La publicación en el Diario Oficial de la Unión Europea del Reglamento de Servicios Digitales materializa el comienzo de una nueva era para el espacio digital. Una regulación pionera que, junto con el Reglamento de Mercados Digitales, guiará a las empresas que operan en Europa hacia la creación de un entorno digital más seguro, transparente y competitivo. Implica cambios trascendentales para los servicios de internet, los derechos de los usuarios y, de manera especial, para el conocimiento y capacidad de control de la información que les concierne. Su finalidad es armonizar y actualizar las normas nacionales existentes de cara a garantizar que todo lo que es ilegal en el entorno analógico también lo es en digital.

El Reglamento conserva y desarrolla con detalle la cláusula de buen samaritano de la Directiva de comercio electrónico del año 2000, que exime a los servicios de intermediación de un deber de vigilancia previa y de responsabilidad sobre contenidos de terceros. Al mismo tiempo, actualiza las normas horizontales de responsabilidades e incluye nuevas obligaciones de diligencia debida para los prestadores de servicios digitales, regulando las prácticas relacionadas con la transparencia, la moderación de contenidos o la publicidad. Dichas obligaciones y responsabilidades, que implican un nuevo diseño de interfaces y servicios, dependerán del tipo de servicio, tamaño y relevancia del mismo. El objetivo de este artículo es recoger, de forma sistemática, las diferentes obligaciones de los servicios de intermediación afectados. La Comisión ya ha anunciado un Reglamento de desarrollo de la DSA.

 Ámbito objetivo de la norma.

El Reglamento es aplicable directamente a los Estados miembros, a todos los sectores, y sin perjuicio de las normas preexistentes que regulen la prestación de servicios de la sociedad de la información, la competencia o normativas específicas como protección de datos, consumo, seguridad o propiedad intelectual etc.

Entrará en vigor el 16 de noviembre y será de aplicación a partir del 17 de febrero de 2024, aunque las plataformas y motores de búsqueda online tendrán que cumplir la obligación de publicar el promedio mensual de destinatarios del servicio a más tardar el 17 de febrero de 2023, con el fin de conocer si entran en la categoría de plataformas o búscadores de muy gran tamaño (VLOP o VLSE).

De la misma forma que la Directiva 2000/31/CE de comercio electrónico, o el RGPD, se aplicará a los servicios de intermediación que dirijan sus servicios a usuarios de la Unión Europea, independientemente del lugar del establecimiento del proveedor. El Reglamento también replica lo establecido en el RGPD respecto a la autoridad competente (en este caso, el Coordinador de Servicios Digitales nacional), siendo el del establecimiento principal dentro de la Unión Europea.

La norma aplica a los servicios de intermediación, entendiendo por tal los siguientes:

(a) mera transmisión (proveedores de acceso a internet, wifi, VPN, VoIP, apps de mensajería…)

(b) servicios de catching (redes de contenido) y

(c) servicios de hosting (redes sociales, servicios de compartición de contenido, marketplaces, foros de discusión, algunos servicios de economía colaborativa, nube, web hosting, tiendas de apps). La norma distingue, dentro de los servicios de hosting, la subcategoría de plataformas en línea, definidas por primera vez en un texto legal europeo, como plataformas que no solo almacenan información proporcionada por los destinatarios del servicio a petición de estos, sino que (como característica principal) también difunden esa información.

Responsabilidad, exenciones y conocimiento efectivo.

Como se apuntaba unas líneas más arriba, la DSA mantiene el enfoque de la Directiva de comercio electrónico, que supone la no obligación de monitorización previa y la exención de responsabilidad sobre contenidos de terceros, salvo conocimiento efectivo. Pero si el prestador de servicios de intermediación desempeña un papel activo con el que tenga conocimiento o control sobre esa información no se aplicarán las exenciones de responsabilidad. Establece por otro lado la norma que, para beneficiarse de la exención de responsabilidad, el proveedor debe, al obtener conocimiento de actividades ilegales o contenido ilegal, actuar rápidamente para eliminar o inhabilitar el acceso a ese contenido.

