CNMC y AEPD supervisarán el cumplimiento de la DSA por parte de empresas y prestadores de servicios en nuestro país
Bruselas inicia una investigación sobre TikTok por presuntas irregularidades en la protección de los menores
Mar España y Cani Fernández, de la AEPD y CNMC, en una foto reciente con Félix Bolaños, ministro de Justicia; Pedro Sánchez, presidente del Gobierno; y Manuel Olmedo, secretario de Estado de Justicia; serán claves en la supervisión de la DSA en España (Imagen: Moncloa)
CNMC y AEPD supervisarán el cumplimiento de la DSA por parte de empresas y prestadores de servicios en nuestro país
Bruselas inicia una investigación sobre TikTok por presuntas irregularidades en la protección de los menores
Mar España y Cani Fernández, de la AEPD y CNMC, en una foto reciente con Félix Bolaños, ministro de Justicia; Pedro Sánchez, presidente del Gobierno; y Manuel Olmedo, secretario de Estado de Justicia; serán claves en la supervisión de la DSA en España (Imagen: Moncloa)
En vigor desde 2022, la Ley de Servicios Digitales (DSA) ya es aplicable desde este pasado sábado. La DSA ha comenzado a aplicar a 22 grandes plataformas y motores de búsqueda (VLOPs/VLOSEs, por sus siglas en inglés). Sin embargo, al estar la norma operativa, también se aplicará a todas las demás entidades de servicios digitales, incluyendo ciertos mercados en línea, servicios de redes sociales, plataformas de viajes y alojamiento en línea, y otras plataformas de intercambio de contenido (generado por el usuario).
De hecho, este lunes la Comisión Europea ha iniciado una investigación para detectar si el gigante chino TikTok vulnera algún aspecto de la DSA. “La protección de los menores es una de las principales prioridades de la DSA», ha señalado Thierry Breton, comisario europeo de Mercado Interior “
La Federación de Consumidores y Usuarios (CECU) celebra la entrada en vigor de las medidas que implica la Ley, pero apunta al papel decisivo de la Comisión Nacional de los Mercados y la Competencia (CNMC) y la Agencia Española de Protección de Datos (AEPD), que tendrán que adaptar sus estructuras y estatutos para ser los reguladores de esta normativa comunitaria.
En España la CNMC será la principal autoridad supervisora (Coordinador de Servicios Digitales), quien podrá supervisar, investigar y sancionar a los prestadores establecidos dentro del país. Además, será quien certifique a los “trusted flaggers o alertadores fiables” -entidades con preferencia en relación con la notificación de contenidos ilícitos- y a los órganos extrajudiciales de resolución de litigios.
Por su parte, la AEPD será la autoridad competente en materia de supervisión del cumplimiento de la normativa de protección de datos, con plena cooperación entre ambos organismos.
Una normativa compleja pero necesaria
Para Rodolfo Tesone, presidente emérito de ENATIC, “habrá que ver cómo se aplica esta DSA, operativa desde el sábado 17 de febrero. Ya hay una investigación abierta sobre TikTok desde este lunes porque no cumplen con la normativa de menores. Vamos a ver el calado de la investigación. Es una buena noticia que tengamos este tipo de investigaciones en marcha. Habrá que ver como se compensan los daños de los menores que se hayan visto perjudicados por este prestador de servicio”.
Desde su punto de vista “es un Reglamento muy complejo formado por 93 artículos; 156 considerando que son necesarios para poder contextualizarlo. Es uno de los pilares de la construcción de ese ansiado Mercado Único Digital que debe sostenible y confiable e impulsar toda la innovación y desarrollo tecnológico pero defendiendo los derechos fundamentales de terceros”.
Tesone afirma: “Creo que los ciudadanos digitales lo hemos visto claro. Era necesaria una regulación en este contexto de servicios y plataformas digitales, tiene que haber unas mínimas normas de juego para asegurar que los derechos fundamentales están siendo respetados y atendidos. Habrá que ver cómo se implementa, en nuestro país las autoridades de control van a ser la CNMC y la AEPD”.
A este respecto Tesone recuerda que en nuestro país “falta aprobar el régimen sancionador de la CNMC que aún no tenemos, y la adaptación a este nuevo entorno como coordinador de los servicios digitales, así como el certificado de los órganos de resolución extrajudicial de litigios que es fundamental, que alguien tendrá que resolver en un contexto donde el colapso de nuestra Justicia es evidente. Por esa parte es importante ahora de resolverla”, comenta.
