Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I Francia.
M. Sc. Institut
Agronomique Méditerranéen
cferreyros@hotmail.com
PROLOGO
El
objetivo de la propuesta es garantizar mejores condiciones para la prestación
de servicios digitales innovadores en el mercado interior, contribuir a la
seguridad en línea y la protección de los derechos fundamentales, y establecer
una estructura de gobernanza sólida y duradera para la supervisión eficaz de
los prestadores de servicios intermediarios. A tal fin, la propuesta:
· contiene disposiciones sobre la
exención de responsabilidad de los prestadores de servicios intermediarios
(capítulo II);
· establece «obligaciones de diligencia debida», adaptadas al tipo y a la naturaleza del servicio intermediario de que se trate (capítulo III); y
· contiene disposiciones relativas a la aplicación y al cumplimiento del Reglamento propuesto (capítulo IV).
Además
de la propuesta de Ley de servicios digitales, la Comisión también ha adoptado
una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a
unos mercados competitivos y justos en el sector digital (Ley de mercados digitales).
De conformidad con el artículo 42, apartado 1, del Reglamento 2018/1725,
también se ha consultado al SEPD sobre la propuesta de Ley de mercados
digitales, que es objeto de un dictamen separado y que ha sido materia de publicación
reciente.
En
vista de lo anterior, el SEPD formula recomendaciones,
sobre las siguientes rúbricas:
· En lo que respecta a la moderación y la notificación de sospechas de delitos:
· En lo que respecta a la publicidad en línea:
· En lo que respecta a los sistemas de recomendación:
· En lo que respecta al acceso de los investigadores inspeccionados:
· En lo que respecta a la interoperabilidad de las plataformas:
· En lo que respecta a la aplicación, la cooperación, las sanciones y el cumplimiento:
Resumen del Dictamen del Supervisor Europeo de
Protección de Datos sobre la propuesta de Ley de servicios digitales
(El texto completo del presente dictamen está
disponible en inglés, francés y alemán en el sitio web del SEPD
www.edps.europa.eu)
(2021/C 149/03)
El 15 de diciembre
de 2020, la Comisión adoptó una propuesta de Reglamento del Parlamento Europeo
y del Consejo relativo a un mercado único de servicios digitales (Ley de
servicios digitales) y por el que se modifica la Directiva 2000/31/CE (DSA).
El SEPD apoya el
objetivo de la Comisión de promover un entorno en línea seguro y transparente a
través de la definición de responsabilidades, también en materia de rendición
de cuentas, para los prestadores de servicios intermediarios, especialmente las
plataformas en línea como los mercados y las redes sociales.
El SEPD acoge con
satisfacción que la propuesta pretenda ser complementaria en lugar de sustituir
las protecciones existentes en virtud del Reglamento (UE) 2016/679 y de la
Directiva 2002/58/CE. Dicho esto, la propuesta repercutirá claramente en el
tratamiento de los datos personales. El SEPD considera necesario garantizar la
complementariedad en la supervisión y en la vigilancia de las plataformas en
línea y otros prestadores de servicios de alojamiento de datos.
Determinadas
actividades en el contexto de las plataformas en línea presentan riesgos
crecientes no solo para los derechos de las personas, sino para la sociedad en
su conjunto. Si bien la propuesta incluye una serie de medidas de reducción de
riesgos, ciertas salvaguardias adicionales están justificadas, en particular en
relación con la moderación de contenidos, la publicidad en línea y los sistemas
de recomendación.
La moderación de
contenidos deberá llevarse a cabo de conformidad con el Estado de Derecho.
Habida cuenta del ya endémico seguimiento del comportamiento de las personas,
en particular en el contexto de las plataformas en línea, la DSA deberá definir
en qué circunstancias la lucha contra los «contenidos ilícitos» legitima el uso
de medios automatizados para detectar, identificar y actuar contra dichos
contenidos ilícitos. Deberá prohibirse la elaboración de perfiles a efectos de
moderación de contenidos, a menos que el prestador pueda demostrar que tales
medidas son estrictamente necesarias para hacer frente a los riesgos sistémicos
identificados explícitamente por la DSA
Habida cuenta de la
multitud de riesgos asociados a la publicidad personalizada en línea, el SEPD
insta a los colegisladores a que estudien normas adicionales que vayan más allá
de la transparencia. Dichas medidas deberán incluir una eliminación gradual que
conduzca a la prohibición de la publicidad personalizada sobre la base de un
seguimiento generalizado, así como restricciones en relación con las categorías
de datos que pueden tratarse con fines específicos y las categorías de datos
que pueden divulgarse a los anunciantes o a terceros para permitir o facilitar
la publicidad personalizada.