La retirada de contenidos ilícitos, o de contenidos que puedan contribuir a la desinformación, es de las cuestiones que ha suscitado más controversia, por las posibles peticiones de gobiernos y Comisión y la amenaza potencial de censura. No obstante, de la lectura de la norma se desprenden un gran número de salvaguardas que, en mi opinión, limitan esa posibilidad.

Obligaciones de diligencia debida

La DSA incluye una serie de obligaciones de diligencia debida que son el pilar del reglamento y que son independientes a la exención de responsabilidad sobre lo que los usuarios hagan en sus plataformas. Estas obligaciones de diligencia debida son asimétricas y aplican dependiendo del tamaño y tipo de servicio. Están dirigidas a regular la forma en que se diseñan estos servicios e implementan ciertas prácticas, como la gestión de la publicidad, la transparencia, la compartición de información o la gestión de contenidos. Se establece la siguiente distinción de obligaciones de diligencia debida:

-Obligaciones universales, aplicables a todos los proveedores de servicios de intermediación.

-Obligaciones básicas para los proveedores de hosting.

-Obligaciones avanzadas dirigidas más concretamente a los proveedores de plataformas en línea.

-Obligaciones especiales para las plataformas de muy gran tamaño y buscadores de muy gran tamaño (VLOP y VLSE).

En la medida en que los proveedores de servicios de intermediación puedan entrar dentro de esas diferentes categorías en vista de la naturaleza de sus servicios y su tamaño, deben cumplir con todas las obligaciones correspondientes. Se resumen a continuación las diferentes obligaciones:

1.  Obligaciones universales de diligencia debida respecto a la transparencia, aplicables a todos los proveedores de servicios de intermediación.

Como se ha apuntado, las obligaciones se aplican dependiendo del tipo, el tamaño y la naturaleza del servicio. El Reglamento establece una serie de obligaciones básicas aplicables a todos los prestadores de servicios, así como obligaciones adicionales para los prestadores de servicios de hosting y, más concretamente, los prestadores de plataformas en línea, de plataformas y motores de búsquedaen línea de muy gran tamaño. En la medida en que los prestadores de servicios pertenezcan a varias de las diferentes categorías, deben cumplir con todas las obligaciones correspondientes. Todos los servicios de intermediación deberán:

-Designar un punto de contacto tanto para las autoridades como para los destinatarios.

-Designar un representante legal si no está en la UE, pero ofrece servicios en la UE.

-Redactar los T&C de una forma sencilla y comprensible, con especial hincapié a la claridad cuando los servicios estén dirigidos principalmente a los menores. Además, se deben explicar las decisiones basadas en algoritmos y, aunque no tienen una obligación de moderar contenidos, si lo hacen, tienen que explicar cómo lo hacen. Para el caso de los VLOP y los VLSE, obligación reforzada de elaborar un resumen de los T&C en un lenguaje claro, además de tener que publicarlo en todos los idiomas oficiales de los Estados miembros en los que presten servicios.

-Transparencia sobre las restricciones que puedan imponer en el uso de sus servicios y la gestión de reclamaciones.

-Transparencia y reporting anual: El artículo 15 recoge la obligación de transparencia y todas las cuestiones que tienen que incluir estos informes, entre los que se encuentran datos sobre la moderación de contenidos, las restricciones de acceso a los servicios o el número de reclamaciones.

Esta obligación no aplica a microempresas o pequeñas empresas, que son aquellas que tienen menos de 50 empleados y cuyo volumen de negocios anual no excede los 10 millones de euros, siempre que no estén consideradas como VLOP. No obstante, muchas empresas del tejido empresarial europeo que cuenten con más de 50 trabajadores y que ofrezcan servicios de intermediación (desde acceso a internet, marketplaces, hasta soportes con espacios de opinión) tendrán que presentar estos informes anuales.

