art. 4 permite a la CE modificar la lista de servicios básicos de plataforma cada 3 años, y verificar que los guardianes designados sigan cumpliendo los parámetros del Art. 1.
[39] Ibid. El Art. 3 dispone los criterios objetivos que se evalúan para determinar quién es y quién no es un guardián de acceso:
(1) si tiene una gran influencia en el mercado interior; (2) si presta un servicio básico de plataforma que es una puerta de acceso importante para que los usuarios profesionales lleguen a los usuarios finales, y (3) si tiene una posición afianzada y duradera, o si es previsible que alcance dicha posición en un futuro próximo. Se presume que tiene gran influencia cuando la empresa consiga un volumen de negocios anual en la UE igual o superior a 7.500.000.000 € en cada uno de los 3 últimos ejercicios, o cuando su capitalización bursátil media o su valor justo de mercado equivalente ascienda como mínimo a 75.000.000.000 € en el último ejercicio, y preste el mismo servicio básico de plataforma en al menos tres Estados miembros. Se presume que su servicio es una puerta de acceso importante cuando proporcione un servicio básico de plataforma que, en el último ejercicio, haya tenido al menos 45 millones mensuales de usuarios finales activos establecidos o situados en la UE y al menos 10.000 usuarios profesionales activos anuales establecidos en la UE, identificados y calculados conforme pautas de la DMA. Se presume que tiene una posición afianzada cuando se hayan alcanzado estos umbrales en cada uno de los últimos tres ejercicios. En septiembre de 2023 la CE ha declarado gatekeepers a seis empresas: Amazon, Apple, ByteDance, Meta y Microsoft. Se han designado 22 servicios básicos de plataforma prestados por tales empresas. Además, la CE ha abierto 4 investigaciones de mercado para estudiar las observaciones de Microsoft y Apple: a pesar de cumplir los umbrales, algunos de sus servicios básicos de plataforma no pueden considerarse pasarelas (Microsoft: Bing, Edge y Microsoft Advertising y Apple iMessage). También abrió una investigación de mercado para estudiar si iPadOS, de Apple, debe designarse como guardián de acceso, a pesar de no alcanzar los umbrales. Además, la CE concluyó que si bien Gmail, Outlook.com y Samsung Internet Browser alcanzan los umbrales establecidos en la DMA para ser considerados guardianes de acceso, han presentado argumentos suficientes para demostrar que esos servicios no podían considerarse pasarelas para los respectivos servicios básicos de plataforma. Así pues, Samsung no está designada como guardián de acceso con respecto a ningún servicio básico de plataforma. Confr. https://ec.europa.eu/commission/presscorner/detail/es/ip_23_4328 recuperado el 28/12/23.
[40] Confr. REGLAMENTO (UE) 2022/1925, Art. 17.
[41] Confr. REGLAMENTO (UE) 2022/1925, Art. 11. La CE puede actualizar la lista de obligaciones en función de investigaciones de mercado.
[42] Confr. REGLAMENTO (UE) 2022/1925, Art. 9.
[43] Confr. REGLAMENTO (UE) 2022/1925, Art. 10.
[44] Confr. REGLAMENTO (UE) 2022/1925, Art. 5.
[45] Confr. REGLAMENTO (UE) 2022/1925, Art. 6. Los datos que no sean públicamente accesibles incluirán todos los datos agregados y desagregados generados por los usuarios profesionales que puedan inferirse o recopilarse a través de las actividades comerciales de los usuarios profesionales o sus usuarios finales, entre ellos los datos sobre los clics, las búsquedas, las visualizaciones y la voz.
[46] Ibid. El guardián de acceso permitirá y posibilitará técnicamente a los usuarios finales modificar con facilidad la configuración por defecto del sistema operativo, del asistente virtual y del navegador web del guardián de acceso cuando estos dirijan u orienten a los usuarios finales hacia productos o servicios que ofrezca el guardián de acceso. Eso incluye solicitar a los usuarios finales, en el momento en que estos utilicen por primera vez un motor de búsqueda en línea, un asistente virtual o un navegador web del guardián de acceso que elijan, de entre una lista de los principales prestadores de servicios disponibles, el motor de búsqueda en línea, el asistente virtual o el navegador al que el sistema operativo del guardián de acceso dirija u oriente a los usuarios por defecto, y el motor de búsqueda en línea al que el asistente virtual y el navegador del guardián de acceso dirijan u orienten a los usuarios por defecto.
[47] Ibid. El guardián de acceso, no impedirá, en su caso, que las aplicaciones informáticas o las tiendas de aplicaciones informáticas de terceros descargadas soliciten a los usuarios finales que decidan si desean configurar dicha aplicación informática o tienda de aplicaciones informáticas descargada como opción por defecto. El guardián de acceso posibilitará técnicamente que los usuarios finales que decidan configurar esa aplicación informática o tienda de aplicaciones informáticas descargada como opción por defecto puedan efectuar el cambio con facilidad. En la medida en que estas sean estrictamente necesarias y proporcionadas, no se impedirá al guardián de acceso adoptar medidas para garantizar que las aplicaciones informáticas o las tiendas de aplicaciones informáticas de terceros no pongan en peligro la integridad del hardware o del sistema operativo proporcionado por el guardián de acceso, siempre que tales medidas no excedan de lo estrictamente necesario y proporcionado y estén debidamente justificadas por el guardián de acceso. Asimismo, en la medida en que estas sean estrictamente necesarias y proporcionadas tampoco se impedirá al guardián de acceso aplicar unas medidas y una configuración distintas a la configuración por defecto que permitan a los usuarios finales proteger con eficacia la seguridad en relación con las aplicaciones informáticas o las tiendas de aplicaciones informáticas de terceros, siempre que tales medidas y tal configuración distintas a la configuración por defecto estén debidamente justificadas por el guardián de acceso.
