Avanzando en la soberanía digital europea: los reglamentos DSA y DMA

Avanzando en la soberanía digital europea, Imagen de Potsdamer Platz en Berlín (Alemania)

Tema

El paquete normativo digital formado por dos reglamentos europeos, la Ley de Mercados Digitales (Digital Markets Act o DMA) y la Ley de Servicios Digitales (Digital Services Act o DSA), pretende mejorar las normas de responsabilidad y seguridad para las plataformas, los servicios y los productos digitales, y completará el mercado único digital con unas normas más claras y modernas sobre el papel y las obligaciones de los grandes intermediarios en línea, entre ellos los no europeos con actividad en la UE.

Resumen

Este análisis expone las principales novedades de este paquete normativo, que busca resolver el problema de hacer más responsables a los intermediarios de Internet y, en particular, a las grandes plataformas. El paquete completará el Mercado Único Digital con unas normas más claras y modernas sobre el papel y las obligaciones de los grandes intermediarios en línea, entre ellos los no europeos con actividad en la UE. Aunque la nueva regulación no altera las premisas fundamentales en las que se basa la regulación digital en el Derecho de la UE, aumenta significativamente las herramientas de supervisión pública de las mismas.

Análisis

Introducción

Este nuevo paquete normativo digital forma parte del esfuerzo de la UE por actualizar el marco jurídico del comercio electrónico, actualmente regulado en la Directiva 2000/31/CE, la DCE.[1] Inicialmente se pretendió sustituir la propia DCE, pero finalmente la iniciativa legislativa se ha dividido en dos normas, los Reglamentos DSA de servicios digitales y DMA de mercados digitales, que completan a la Directiva.

Así las cosas, con fecha 15 de diciembre de 2020, la Comisión Europea dio a conocer, en el marco de la nueva estrategia digital europea titulada “Configurar el futuro digital de Europa”,[2] dos proyectos de reglamentos europeos: la Ley de Mercados Digitales (Digital Markets Act o DMA) y la Ley de Servicios Digitales (Digital Services Act o DSA), destinados a regular las mayores plataformas en línea.

El 24 de marzo de 2022 concluyeron las negociaciones sobre el Reglamento DMA entre la Comisión Europea, los Estados miembros y el Parlamento Europeo. El 23 de abril de 2022 le tocó el turno al Reglamento DSA. Ambas normas serán publicadas en breve en el Diario Oficial de la UE. Y serán directamente aplicables en todos los Estados miembros sin necesidad de normas de transposición, como sí requieren las directivas.

El Reglamento DSA: todo lo que es ilegal en el mundo físico también lo es en el mundo digital

El Reglamento DSA de servicios digitales regula la responsabilidad de los intermediarios en el mundo digital, desde los proveedores de acceso a los buscadores. Pretende obligar a estos sujetos a actuar de forma más responsable. Aparte de la responsabilidad de los intermediarios, copiada de la DCE, su aportación más importante son las obligaciones de diligencia debida para las plataformas generales y la mitigación de riesgos para las muy grandes.

El Reglamento establece el marco para la exención condicional de la responsabilidad de los proveedores intermediarios, traspasado de los artículos 12 a 15 de la DCE en vigor y, lo que es más importante, introduce nuevas obligaciones de diligencia debida para determinadas categorías de intermediarios y plataformas. Las obligaciones son asimétricas, en el sentido de que los distintos actores (intermediarios, plataformas, plataformas de alojamiento y plataformas muy grandes) están sometidos a obligaciones progresivamente más onerosas. Las obligaciones de diligencia debida (capítulo III del Reglamento DSA) se dividen en las que se aplican a todos los proveedores (sección 1), las que se aplican a los servicios de alojamiento (sección 2) y a las plataformas en línea (sección 3). Son especialmente importantes las obligaciones que se aplican sólo a las plataformas en línea de muy gran tamaño (las very large online platform o VLOP).

Por eso, el grueso de la regulación va destinada a las plataformas en línea de muy gran tamaño (las señaladas VLOP), que son aquellas que superan los 45 millones de destinatarios (un 10% de la población de la UE), para las que añade unas obligaciones singulares. Esta definición hará que la mayoría de las plataformas mundiales entren en el ámbito de aplicación del Reglamento.