2.  Obligaciones para todos los servicios de hosting, incluidas las plataformas en línea.

En cuanto a las obligaciones específicas de los servicios de hosting, establece las siguientes:

-Obligación de implantar mecanismos de notificación y acción de contenidos ilegales fáciles de usar, con la novedad de que el uso de los mismos podrá suponer conocimiento efectivo.

-Justificar con claridad las restricciones a la visibilidad de información aportada por el usuario, incluyendo la eliminación de sus contenidos e incluso de su cuenta.

-Justificar restricciones a la restricción de servicios o de pagos, junto con los hechos y criterios que han llevado a ello. Estas declaraciones deberán incluir una serie de cuestiones, como los hechos y circunstancias que llevan a esa eliminación, si son a voluntad propia o incluso identificando a quien notifica.

- Notificación de sospechas de delitos: La DSA también recoge la obligación de notificar sospechas de ofensas criminales que puedan suponer una amenaza a para la vida o la seguridad de una persona e informar a las autoridades competentes.

3.  Obligaciones adicionales para los prestadores de plataformas online.

Dentro de los servicios de hosting, el Reglamento establece unas obligaciones específicas para las plataformas en línea. Se excluyen también de estas obligaciones a las microempresas y pequeñas empresas. Dentro de las obligaciones, podemos dividirlas en 4 grupos:

3.1 Sistemas para la adecuada gestión de contenidos. Las plataformas tendrán obligaciones relacionadas con la moderación de contenidos y que se materializan en las siguientes:

• Sistema interno y gratuito de tramitación de reclamaciones que permita a los usuarios, en menos de 6 meses, apelar las decisiones de la plataforma sobre eliminación de contenidos. En ese sentido, las plataformas deberán suspender los servicios que frecuentemente provean de contenido ilegal manifiesto.

• Sistemas de resolución extrajudicial de litigios. Derecho de los destinatarios del servicio de elegir estos sistemas. El Reglamento detalla las características que han de tener estos organismos de resolución extrajudicial, que entre otras cuestiones tendrán que demostrar independencia y experiencia antes de ser certificados como tal por el Coordinador de servicios digitales del Estado miembro en el que estén establecidos. Las plataformas tendrán que informar sobre estos sistemas de una manera clara y sencilla.

• Alertadores fiables. Estas entidades serán independientes de las plataformas, con experiencia y competencia para detectar identificar y notificar contenido ilegal. El Reglamento define en detalle las exigencias de estos Trusted Flaggers, y entre otras cuestiones establece que están sujetos también a estrictas y detalladas obligaciones de reporting.

3.2 Obligaciones de transparencia. Además de lo establecido en el artículo 15 sobre la obligación básica de transparencia, las plataformas tienen que incluir en sus informes anuales, el número de disputas extrajudiciales y de suspensiones impuestas. Semestralmente, y a más tardar el 17 de febrero de 2023, los prestadores incluirán para cada plataforma o motor de búsqueda una sección a disposición del público el número de destinatarios activos mensuales calculando los 6 meses anteriores y la metodología establecida para el cálculo.

3.3 Obligaciones en el diseño de los interfaces de los servicios y prohibición de patrones oscuros. Se establece la prohibición de patrones oscuros o interfaces que puedan manipular las decisiones informadas. Las plataformas online deberán diseñar, organizar, y operar sus interfaces de manera que evite la manipulación o decisiones informadas o los llamados patrones oscuros, dando prominencia a ciertas opciones, o preguntando de forma recurrente por el consentimiento, o dificultando la baja en el servicio o la suscripción.

3.4 Publicidad en plataformas. Las plataformas que presenten publicidad en sus interfaces deben asegurarse de que los destinatarios pueden identificar en cada anuncio, de una forma concisa y en tiempo real, que es publicidad, el anunciante (o quien paga ese anuncio), los parámetros por los que se reciben los anuncios y cómo cambiarlos, teniendo esto que hacerse directamente accesible desde el anuncio. Este es uno de los grandes retos para el sector publicitario, teniendo en cuenta la amplia cadena de intervinientes que operan en tiempo real. Estas prácticas podrán estandarizarse en virtud de lo establecido en el artículo 44. Además, las plataformas deberán ofrecer a los usuarios la posibilidad de marcar el contenido como publicidad. Por último, recoge la prohibición de mostrar anuncios basados en perfiles basados en datos sensibles y en perfiles de menores.

