Novedades de la normativa europea reguladora de la responsabilidad de las plataformas digitales

Por Moisés Barrio Andrés

Letrado del Consejo de Estado. Profesor de Derecho digital. Director del Diploma de Alta Especialización en Legal Tech y transformación digital (DAELT) de la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid

@moisesbarrioa

El 15 de diciembre de 2020, la Comisión Europea dio a conocer, en el marco de la nueva estrategia digital europea[1] “Configurar el futuro digital de Europa”, el proyecto de reglamento europeo denominado como Ley de Servicios Digitales (Digital Services Act o DSA), para regular las mayores plataformas en línea.

El 23 de abril de 2022 concluyeron las negociaciones sobre su texto. Será publicado en breve en el Diario Oficial de la Unión Europea. Y es directamente aplicable en todos los Estados miembros sin necesidad de normas de transposición, como sí requieren las directivas.

El Reglamento DSA de servicios digitales regula la responsabilidad de los intermediarios[2] en el mundo digital, desde los proveedores de acceso a los buscadores. En concreto, se aplica a:

1. servicios de intermediación que ofrecen infraestructuras de red: proveedores de acceso a Internet, proveedores de caché, etc.;
2. servicios de alojamiento de datos, tales como los servicios de computación en nube y de alojamiento de sitios web;
3. motores de búsqueda en línea de muy gran tamaño, que den servicio a más del 10 % de los 450 millones de consumidores de la UE y, por tanto, con mayor responsabilidad en la lucha contra los contenidos ilícitos en línea;
4. plataformas en línea que reúnan a vendedores y consumidores, tales como mercados en línea, tiendas de aplicaciones, plataformas de economía colaborativa y redes sociales;
5. plataformas en línea de muy gran tamaño, que lleguen a más del 10 % de los 450 millones de consumidores de la UE. Esta categoría entraña riesgos sistémicos dada su posición en el mercado digital.

Entre las nuevas obligaciones, cabe destacar las siguientes:

• Retirada inmediata de contenidos. Los contenidos dirigidos a las víctimas de la ciberviolencia (por ejemplo, con la difusión de imágenes o grabaciones íntimas en el marco del delito de revenge porn) deben ser retirados “inmediatamente”; otros contenidos considerados ilegales deben ser eliminados “rápidamente”. Ahora bien, se reconoce el derecho a impugnar las decisiones de moderación de contenidos de las plataformas por los usuarios afectados.
• Mercados en línea. Las plataformas deberán establecer protocolos del tipo conozca a su cliente (know-your-customer) con los comerciantes que utilicen sus servicios para garantizar que los consumidores estén debidamente informados, así como para evitar la venta de productos y servicios ilegales a través de su mercado. Del mismo modo, tendrán que desarrollar esfuerzos constantes para mejorar la trazabilidad de los productos mediante soluciones tecnológicas avanzadas.
• Motores de búsqueda. El ámbito de aplicación de la norma incluye ahora a los operadores de motores de búsqueda de muy gran tamaño (VLOSE, very large online search engines) junto con las señaladas plataformas digitales en línea de muy gran tamaño (VLOP, very large online platforms). Estos actores serán responsables de llevar a cabo análisis de riesgo rutinarios para mitigar los riesgos asociados a la difusión de contenidos ilegales, la afectación a los derechos fundamentales, la posible manipulación de servicios que tengan un impacto en los procesos democráticos y la seguridad pública, así como a contenidos que tengan efectos adversos sobre la violencia de género y sobre los menores.
• Patrones oscuros. Los patrones oscuros o dark patterns son prácticas engañosas elaboradas deliberadamente para ocultar, engañar, manipular o coaccionar a los usuarios para que tomen decisiones no deseadas o posiblemente perjudiciales. El Reglamento DSA de servicios digitales prohibirá estas interfaces y prácticas engañosas a menos que pertenezcan a prácticas amparadas bajo el RGPD o la Directiva sobre prácticas comerciales desleales.  La Comisión publicará próximamente orientaciones sobre las prácticas que constituyen patrones oscuros en el marco de la norma.
• Responsabilidad de los algoritmos. La norma impedirá que las plataformas en línea utilicen algoritmos discriminatorios basados en el género, la raza o la religión para dirigirse a los usuarios con anuncios en línea. También se prohíbe la práctica de destinar los anuncios a los niños.
• Transparencia y elaboración de perfiles. Las plataformas deben describir claramente sus sistemas de recomendación en los términos y condiciones de uso. Las plataformas también deben permitir a los usuarios modificar los parámetros utilizados en los sistemas de recomendación, y deben ofrecer al menos una opción que no se base en la elaboración de perfiles.
• Mecanismo de crisis. Se ha introducido un nuevo artículo para contemplar la respuesta a las crisis en caso de amenaza grave para la salud pública y las crisis de seguridad, como una pandemia o una guerra.
• Marco de supervisión pública y aplicación. El Reglamento crea un marco de supervisión para acceder a los algoritmos de las VLOP.  Las plataformas tendrán que cumplir con las obligaciones de gestión de riesgos y auditoría externa de riesgos, así como compartir los datos con las autoridades y los investigadores para que puedan escrutar el funcionamiento de sus sistemas, incluyendo sus algoritmos.
• Cooperación entre los Estados miembros. La Comisión será el principal regulador de las plataformas en línea de muy gran tamaño (las señaladas VLOP), mientras que las restantes plataformas estarán bajo la supervisión de los Estados miembros donde estén establecidas. La Comisión tendrá poderes de ejecución similares a los que tiene en los procedimientos antimonopolio. Se establecerá un mecanismo de cooperación a escala de la UE entre los reguladores nacionales y la Comisión.
• Una vez aprobado, en principio el Reglamento DSA entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE, y las plataformas en línea tendrán entonces hasta 15 meses para cumplir con la nueva legislación.

Con esta norma, la Unión Europea quiere repetir el “efecto Bruselas” logrado en protección de datos con el RGPD: la UE aprueba normas jurídicas que configuran el entorno empresarial global. El tiempo nos dirá si consiguen paliar los grandes problemas que lastran el desarrollo tecnológico de la Unión.

********

[1] La analicé en BARRIO ANDRÉS, Moisés: “La nueva Estrategia digital de la Comisión Europea: primeras impresiones”, en Diario La Ley, Sección Ciberderecho, núm. 37, 2020, https://diariolaley.laleynext.es/Content/Documento.aspx?params=H4sIAAAAAAAEAMtMSbF1CTEAAmMDM2MLM7Wy1KLizPw8WyMDIwMDI0NLtbz8lNQQF2fb0ryU1LTMvNQUkJLMtEqX_OSQyoJU27TEnOJUtdSk_PxsFJPiYSYAAH6elzVjAAAAWKE

[2] Vid. BARRIO ANDRÉS, Moisés: Manual de Derecho digital. Editorial Tirant lo Blanch, 2.ª edición, 2022, en prensa.