Fundamento
de la imposición de obligaciones adicionales a los prestadores de plataformas
en línea de muy gran tamaño y a los motores de búsqueda de muy gran tamaño (en
adelante, PBMGT) es su singular posición respecto de la difusión de contenidos
y el acceso a información en línea, que lleva a considerar que su actividad
genera riesgos sociales de carácter sistémico. La sección 5 del Capítulo III
RSD, junto con la delimitación de las plataformas y los buscadores a los que
resultan de aplicación (I, infra), contempla la imposición a los PBMGT de
obligaciones en materia de evaluación y reducción de riesgos -en general un
tanto difusas-, así como un mecanismo para situaciones de crisis (II). Además,
se exige a los PBMGT el sometimiento a auditorías independientes en relación con el
cumplimiento del RSD y se introduce una función de comprobación del
cumplimiento (III). También se establecen obligaciones adicionales de
transparencia y de facilitación del acceso a los datos necesarios para evaluar el
cumplimiento del RSD (IV). Además, se contempla el cobro por la Comisión a los
PBMGT de una tasa de supervisión anual (art. 43 RSD).
I.
Delimitación de las plataformas en línea de muy gran tamaño y motores de
búsqueda de muy gran tamaño
El sometimiento de una plataforma o buscador a las obligaciones de la
Sección 5 del Capítulo III se subordina a la adopción por la Comisión de una
decisión en virtud de la cual se le designe como PMGT o BMGT, conforme al
procedimiento previsto en el artículo 33.4 RSD. La lista de PBMGT se publicará
en el DOUE y se mantendrá actualizada por la Comisión. Las obligaciones de la
Sección 5 del Capítulo II se aplicarán a partir de la fecha en que hayan
transcurrido cuatro meses desde la notificación al prestador de su designación
como PMGT o BMGT (art. 33.6 RSD), sin necesidad de esperar al 17 de febrero de
2024, siempre que esa fecha sea anterior a ésta, que la de aplicación con
carácter general del RSD.
El factor determinante para ser considerado PBMGT es el promedio mensual
de destinatarios del servicio activos en la Unión, es decir el número medio de
todos los destinatarios del servicio que al menos una vez en el periodo de un
mes participan en el servicio quedando expuestos a la información difundida en
su interfaz en línea. El umbral a partir del cual se considera que una
plataforma o un buscador puede generar riesgos sistémicos con un impacto
desproporcionado en la Unión, lo que justifica su designación como PBMGT, es
una cifra equivalente al 10% de la población de la Unión, por lo que se fija en
cuarenta y cinco millones de destinatarios del servicio activos en la Unión
(art. 33.1 RSD). Se prevé que este número pueda ser ajustado por la Comisión mediante
actos delegados cuando la población de la Unión aumente o disminuya al menos un
5%, en los términos del artículo 33.2 RSD.
De acuerdo con las definiciones del artículo 3 RSD, el término destinario
activo del servicio debe entenderse en sentido amplio también a estos efectos,
de modo que no se limita a los usuarios registrados de un servicio (cdo. 77). En
concreto, «destinatario activo de una plataforma en línea» es todo aquel que la
haya utilizado, bien solicitando a la plataforma que aloje información, bien
exponiéndose a la información en ella alojada y difundida a través de su
interfaz en línea (art. 3.p) RSD). Por
consiguiente, la consideración como destinatario activo no requiere la
interacción con la plataforma -por ejemplo, compartiendo contenido o realizando
transacciones a través de ella-, sino que incluye también a quien se limita a
visualizar o escuchar contenidos difundidos a través de la interfaz en línea de
la plataforma. Por su parte, «destinatario activo de un motor de búsqueda en
línea» es quien haya introducido una consulta y al que se le expone la información
indexada y presentada en su interfaz en línea por el motor de búsqueda (art. 3.q)
RSD). En consecuencia, si bien abarca a cualquiera que utiliza el servicio para
buscar información, deja al margen a los titulares de los sitios web indexados
en la medida en que no participen activamente en el servicio. También precisa
el considerando 77 que el número de destinatarios activos de un servicio abarca
todos los destinatarios únicos que participan en el mismo, de modo que cuando
accedan al servicio en cuestión mediante diferentes interfaces en línea deben
contarse una sola vez, al tiempo que no deben computarse quienes se limitan a
un uso incidental del servicio, siendo destinatarios de otros prestadores de de
servicios en los que se incluyen enlaces que dan lugar a ese uso incidental, ni
tampoco los usuarios automatizados -como bots- en la medida en que puedan ser
descontados sin necesidad de tratamiento adicional de los datos personales ni
seguimiento. Además, se faculta a la Comisión para la adopción de actos
delegados en relación con la metodología para determinar los destinatarios
activos de una plataforma en línea o de un motor de búsqueda en línea (art.