3.5 Sistemas de recomendación. La DSA define los sistemas de recomendación como un “sistema total o parcialmente automatizado para proponer en su interfaz información específica para los destinatarios del servicio o priorizarla, también como consecuencia de una búsqueda, o que determine el orden o la relevancia de la información presentada”. Dichos sistemas de recomendación, que pueden ser desde resultados de búsqueda, hasta timelines o secciones de videos recomendados, pueden tener un impacto significativo en la capacidad de los destinatarios para interactuar con la información. También juegan un papel importante en la amplificación de ciertos mensajes y la difusión viral de información . En consecuencia, se debe garantizar constantemente que los destinatarios estén debidamente informados sobre cómo los sistemas de recomendación afectan la forma en que se muestra la información y pueden influir. Esta información se debe mostrar de una manera fácilmente comprensible para garantizar que los destinatarios del servicio entiendan cómo se prioriza la información para ellos, los parámetros y cómo pueden cambiarlos.

3.6 Protección de los menores. Obligación de implantar medidas adecuadas y proporcionadas para asegurar un elevado nivel de privacidad y seguridad de los mismos.

Además, como se apuntaba anteriormente, recoge la prohibición de presentar anuncios basados en la elaboración de perfiles mediante la utilización de datos personales del destinatario del servicio cuando sean conscientes con una seguridad razonable de que el destinatario del servicio es un menor. Este último aspecto es importante, dado que, salvo en páginas que requieran registro, o páginas por contexto, no se puede conocer quién está detrás de la pantalla. Por la trascendencia y alcance del tema, la Comisión podrá publicar más orientaciones al respecto.

4.     Disposiciones adicionales para las plataformas en línea que permitan a los consumidores celebrar contratos a distancia.

Dentro de las plataformas, la DSA a su vez establece con más detalle las obligaciones de las que permiten celebrar contratos a distancia. Establece la obligación de trazabilidad de los comerciantes que están en sus plataformas, y les obliga a obtener información sobre ellos para poderla aportar a terceros. La norma excluye de estas obligaciones a las microempresas y pequeñas empresas siempre que no hayan sido considerados plataformas de muy gran tamaño.

Cumplimiento desde el diseño. Otro de los nuevos conceptos que incluye la DSA es el de Compliance by design, que significa que las plataformas que permitan a comerciantes ofrecer sus productos, tienen que diseñar sus interfaces para facilitarles el cumplimiento normativo y de información precontractual. Las interfaces tienen que ser accesibles para comerciantes y consumidores.

Además, tendrán la obligación de informar a los consumidores de que un producto o servicio se ha declarado ilícito y las vías de recurso pertinentes.

5.     Obligaciones especiales y adicionales para las plataformas de muy gran tamaño y los motores de búsqueda de muy gran tamaño (VLOP, VLSE).

Entran en esta categoría las plataformas online y los motores de búsqueda con más de 45 millones de destinatarios del servicio activos (10% de la población de la UE). Dado que las plataformas tienen la obligación de publicar semestralmente el número de usuarios, a Comisión mantendrá actualizada la lista de plataformas en línea de gran tamaño designadas y las publicará en el Diario Oficial de la Unión Europea. Cuestión que habrá que dilucidar con más detalle es la consideración de destinatarios activos ya que puede estar sujeta a interpretación. La propia norma establece que la Comisión podrá adoptar actos delegados para aterrizar la metodología y calculo de los mismos.