[48] Confr. REGLAMENTO (UE) 2022/1925, Art. 6. En relación con los datos personales, el guardián de acceso proporcionará tal acceso a los datos personales o su uso únicamente cuando tales datos estén directamente relacionados con el uso que los usuarios finales hayan hecho con respecto a los productos o servicios ofrecidos por el usuario profesional de que se trate a través del servicio básico de plataforma pertinente, y cuando el usuario final opte por tal intercambio prestando su consentimiento.
[49] Confr. REGLAMENTO (UE) 2022/1925, Art. 7. Garantizará al menos la interoperabilidad de las siguientes funcionalidades básicas cuando él mismo proporcione dichas funcionalidades a sus propios usuarios finales: i) los mensajes de texto de extremo a extremo entre dos usuarios finales individuales, ii) el intercambio de imágenes, mensajes de voz, vídeos y otros archivos que se adjunten a la comunicación de extremo a extremo entre dos usuarios finales individuales; iii) los mensajes de texto de extremo a extremo entre grupos de usuarios finales individuales, iv) el intercambio de imágenes, mensajes de voz, vídeos y otros archivos que se adjunten a la comunicación de extremo a extremo entre un chat en grupo y un usuario final individual; v) las llamadas de voz de extremo a extremo entre dos usuarios finales individuales.
El nivel de seguridad, incluido el cifrado de extremo a extremo, en su caso, que proporcione el guardián de acceso a sus propios usuarios finales se mantendrá en todos los servicios interoperables.
[50] Confr. REGLAMENTO (UE) 2022/1925, Art. 14. Los guardianes de acceso informarán a la CE de dicha concentración antes de su ejecución y tras la celebración del acuerdo, el anuncio de la licitación pública o la adquisición de una participación mayoritaria.
[51] Confr. La CE ha difundido una plantilla para los guardianes de acceso regulados por la Ley de Mercados Digitales para el cumplimiento de sus obligaciones de información sobre las técnicas de elaboración de perfiles de consumidores
https://digital-strategy.ec.europa.eu/es/news/commission-publishes-template-dma-gatekeepers-their-reporting-obligations-consumer-profiling, disponible al 28/12/23.
[52] Confr. REGLAMENTO (UE) 2022/1925, Art. 18. La CE podrá imponer cualquier medida correctora del comportamiento o estructural que sea proporcionada y necesaria para garantizar el cumplimiento efectivo de la DMA, incluyendo la prohibición, durante un tiempo limitado, al guardián de acceso de tomar parte en una concentración económica en relación con los servicios básicos de plataforma, otros servicios prestados en el sector digital o los servicios que posibiliten la recopilación de datos que se hayan visto afectados por el incumplimiento sistemático. Se considerará sistemático si la CE adoptó al menos tres decisiones de incumplimiento contra el guardián de acceso dentro de los ocho años anteriores.
[53] Confr. REGLAMENTO (UE) 2022/1925, Art. 19.
[54] Confr. REGLAMENTO (UE) 2022/1925, Art. 24. En caso de urgencia debido al riesgo de daños graves e irreparables para los usuarios profesionales o los usuarios finales de los guardianes de acceso, la CE podrá adoptar un acto de ejecución en el que se ordenen medidas cautelares contra un guardián de acceso sobre la base de una comprobación de la existencia prima facie de una infracción de los artículos 5, 6 o 7, pero necesariamente en el marco de un procedimiento iniciado con vistas a la posible adopción de una decisión con arreglo al artículo 29, apartado 1, y durante un período de tiempo determinado.
[55] Confr. REGLAMENTO (UE) 2022/1925, Art. 28. El agente de cumplimiento debe organizar, supervisar y controlar las medidas y las actividades de los guardianes de acceso encaminadas a garantizar el cumplimiento de DMA; informar y asesorar a la dirección y los empleados del guardián de acceso respecto al cumplimiento de DMA; en su caso, controlar el cumplimiento de los compromisos que se hayan hecho vinculantes con arreglo al artículo 25, y cooperar con la CE a los efectos de la DMA.
[56] Confr. REGLAMENTO (UE) 2022/1925, Art. 30.
[57] Ibid. La CE podrá imponer multas sancionadoras de hasta el 20 % de su volumen de negocios total a nivel mundial en el ejercicio anterior cuando haya constatado que un guardián de acceso ha cometido la misma infracción de una obligación establecida en los artículo 5, 6 o 7 en relación con el mismo servicio básico de plataforma que ya se hubiera constatado en una decisión de incumplimiento adoptada durante los ocho años anteriores, o una infracción similar.
