Este
nuevo instrumento regula las obligaciones de los prestadores de servicios de
alojamiento de datos para hacer frente a la difusión entre el público a través
de sus servicios de contenidos terroristas, como peculiar categoría de
contenidos ilícitos asociada a singulares riesgos. El Reglamento incluye deberes de retirada o bloqueo rápido de tales contenidos y otros deberes de diligencia que se imponen a los prestadores de servicios; así como el régimen de adopción de medidas, incluyendo órdenes de retirada, por parte de los Estados miembros en relación con el uso indebido de los servicios de alojamiento de datos en este concreto sector. Esta reseña, tras una referencia a los elementos básicos
del Reglamento (I, infra), aborda algunas de las cuestiones de interés que el
nuevo instrumento, que será aplicable a partir del 7 de junio de 2022, plantea:
ordenes de retirada (II), medidas específicas frente al uso indebido de los
servicios de alojamiento (III), obligaciones adicionales de los prestadores de
servicios (IV), interacción con otras normas reguladoras del régimen de los
prestadores de servicios de alojamiento (V), ámbito territorial (VI) y
aplicación por los Estados miembros (VII).
I. Elementos básicos
Como
fundamento de su alcance, el Reglamento incorpora en su artículo 2.7 una
definición propia de los materiales -textos, imágenes, grabaciones de sonido y
vídeos, así como transmisiones en directo- que quedan incluidos en el concepto
“contenidos terroristas”. Se trata de una definición construida a partir de lo
dispuesto en la Directiva (UE) 2017/541, relativa a la lucha contra el
terrorismo, que comprende el material que incite o induzca a cometer delitos de
terrorismo o a participar en actividades de un grupo terrorista, o que haga
apología de tales actividades, incluida la difusión de ataques terroristas, así
como material con instrucciones sobre la fabricación o el uso de explosivos,
armas o sustancias o información sobre
la selección de objetivos para la comisión de delitos de terrorismo.
Habida
cuenta de la potencial afectación a derechos fundamentales, en especial el
derecho a la libertad de expresión e información, de las medidas –como órdenes
de retirada- que se contemplan, el Reglamento asume que las autoridades
competentes y los prestadores de servicios de alojamiento de datos han de
valorar las circunstancias del caso concreto, en especial los fines de la
difusión, al determinar si los materiales concernidos son susceptibles de
quedar comprendidos en el concepto de “contenidos terroristas”. Tal ponderación
debe tener en cuenta no solo el derecho a la libertad de expresión y de
información sino también la libertad de las artes y las ciencias, previéndose
expresamente que no deben considerarse “contenidos terroristas” los difundidos
con fines educativos, periodísticos, artísticos o de investigación o para
combatir el terrorismo (arts. 1.3 y 1.4).
En relación
con la salvaguarda de la libertad y el pluralismo de los medios de comunicación,
tiene singular relevancia la previsión de que en los supuestos en los que el
proveedor de contenidos asume una responsabilidad editorial, debe tenerse en
cuenta la reglamentación de los medios de comunicación de cara a adoptar cualquier
decisión relativa a la retirada del material (cdo. 12). Si bien el Reglamento
va referido específicamente a la actividad de los prestadores de servicios de
alojamiento de datos, que se caracteriza por la no asunción por tales
prestadores de responsabilidad editorial respecto de los contenidos meramente alojados,
no cabe perder de vista que típicamente también los medios de comunicación
pueden hacer uso de servicios de prestadores de alojamiento de datos –como
redes sociales o plataformas de difusión o intercambio de vídeos- en el marco
de su actividad de difusión de contenidos, lo que justifica un análisis
diferenciado en función de la naturaleza del proveedor de contenidos, categoría
que abarca a cualquier usuario “que ha suministrado información que esté o haya
estado almacenada y difundida entre el público por un prestador de servicios de
alojamiento de datos” (art. 2.2).
