lunes, 28 de noviembre de 2022

Reglamento de Servicios Digitales (VI): obligaciones de las plataformas y los buscadores de muy gran tamaño

 

          Fundamento de la imposición de obligaciones adicionales a los prestadores de plataformas en línea de muy gran tamaño y a los motores de búsqueda de muy gran tamaño (en adelante, PBMGT) es su singular posición respecto de la difusión de contenidos y el acceso a información en línea, que lleva a considerar que su actividad genera riesgos sociales de carácter sistémico. La sección 5 del Capítulo III RSD, junto con la delimitación de las plataformas y los buscadores a los que resultan de aplicación (I, infra), contempla la imposición a los PBMGT de obligaciones en materia de evaluación y reducción de riesgos -en general un tanto difusas-, así como un mecanismo para situaciones de crisis (II). Además, se exige a los PBMGT el sometimiento a auditorías independientes en relación con el cumplimiento del RSD y se introduce una función de comprobación del cumplimiento (III). También se establecen obligaciones adicionales de transparencia y de facilitación del acceso a los datos necesarios para evaluar el cumplimiento del RSD (IV). Además, se contempla el cobro por la Comisión a los PBMGT de una tasa de supervisión anual (art. 43 RSD).


I. Delimitación de las plataformas en línea de muy gran tamaño y motores de búsqueda de muy gran tamaño

                El sometimiento de una plataforma o buscador a las obligaciones de la Sección 5 del Capítulo III se subordina a la adopción por la Comisión de una decisión en virtud de la cual se le designe como PMGT o BMGT, conforme al procedimiento previsto en el artículo 33.4 RSD. La lista de PBMGT se publicará en el DOUE y se mantendrá actualizada por la Comisión. Las obligaciones de la Sección 5 del Capítulo II se aplicarán a partir de la fecha en que hayan transcurrido cuatro meses desde la notificación al prestador de su designación como PMGT o BMGT (art. 33.6 RSD), sin necesidad de esperar al 17 de febrero de 2024, siempre que esa fecha sea anterior a ésta, que la de aplicación con carácter general del RSD.

El factor determinante para ser considerado PBMGT es el promedio mensual de destinatarios del servicio activos en la Unión, es decir el número medio de todos los destinatarios del servicio que al menos una vez en el periodo de un mes participan en el servicio quedando expuestos a la información difundida en su interfaz en línea. El umbral a partir del cual se considera que una plataforma o un buscador puede generar riesgos sistémicos con un impacto desproporcionado en la Unión, lo que justifica su designación como PBMGT, es una cifra equivalente al 10% de la población de la Unión, por lo que se fija en cuarenta y cinco millones de destinatarios del servicio activos en la Unión (art. 33.1 RSD). Se prevé que este número pueda ser ajustado por la Comisión mediante actos delegados cuando la población de la Unión aumente o disminuya al menos un 5%, en los términos del artículo 33.2 RSD.

De acuerdo con las definiciones del artículo 3 RSD, el término destinario activo del servicio debe entenderse en sentido amplio también a estos efectos, de modo que no se limita a los usuarios registrados de un servicio (cdo. 77). En concreto, «destinatario activo de una plataforma en línea» es todo aquel que la haya utilizado, bien solicitando a la plataforma que aloje información, bien exponiéndose a la información en ella alojada y difundida a través de su interfaz en línea (art. 3.p) RSD). Por consiguiente, la consideración como destinatario activo no requiere la interacción con la plataforma -por ejemplo, compartiendo contenido o realizando transacciones a través de ella-, sino que incluye también a quien se limita a visualizar o escuchar contenidos difundidos a través de la interfaz en línea de la plataforma. Por su parte, «destinatario activo de un motor de búsqueda en línea» es quien haya introducido una consulta y al que se le expone la información indexada y presentada en su interfaz en línea por el motor de búsqueda (art. 3.q) RSD). En consecuencia, si bien abarca a cualquiera que utiliza el servicio para buscar información, deja al margen a los titulares de los sitios web indexados en la medida en que no participen activamente en el servicio. También precisa el considerando 77 que el número de destinatarios activos de un servicio abarca todos los destinatarios únicos que participan en el mismo, de modo que cuando accedan al servicio en cuestión mediante diferentes interfaces en línea deben contarse una sola vez, al tiempo que no deben computarse quienes se limitan a un uso incidental del servicio, siendo destinatarios de otros prestadores de de servicios en los que se incluyen enlaces que dan lugar a ese uso incidental, ni tampoco los usuarios automatizados -como bots- en la medida en que puedan ser descontados sin necesidad de tratamiento adicional de los datos personales ni seguimiento. Además, se faculta a la Comisión para la adopción de actos delegados en relación con la metodología para determinar los destinatarios activos de una plataforma en línea o de un motor de búsqueda en línea (art. 33.3 RSD).