[58] Confr. REGLAMENTO (UE) 2022/1925, Art. 31. La CE podrá adoptar una decisión por la que se imponga a los guardianes de acceso, y a las asociaciones de empresas multas coercitivas diarias que no excedan del 5 % del promedio diario del volumen de negocios a nivel mundial en el ejercicio anterior, para obligarlas a cumplir las medidas adoptadas en virtud del artículo 8, apartado 2; del artículo18, apartado1; del artículo 21; para garantizar el acceso a las bases de datos, los algoritmos e información sobre las pruebas en respuesta a una solicitud hecha de conformidad con el artículo 21, apartado 3; para someterse a una inspección con arreglo al artículo 23; cumplir medidas cautelares adoptadas con arreglo al artículo 24; y cumplir compromisos que se hayan hecho jurídicamente vinculantes con arreglo al artículo 25, apartado 1.
[59] Confr. REGLAMENTO (UE) 2022/1925, Art. 32.
[60] Confr. REGLAMENTO (UE) 2022/1925, Art. 33.
[61] Confr. REGLAMENTO (UE) 2022/1925, Art. 38.
[62] Confr. REGLAMENTO (UE) 2022/1925, Art. 41.
[63] Confr. REGLAMENTO (UE) 2022/1925, Art. 40.
[64] Confr. REGLAMENTO (UE) 2022/1925, Art. 50.
[65] Confr. Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales), disponible en español al 28/12/23 en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32022R2065
[66] Ibid, no obstante el Art. 93 dispone que ciertas normas serán de aplicación antes, a partir del 16 de noviembre de 2022.
[67] Ibid.
[68] Confr. Reglamento (UE) 2022/2065, considerando 1.
[69] Ibid, considerando 4.
[70] Véase Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información, disponible al 28/12/23 en https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32015L1535
[71] DSA solo debe aplicarse a los servicios intermediarios y no afectar a los requisitos impuestos por el Derecho de la Unión o nacional en relación con productos o servicios intermediados a través de servicios intermediarios.
[72] Art. 4. Los servicios intermediarios de “mera transmisión” incluyen categorías genéricas de servicios como los puntos de intercambio de internet, los puntos de acceso inalámbrico, las redes privadas virtuales, los servicios de DNS y traductores DNS, los registros de nombres de dominio de primer nivel, los registradores, las autoridades de certificación que expiden certificados digitales, la transmisión de voz por internet y otros servicios de comunicación interpersonal. Entre los ejemplos de «servicios de alojamiento de datos» se incluyen categorías de servicios como la computación en nube, el alojamiento web, los servicios remunerados de referenciación o los servicios que permiten compartir información y contenidos en línea, incluido el almacenamiento y el intercambio de archivos. Los servicios intermediarios pueden prestarse de forma aislada, como parte de otro tipo de servicio intermediario, o al mismo tiempo que otros servicios intermediarios. La cuestión de si un servicio específico constituye un servicio de «mera transmisión», de «memoria caché» o de «alojamiento de datos» depende únicamente de sus funcionalidades técnicas, que pueden evolucionar con el tiempo, y debe dilucidarse caso por caso.
[73] Art. 4. Ejemplos genéricos de servicios intermediarios de “memoria caché” incluyen el suministro únicamente de redes de distribución de contenidos, los proxies inversos o los proxies de adaptación de contenidos.
[74] Art. 6. Dada la distinta naturaleza de tales actividades y la diferente posición y capacidad de los prestadores de los servicios de que se trate, es necesario diferenciar las normas aplicables a dichas actividades. Ejemplos de “servicios de alojamiento de datos” incluyen la computación en nube, el alojamiento web -hosting-, los servicios remunerados de referenciación o los servicios que permiten compartir información y contenidos en línea, incluido el almacenamiento y el intercambio de archivos. La cuestión de si un servicio específico constituye un servicio de “mera transmisión”, de “memoria caché” o de “alojamiento de datos” depende únicamente de sus funcionalidades técnicas, que pueden evolucionar con el tiempo, y debe dilucidarse caso por caso. Específicamente respecto al alojamiento de datos, para poder acogerse a la exención de responsabilidad, el prestador debe, en el momento en que tenga conocimiento efectivo o consciencia de actividades o contenidos ilícitos, actuar de manera diligente para retirar dichos contenidos o bloquear el acceso a ellos. El prestador puede obtener dicho conocimiento efectivo o consciencia del carácter ilícito de los contenidos, entre otras vías, a través de investigaciones realizadas por iniciativa propia o denotificaciones recibidas de personas físicas o entidades, en la medida en que dichas notificaciones sean suficientemente precisas y estén adecuadamente fundamentadas para que un operador económico diligente, de manera razonable, pueda detectar y evaluar el contenido presuntamente ilícito y, en su caso, actuar contra él.
[75] Confr. Reglamento (UE) 2022/2065, considerando 7 y Art. 2.
[76] Ibid, considerando 7.