Entre dicho conjunto de obligaciones, las VLOP están obligadas a “identificar, analizar y evaluar” los riesgos sistémicos significativos derivados del funcionamiento y la utilización de sus servicios en la Unión y a mitigar estos riesgos. Los riesgos incluyen la publicación de contenidos ilegales en línea, la difusión de noticias falsas y la protección de los derechos fundamentales.

Una vez identificados los riesgos, las plataformas deben implantar “medidas de mitigación razonables, proporcionadas y eficaces” adaptadas a los riesgos específicos. Las medidas pueden incluir moderación de contenidos, limitar la visualización de anuncios, refuerzo de los procesos de supervisión, cooperación con los anunciantes de confianza, adoptar de códigos de conducta, etc.

El Reglamento DSA también establece para las grandes plataformas obligaciones adicionales de transparencia y auditoría, así como limitaciones a la publicidad en línea. Sus sistemas de recomendación tendrán que aclarar los criterios de recomendación de los anuncios y sus algoritmos podrán abrirse a investigadores autorizados para estudiar su funcionamiento y el cumplimiento de las normas europeas.

Cabe destacar las previsiones relativas a su aplicación. Se introducen las autoridades públicas coordinadoras de servicios digitales (Coordinadores de Servicios Digitales o CSD) como autoridades nacionales encargadas de la aplicación y el cumplimiento del Reglamento a nivel de cada Estado miembro. La supervisión reforzada para las plataformas de muy gran tamaño permite a los CSD introducir una mayor supervisión pública de las plataformas infractoras. Además, la Comisión Europea puede intervenir y adoptar medidas para exigir compromisos vinculantes, pero también puede adoptar una decisión de incumplimiento.

Las sanciones en caso de incumplimiento de la norma son muy elevadas, con multas de hasta el 6% de la facturación mundial y, en los casos más excepcionales, se contempla la prohibición de operación en la propia UE.

El Reglamento DMA: abrir el mercado digital a la competencia

El Reglamento DMA de mercados digitales se ocupa fundamentalmente de aquellas plataformas que suponen una gran puerta de acceso al mundo digital (los gatekeepers), constituyéndose así en guardianes de acceso o superintermediarios del mundo digital.

A juicio de la norma, algunas de ellas son tan grandes que su mera presencia en el mercado impide la competencia. Por eso, quiere abordar el problema de las plataformas muy grandes que disfrutan de los efectos de las redes, capturando una parte desproporcionadamente grande del valor de los mercados digitales y beneficiándose de la relación de dependencia que se desarrolla en tal contexto.

De este modo, la finalidad del Reglamento DMA es hacer frente a los desequilibrios económicos que generan estos grandes superintermediarios, guardianes de acceso o gatekeepers, sus prácticas comerciales desleales y sus consecuencias negativas, como la reducida disputabilidad comercial de los mercados de plataformas. Indirectamente, la norma es un intento de afirmar la soberanía digital de la UE. Esto es evidente no sólo por el hecho de que la gran mayoría de los gatekeepers tienen sede en EEUU, sino también por las obligaciones y potestades públicas previstas con el fin de corregir los patrones de cumplimiento de los guardianes de acceso e incluso sus modelos de negocio.

La principal novedad es el carácter asimétrico y ex ante de las obligaciones que puede imponer la Comisión. El carácter asimétrico significa que no todas las plataformas van a recibir el mismo trato. Este es ya el caso del enfoque adoptado en el Derecho de las telecomunicaciones y en el Reglamento DSA. Por eso, el Reglamento DMA se aplica fundamentalmente a los superintermediarios del mundo digital que alcancen ciertos umbrales. Y el enfoque ex ante supone que las soluciones se imponen antes de que se detecte una posible infracción y en previsión de los fallos del mercado.

De este modo, la regulación se aplicará principalmente a aquellas plataformas que son una gran puerta de acceso (los gatekeepers), constituyéndose así en guardianes de acceso, al cumplir una combinación de criterios cualitativos y cuantitativos.