La definición
de “prestador de servicios de alojamiento de datos” se formula en el artículo
2.1 del Reglamento por remisión a la Directiva 2000/31 sobre el comercio
electrónico (DCE), que, como es conocido, regula en su artículo 14 –incorporado
en el artículo 16 de la Ley 34/2002 o LSSICE- el régimen de limitación de
responsabilidad de quienes prestan servicios de alojamiento de datos. El considerando
13 del Reglamento (UE) 2021/784 aclara que el término “almacenamiento” debe
entenderse “como la conservación de datos en la memoria de un servidor físico o
virtual”, lo que determina que el Reglamento no resulte aplicable a otros
intermediarios, como los prestadores de servicios de mera transmisión en el
sentido del artículo 12 DCE, entre los que típicamente se incluyen los proveedores
de acceso a Internet, a los proveedores de sistemas de nombres de dominio ni a
los servicios de pago, en la medida en que típicamente no implican el
almacenamiento de contenidos. Además, como el Reglamento va destinado a luchar
contra la difusión entre el público de contenidos terroristas, se excluyen los
llamados servicios de comunicaciones interpersonales, como el correo
electrónico o los servicios de mensajería privada, así como servicios en los
que el acceso a la información exige un registro o una admisión previa que no
se produce de modo automático (cdo. 14).
Entre las
definiciones incluidas en el artículo 2 del Reglamento, destaca también la de
su apartado 9, que dispone que por “establecimiento principal” del prestador de
servicios de alojamiento de datos, debe entenderse “la sede central o el domicilio
social… en que se ejercen las principales funciones financieras y el control
operativo”. Si bien, como se detallará más adelante, la ubicación del
establecimiento principal del prestador de servicios de alojamiento no resulta
determinante del ámbito de aplicación de las normas del Reglamento, su
localización o no en un Estado miembro resulta un elemento muy relevante
respecto de ciertos aspectos de su normativa. Baste de momento con señalar que
la definición de establecimiento principal del artículo 2 es más restrictiva
que el significado común del término establecimiento en el Derecho de la Unión,
donde resulta habitual que se extienda a cualquier Estado miembro en el que el prestador ejerce de manera efectiva
una actividad económica a través de una instalación estable y por un período de
tiempo indeterminado. También es más restrictivo que el mismo término
“establecimiento principal”, empleado en otros instrumentos relevantes en el
ámbito digital, como el RGPD, en el que ese término se utiliza básicamente para
identificar uno entre los varios “establecimientos” en sentido amplio que el
responsable o el encargado puedan tener en la UE (art. 4.16 RGPD). Por el
contrario, de la definición del Reglamento (UE) 2021/784 parece desprenderse
que la existencia de establecimientos en sentido amplio en la UE no implica que
el prestador de servicios de alojamiento tenga su “establecimiento principal”
en un Estado miembro, salvo que precisamente en un Estado miembro se ubique su
sede central o el domicilio social en que se ejercen las principales funciones
financieras y el control operativo del prestador.
Conforme al artículo 17 del Reglamento (UE) 2021/784, los prestadores de servicios de alojamiento de datos a los que resulte aplicable el Reglamento que no tengan su establecimiento principal en la Unión, deben designar un representante legal en la Unión en relación con el cumplimiento de las obligaciones resultantes del nuevo instrumento. El representante legal deberá residir o estar establecido en uno de los Estados miembros en los que el prestador de servicios de alojamiento de datos ofrezca los servicios.
II. Órdenes de retirada
El artículo 3
del Reglamento (UE) 2021/784 regula su mecanismo estrella, al tribuir a la
“autoridad competente de todo Estado miembro” la facultad de dictar órdenes de
retirada o bloqueo de contenidos terroristas, que los prestadores de servicios
de alojamiento de datos destinatarios de las mismas están obligados a hacer
efectivas “tan pronto como sea posible y, en cualquier caso, en el plazo de una
hora desde la recepción”. La norma detalla el contenido de la orden, a cuya
estandarización contribuye la exigencia de que la autoridad utilice la
plantilla reproducida en su Anexo I, que debe recoger información acerca de las
vías de recurso disponibles para el prestador de servicios de alojamiento de
datos y para el proveedor de los contenidos objeto de la medida.