[77] Ibid, considerando 12 y Art. 16. El concepto de contenido ilícito debe definirse de manera amplia para abarcar la información relacionada con contenidos, productos, servicios y actividades de carácter ilícito, como los delitos de incitación al odio o los contenidos terroristas y los contenidos discriminatorios ilícitos, el intercambio de imágenes que representen abusos sexuales de menores, el intercambio ilícito no consentido de imágenes privadas, el acoso en línea, la venta de productos no conformes o falsificados, la venta de productos o la prestación de servicios que infrinjan el Derecho en materia de protección de los consumidores, el uso no autorizado de material protegido por derechos de autor, la oferta ilegal de servicios de alojamiento o la venta ilegal de animales vivos.
[78] Ibid, considerando 9.
[79] Ibid, considerando 17. Arts. 4, 5 y 6.
[80] Ibid, considerando 18. Las exenciones de responsabilidad no aplican cuando, en lugar de limitarse a la prestación neutra de los servicios mediante un tratamiento meramente técnico y automático de la información proporcionada por el destinatario del servicio, el prestador de servicios intermediarios desempeñe un papel activo de tal índole que le confiera conocimiento de dicha información o control sobre ella, como cuando se trate de información no proporcionada por el destinatario del servicio, sino por el propio prestador del servicio intermediario, incluido el caso en que la información se haya elaborado bajo la responsabilidad editorial de dicho prestador. Cuando un prestador de servicios intermediarios colabore deliberadamente con un destinatario del servicio a fin de llevar a cabo actividades ilícitas, se ha de considerar que el servicio no se ha prestado de forma neutra. Ahora bien, el mero hecho de que un servicio ofrezca transmisiones cifradas o cualquier otro sistema que impida la identificación del usuario no debe considerarse en sí mismo que facilite actividades ilícitas. Sin perjuicio de las disposiciones de la exención de responsabilidad en relación con la información transmitida o almacenada a petición de un destinatario del servicio, un prestador de servicios intermediarios debe ser responsable por los perjuicios sufridos por destinatarios del servicio causados por un incumplimiento de las obligaciones establecidas en DSA por dicho prestador, con arreglo a las normas y procedimientos establecidos en el Derecho nacional aplicable. Confr. Considerando 121.
[81] Nótese que servicios de comunicaciones interpersonales definidos en la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo (24), como los correos electrónicos o los servicios de mensajería privada, quedan fuera del ámbito de la definición de plataformas en línea, ya que se utilizan para la comunicación interpersonal entre un número finito de personas determinado por el remitente de la comunicación. Confr. Ibid, considerando 14.
[82] Ibid, considerando 13.
[83] Ibid, considerando 41. Véase Art. 19, donde se excluye a las micro y PyMEs que presten servicios básicos de plataforma.
[84] Ibid, considerando 48.
[85] Ibid, considerando 41. Los prestadores de servicios de alojamiento de datos, sea cual sea su tamaño, deben establecer mecanismos de notificación de fácil acceso y uso que faciliten la notificación de elementos de información concretos que la parte notificante considere contenidos ilícitos, en virtud de la cual el prestador pueda decidir si está o no de acuerdo con esa valoración y si desea retirar o bloquear el acceso a dicho contenido. La obligación de establecer mecanismos de notificación y acción se aplica por ejemplo, a los servicios de almacenamiento e intercambio de archivos, los servicios de alojamiento web, los servidores de publicidad y los pastebins (aplicaciones para compartir código fuente en internet). Estos mecanismos deben estar configurados de modo que faciliten la comunicación de notificaciones que expliquen las razones por las que la persona física o entidad que envía la notificación considera que el contenido es ilícito y una indicación clara de la localización del contenido. Cuando una notificación contenga información suficiente para permitir a un prestador diligente de servicios de alojamiento de datos determinar, sin un examen jurídico detallado, que el contenido es manifiestamente ilícito, debe considerarse que la notificación da lugar a un conocimiento efectivo o consciencia del carácter ilícito. Sin embargo, DSA se esmera en resaltar -véase considerando 56- que no sienta el fundamento jurídico para elaborar perfiles de los destinatarios de los servicios con miras a la posible detección de delitos cometidos por los prestadores de servicios de alojamiento de datos. Además, los prestadores de plataformas en línea deben estar obligados a establecer sistemas internos de gestión de reclamaciones que cumplan determinadas condiciones al objeto de garantizar que los sistemas sean fácilmente accesibles y produzcan resultados rápidos, no discriminatorios, no arbitrarios y justos, y que estén sujetos a revisión humana cuando se usen medios automáticos. Estos sistemas deben permitir a todos los destinatarios del servicio presentar una reclamación y no deben establecer requisitos formales, como la remisión a las correspondientes disposiciones jurídicas concretas o a explicaciones jurídicas complejas. La posibilidad de presentar una reclamación para que se revoquen de las decisiones impugnadas debe estar disponible durante al menos seis meses, contados a partir del momento en que el prestador de plataformas en línea informe de la decisión al destinatario del servicio.