Para este jurista “la necesidad de la regulación es evidente pero no queda claro que harán las autoridades de control y con medios van a contar para supervisar el trabajo y la actividad de estas plataformas tecnológicas. Al mismo tiempo habrá que como los prestadores de servicios van a cumplir con todas las obligaciones derivadas del Reglamento de IA, como sujetos obligados de la DSA. Habrá que ver hasta qué punto se responsabilizan de todos los ilícitos que puedan ir surgiendo. Se abre un campo importante”.
En este contexto este jurista subraya que “nosotros estamos convencidos que es el camino correcto y que a medio y largo plazo esa sería la mejor decisión frente a otros modelos como el de Estados Unidos donde se prima el libre mercado y la competencia y empresas por encima de todo pero no protegen a esos derechos fundamentales; o el modelo chino que realmente constituyen escenarios de competencia desleal porque nuestras empresas deben cumplir muchas obligaciones”.
Sobre dicha obligaciones Tesone recuerda que “son complejas porque hay dos grandes bloques, obligaciones en cuanto a la acreditación de la diligencia debida, que casa con otras normativas y también todo el apartado de supervisión y gobernanza de las plataformas, lo que hace que se traduzca por parte de las empresas que prestan servicios en un enfoque transversal. Los abogados digitales nos damos cuenta que para cumplir con la DSA falta una estrategia legal de integración de dominios”.
Esa integración de dominios supone para este jurista “un sistema de cumplimiento normativo muy basado en lo que se entiende como compliance digital. Ahí hay que contar con atender a normativas como el Reglamento General de Protección de Datos (RGPD); la actual DSA; la DMA; la Ley de Gobernanza del Dato; la Ley del Dato y todo eso hay que mezclarlo con consumo, publicidad, propiedad intelectual, ciberseguridad y con criterios de transparencia de forma que es imposible atender a estas obligaciones desde dominios que no estén coordinados bajo un mismo sistema de cumplimiento”.
Este experto señala que “la primera prescripción que hacemos desde la abogacía digital a los sujetos obligados es que tienen que contar con un sistema de cumplimiento integrado que garantice que se cumple el compliance digital con toda esta normativa que hemos comentado que impacta, donde la DSA es una y entra en conexión con otros módulos legales a tener en cuenta. Eso supone que las empresas planifiquen esa adaptación al marco legal existente de forma gradual”.
Urge crear una comunidad de ‘compliance’
A juicio de Moisés Barrio, letrado del Consejo de Estado, experto internacional en derecho digital y director del Diploma de Alta Especialización en Legaltech y transformación digital de la Universidad Complutense de Madrid, para que el Reglamento DSA funcione es necesario desarrollar una comunidad de compliance que englobe no sólo a los reguladores, sino también a los usuarios de las plataformas, los investigadores, la sociedad civil y las propias empresas tecnológicas.
Desde su punto de vista “una forma de avanzar en la creación de una comunidad compliance es la previsión que hace el Reglamento DSA en su artículo 61 de instituir un órgano consultivo permanente denominado Junta Europea de Servicios Digitales (EBDS por sus siglas en inglés), cuya sesión inaugural se celebró este lunes”.
Junto a ello, los coordinadores de servicios digitales tienen un papel estelar, porque junto con la Comisión Europea son responsables de hacer cumplir y supervisar la DSA.
Este experto recuerda que “la DSA dota al coordinador de amplias facultades de supervisión, investigación y sanción sobre los prestadores de servicios establecidos en su Estado miembro, tales como solicitar el acceso a los datos y sistemas algorítmicos de moderación y recomendación de contenidos y publicidad, ordenar inspecciones e imponer multas a los intermediarios en caso de infracción del Reglamento DSA, que podrían llegar hasta el 6% de la facturación anual mundial de las grandes plataformas de Internet”.
“El coordinador, asimismo, es responsable de certificar a los trusted flaggers o alertadores fiables nacionales, entidades con preferencia en relación con la notificación de contenidos ilícitos, y a los órganos extrajudiciales de resolución de litigios”, advierte.
Al mismo tiempo indica que “además, los coordinadores de servicios digitales están en una buena posición para contribuir a una evaluación significativa y exhaustiva de esta importante norma jurídica del Derecho digital de la Unión Europea, que tendrá lugar en 2027”.