Las obligaciones se aplicarán, o dejarán de aplicarse, a las plataformas en línea de gran tamaño a partir de los cuatro meses siguientes a la designación o revocación como VLOP. La Comisión Europea será la autoridad competente para supervisar estas plataformas y para exigir el cumplimiento de las diligencias debidas y establece el pago de una tasa anual de supervisión para cubrir los costes estimados en que incurra en relación con sus funciones de supervisión del Reglamento, cuestiones sobre las que se adoptarán actos delegados para detallar la metodología y detalles.

Las entidades que sean declaradas plataformas de muy gran tamaño o buscadores de muy gran tamaño tendrán que sumar a las obligaciones mencionadas en los puntos anteriores, las siguientes:

5.1 Evaluación anual de riesgos sistémicos. Deben identificar, evaluar y establecer los riesgos sistémicos derivados de su diseño, funcionamiento y uso de sus servicios, ya que se pueden amplificar muy rápidamente. Los cuatro riesgos sistémicos a analizar serán los siguientes:

• Difusión de contenido ilícito, incluyendo infracciones de copyright, discurso del odio, pornografía infantil… Estas obligaciones son independientes a la responsabilidad de la web o del destinatario del servicio.

• Limitación del ejercicio de derechos fundamentales. Los algoritmos puede sesgar la libertad de prensa, el pluralismo, la no discriminación, la dignidad, etc.

• Efectos negativos en procesos electorales o en la seguridad pública.

• Efectos negativos sobre violencia de género, protección de la salud pública o los menores.

5.2 Medidas de reducción de riesgos específicas. Los proveedores de VLOP deberán utilizar medidas de reducción de riesgos específicas para abordar las situaciones anteriores y esas medidas incluirán adaptar el diseño, el funcionamiento y los interfaces, adaptar los T&C, los sistemas algorítmicos incluyendo los sistemas de recomendación, los procesos de moderación, de publicidad, asegurándose que la información sobre las personas no está manipulada.

La Junta, en cooperación con la Comisión, tendrá que publicar informes con todos los riesgos sistémicos y las buenas prácticas de los VLOP y VLSE. Además, tanto los VLOP como los VLSE tendrán que someterse a auditorías independientes anuales.

5.3 Mecanismos de respuesta a crisis para circunstancias de extraordinarias que puedan poner en riesgo la seguridad o la salud pública de forma significativa. Bajo petición de la Comisión, deberán tomar una serie de medidas para evitar que el uso de sus servicios contribuya a una amenaza, eliminando o limitando contenidos. La Comisión se asegurará de que las medidas son las estrictamente necesarias, justificadas y proporcionadas.

5.4. Sistemas de recomendación. Además de los requisitos aplicables a todas las plataformas sobre la transparencia en los sistemas de recomendación, se establece que los VLOP y los VLSE tendrán que ofrecer una alternativa que no esté basada en la elaboración de perfiles.

5.5 Transparencia adicional sobre la publicidad online. Las VLOP y VLSE que presenten publicidad en sus interfaces deben compilar y hacer públicamente disponible una sección donde se pueda buscar un repositorio con toda la información de la publicidad que se ha presentado durante el último año con una herramienta de búsqueda que permita hacerlo en base a diferentes criterios. El art. 39 especifica toda la información que tiene que contener el repositorio.

5.6 Acceso a datos. Los VLOP y los VLSE deberán además dar acceso al coordinador de servicios digitales o a la Comisión a los datos necesarios para comprobar cumplimiento del Reglamento, así como a investigadores autorizados.

5.7 Funciones de comprobación y cumplimiento. Dentro de las obligaciones, también está la exigencia de contar con un Compliance Officer con responsabilidad para cumplimiento de las obligaciones de la DSA y de colaboración con el Coordinador de servicios digitales. Tendrá que tener suficiente autoridad y recursos y ser independiente y reportará a la junta del VLOP o del VLSE.

5.8 Auditoría independiente. Los VLOP y VLSE se someterán al menos una vez al año, y con cargo a su presupuesto, a auditorías independientes para evaluar el cumplimiento de las obligaciones mencionadas.