Por otro lado, respecto de contenidos ilícitos y su notificación y eventual baja, se prevé la figura de los alertadores fiables -véase Art. 22-: calidad que debe ser otorgada por el coordinador de servicios digitales del Estado miembro donde el solicitante esté establecido y debe ser reconocida por todos los prestadores de plataformas en línea. Esta condición de alertador fiable solo debe otorgarse a entidades, y no personas físicas, que hayan demostrado, entre otras cosas, que poseen conocimientos y competencias específicas para hacer frente a los contenidos ilícitos y que trabajan de manera diligente, precisa y objetiva (e.g. EUROPOL).
[86] Los prestadores de plataformas en línea y los motores de búsqueda deben estar sujetos a obligaciones de transparencia informativa adicionales, cuando se determine que son plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño.
[87] Ibid, considerando 75-78. Dado su particular papel y alcance, a las plataformas y buscadores de muy gran tamaño se les imponen obligaciones adicionales en materia de información y transparencia de sus condiciones generales, y entre otras cosas se deben indicar los principales elementos de las obligaciones de información, incluida la posibilidad de excluir fácilmente las cláusulas opcionales. Es necesario imponer obligaciones específicas a los prestadores de esas grandes plataformas y motores de búsqueda de muy gran tamaño, dado que pueden entrañar riesgos para la sociedad, de distinto alcance y repercusión comparado a los generados por plataformas más pequeñas. Por esta razón, deben cumplir obligaciones de diligencia debida más exigentes, ya que por su cantidad de usuarios (+45 millones de usuarios, o el 10% de la población de la UE), los riesgos sistémicos que la plataforma en línea o el motor de búsqueda en línea entraña pueden tener un impacto desproporcionado en la UE. Ahora bien, el concepto de destinatario activo del servicio no coincide necesariamente con el de usuario registrado de un servicio: para motores de búsqueda en línea, el concepto de destinatarios activos del servicio debe comprender a quienes visualizan información en su interfaz en línea, pero no, por ejemplo, a los propietarios de los sitios web indexados por el motor de búsqueda en línea, ya que no participan activamente en el servicio.
[88] Ibid, considerando 80-90. Estos riesgos sistémicos son: (i) difusión de contenidos ilícitos y la venta de productos o servicios prohibidos, incluidos los productos peligrosos o falsificados; (ii) los efectos reales o previsibles del servicio para el ejercicio de los derechos fundamentales: la dignidad humana, la libertad de expresión y de información, incluidos la libertad de los medios de comunicación y su pluralismo, el derecho a la vida privada, el derecho a la protección de datos, el derecho a la no discriminación, los derechos del niño y la protección de los consumidores. Estos riesgos pueden derivarse del diseño de los sistemas algorítmicos utilizados o por el uso indebido de su servicio mediante el envío de notificaciones abusivas, y en el caso de menores, debido a las interfaces diseñadas de manera que exploten intencionada o involuntariamente las debilidades y la inexperiencia de los menores o que puedan generar un comportamiento adictivo; (iii) efectos negativos reales o previsibles sobre los procesos democráticos, el discurso cívico y los procesos electorales, así como sobre la seguridad pública -llamativamente, el Considerando 82 es el menos extenso de todos, lo que sorprende dado el impacto de Cambridge Analytica en la vida democrática-; y (iv) preocupaciones relacionadas con el diseño, el funcionamiento o la utilización, también mediante la manipulación, de plataformas con un efecto negativo real o previsible en la protección de la salud pública, los menores y graves consecuencias negativas para el bienestar físico y mental de una persona, o en la violencia de género. Estos riesgos pueden derivarse de campañas coordinadas de desinformación relacionadas con la salud pública, o del diseño de interfaces en línea que puedan estimular adicciones comportamentales de los destinatarios del servicio.
Respecto de tales riesgos sistémicos, estas grandes plataformas deben centrarse en los sistemas u otros elementos que puedan contribuir a los riesgos, como los sistemas algorítmicos pertinentes, y en particular sus sistemas de recomendación y de publicidad, con foco en la recogida y uso de datos, incluyendo sus procesos de moderación de contenidos, herramientas técnicas y recursos asignados. En general, deben dedicar especial atención a cómo se utilizan sus servicios para difundir o amplificar contenidos incorrectos o engañosos, incluida la desinformación, de modo tal que cuando la amplificación algorítmica de la información contribuya a los riesgos sistémicos, ello se refleje debidamente en sus evaluaciones de riesgos. Además deben evaluar cómo contribuyen a tales riesgos el diseño y el funcionamiento de su servicio, por ejemplo, por la creación de cuentas falsas, el uso de bots o el uso engañoso de un servicio, y otros comportamientos total o parcialmente automatizados.
Como potenciales medidas de mitigación, deberán: (i) adaptar el diseño, característica o funcionamiento necesario de su servicio, como el diseño de la interfaz en línea, incluyendo sus sistemas de moderación de contenidos; y (ii) adaptar sus sistemas algorítmicos, en particular sus sistemas de recomendación, e incluso suspender la recaudación de ingresos por publicidad de información específica, o mejorar la visibilidad de fuentes autorizadas de información. Las obligaciones en materia de evaluación y reducción de riesgos puede obligar a adaptar el diseño de sus sistemas de recomendación para evitar o minimizar los sesgos que den lugar a la discriminación de personas en situaciones vulnerables, y deben garantizar que los destinatarios tengan opciones alternativas que no se basen en la elaboración de perfiles, ser directamente accesibles desde la interfaz en línea en la que se presentan las recomendaciones.
