'Reglamento de Mercados Digitales: novedades para el tratamiento de datos y servicios de publicidad', por Paula Ortiz
Contexto: servicios básicos de plataforma y guardianes de acceso
El 12 de octubre de 2022 se publicó el Reglamento de Mercados Digitales en el Diario Oficial de la Unión Europea (link a la versión en español). Publicación que se ha llevado a cabo en un tiempo récord, si tenemos en cuenta no sólo la dificultad y trascendencia de la misma, si no que la propuesta de la Comisión es de diciembre de 2020.
El Reglamento de Mercados Digitales (DMA) forma parte de un paquete legislativo, que se complementa con el Reglamento de Servicios Digitales (DSA), también recientemente aprobado y cuya publicación está pendiente. Desde que se aprobaran las primeras normas para internet hace más de 20 años (Directiva 2000/31/EC sobre comercio electrónico, transpuesta al ordenamiento jurídico español por la LSSI) han surgido modelos de negocio y servicios innovadores, como las redes sociales y servicios en línea, surgiendo cuestiones nuevas y críticas, especialmente en relación con el papel y las responsabilidades de estos servicios y plataformas.
El Reglamento, que tendrá un régimen ex ante y se aplicará junto con la legislación europea y nacional sobre competencia, está destinado a asegurar “mercados digitales justos y abiertos” y el poder de las grandes compañías del sector digital. A modo muy general y sistemático, se recogen a continuación las novedades, principalmente a lo relativo al tratamiento de datos y los servicios de publicidad.
Introduce una serie de obligaciones y prohibiciones aplicables a los servicios básicos de plataforma que actúan como guardianes de acceso. Pero, ¿Qué son los servicios básicos de plataforma? LA DMA recoge el siguiente listado:
Servicios de intermediación en línea;
Motores de búsqueda en línea;
Servicios de redes sociales en línea;
Servicios de plataforma de intercambio de vídeos;
Servicios de comunicaciones interpersonales independientes de la numeración;
Sistemas operativos; navegadores web;
Asistentes virtuales;
Servicios de computación en nube
Servicios de publicidad en línea, incluidas las redes de publicidad, las plataformas de intercambio de publicidad y cualquier otro servicio de intermediación publicitaria.
El legislador reconoce que un reducido número de grandes empresas prestadoras de servicios básicos de plataforma han acumulado un gran poder económico, lo que podría cualificarlas para que se las designe como guardianes de acceso de conformidad con el Reglamento.
Recoge, por tanto, las características que tienen que reunir esas plataformas para ser consideradas guardianes de acceso:
Tener una gran influencia en el mercado interior. Es decir, cuando la empresa tenga un volumen de negocios anual en la Unión igual o superior a 7.500 millones de euros en cada uno de los tres últimos ejercicios, o cuando su capitalización bursátil media ascienda como mínimo a 75.000 millones de euros en el último ejercicio, y preste el mismo servicio básico de plataforma en al menos tres Estados miembros;
Prestar un servicio básico de plataforma que es una puerta de acceso importante para que los usuarios profesionales lleguen a los usuarios finales, es decir cuando en el último ejercicio, haya tenido al menos 45 millones de usuarios finales mensuales activos en la Unión y al menos 10.000 usuarios profesionales activos anuales establecidos en la Unión.
Tener una posición afianzada y duradera.
Obligaciones y prohibiciones
La DMA impone a los guardianes de acceso un amplio catálogo de "Do´s & Dont´s" para permitir que otras empresas compitan en el mercado sobre la base de los méritos de sus productos y servicios. En cuanto al tratamiento de datos, establece que los guardianes de acceso se abstendrán de realizar lo siguiente:
a) Tratar datos personales de usuarios que utilicen servicios de terceros que se presten sobre su plataforma con el fin de prestar servicios de publicidad en línea.
b) Combinar sus datos con datos personales procedentes de servicios de terceros o datos personales de otros servicios adicionales.
c) Cruzar datos personales procedentes del servicio básico de plataforma con otros servicios que proporcione el guardián de acceso por separado.
d) Iniciar la sesión de usuarios en otros servicios del guardián de acceso para combinar datos personales.
Deben permitir que los usuarios finales puedan elegir entre el tratamiento de datos e inicio de sesión ofreciéndoles una alternativa menos personalizada, aunque equivalente, y sin condicionar el uso del servicio o de determinadas funcionalidades. La alternativa menos personalizada no debe ser diferente ni tener una menos calidad en comparación con el servicio prestado a los usuarios que prestan su consentimiento, a menos que sea porque el guardián de acceso no pueda tratar dichos datos personales ni iniciar la sesión de los usuarios finales en un servicio.
Cuando el usuario haya denegado o retirado el consentimiento prestado, el guardián de acceso no solicitará el consentimiento para el mismo fin más de una vez en el plazo de un año.
En cuanto a los servicios de publicidad, como novedad e importante ejercicio de transparencia, el guardián de acceso tendrá unas exigentes obligaciones de información tanto para anunciantes como para editores.
En cuanto a los anunciantes, les proporcionará, o a terceros autorizados por los mismos, información diaria y gratuita sobre cada anuncio del anunciante, en relación con el precio y las comisiones pagados por ese anunciante; la remuneración recibida por el editor con su consentimiento, incluidas todas las deducciones y recargos, y las medidas a partir de las que se calculan cada uno de los precios, comisiones y remuneraciones.