II. Evaluación y reducción de riesgos

                Un primer grupo de obligaciones adicionales impuestas a los PBMGT va referido a la detección y evaluación de los riesgos derivados de sus servicios o del uso que se haga de los mismos. El prestador de servicio debe valorar desde esta perspectiva la configuración y el funcionamiento de su servicio, incluidos aspectos como el uso de sistemas algorítmicos que puede condicionar la difusión de información (o el acceso a la misma) a través de sus servicios, o la configuración de los mecanismos de notificación y acción para combatir notificaciones abusivas que pudieran suponer una injerencia desproporcionada en la libertad de expresión e información.

En concreto, el artículo 34.2 RSD impone la exigencia de que los PBMGT lleven a cabo una evaluación de riesgos al menos una vez al año y en todo caso antes de desplegar funcionalidades que puedan tener un impacto crítico en los riesgos sistémicos, en particular, los cuatro grupos de riesgos sistémicos que la norma contempla de manera específica, que no se limitan a los derivados de la difusión de contenidos ilícitos.

En primer lugar, el riesgo de difusión de contenidos ilícitos a través de su servicio, con especial relevancia a los más graves, como el uso indebido del servicio para cometer delitos o difundir (o facilitar el acceso a) otros contenidos ilícitos en circunstancias en las que puedan propagarse rápida o ampliamente. En segundo lugar, los posibles efectos negativos del servicio para el ejercicio de los derechos fundamentales, entre los que se hace especial mención a partir de lo dispuesto en la CDFUE a los relativos a la dignidad humana, al respeto de la vida privada y familiar, a la protección de los datos de carácter personal, a la libertad de expresión e información, incluida la libertad y el pluralismo de los medios de comunicación, a la no discriminación, a los derechos del niño y a la protección de los consumidores. En tercer lugar, los posibles efectos negativo sobre el discurso cívico y los procesos electorales, así como sobre la seguridad pública. Por último, los posibles efectos negativos en relación con la violencia de género, la salud pública y los menores, así como las consecuencias negativas graves para el bienestar físico y mental de las personas.

Junto a la clasificación de los riesgos sistémicos cuya eventual afectación debe ser evaluada, el artículo 34 RSD exige la toma en consideración de la influencia de una serie de elementos del servicio en esos riesgos, en particular: a) el diseño de sus sistemas de recomendación y otros sistemas algorítmicos pertinentes, con especial atención a la posible amplificación algorítmica de la difusión de contenidos incorrectos o engañosos y a los mecanismos para evitar usos no auténticos del servicio y conductas automatizadas que faciliten la rápida difusión de contenidos ilícitos o nocivos (cdo. 84); b) sus sistemas de moderación de contenidos; c) las condiciones generales y su ejecución; d) los sistemas de selección y presentación de anuncios; y e) sus prácticas relacionadas con los datos.