[89] Ibid, considerando 79. Véase Art. 35.
[90] Ibid, considerando 92 y Art. 37. Respecto de las auditorías independientes, deben facilitar la cooperación y la asistencia necesarias a las organizaciones que llevan a cabo las auditorías, incluidos los datos relacionados con los sistemas algorítmicos, y respondiendo a preguntas orales o escritas. Los auditores deben garantizar la confidencialidad, seguridad e integridad de la información, como secretos comerciales, que obtengan en el desempeño de sus funciones y deben tener los conocimientos necesarios en materia de gestión de riesgos y competencia técnica para auditar algoritmos. El informe de auditoría debe incluir un dictamen basado en las conclusiones extraídas a partir de los datos fehacientes obtenidos y será favorable cuando todos los datos demuestren que el prestador cumple con las obligaciones establecidas en DSA o en cualquier compromiso que haya adquirido. Debe dictarse un dictamen negativo cuando el auditor considere que el prestador no cumple con DSA y en su caso, el informe debe incluir una descripción de los elementos concretos que no pudieron auditarse, y una explicación de por qué fue así.
[91] Ibid, considerando 49. Esas obligaciones de transparencia no deben aplicarse a microempresas o pequeñas empresas que no sean plataformas en línea de muy gran tamaño.
[92] Ibid, considerando 45. Art. 14. Los prestadores de servicios intermediarios deben indicar con claridad y actualizar en sus condiciones generales la información relativa a los motivos por los que pueden restringir la prestación de sus servicios, incluyendo información sobre políticas, procedimientos, medidas y herramientas empleadas para moderar los contenidos, incluidas la toma de decisiones mediante algoritmos y la revisión humana, así como las normas de procedimiento de su sistema interno de gestión de reclamaciones. También deben facilitar información de fácil acceso sobre el derecho a poner fin al uso del servicio. Los prestadores de servicios intermediarios pueden utilizar elementos gráficos en sus condiciones generales de servicio, como iconos o imágenes, para ilustrar los principales elementos de las obligaciones de información establecidas en el presente Reglamento. Los prestadores deben informar a los destinatarios del servicio a través de medios adecuados de los cambios significativos realizados en sus condiciones generales, por ejemplo, cuando modifiquen las normas sobre la información permitida en su servicio, u otros cambios que puedan afectar directamente a la capacidad de los destinatarios de hacer uso del servicio.
[93] Ibid, considerando 67. Art. 25. Las interfaces engañosas de las plataformas en línea son prácticas que distorsionan o merman sustancialmente, de forma deliberada o efectiva, la capacidad de los destinatarios del servicio de tomar decisiones autónomas y con conocimiento de causa. Entre estas prácticas se han de incluir la prohibición, entre otras, de las opciones de diseño abusivas que dirigen al destinatario hacia acciones que benefician al prestador de plataformas en línea, pero que pueden no favorecer los intereses de los destinatarios, al presentar opciones de una manera que no es neutra, por ejemplo, dando más protagonismo a determinadas opciones mediante componentes visuales, auditivos o de otro tipo, cuando se le pide al destinatario del servicio que tome una decisión. También se prohíben otras prácticas: solicitar repetidamente al destinatario del servicio que tome una decisión cuando esa decisión ya ha sido tomada, hacer que el procedimiento de anulación de un servicio sea considerablemente más engorroso que la suscripción a dicho servicio, hacer que determinadas opciones sean más difíciles o lleven más tiempo que otras, dificultar excesivamente la interrupción de las compras o la desconexión de una plataforma en línea determinada que permite a los consumidores celebrar contratos a distancia con comerciantes, y engañar a los destinatarios del servicio empujándoles a tomar decisiones sobre transacciones o mediante ajustes por defecto que sean muy difíciles de cambiar, dirigiendo de forma injustificada la toma de decisiones del destinatario del servicio, de manera que se distorsione y merme su autonomía, su toma de decisiones y su capacidad de elección.
[94] Ibid, considerando 64. Por razones de transparencia, esta posibilidad debe quedar establecida, de forma clara y suficientemente detallada, en las condiciones generales de las plataformas en línea. Siempre deben existir vías de recurso contra las decisiones y deben estar sujetas a la supervisión del coordinador de servicios digitales competente. Los prestadores de plataformas en línea deben enviar una advertencia previa antes de decidir sobre la suspensión, advertencia que debe incluir los motivos de la posible suspensión y las vías de recurso contra la decisión de los prestadores de la plataforma en línea.
[95] Ibid, considerando 68 y Art. 23. DSA dispone que los prestadores de plataforma deben velar por que los destinatarios del servicio posean determinada información individualizada que les sea necesaria para saber cuándo y en nombre de quién se presenta el anuncio y, además, los destinatarios del servicio deben poder acceder directamente, desde la interfaz en línea en la que se presente el anuncio publicitario, a información sobre los principales parámetros utilizados para determinar que se les presente un anuncio publicitario específico, ofreciendo explicaciones útiles de la lógica utilizada con ese fin, también cuando se base en la elaboración de perfiles. Dichas explicaciones deben incluir información sobre el método utilizado para presentar el anuncio publicitario y, en su caso, los principales criterios utilizados para la elaboración de perfiles. También deben informar al destinatario de cualquier medio de que este disponga para modificar dichos criterios.