De conformidad con
los requisitos de protección de datos desde el diseño y por defecto, los
sistemas de recomendación no deberán basarse por defecto en la elaboración de
perfiles. Dado su impacto significativo, el SEPD también recomienda medidas
adicionales para seguir promoviendo la transparencia y el control de los
usuarios en relación con los sistemas de recomendaciones.
En términos más
generales, el SEPD recomienda introducir requisitos mínimos de
interoperabilidad para las plataformas en línea de muy gran tamaño y promover
el desarrollo de normas técnicas a escala europea, de conformidad con la
legislación aplicable de la Unión sobre normalización europea.
Teniendo en cuenta
la experiencia y los avances relacionados con la Digital Clearinghouse (centro
de intercambio de información digital), el SEPD recomienda encarecidamente que
se establezca una base jurídica explícita y exhaustiva para la cooperación y el
intercambio de información pertinente entre las autoridades de control, cada
una en el marco de sus respectivos ámbitos de competencia. La Ley de servicios
digitales deberá garantizar una cooperación institucionalizada y estructurada
entre las autoridades de supervisión competentes, incluidas las autoridades de
protección de datos, las autoridades de protección de los consumidores y las
autoridades de competencia.
1. INTRODUCCIÓN Y CONTEXTO
1. El 15 de diciembre de 2020, la Comisión
adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo
relativo a un mercado único de servicios digitales (Ley de servicios digitales)
y por el que se modifica la Directiva 2000/31/CE (1).
2. La propuesta sucede a la comunicación Shaping Europe’s Digital Future (Configurar el futuro digital de Europa), en la que
la Comisión confirmó su intención de desarrollar normas nuevas y revisadas para
intensificar el mercado interior de servicios digitales, aumentando y
armonizando las responsabilidades de las plataformas en línea y de los
prestadores de servicios de información, y reforzando la supervisión de las
políticas de contenidos de las plataformas en la UE (2).
3. Según la exposición de motivos, los
servicios digitales nuevos e innovadores han contribuido profundamente a las
transformaciones sociales y económicas en la Unión y en el mundo. Al mismo
tiempo, el uso de estos servicios también se ha convertido en la fuente de
nuevos riesgos y desafíos, tanto para la sociedad en su conjunto como para las
personas que los utilizan (3).
4. El
objetivo de la propuesta es garantizar las mejores condiciones para la
prestación de servicios digitales innovadores en el mercado interior,
contribuir a la seguridad en línea y la protección de los derechos
fundamentales, y establecer una estructura de gobernanza sólida y duradera para
la supervisión eficaz de los prestadores de servicios intermediarios (4). A tal fin, la propuesta:
— contiene disposiciones sobre la exención
de responsabilidad de los prestadores de servicios intermediarios (capítulo II);
— establece «obligaciones de diligencia
debida», adaptadas al tipo y a la naturaleza del servicio intermediario de que
se trate (capítulo III); y
— contiene disposiciones relativas a la
aplicación y al cumplimiento del Reglamento propuesto (capítulo IV).
5. El SEPD fue consultado informalmente sobre
el proyecto de propuesta de Ley de servicios digitales el 27 de noviembre de
2020. El SEPD acoge con satisfacción que se le haya consultado en esta fase
temprana del procedimiento.
6. Además de la propuesta de Ley de servicios
digitales, la Comisión también ha adoptado una propuesta de Reglamento del
Parlamento Europeo y del Consejo relativo a unos mercados competitivos y justos
en el sector digital (Ley de mercados digitales) (5). De conformidad con el artículo 42, apartado 1, del
Reglamento 2018/1725, también se ha consultado al SEPD sobre la propuesta de
Ley de mercados digitales, que es objeto de un dictamen separado.
3. CONCLUSIONES
93. En vista de lo anterior, el SEPD
formula las recomendaciones siguientes:
En lo que respecta a la relación con el Reglamento
(UE) 2016/679 y la Directiva 2002/58/CE:
— adaptar la redacción del artículo 1,
apartado 5, inciso i), de la propuesta a la redacción actual del artículo 1,
apartado 5, letra b), de la Directiva 2000/31/CE; y
— aclarar que la propuesta no es aplicable a
las cuestiones relativas a la responsabilidad de los responsables y encargados
del tratamiento.