La evaluación de riesgos va acompañada de la obligación de aplicar medidas “razonables, proporcionadas y efectivas, adaptadas a los riesgos sistémicos específicos detectados”. El artículo 35.1 RSD contiene una relación meramente indicativa de medidas susceptibles de ser adoptadas a tales efectos, contempladas, en general, en términos imprecisos e indeterminados. En concreto, se incluyen en esa relación de posibles medidas del PBMGT relativas a sus servicios: la adaptación de su diseño, sus características, su funcionamiento, sus condiciones generales, sus procesos de moderación de contenidos, sus sistemas algorítmicos, sus sistemas publicitarios, el refuerzo de los procesos internos de detección de riesgos sistémicos o la mejora de la cooperación con los alertadores fiables. Como posible medida objeto de una configuración más precisa, se contempla la de que el PBMGT garantice que elementos de información que pueden inducir erróneamente a pensar que son auténticos o verdaderos se distingan mediante indicaciones de que no los son.

Algunas de las medidas previstas parecen partir de un estándar previo de medidas de prevención de riesgos muy poco exigentes, como las específicas para proteger los derechos de los menores, entre las que se menciona las “herramientas de comprobación de la edad”, cuya aplicación efectiva ha presentado tradicionalmente grandes carencias, pese a su relevancia en relación también con obligaciones resultantes de otros instrumentos, como el RGPD. Otras medidas incluyen el desarrollo de mecanismos de cooperación con otros prestadores de servicios, incluyendo la eventual elaboración de códigos de conducta, ámbito en el que el artículo 45 RSD atribuye un especial papel de promoción y evaluación a la Comisión cuando se generen riesgos sistémicos significativos que afecte a varios PBMGT. El artículo 46 RSD contempla el fomento de la elaboración de códigos de conducta voluntarios relativos a publicidad en línea.

Las medidas previstas en el artículo 35.1 RSD desempeñan también un papel relevante en el marco del mecanismo de respuestas a las crisis establecido en el artículo 36. Esta norma contempla la posibilidad de que la Comisión exija a uno o varios PBMGT la adopción de diversas medidas cuando se produzca una situación de crisis, es decir, “cuando se produzcan circunstancias extraordinarias que den lugar a una amenaza grave para la seguridad pública o la salud pública en la Unión o en partes significativas de esta” (art. 36.2). Para hacer frente a una amenaza de ese tipo, además de las prevista en el artículo 35.1, se prevé que la Comisión pueda exigir otras, como la presentación de forma destacada información sobre la situación de crisis proporcionada por las autoridades, la designación de un punto de contacto específico para la gestión de crisis; adaptar los recursos dedicados al cumplimiento de las obligaciones relativas a los mecanismos de notificación y acción o de protección contra usos indebidos (art. 36.1 con remisión al art. 48.2). El artículo 36 incorpora además normas acerca del procedimiento de adopción de las medidas y los requisitos que deben cumplir. En todo caso, la elección de las medidas específicas corresponde al PBMGT y se contempla la posibilidad de un diálogo con la Comisión para determinar si las medidas son eficaces y proporcionadas.

III. Auditoría y comprobación del cumplimiento

El artículo 37 RSD regula la obligación de los PBMGT de someterse, a su propia costa y al menos una vez al año, a auditorías realizadas por organizaciones independientes que evalúen el cumplimiento de las obligaciones establecidas en el Capítulo III RSD y, en su caso, los compromisos que hubieran asumido en los códigos de conducta previstos en los artículos 45 y 46, así como en los protocolos voluntarios destinados a abordar situaciones de crisis previstos en el artículo 48. Esta obligación de someterse a auditoría independiente se impone específicamente a los PBMGT, como el resto de las previstas en la sección 4 del Capítulo III, pero la auditoría abarca el conjunto de las obligaciones establecidas en el Capítulo III.