Con respecto a
la obligación de los prestadores de servicios de alojamiento de datos
destinatarios de medidas de este tipo, se indica que “retirarán los contenidos
terroristas o bloquearán el acceso a ellos en todos los Estados miembros”. Se
trata de dos opciones con implicaciones diversas, en la medida en que la
retirada supone, en principio, que los contenidos dejen de estar accesibles a
través de los servicios de ese prestador en cualquier lugar del mundo, mientras
que el bloqueo se limita a imposibilitar el acceso a los mismos desde el
territorio de la UE. Llama la atención que a la luz de la redacción de la norma
y de la configuración de su anexo I la elección entre una u otra de esas
opciones parece dejarse en manos del prestador. A diferencia de otros
prestadores de servicios de intermediación, como los proveedores de acceso a
Internet, los prestadores de servicios de alojamiento se encuentran en una
posición en la que pueden no solo bloquear desde determinados territorios el
acceso a los contenidos alojados en sus servicios sino también retirar los
mismos. La singular gravedad de los contenidos objeto del Reglamento puede ser
relevante al apreciar que se trata de un ámbito en el que, si bien a la luz de
la jurisprudencia del Tribunal de Justicia los mandamientos de retirada de
contenidos ilícitos de Internet con alcance mundial resultan típicamente
excepcionales (P.A. De Miguel Asensio, “Territorial Scope of Orders Against
Illegal Content Online”, Festschrift für
H. Schack, en prensa), cuando se trata de contenidos terroristas puede
estar justificada la imposición de mandamientos de retirada.
También
regula el artículo 3 del Reglamento la obligación de los prestadores de
servicios de alojamiento de datos de informar a la autoridad competente de la
retirada o bloque del acceso a los contenidos, utilizando para ello el
formulario del anexo III, que incluye la precisión de la hora en que ha tenido
lugar. No obstante, se contempla la posibilidad de que el prestador no pueda
cumplir la orden de retirada, bien “por causa de fuerza mayor o de
imposibilidad de hecho no atribuible a él” bien porque la orden contiene
errores manifiestos o no contiene información suficiente, circunstancias de las
que debe informar a la autoridad que dictó la orden de retirada basada en
dichos motivos, mediante la plantilla establecida en el anexo III. El artículo
11 regula la obligación del prestador de servicios de alojamiento de informar
al proveedor de contenido afectado acerca de la retirada o el bloqueo, así como,
eventualmente, la obligación de no divulgar esta circunstancia cuando así lo
decida la autoridad competente que adopte la orden.
Las
órdenes previstas en el artículo 3 pueden ser dictadas por la autoridad
competente de cualquier Estado miembro. Esa disposición se limita a establecer
que solo cuando la orden de retirada haya pasado a ser definitiva, al no caber
ya recurso conforme al Derecho nacional, se contempla que la autoridad
competente que la ha adoptado debe informar a la autoridad competente del
Estado miembro en el que el prestador de servicios de alojamiento de datos
tenga su establecimiento principal o en el que resida o esté establecido su
representante legal. Ahora bien, el artículo 4 contiene ciertas disposiciones
aplicables a las que denomina “órdenes de retirada transfronterizas”, que son
precisamente las adoptadas por la autoridad competente de un Estado miembro
distinto de aquel en el que el prestador destinatario de la medida tenga su
establecimiento principal o en el que resida o esté establecido su
representante legal.
En tales
situaciones se prevé que la autoridad del Estado miembro en el que se localice
cualquiera de estos elementos puede en un plazo de 72 horas desde que la
autoridad que la adoptó le hubiera comunicado la orden de retirada examinarla de oficio o a instancia de los
prestadores de servicios de alojamiento de datos o proveedores de contenidos
afectados. En caso de que determine que la orden infringe gravemente o de forma
manifiesta el Reglamento (UE) 2021/784 o los derechos y libertades
fundamentales garantizados por la Carta, se prevé que el prestador de servicios
de alojamiento de datos restablecerá inmediatamente los contenidos o el acceso
a ellos. El artículo 4 precisa que ese restablecimiento inmediato se impone sin perjuicio de la posibilidad por parte del
prestador de hacer cumplir sus términos y condiciones de conformidad con el
Derecho de la Unión y el Derecho nacional. Se trata de una previsión que
facilita que el prestador no restablezca esos materiales en caso de que
considere que infringen sus condiciones y su retirada es conforme a Derecho. En
consecuencia, el artículo 4 prima el criterio de la autoridad del Estado miembro
en el que el prestador destinatario de la medida tenga su establecimiento
principal o en el que resida o esté establecido su representante legal, sin
tener en cuenta, según parece, a qué Estado o Estados miembros van dirigidos
los contenidos en cuestión. No contempla esa norma que la disparidad de
criterios al interpretar el Reglamento se resuelva de modo que el prestador de
servicios de alojamiento deba bloquear el acceso a los contenidos únicamente
desde el territorio del Estado miembro cuya autoridad competente ha considerado
que constituyen contenidos terroristas, ni siquiera, según parece, aunque se
trate de contenidos que puedan ser considerados como dirigidos específicamente
a ese Estado miembro.
