El pasado martes 5 de julio se vivió un momento histórico en Estrasburgo: el Parlamento Europeo aprobó el conocido como “paquete digital europeo”, que incluye la Digital Services Act (DSA) y la Digital Markets Act (DMA). Y lo hizo de forma muy sólida, pues la DSA recibió 539 votos a favor, 54 votos en contra y 30 abstenciones, mientras que la DMA acumuló 588 votos a favor, 11 votos en contra y 31 abstenciones.
Los negociadores del Parlamento y del Consejo (representantes de los gobiernos de los Estados Miembros) alcanzaron acuerdos preliminares en marzo y abril de 2022, pero ahora, año y medio después de que la Comisión Europea publicara la primera propuesta en diciembre de 2020, finalmente podemos analizar los textos finales y sus implicaciones para los diferentes actores del sector.
Antes de proceder a detallar el contenido de ambas, queremos hacer una mención al Markets in Crypto Assets (MiCA) y al EU Artificial Intelligence Act (EU AI Act), piezas importantes de la estrategia regulatoria europea. El MiCA es el marco regulador para criptoactivos en el ámbito de la UE y también cuenta con el acuerdo entre el Parlamento y el Consejo. Sus objetivos principales son (a) proteger a los inversores, (b) preservar la estabilidad financiera, así como (c) permitir la innovación y (d) fomentar el atractivo del sector de los criptoactivos. Para adentrarnos en el EU AI Act deberemos esperar unos meses, ya que a principios de junio se cerró el plazo de presentación de enmiendas.
En términos de la DSA y la DMA, según han apuntado en muchas ocasiones las autoridades europeas, tienen un doble objetivo: (i) crear un espacio digital más seguro en el que se protejan los derechos fundamentales de todos los usuarios de los servicios digitales, y (ii) establecer unas condiciones equitativas para fomentar la innovación, el crecimiento y la competitividad, tanto en el mercado único europeo como a nivel mundial. Veamos los detalles más relevantes que se incluyen.
Por su parte, la DSA establece una serie de obligaciones para los proveedores de servicios digitales, como las redes sociales o los marketplaces, para hacer frente a la difusión de contenidos ilegales, la desinformación en línea y otros riesgos sociales. Por ello, las nuevas obligaciones incluyen:
- Nuevas medidas para contrarrestar los contenidos ilegales en línea y obligaciones para que las plataformas reaccionen rápidamente, respetando los derechos fundamentales, como la libertad de expresión y la protección de datos
- Refuerzo de la trazabilidad y de los controles en los mercados en línea para garantizar la seguridad de los productos y servicios; incluidos controles aleatorios sobre la reaparición de contenidos ilegales
- Mayor transparencia y responsabilidad de las plataformas, por ejemplo, proporcionando información clara sobre la moderación de contenidos o el uso de algoritmos para recomendar contenidos; aquí cabe destacar que los usuarios podrán impugnar las decisiones de moderación de contenidos
- Prohibición de las prácticas engañosas y de determinados tipos de publicidad dirigida, como la destinada a los niños y niñas y los anuncios basados en datos sensibles
Además, las plataformas y los motores de búsqueda “muy grandes” (con 45 millones de usuarios mensuales o más) tendrán que cumplir obligaciones más estrictas, impuestas por la Comisión, someterse a auditorías independientes y facilitar el acceso a sus datos y algoritmos a las autoridades e investigadores autorizados. Estas plataformas también tendrán que ofrecer a los usuarios la opción de no recibir recomendaciones basadas en perfiles. El objetivo principal de esta diferenciación es prevenir riesgos sistémicos, como la difusión de contenidos ilegales y mitigar los efectos adversos sobre los derechos fundamentales, sobre los procesos electorales y sobre la violencia de género o la salud mental.
El concepto de gatekeeper
También relacionado con las compañías tecnológicas de mayor tamaño tenemos la DMA. Esta norma establece obligaciones para las grandes plataformas que actúan como gatekeepers (“guardianes”) en el mercado digital y busca garantizar un entorno comercial más justo, en el que los consumidores tengan mayor poder de decisión en la contratación de servicios o la compra de productos.
Así, la norma define a un gatekeeper como aquella empresa que (a) tiene un impacto significativo en el mercado interior; (b) proporciona un servicio de plataforma principal que constituye una importante puerta de entrada para que las empresas lleguen a los usuarios finales; y (c) goza de una posición arraigada y duradera en sus operaciones, o es previsible que goce de tal posición en un futuro próximo. Siguiendo esta definición, será la responsabilidad de la Comisión Europea decidir periódicamente cuáles son las empresas que cumplen estos parámetros.