Por otro lado, el guardián de acceso proporcionará a cada editor al que preste servicios de publicidad en línea, o a terceros autorizados por los editores, información diaria y gratuita sobre cada anuncio que aparezca en el inventario del editor, en relación con: la remuneración recibida y las comisiones pagadas por ese editor, incluidas todas las deducciones y recargos, por cada uno de los servicios de publicidad en línea pertinentes prestados por el guardián de acceso; el precio pagado por el anunciante con su consentimiento, incluidas todas las deducciones y recargos, y la métrica a partir de la que se calcula cada uno de los precios y remuneraciones.
Además, el guardián de acceso proporcionará a los anunciantes y los editores, así como a terceros autorizados por los anunciantes y los editores, a petición de estos y de forma gratuita, acceso a los instrumentos de medición del rendimiento del guardián de acceso y a los datos necesarios para que los anunciantes y los editores puedan realizar su propia verificación independiente del inventario de anuncios, incluidos los datos agregados y desagregados. Esos datos se proporcionarán de tal manera que se posibilite a los anunciantes y los editores utilizar sus propios instrumentos de verificación y medición para valorar el rendimiento de los servicios básicos de plataforma prestados por el guardián de acceso.
En cuanto cuestiones relacionadas con la competencia con otras empresas, los guardianes de acceso deberán abstenerse de las siguientes prácticas prohibidas:
Clasificar sus propios productos o servicios de una manera más favorable en comparación con productos similares de terceros aplicando obligaciones que impidan a otras empresas ofrecer los mismos productos o servicios a usuarios finales a través de servicios de intermediación en línea
Exigir a los usuarios que utilicen sus servicios ni a las empresas que los ofrecen sobre sus plataformas, el uso de sistemas de pago, de identificación o motores de búsqueda de ese guardián no pudiendo obligar a que interoperen con ellos.
El guardián de acceso permitirá y posibilitará técnicamente a los usuarios finales desinstalar con facilidad cualquier aplicación informática de su sistema operativo
Proporcionará a los usuarios finales y a terceros autorizados, la portabilidad de los datos proporcionados o generados por la actividad del usuario en el contexto del uso del servicio básico de plataforma.
Para evitar las prácticas elusorias, las empresas de servicios básicos de plataforma no podrán segmentar, dividir, subdividir, fragmentar o separar servicios a través de medios contractuales, comerciales, técnicos o de otro tipo con el fin de eludir los umbrales cuantitativos establecidos.
Además, en un plazo de seis meses tras su designación como guardián de acceso, proporcionará a la Comisión un informe en el que se describan de manera detallada y transparente las medidas que ha aplicado para garantizar el cumplimiento de las obligaciones. En ese sentido, los guardianes de acceso deben proporcionar a la Comisión una descripción de los criterios en los que se basa la elaboración de perfiles, el tratamiento aplicado, la finalidad para la que se utiliza el perfil, la duración de la elaboración de perfiles, el impacto de dicha elaboración de perfiles en los servicios de los guardianes de acceso, y las medidas adoptadas para informar de manera eficaz a los usuarios finales sobre el uso pertinente de dicha elaboración de perfiles, así como las medidas para solicitar su consentimiento o darles la posibilidad de denegarlo o retirarlo.
Sanciones por incumplimiento
En caso de incumplimiento, la DMA distingue entre multas sancionadoras y multas coercitivas diarias. En cuanto a las multas sancionadoras, prevé la posibilidad de imponer multas de hasta el 10% del volumen de negocios anual total mundial de la empresa, o el 20% en caso de reincidencia. En el caso de las multas coercitivas, prevé sanciones diarias de hasta el 5% del volumen de negocios medio diario mundial de la empresa del ejercicio anterior. La Comisión Europea también está facultada para imponer, excepcionalmente, medidas correctoras del comportamiento o estructurales si, tras una investigación de mercado, se establece que el guardián ha infringió sistemáticamente la DMA, y no existen remedios igualmente efectivos. A fin de permitir la participación efectiva de terceros y la posibilidad de probar las medidas correctoras antes de su aplicación, la Comisión debe publicar un resumen detallado no confidencial del asunto y de las medidas que deban adoptarse.
La Comisión Europea es la única autoridad facultada para hacer cumplir las normas establecidas en la Ley de Mercados Digitales. No obstante, la Comisión cooperará y se coordinará estrechamente con las autoridades de competencia y los tribunales de los Estados miembros de la UE. Cuando dicha competencia esté prevista en la legislación nacional, las autoridades nacionales pertinentes podrán llevar a cabo medidas de investigación con vistas a determinar el incumplimiento por parte del guardián de acceso de la Ley de Mercados Digitales y comunicar sus conclusiones a la Comisión.
Conclusiones
Habrá que seguir de cerca la evolución y aplicación de este reglamento, que junto con la DSA marcan la segunda generación de normas de internet y que suponen un punto de inflexión a estos primeros 20 años.
Se ciernen, sobre una amplia tipología de empresas digitales de gran tamaño, un importantísimo conjunto de obligaciones. Estas supondrán replantear completamente su estrategia de cumplimiento y sobre todo en lo relativo a la transparencia de sus prácticas. A esta dificultad hay que añadir que las obligaciones tienen que implantarse en un corto espacio de tiempo.
Se abre, por otro lado, una oportunidad para que el conjunto de las empresas europeas pueda tener más información y competir en el inmenso entorno digital y una ventana para explorar y explotar el mar de datos.
Escrito por Paula Ortiz López, Directora Jurídica y de Relaciones Institucionales en IAB Spain