Para Barrio, “no sólo habrán adquirido experiencia de primera mano en la aplicación de sus reglas y procedimientos, sino que también podrán recabar opiniones e ideas de su red para entonces. Dicha evaluación debe incluir una revisión de la estructura de gobierno del Reglamento DSA, incluido el papel de la Comisión, y las posibles lagunas, como la cobertura de nuevas plataformas que puedan surgir o empresas de tecnología publicitaria”.
Este jurista recuerda que “en España, la CNMC ha sido designada como nuestro coordinador de servicios digitales. Para completar el proceso, el Ministerio para la Transformación Digital y de la Función Pública está tramitando de forma urgente una reforma puntual de la LSSI, que entre otros aspectos llevará a cabo dicha designación en una norma con rango de ley y modificará el régimen sancionador de acuerdo con los postulados que introduce la DSA”.
Los consumidores preocupados
Anabel Arias, experta en derechos digitales de CECU, sostiene que “la DSA es un paso en la buena dirección, pero aún persisten dudas sobre cómo las plataformas aplicarán todas estas nuevas obligaciones. Por ejemplo, un aspecto clave a determinar es si la Inteligencia Artificial Generativa, como ChatGPT o Bard, cae dentro del alcance de esta norma y, por ende, debe cumplir con las obligaciones de transparencia o gestión de contenido ilegal que impone”.
Al mismo tiempo subraya que “se requerirán interpretaciones de las autoridades de aplicación e incluso de los tribunales. Desde CECU seguiremos trabajando para garantizar que las leyes protejan adecuadamente a las personas en la era digital, y en monitorear de cerca la implementación y aplicación de la DSA”.
La DSA busca crear un espacio digital más seguro donde se protejan los derechos fundamentales de los usuarios de servicios digitales y se aborden los riesgos sociales involucrados, de ahí que CECU ve lógica la investigación abierta por la Comisión Europea a TikTok.
En ese sentido, requiere que los intermediarios en línea, como las plataformas, tengan un papel más activo para abordar el contenido ilegal que se encuentra online. También establece obligaciones adicionales de transparencia y de diligencia. A tal fin, esta jurista recuerda que introduce un conjunto exhaustivo de obligaciones, tales como:
- Requisitos detallados sobre cómo manejar notificaciones de usuarios (y no usuarios) sobre contenido ilegal, perjudicial y otros, así como cómo responder a esas notificaciones.
- Obligaciones sobre cómo debe presentarse la publicidad de manera tal que los usuarios sepan que se trata de anuncio y quién está detrás del mismo.
- Requisitos sobre la explicación de los sistemas de recomendación y la prohibición de «patrones oscuros».
- Obligaciones específicas de mercados en línea, como la obligación de conocer a sus usuarios comerciales y garantizar que la interfaz en línea esté diseñada para que los comerciantes cumplan con sus obligaciones sobre información precontractual, cumplimiento y seguridad del producto.
- Obligaciones de transparencia informativa en tanto deben publicar, al menos una vez al año, informes claros y fácilmente comprensibles sobre cualquier actividad de moderación de contenidos.
- Protección de los menores en línea en tanto no podrán presentar anuncios en su interfaz basados en la elaboración de perfiles mediante la utilización de sus datos personales.
La Comisión Europea (autoridad de aplicación de las 22 VLOPs/VLOSEs ya designadas) ha venido tomando medidas para implementar la norma, tales como enviar varios pedidos de información a grandes plataformas para que informen sus medidas de cumplimiento.
Incluso ha iniciado recientemente un procedimiento formal contra X por presuntos incumplimientos con la normativa. Por su parte, ha puesto en marcha una Base de Datos de Transparencia (donde las plataformas deben ser transparentes sobre sus decisiones de contenido) y una base de datos de términos y condiciones (para poner a disposición de los usuarios los contratos de los servicios digitales de forma clara y accesible).
Además de las plataformas online la Ley de Servicios Digitales también se aplica a los servicios de alojamiento de datos (por ejemplo, servicios en la nube o sistemas de nombres de dominio, servicios de referencia que conectan a los usuarios a las direcciones de sitios web solicitadas), así como a los intermediarios en línea (por ejemplo, los proveedores de servicios de internet o de dominios). Los servicios de alojamiento de datos y los intermediarios están sujetos a un subconjunto de obligaciones en virtud de la Ley de Servicios Digitales.