En este sentido, los gatekeepers no podrán clasificar sus propios servicios o productos de forma más favorable (autopreferenciación) que otros terceros en sus plataformas; impedir a los usuarios desinstalar fácilmente cualquier software o aplicación precargada, o utilizar aplicaciones y tiendas de aplicaciones de terceros; o tratar los datos personales de los usuarios para la publicidad dirigida, a menos que se conceda explícitamente el consentimiento.
Estos parámetros forzarán a empresas como Apple a incluir múltiples cambios. Por ejemplo, Apple debería permitir a sus usuarios descargar aplicaciones de Internet y de mercados de aplicaciones de terceros y no solamente a través de la App Store. También en un futuro se podría utilizar Google Voice como alternativa a Siri en sus dispositivos, y los usuarios de Android tendrían acceso a aplicaciones de mensajería propias de Apple como iMessage o FaceTime.
En cuanto a las obligaciones de los gatekeepers, la norma indica que deberán:
- Permitir a terceros interoperar con sus propios servicios, lo que significa que las plataformas más pequeñas podrán solicitar que las plataformas de mensajería dominantes permitan a sus usuarios intercambiar mensajes, enviar mensajes de voz o archivos a través de las aplicaciones de mensajería. Esto dará a los usuarios más opciones y evitará el llamado efecto “lock-in” en el que se ven restringidos a una aplicación o plataforma
- Permitir a los usuarios empresariales acceder a los datos que generan en la plataforma del gatekeeper, para promocionar sus propias ofertas y concluir contratos con sus clientes fuera de las plataformas del gatekeeper
Algunos ejemplos útiles para comprender el alcance de estas obligaciones los encontramos en marketplaces como Amazon o en las agencias de viaje online (OTAs) como Airbnb. Los clientes de ambas, vendedores y huéspedes respectivamente, tendrán más flexibilidad en su relación y comunicación con el usuario final y más poder en su posicionamiento dentro de las plataformas.
Recursos para su aplicación efectiva
Para garantizar que las nuevas normas sobre la DMA se apliquen correctamente, y en consonancia con el dinámico sector digital, la Comisión puede llevar a cabo investigaciones de mercado. Si un gatekeeper no cumple las normas, el organismo europeo puede imponer multas de hasta el 10% de su volumen de negocios total a nivel mundial en el ejercicio financiero anterior, o hasta el 20% en caso de incumplimiento reiterado.
Finalmente, debemos tener en cuenta los recursos que las autoridades europeas pondrán a disposición para poder aplicar efectivamente el nuevo marco legal. La Comisión Europea ha creado un grupo de trabajo específico, al que se espera que se incorporen unos 80 funcionarios. El mes pasado ya se convocó una licitación de 12 millones de euros para la contratación de expertos que ayuden en las investigaciones y el cumplimiento de la normativa durante un periodo de cuatro años. También está prevista la creación de un Centro Europeo de Transparencia Algorítmica para atraer a científicos de datos y algoritmos que apoyen la aplicación legislativa.
Aquí cabe destacar las palabras del Comisario Thierry Breton, quien añadía que la Comisión espera que cada plataforma, grande o pequeña, tenga un representante legal en Europa: “Así que ahora sabremos a quién llamar si hay un problema.” Asimismo, cada estado miembro contará con un regulador con los poderes necesarios para hacer cumplir las normas. Según Breton, la Comisión también se apoyará en una red de “señaladores” de confianza, como ONGs, líneas de atención telefónica o titulares de derechos, para garantizar que las plataformas reaccionen de forma prioritaria ante los contenidos ilegales.
En relación con la entrada en vigor de ambas normas, también debemos destacar algunos detalles. Una vez adoptados formalmente por el Consejo en julio (DMA) y septiembre (DSA), ambos actos se publicarán en el Diario Oficial de la UE y entrarán en vigor veinte días después. Por su parte, la DSA será directamente aplicable en toda la UE después de quince meses o a partir del 1 de enero de 2024 (lo que ocurra más tarde) después de la entrada en vigor. En cuanto a las obligaciones de las grandes plataformas y motores de búsqueda, la DSA se aplicará antes, cuatro meses después de que hayan sido designados como tales por la Comisión. Por otro lado, la DMA comenzará a aplicarse seis meses después de su entrada en vigor. Los gatekeepers tendrán un periodo máximo de seis meses después de haber sido designados para cumplir con las nuevas obligaciones.
Con todo, la Digital Services Act y la Digital Markets Act inauguran un nuevo paradigma regulatorio en el entorno comunitario europeo, unas reglas del juego sin precedentes que, sin duda, tendrán fuertes implicaciones en la relación entre la ciudadanía y los grandes players digitales. Y es que, como ya hemos visto, el terreno pantanoso que reúne regulaciones, protección de datos, derechos digitales y grandes empresas tecnológicas sigue, y seguirá, dando mucho que hablar en Europa.