El artículo 9
del Reglamento establece el derecho de los prestadores de servicios de
alojamiento destinatarios de órdenes de retirada a una tutela judicial
efectiva, incluyendo la posibilidad de impugnar la orden ante los tribunales
del Estado miembro que la dictó así como las decisiones en virtud del artículo
4 ante los tribunales del Estado miembro de la autoridad que la adoptó. También
se atribuye ese derecho a los proveedores cuyos contenidos hayan sido retirados
o a los cuales se haya bloqueado el acceso. El régimen de impugnación y los
concretos órganos competentes para conocer de la misma vendrán determinados por
el Derecho del Estado miembro en cuestión.
Con respecto a
la comunicación de las órdenes de retirada, resulta de importancia que cada
prestador de servicios de alojamiento de datos al que resulta de aplicación el
Reglamento, debe designar un punto de contacto para la recepción, especificando
las lenguas oficiales de las
instituciones de la Unión en las que sea posible dirigirse al punto de contacto,
entre las que debe estar, al menos, una de las lenguas oficiales del Estado
miembro en el que el prestador de servicios de alojamiento de datos tenga su
establecimiento principal o en el que resida o esté establecido su representante
legal (art. 15).
III. Medidas específicas frente al uso indebido de los servicios de
alojamiento
El
artículo 5 incorpora básicamente un conjunto de deberes de diligencia que los
prestadores de servicios de alojamiento de datos deben aplicar para luchar contra
la difusión de contenidos terroristas. Se trata de obligaciones dirigidas a los
prestadores de ese tipo en los que concurran las circunstancias para ser
considerados prestadores “expuestos a contenidos terroristas”. La inclusión en
esta categoría se subordina a que la autoridad competente del Estado miembro
del establecimiento principal del prestador o en el que su representante legal
resida haya adoptado y notificado la decisión de que lo considera expuesto a
contenidos terroristas. La decisión debe basarse en factores objetivos, si bien
el artículo 5.4 del Reglamento únicamente menciona a modo de ejemplo el que se
trate de un prestador que en los doce meses anteriores haya recibido dos o más
órdenes de retirada.
Por
consiguiente, a diferencia de las obligaciones respecto de las órdenes de
retirada y bloqueo, las que impone el artículo 5 no van dirigidas a todos los
prestadores de servicios de alojamiento de dato sino únicamente a un conjunto
cualificado de los mismos, respecto de los que se aprecia que existe riesgo de
la presencia de tales contenidos, lo que justifica que le sean exigibles
ciertos deberes de diligencia. Tales obligaciones comprenden la inclusión en
sus términos y condiciones de disposiciones destinadas a luchar contra el uso
indebido de sus servicios para la difusión de contenidos terroristas, que deben
ser aplicadas de manera diligente, proporcionada, no discriminatoria y
respetuosa con los derechos fundamentales. El prestador queda obligado a
adoptar medidas específicas para proteger sus servicios contra la difusión
entre el público de contenidos terroristas. Si bien la elección de las
concretas medidas corresponde al propio prestador, el artículo 5.2 del
Reglamento proporciona a título meramente indicativo una relación de medidas
que pueden resultar apropiadas: medidas técnicas para identificar y retirar los
contenidos terroristas o bloquear el acceso a ellos rápidamente; mecanismos
para que los usuarios alerten al prestador de presuntos contenidos terroristas;
y mecanismos para aumentar la concienciación respecto de los contenidos
terroristas en sus servicios.