33.3 RSD).
II.
Evaluación y reducción de riesgos
Un primer grupo de obligaciones
adicionales impuestas a los PBMGT va referido a la detección y evaluación de
los riesgos derivados de sus servicios o del uso que se haga de los mismos. El
prestador de servicio debe valorar desde esta perspectiva la configuración y el
funcionamiento de su servicio, incluidos aspectos como el uso de sistemas
algorítmicos que puede condicionar la difusión de información (o el acceso a la
misma) a través de sus servicios, o la configuración de los mecanismos de
notificación y acción para combatir notificaciones abusivas que pudieran
suponer una injerencia desproporcionada en la libertad de expresión e
información.
En concreto, el artículo 34.2 RSD impone la exigencia de que los PBMGT
lleven a cabo una evaluación de riesgos al menos una vez al año y en todo caso
antes de desplegar funcionalidades que puedan tener un impacto crítico en los
riesgos sistémicos, en particular, los cuatro grupos de riesgos sistémicos que
la norma contempla de manera específica, que no se limitan a los derivados de
la difusión de contenidos ilícitos.
En primer lugar, el riesgo de difusión de contenidos ilícitos a través de
su servicio, con especial relevancia a los más graves, como el uso indebido del
servicio para cometer delitos o difundir (o facilitar el acceso a) otros
contenidos ilícitos en circunstancias en las que puedan propagarse rápida o
ampliamente. En segundo lugar, los posibles efectos negativos del servicio para
el ejercicio de los derechos fundamentales, entre los que se hace especial
mención a partir de lo dispuesto en la CDFUE a los relativos a la dignidad
humana, al respeto de la vida privada y familiar, a la protección de los datos
de carácter personal, a la libertad de expresión e información, incluida la
libertad y el pluralismo de los medios de comunicación, a la no discriminación,
a los derechos del niño y a la protección de los consumidores. En tercer lugar,
los posibles efectos negativo sobre el discurso cívico y los procesos
electorales, así como sobre la seguridad pública. Por último, los posibles
efectos negativos en relación con la violencia de género, la salud pública y
los menores, así como las consecuencias negativas graves para el bienestar
físico y mental de las personas.
Junto a la clasificación de los riesgos sistémicos cuya eventual
afectación debe ser evaluada, el artículo 34 RSD exige la toma en consideración
de la influencia de una serie de elementos del servicio en esos riesgos, en
particular: a) el diseño de sus sistemas de recomendación y otros sistemas
algorítmicos pertinentes, con especial atención a la posible amplificación
algorítmica de la difusión de contenidos incorrectos o engañosos y a los
mecanismos para evitar usos no auténticos del servicio y conductas
automatizadas que faciliten la rápida difusión de contenidos ilícitos o nocivos
(cdo. 84); b) sus sistemas de moderación de contenidos; c) las condiciones
generales y su ejecución; d) los sistemas de selección y presentación de
anuncios; y e) sus prácticas relacionadas con los datos.