[96] Ibid, considerando 95. Arts. 33-43. Las grandes plataformas y buscadores deben garantizar el acceso público a los repositorios de anuncios publicitarios presentados en sus interfaces en línea para facilitar la supervisión y la investigación de los riesgos emergentes generados por la distribución de publicidad en línea, por ejemplo en relación con anuncios ilícitos o técnicas manipulativas y desinformación con efectos negativos reales y previsibles para la salud pública, la seguridad pública, el discurso civil, la participación política y la igualdad. Deben divulgar información sobre los criterios de personalización como sobre los criterios de difusión, en particular cuando los anuncios estén dirigidos a personas en situaciones vulnerables, como los menores.
[97] Ibid, considerando 69.
[98] Id. Art.
[99] Ibid, considerando 97. El coordinador de servicios digitales de cada país o la CE pueden requerir acceso o informes relativos a datos específicos, incluidos los datos relacionados con algoritmos, como por ejemplo, los datos necesarios para evaluar los riesgos y posibles perjuicios generados por los sistemas de la plataforma, datos sobre la precisión, el funcionamiento y la realización de pruebas de los sistemas algorítmicos de moderación de contenidos, sistemas de recomendación o sistemas publicitarios, datos de entrenamiento y algoritmos, o datos sobre procesos y resultados de moderación de contenidos o de los sistemas internos de gestión de reclamaciones. Ahora bien, para que datos que son secretos comerciales o información confidencial no afecten la consecución del objetivo de la DSA, la consideración de los intereses comerciales de los prestadores no debe dar lugar a una denegación de acceso a los datos necesarios para el objetivo específico de una investigación: los prestadores deben garantizar un acceso adecuado a los investigadores, también, cuando sea necesario, adoptando protecciones técnicas, por ejemplo, a través de espacios de datos. Las solicitudes de acceso a los datos podrían comprender, por ejemplo, el número de visualizaciones o, en su caso, otros tipos de acceso a contenidos por parte de los destinatarios del servicio antes de su retirada por el prestador.
[100] Ibid, considerando 70.
[101] Art. 27.
[102] Ibid, considerando 72 y Arts. 30 y 32. Entre la información a solicitar, se incluyen documentos de identidad, estados bancarios certificados de cuentas de pago, certificados empresariales y certificados del registro mercantil. Los prestadores de plataformas en línea deben: (i) diseñar y organizar su interfaz de manera que permita a los comerciantes cumplir con sus obligaciones en virtud de otras normas vigentes (e.g. artículos 6 y 8 de la Directiva 2011/83/UE, el artículo 7 de la Directiva 2005/29/CE, los artículos 5 y 6 de la Directiva 2000/31/CE, y el artículo 3 de la Directiva 98/6/CE del Parlamento Europeo y del Consejo); (ii) hacer todo lo posible por evaluar si los comerciantes que utilizan sus servicios han cargado la información completa; (iii) deben garantizar que no se ofrezcan productos o servicios en tanto que dicha información no esté completa -sin que esto implique una obligación de monitorizar en general los productos o servicios ofrecidos por los comerciantes a través de sus servicios ni
como una obligación general de comprobar los datos; y (iv) deben hacer todos los esfuerzos que resulten razonables para comprobar aleatoriamente si los productos o servicios ofrecidos han sido identificados como ilícitos en cualquier base de datos oficial, de libre acceso y legible por máquina disponible.
[103] Ibid, considerando 73.
[104] Ibid, considerando 74.
[105] Ibid, considerando 99. Art. 41.
[106] Arts. 45-47. Ejemplos de códigos de conducta voluntarios ya vigentes son: el compromiso de seguridad con los productos, el memorando de entendimiento sobre la venta de productos falsificados a través de internet, el Código de conducta para la lucha contra la incitación ilegal al odio en internet, y el Código de buenas prácticas en materia de desinformación.
[107] Ibid, considerando 103-106.
[108] Ibid, considerando 127-128. Véase Arts. 49-60. Dada la importancia transfronteriza e intersectorial de los servicios intermediarios, es necesario un alto nivel de cooperación entre coordinadores nacionales para garantizar la aplicación de DSA: (i) el coordinador de servicios digitales de establecimiento de un prestador de servicios intermediarios debe informar a los otros coordinadores de servicios digitales sobre las cuestiones, investigaciones y acciones que se vayan a emprender; (ii) si posee información pertinente para una investigación llevada a cabo por las autoridades competentes del Estado miembro de establecimiento, o pueda recabar en su territorio información, el coordinador de servicios digitales de destino debe asistir en tiempo oportuno al coordinador de servicios digitales de establecimiento; (iii) el destinatario de dichas medidas de investigación debe cumplirlas y hacerse responsable en caso de incumplimiento; y (iv) el coordinador de servicios digitales de destino debe poder pedir al coordinador de servicios digitales de establecimiento que adopte medidas de investigación o ejecución con respecto a un prestador que esté bajo su competencia, si existen pruebas bien fundamentadas que demuestren la existencia de una presunta infracción que afecte negativamente a los intereses colectivos de los destinatarios del servicio en su Estado miembro o tenga un impacto social negativo.