En cuanto a los criterios cualitativos, un gatekeeper es una plataforma que cumple estos tres criterios:

  1. Tiene un impacto significativo en el mercado interior.
  2. Explota un servicio de plataforma principal que sirve de importante puerta de entrada para que las empresas lleguen a los usuarios finales.
  3. Goza de una posición arraigada y duradera en sus operaciones o es previsible que goce de tal posición en un futuro próximo.

Los criterios cuantitativos se introducen como presunción de que los elementos anteriores se han cumplido cuando:

  • Para el criterio (1) anterior: alcanza un volumen de negocios anual en la UE igual o superior a los 7.500 millones de euros en los tres últimos ejercicios, o cuando la capitalización media del mercado o el valor justo de mercado equivalente de la empresa a la que pertenece haya ascendido, al menos, a 75.000 millones de euros en el último ejercicio.
  • Para el criterio (2) anterior: un servicio tiene más de 45 millones de usuarios finales activos mensuales establecidos o localizados en la Unión y más de 10.000 usuarios empresariales activos anuales establecidos en la Unión en el último ejercicio financiero.
  • Para el criterio (3) anterior: cuando el umbral (b) se haya alcanzado en cada uno de los tres últimos ejercicios financieros.

El proceso de designación de estos actores está en manos de la Comisión Europea.

El Reglamento DMA establece una serie de obligaciones y prohibiciones que afectan a estos guardianes de acceso, tales como: la prohibición de clasificar de forma más favorablemente sus propios servicios y productos; la imposibilidad de usar los datos personales que obtengan de los usuarios profesionales para los servicios propios de la plataforma; permitir a los usuarios finales desinstalar cualquier programa instalado para usar la plataforma; obligaciones de interoperabilidad, entre otros.

Las sanciones previstas son las más altas jamás vistas en el Derecho digital, ya que una primera condena puede ascender al 10% de la facturación global y hasta el 20% en caso de reincidencia, además de prohibiciones temporales de operación en la UE.

Conclusiones

Ambos Reglamentos quieren garantizar la competencia, una mayor supervisión pública de las grandes plataformas y hacer que los contenidos digitales en línea sean más transparentes y respetuosos con la ley. Para lograr estos objetivos, establecen una regulación asimétrica y proporcionada al tamaño del sujeto. De ahí las definiciones numéricas en número de usuarios y facturación.

En cuanto al Reglamento DSA, introduce obligaciones significativas para las plataformas en línea de muy gran tamaño (o VLOP). Su aprobación supone un paso más para la ampliación de la soberanía digital de la UE como poder regulador. Por lo que se refiere al Reglamento DSM, su modelo ex ante es esencialmente un modelo híbrido de regulación que ha sido importado del Derecho de las telecomunicaciones. Busca alcanzar como objetivo último la competencia en el mercado de las plataformas, para lo cual aplica ex ante una batería de remedios con tal fin.

Con estas normas, la UE quiere repetir el “efecto Bruselas” logrado en protección de datos con el Reglamento General para la Protección de Datos (RGPD):[3] la UE aprueba normas jurídicas que configuran el entorno empresarial e imponen prácticas de cumplimiento normativo. El tiempo nos dirá si consiguen resolver los grandes problemas que lastran el desarrollo tecnológico de la UE: la lentitud de la innovación, la falta de competencia y la escasa inversión en tecnologías de nueva generación.

A mi juicio, el éxito de la transformación digital en la UE dependerá de que se establezca un marco jurídico eficaz para aumentar la confianza de las personas y brindar a las empresas la seguridad jurídica necesaria. La coordinación de los esfuerzos entre la UE, los Estados miembros y el sector privado es fundamental para lograrlo y reforzar la soberanía digital europea.


[1] Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior.

[2] Se analizó en Moisés Barrio Andrés (2020), “La nueva Estrategia digital de la Comisión Europea: primeras impresiones”, Diario La Ley, Sección Ciberderecho, nº 37.

[3] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).


Imagen: Potsdamer Platz en Berlín (Alemania). Foto: mini_malist (off is new on) (CC BY-ND 2.0).