5.9 Informes de Transparencia. Las plataformas y los motores de búsqueda de gran tamaño deben publicar los informes de transparencia exigibles al que hacíamos referencia anteriormente a más tardar dos meses después ser considerados como tal y al menos cada 6 meses. El artículo 42 incluye además otros requisitos de información entre los que se encuentran los recursos humanos que dedica a la moderación de contenidos para cada lengua oficial, informes de auditorías, medidas de reducción de riesgos y la media de destinatarios del servicio mensuales.

6.    Otras disposiciones

La DSA hace referencia específica a la creación de normas voluntarias, códigos de conducta y específicamente códigos de conducta para la publicidad digital para desarrollar los artículos 26 y 39 aplicables a toda la cadena de valor de la publicidad digital. 

7.    Aplicación de la norma, autoridades competentes y sanciones.

Los destinatarios del servicio tendrán derecho a solicitar, de conformidad con la normativa, una indemnización con cargo a los prestadores de servicios intermediarios por cualquier daño o perjuicio sufrido como consecuencia del incumplimiento del Reglamento.

Los Estados miembros designarán una o más autoridades competentes como su coordinador de servicios digitales. El coordinador de servicios digitales será responsable de todos los asuntos relacionados con la supervisión y la aplicación del Reglamento en el Estado miembro. Será además responsable de garantizar la coordinación a nivel nacional y de contribuir a la supervisión y aplicación del Reglamento. Los Estados miembros velarán por que sus coordinadores de servicios digitales desempeñen sus funciones de manera imparcial, transparente e independiente. A tal fin, los coordinadores de servicios digitales cooperarán entre sí, con otras autoridades nacionales competentes, el Consejo y la Comisión dentro de la Junta de coordinadores de servicios digitales, que presidirá la Comisión.

El Estado miembro en el que se encuentre el establecimiento principal del prestador de servicios tendrá la competencia exclusiva para supervisar y hacer cumplir el Reglamento a excepción de ciertas competencias previstas para la Comisión para la gestión de los riesgos sistémicos, los VLOP y VLSE, con competencias directas y facultades para investigar, acceder a datos e imponer multas.

En cuanto a las sanciones, los Estados miembros establecerán el régimen de sanciones para los servicios que estén bajo su competencia. El importe de las multas no podrá exceder del 6% del volumen de negocios mundial anual del proveedor de servicios de intermediación de que se trate en el ejercicio presupuestario anterior. Por otro lado, el importe máximo de la multa que pueda imponerse por el suministro de información incorrecta, incompleta o engañosa, la falta de respuesta, información incompleta y la no presentación a una inspección es del 1% de los ingresos anuales o el volumen de negocios mundial del prestador de servicios de intermediación.

Además, la Comisión podrán imponer multas coercitivas a los VLOP y los VLSE que no excedan del 5 % del promedio diario de los ingresos anuales en todo el mundo del ejercicio presupuestario anterior para obligarlos a ofrecer información, someterse a una inspección, cumplir con la decisión o con compromisos declarados.

El Tribunal de Justicia de la Unión Europea tiene competencia para someter a control las decisiones por las que la Comisión haya impuesto multas sancionadoras o coercitivas.

 Conclusiones

Parece pronto para hacer valoraciones sobre la aplicación y efectos de la norma. Tenemos ante nosotros uno de los textos normativos que, junto con la DMA (y otros que vienen en camino), cambiará el futuro de internet en Europa y probablemente a nivel global. Muchos de los conceptos y de las obligaciones que establece habrán de desarrollarse y matizarse, tal y como ha establecido la propia Comisión.

Es una ley exigente que supondrá a muchas empresas desvestir sus prácticas empresariales de cara a unos servicios de internet más seguros y transparentes y un usuario más informado. Ahora es el momento en el que los equipos tienen que emplear altas dosis de creatividad, tanto jurídica como técnica, para dar cumplimiento a todo este nuevo catálogo de deberes. Continuará...

Escrito por Paula Ortiz López, Directora Jurídica y de Relaciones Institucionales en IAB Spain