El artículo 37 RSD regula la cooperación de los PBMGT con la organización que lleve a cabo la auditoría, los requisitos que deben reunir las organizaciones independientes para poder realizarlas, así como los elementos básicos del informe de cada auditoría. Cuando el informe de auditoría no sea «favorable», se prevé que los PBMGT habrán de tener debidamente en cuenta las recomendaciones operativas que se les efectúen, introduciendo las medidas necesarias para aplicarlas, y procediendo a adoptar un informe de aplicación de la auditoría que las recoja o que justifique los motivos para no hacerlo y las medidas alternativas adoptadas (art. 37.6). Se faculta a la Comisión para la adopción de actos delegados con normas sobre la realización de estas auditorías.

Cabe reseñar, además, que el artículo 41 RSD exige la introducción por los PBMGT de una función de comprobación del cumplimiento en relación con el RSD, que ha de ser independiente de sus funciones operativas y estar liderada por un jefe de esa función que no puede ser destituido sin la aprobación previa del órgano de dirección del PBMGT.

IV. Obligaciones de transparencia y de facilitación del acceso a datos

                Como complemento de las obligaciones de transparencia respecto de sus sistemas de recomendación impuestas a todos los prestadores de plataformas en línea que utilicen tales sistemas, el artículo impone una obligación adicional a los PBMGT. En concreto, deben ofrecer a sus usuarios una opción para cada uno de sus sistemas de recomendación que no se base en la elaboración de perfiles, en el sentido del artículo 4.4 RGPD. El ofrecimiento implica que la posibilidad alternativa debe ser directamente accesible desde la interfaz en línea en la que se presenta las recomendaciones (cdo. 94 y art. 38 RSD).

                Además, el artículo 39 RSD establece obligaciones de transparencia adicionales respecto de la publicidad en línea para los PBMGT. En concreto, deben garantizar el acceso publico en una sección específica de sus interfaces en línea el acceso público a los repositorios de anuncios publicitarios presentados en los mismos hasta un año después de la ultima vez que el anuncio de que se trate fue presentado en la interfaz. El apartado 2 del artículo 39 detalla la información mínima que el repositorio debe incluir, entre la que figura: el contenido del anuncio publicitario; la persona en cuyo nombre se presenta; la persona que ha pagado por el anuncio publicitario; el período de presentación del anuncio; si el anuncio estaba destinado a presentarse a grupos concretos de destinatarios del servicio y los parámetros principales utilizados para tal fin; el número de destinatarios del servicio alcanzados.

                El artículo 42 RSD impone obligaciones adicionales de transparencia informativa a los PBMGT, que básicamente complementan las previstas para el conjunto de los prestadores de servicios intermediarios en el artículo 15 RSD y para todos los prestadores de plataformas en línea en el artículo 24. El artículo 42 exige que faciliten información además sobre otras cuestiones, como los recursos humanos dedicados a la moderación de contenidos y las cualificaciones y conocimientos de las personas que llevan a cabo tales actividades, así como sobre el promedio mensual de destinatarios del servicio para cada Estado miembro. Las obligaciones adicionales de transparencia incluyen también la publicación del informe con los resultados de la evaluación de riesgos prevista en el artículo 34 RSD, las medidas de reducción de riesgos aplicadas en virtud del artículo 35, el informe de auditoría contemplado en el artículo 37.4 y eventualmente el relativo a la aplicación de la auditoría en relación con ciertas recomendaciones operativas.

                Las obligaciones de los PBMGT de proporcionar acceso a datos al coordinador de servicios digitales o a la Comisión para facilitar la vigilancia y la evaluación del cumplimiento del RSD aparecen reguladas en su artículo 40. Entre esas obligaciones se incluye la explicación por el PBMGT del diseño, la lógica, el funcionamiento y la realización de pruebas de sus sistemas algorítmicos, incluidos sus sistemas de recomendación (art. 40.3). Además, el artículo 40 establece el marco para exigir a los PBMGT que proporcionen el acceso a datos a ciertos investigadores autorizados, con mecanismos para ponderar la protección de los derechos e intereses que las solicitudes de acceso tratan de tutelar y la protección de los datos personales, los secretos comerciales y otra información confidencial.