[109] Ibid, considerando 112. Deben actuar con completa independencia de organismos públicos y privados, sin obligación o posibilidad de solicitar o recibir instrucciones, ni siquiera del Gobierno, aunque estén sujetos a rendición de cuentas en lo que respecta a las actividades generales del coordinador de servicios digitales, como su gasto financiero o la presentación de información a los Parlamentos.
[110] Ibid, considerando 111.
[111] Ibid, considerando 130. Otros coordinadores de servicios digitales y otras autoridades competentes, cuando sea conveniente, deben poder unirse a la investigación propuesta por el coordinador de servicios digitales del establecimiento, a menos que este considere que un número excesivo de autoridades participantes puede afectar a la eficacia de la investigación.
[112] Ibid, considerando 138. Cuando la supervisión por parte de las autoridades nacionales de presuntas infracciones de prestadores de plataformas y motores de búsqueda de muy gran tamaño apunte a problemas sistémicos, los coordinadores de servicios digitales pueden de manera fundada remitir dichas cuestiones a la CE, y luego de su propia evaluación, la CE puede adoptar las medidas de investigación y ejecución necesarias incluyendo la apertura de una investigación o la adopción de medidas cautelares.
[113] Ibid, considerando 142. Este instrumento es importante para evitar cambios que sería muy difícil deshacer mediante una decisión adoptada por la CE al final del procedimiento, y por ello, la CE tiene competencias para imponer medidas cautelares mediante una decisión en el contexto de un procedimiento, en los casos en que la CE haya constatado prima facie el incumplimiento de las obligaciones por parte del prestador de plataformas y buscadores de muy gran tamaño, debiendo aplicarse durante un período determinado.
[114] Ibid, considerando 114.
[115] Ibid, considerando 116. Los Estados miembros deben asegurarse de que los coordinadores de servicios digitales puedan adoptar medidas eficaces y proporcionadas para corregir determinadas infracciones particularmente graves y persistentes. Los terceros potencialmente afectados deben tener la oportunidad de ser oídos y dichas órdenes deben dictarse únicamente cuando no se disponga razonablemente de competencias para adoptar ese tipo de medidas por ejemplo para proteger los intereses colectivos de los consumidores, o para garantizar la retirada inmediata de páginas web que contengan o difundan pornografía infantil. Si se dictan, estas órdenes de cese deben ser temporales y dirigirse en principio a un prestador de servicios intermediarios -como el prestador del servicio de alojamiento de datos, el prestador del servicio de internet, el registro de nombres de dominio o el registrador.
[116] Ibid, considerando 122.
[117] X (antes llamada Twitter) fue designada plataforma en línea de muy gran tamaño el 25/04/23 tras su declaración de tener 112 millones de usuarios activos mensuales en la UE, lo que la obliga a cumplir una serie de obligaciones dispuestas por DSA: (i) están obligadas a detectar, analizar y evaluar con diligencia cualquier riesgo sistémico en la UE derivado del diseño o el funcionamiento de su servicio y sus sistemas conexos y al realizar evaluaciones de riesgos, deben tener en cuenta varios factores tales como los sistemas de recomendación, los sistemas de publicidad o la manipulación intencionada del servicio, por ejemplo, mediante el uso no auténtico o la explotación automatizada del servicio, así como la amplificación y la difusión potencialmente rápida y amplia de contenidos ilícitos y de información incompatible con sus condiciones. Están obligadas a establecer medidas de mitigación razonables, proporcionadas y eficaces, adaptadas a los riesgos sistémicos concretos detectados; (ii) deben notificar sin demora indebida la decisión de moderación de contenidos a las personas físicas o entidades; (iii) no deben diseñar, organizar o gestionar sus interfaces de manera que engañen o manipulen a sus usuarios, o de manera que distorsionen u obstaculicen sustancialmente de otro modo la capacidad de los destinatarios de su servicio de tomar decisiones libres e informadas; y (iv) deben compilar y hacer público, a través de una herramienta consultable y fiable, un repositorio que contenga anuncios en sus plataformas y deben facilitar a los investigadores un acceso efectivo a los datos de las plataformas. Con fecha 18/12/23, la CE inició un procedimiento formal para evaluar si X podría haber infringido la DSA en ámbitos relacionados con la gestión de riesgos, la moderación de contenidos, las interfaces engañosas, la transparencia de la publicidad y el acceso de los investigadores a los datos.
[118] Ibid, considerando 124. Se asume que la CE podría estar en muchos casos en mejores condiciones para hacer frente a las infracciones sistémicas cometidas por dichos prestadores.
[119] Ibid, considerando 125 y 139. Una vez iniciado el procedimiento por la CE debe excluirse la posib
Opinión
Brons & Salas
opinión
ver todosKabas & Martorell
PASBBA
NORDELTA S.A.