La evaluación de riesgos va acompañada de la obligación de aplicar
medidas “razonables, proporcionadas y efectivas, adaptadas a los riesgos
sistémicos específicos detectados”. El artículo 35.1 RSD contiene una relación
meramente indicativa de medidas susceptibles de ser adoptadas a tales efectos,
contempladas, en general, en términos imprecisos e indeterminados. En concreto,
se incluyen en esa relación de posibles medidas del PBMGT relativas a sus
servicios: la adaptación de su diseño, sus características, su funcionamiento,
sus condiciones generales, sus procesos de moderación de contenidos, sus
sistemas algorítmicos, sus sistemas publicitarios, el refuerzo de los procesos
internos de detección de riesgos sistémicos o la mejora de la cooperación con
los alertadores fiables. Como posible medida objeto de una configuración más
precisa, se contempla la de que el PBMGT garantice que elementos de información
que pueden inducir erróneamente a pensar que son auténticos o verdaderos se
distingan mediante indicaciones de que no los son.
Algunas de las medidas previstas parecen partir de un estándar previo de
medidas de prevención de riesgos muy poco exigentes, como las específicas para
proteger los derechos de los menores, entre las que se menciona las “herramientas
de comprobación de la edad”, cuya aplicación efectiva ha presentado
tradicionalmente grandes carencias, pese a su relevancia en relación también
con obligaciones resultantes de otros instrumentos, como el RGPD. Otras medidas
incluyen el desarrollo de mecanismos de cooperación con otros prestadores de
servicios, incluyendo la eventual elaboración de códigos de conducta, ámbito en
el que el artículo 45 RSD atribuye un especial papel de promoción y evaluación
a la Comisión cuando se generen riesgos sistémicos significativos que afecte a
varios PBMGT. El artículo 46 RSD contempla el
fomento de la elaboración de códigos de conducta voluntarios relativos a
publicidad en línea.
Las medidas previstas en el artículo 35.1 RSD desempeñan también un papel relevante en el marco del mecanismo de respuestas a las crisis establecido en el artículo 36. Esta norma contempla la posibilidad de que la Comisión exija a uno o varios PBMGT la adopción de diversas medidas cuando se produzca una situación de crisis, es decir, “cuando se produzcan circunstancias extraordinarias que den lugar a una amenaza grave para la seguridad pública o la salud pública en la Unión o en partes significativas de esta” (art. 36.2). Para hacer frente a una amenaza de ese tipo, además de las prevista en el artículo 35.1, se prevé que la Comisión pueda exigir otras, como la presentación de forma destacada información sobre la situación de crisis proporcionada por las autoridades, la designación de un punto de contacto específico para la gestión de crisis; adaptar los recursos dedicados al cumplimiento de las obligaciones relativas a los mecanismos de notificación y acción o de protección contra usos indebidos (art. 36.1 con remisión al art. 48.2). El artículo 36 incorpora además normas acerca del procedimiento de adopción de las medidas y los requisitos que deben cumplir. En todo caso, la elección de las medidas específicas corresponde al PBMGT y se contempla la posibilidad de un diálogo con la Comisión para determinar si las medidas son eficaces y proporcionadas.
III.
Auditoría y comprobación del cumplimiento
El artículo 37 RSD regula la obligación de los PBMGT de someterse, a su
propia costa y al menos una vez al año, a auditorías realizadas por
organizaciones independientes que evalúen el cumplimiento de las obligaciones
establecidas en el Capítulo III RSD y, en su caso, los compromisos que hubieran
asumido en los códigos de conducta previstos en los artículos 45 y 46, así como
en los protocolos voluntarios destinados a abordar situaciones de crisis
previstos en el artículo 48. Esta obligación de someterse a auditoría
independiente se impone específicamente a los PBMGT, como el resto de las
previstas en la sección 4 del Capítulo III, pero la auditoría abarca el
conjunto de las obligaciones establecidas en el Capítulo III.