Exige el
Reglamento que las medidas sean selectivas y proporcionadas al riesgo de
exposición a contenidos terroristas de los servicios del prestador. Se
contempla además que cuando se recurra a medidas técnicas deben facilitarse
mecanismos para evitar la supresión de material que no constituya contenidos
terroristas, la supervisión y verificación humanas. Como el Reglamento no
modifica la DCE, aclara su artículo 5.8 que la exigencia de adopción de medidas
específicas debe entenderse sin perjuicio del artículo 15 DCE, de modo que no
puede conllevar una obligación general de supervisar la información que
transmitan o almacenen los prestadores, ni una obligación general de buscar
activamente hechos o circunstancias que indiquen una actividad ilegal. Incluso
se prevé la exigencia de adopción de tales medidas no incluirá la obligación de
utilizar herramientas automatizadas, pese a que el Reglamento refleja que se
trata de herramientas utilizadas habitualmente por los prestadores a estos
efectos (véase, por ejemplo, arts, 7.1 y 7.3.b).
IV. Otras obligaciones de los prestadores de servicios
Entre las
obligaciones adicionales que se imponen a todos los prestadores de servicios de
alojamiento de datos sometidos al Reglamento, destaca lo previsto en su
artículo 6 con respecto al deber de conservar durante seis meses los contenidos
terroristas que hayan retirado o a los que hayan bloqueado el acceso en virtud
de una orden de retirada o de medidas específicas en virtud de los artículos 3 y
5 así como cualesquiera datos conexos que sean necesarios para los
procedimientos de control administrativos o judiciales o y la tramitación de
denuncias en virtud del artículo 10 contra una decisión de retirada de los
contenidos terroristas, o la prevención, la detección, la investigación o el
enjuiciamiento de delitos de terrorismo.
Las
obligaciones de transparencia aparecen recogidas en el artículo 7 del
Reglamento, e incluyen que los prestadores de servicios de alojamiento detallen
claramente en sus términos y condiciones su política destinada a luchar contra
la difusión de contenidos terroristas, así como la publicación de un informe
anual de transparencia cuando se trate de un prestador de servicios de
alojamiento que haya adoptado medidas en este ámbito o al que se haya exigido
su adopción en virtud del Reglamento.
Cuando se
trate de prestadores de servicios de alojamiento expuestos a contenidos
terroristas, deben establecer mecanismos de reclamación a disposición de los proveedores
de contenidos cuyos contenidos sean retirados o bloqueados como consecuencia de
medidas específicas con arreglo al artículo 5. De acuerdo con lo dispuesto en
el artículo 10, en el marco del mecanismo de reclamación el prestador está
obligado a restablecer los contenidos o el acceso a los mismos cuando la
retirada o bloqueo no estuviere justificada, debiendo informar al reclamante en
el plazo de dos semanas y motivar su decisión en caso de que sea desestimatoria.
Cabe entender que la valoración acerca de si la medida está justificada puede
incluir la aplicación de elementos ajenos al Reglamento (UE) 2021/784, en
particular otras normas del ordenamiento jurídico relevantes para apreciar la
ilicitud de los contenidos controvertidos, así como los términos de uso y
condiciones generales del prestador de servicios de alojamiento, que
típicamente atribuirán a éste un mayor margen de actuación al establecer la prohibición
del uso de sus servicios para la difusión de determinadas categorías de
contenidos. Obviamente, la existencia de estos mecanismos de reclamación no
excluye la iniciación de eventuales procedimientos de control administrativo
que resulten aplicables ni el ejercicio de acciones judiciales respecto de la
difusión o retirada de los contenidos controvertidos.
También se impone a los prestadores de servicios de alojamiento de datos la obligación de informar a las autoridades competentes en cuanto tengan conocimiento de contenidos terroristas que conlleven una amenaza inminente para la vida (art. 14.5). Se trata de disposiciones que no afectan a obligaciones semejantes de información acerca de infracciones penales que puedan imponer las legislaciones de los Estados miembros, si bien respecto de las actividades en línea tiene especial relevancia la previsión que esa obligación se impone también cuando “sea posible identificar identificar el Estado miembro o los Estados miembros de que se trate”. En tales casos, se prevé que los prestadores de servicios de alojamiento de datos deben informar al punto de contacto del Estado miembro en el que tengan su establecimiento principal o en el que su representante legal resida o esté establecido, y transmitir la información relativa a los contenidos terroristas a Europol.
(Para no hacer excesivamente larga esta entrada, los apartados V a VIII de este comentario figuran a continuación en la titulada: Reglamento (UE) 2021/784 sobre la lucha contra la difusión de contenidos terroristas en línea: segunda parte)