El artículo 37 RSD regula la cooperación de los
PBMGT con la organización que lleve a cabo la auditoría, los requisitos que
deben reunir las organizaciones independientes para poder realizarlas, así como
los elementos básicos del informe de cada auditoría. Cuando el informe de
auditoría no sea «favorable», se prevé que los PBMGT habrán de tener
debidamente en cuenta las recomendaciones operativas que se les efectúen, introduciendo
las medidas necesarias para aplicarlas, y procediendo a adoptar un informe de
aplicación de la auditoría que las recoja o que justifique los motivos para no
hacerlo y las medidas alternativas adoptadas (art. 37.6). Se faculta a la
Comisión para la adopción de actos delegados con normas sobre la realización de
estas auditorías.
Cabe reseñar, además, que el artículo 41 RSD exige la introducción por
los PBMGT de una función de comprobación del cumplimiento en relación con el
RSD, que ha de ser independiente de sus funciones operativas y estar liderada
por un jefe de esa función que no puede ser destituido sin la aprobación previa
del órgano de dirección del PBMGT.
IV.
Obligaciones de transparencia y de facilitación del acceso a datos
Como complemento de las
obligaciones de transparencia respecto de sus sistemas de recomendación
impuestas a todos los prestadores de plataformas en línea que utilicen tales
sistemas, el artículo impone una obligación adicional a los PBMGT. En concreto, deben ofrecer a sus usuarios una opción para cada uno de sus sistemas de recomendación que no se base
en la elaboración de perfiles, en el sentido del artículo 4.4 RGPD. El
ofrecimiento implica que la posibilidad alternativa debe ser directamente
accesible desde la interfaz en línea en la que se presenta las recomendaciones
(cdo. 94 y art. 38 RSD).
Además, el artículo 39 RSD
establece obligaciones de transparencia adicionales respecto de la publicidad
en línea para los PBMGT. En concreto, deben garantizar el acceso publico en una
sección específica de sus interfaces en línea el acceso público a los repositorios
de anuncios publicitarios presentados en los mismos hasta un año después de la
ultima vez que el anuncio de que se trate fue presentado en la interfaz. El
apartado 2 del artículo 39 detalla la información mínima que el repositorio
debe incluir, entre la que figura: el contenido del anuncio publicitario; la
persona en cuyo nombre se presenta; la persona que ha pagado por el anuncio
publicitario; el período de presentación del anuncio; si el anuncio estaba
destinado a presentarse a grupos concretos de destinatarios del servicio y los
parámetros principales utilizados para tal fin; el número de destinatarios del
servicio alcanzados.
El artículo 42 RSD impone
obligaciones adicionales de transparencia informativa a los PBMGT, que básicamente
complementan las previstas para el conjunto de los prestadores de servicios
intermediarios en el artículo 15 RSD y para todos los prestadores de
plataformas en línea en el artículo 24. El artículo 42 exige que faciliten
información además sobre otras cuestiones, como los recursos humanos dedicados
a la moderación de contenidos y las cualificaciones y conocimientos de las
personas que llevan a cabo tales actividades, así como sobre el promedio mensual
de destinatarios del servicio para cada Estado miembro. Las obligaciones
adicionales de transparencia incluyen también la publicación del informe con
los resultados de la evaluación de riesgos prevista en el artículo 34 RSD, las
medidas de reducción de riesgos aplicadas en virtud del artículo 35, el informe
de auditoría contemplado en el artículo 37.4 y eventualmente el relativo a la
aplicación de la auditoría en relación con ciertas recomendaciones operativas.
Las obligaciones de los PBMGT de
proporcionar acceso a datos al coordinador de servicios digitales o a la Comisión
para facilitar la vigilancia y la evaluación del cumplimiento del
RSD aparecen reguladas en su artículo 40. Entre esas obligaciones se incluye la
explicación por el PBMGT del diseño, la lógica, el funcionamiento y la
realización de pruebas de sus sistemas algorítmicos, incluidos sus sistemas de
recomendación (art. 40.3). Además, el artículo 40 establece el marco para
exigir a los PBMGT que proporcionen el acceso a datos a ciertos investigadores
autorizados, con mecanismos para ponderar la
protección de los derechos e intereses que las solicitudes de acceso tratan de
tutelar y la protección de los datos personales, los secretos comerciales y
otra información confidencial.