En lo que respecta a la moderación y la notificación
de sospechas de delitos:
— aclarar que no todas las formas de
moderación de contenidos requieren atribución a un interesado concreto y que,
de conformidad con los requisitos de minimización y protección de datos desde
el diseño y por defecto, la moderación de contenidos no deberá implicar, en la
medida de lo posible, el tratamiento de datos personales;
— garantizar que la moderación de los
contenidos se lleve a cabo de conformidad con el Estado de Derecho, definiendo
en qué circunstancias la lucha contra los «contenidos ilícitos» legitima el uso
de medios automatizados y el tratamiento de datos personales para detectar,
identificar y actuar contra dichos contenidos ilícitos;
— especificar que deberá prohibirse la
elaboración de perfiles a efectos de moderación de contenidos, a menos que el
prestador pueda demostrar que tales medidas son estrictamente necesarias para
hacer frente a los riesgos sistémicos explícitamente identificados en la
propuesta;
— aclarar si, y en caso afirmativo, en qué
medida los prestadores de servicios intermediarios están autorizados a
notificar voluntariamente las sospechas de delitos a las autoridades policiales
o judiciales, al margen del caso previsto en el artículo 21 de la propuesta;
— especificar que cualquier prestador de
servicios de alojamiento de datos que utilice medios automatizados de
moderación de contenidos deberá garantizar que dichos medios no produzcan
resultados discriminatorios o injustificados;
— ampliar el requisito del artículo 12,
apartado 2, de la propuesta a todas las formas de moderación de contenidos,
independientemente de que dicha moderación tenga lugar con arreglo a las
condiciones del prestador o sobre cualquier otra base; y especificar que las
medidas deben ser «necesarias» además de «proporcionadas» a los objetivos
perseguidos;
— reforzar los requisitos de transparencia
establecidos en el artículo 14, apartado 6, y en el artículo 15, apartado 2,
letra c), de la propuesta, detallando en mayor medida la información que debe
facilitarse a las personas afectadas, en particular en caso de uso de medios
automatizados para dicha moderación de contenidos, sin perjuicio de la
obligación de informar y de los derechos de los interesados en virtud del
Reglamento (UE) 2016/679;
— modificar el artículo 15, apartado 2, de
la propuesta para indicar inequívocamente que, en cualquier caso, deberá
facilitarse información sobre los medios automatizados utilizados para la
detección e identificación de contenidos ilícitos, con independencia de si la
decisión posterior ha implicado o no el uso de medios automatizados;
— exigir a todos los prestadores de
servicios de alojamiento de datos, y no solo a las plataformas en línea, que
proporcionen un mecanismo de reclamación de fácil acceso, tal como se prevé en
el artículo 17 de la propuesta;
— establecer un plazo en el artículo 17 de
la propuesta para la decisión de la plataforma sobre la reclamación, así como
la indicación de que el mecanismo de reclamación que debe establecerse se
entiende sin perjuicio de los derechos y las vías de recurso de que disponen
los interesados de conformidad con el Reglamento (UE) 2016/679 y la Directiva
2002/58/CE;
— especificar con más detalle, mediante la
inclusión en un anexo, cualquier otro delito (distinto del abuso sexual de
menores) que cumpla el umbral del artículo 21 de la propuesta y pueda dar lugar
a una obligación de notificación;
— considerar la posibilidad de introducir
medidas adicionales para garantizar la transparencia y el ejercicio de los
derechos de los interesados, con sujeción, cuando sea estrictamente necesario,
a limitaciones definidas de forma precisa (por ejemplo, cuando sea necesario
para proteger la confidencialidad de una investigación en curso) de conformidad
con los requisitos establecidos en el artículo 23, apartados 1 y 2, del
Reglamento (UE) 2016/679; y
— definir claramente el término «información
pertinente» a que se refiere el artículo 21 de la propuesta, proporcionando una
lista exhaustiva de categorías de datos que deberán comunicarse, así como
cualquier categoría de datos que deberán conservarse con el fin de apoyar
nuevas investigaciones por parte de las autoridades policiales pertinentes, en
caso necesario.
En lo que respecta a la publicidad en línea:
— considerar normas adicionales que vayan
más allá de la transparencia, incluida una eliminación gradual que conduzca a
la prohibición de la publicidad personalizada sobre la base de un seguimiento
generalizado;
— considerar las restricciones en relación
con a) las categorías de datos que pueden tratarse para fines de selección; b)
las categorías de datos o los criterios con arreglo a los cuales se pueden
orientar o servir los anuncios; y c) las categorías de datos que pueden
divulgarse a los anunciantes o a terceros para permitir o facilitar la
publicidad personalizada; y
— aclarar en mayor medida la referencia a la
persona física o jurídica en cuyo nombre se presenta la publicidad en los
artículos 24 y 30 de la propuesta;
— añadir a los requisitos del artículo 24 bis
un nuevo elemento que obligue al prestador de la plataforma a informar a los
interesados de si el anuncio se ha seleccionado mediante un sistema
automatizado (por ejemplo, intercambio de anuncios o plataforma) y, en ese
caso, la identidad de la persona o personas físicas o jurídicas responsables
del sistema o sistemas;
— especificar en el artículo 30, apartado 2,
letra d), que el registro deberá incluir también información sobre si uno o más
grupos concretos de destinatarios del servicio han sido excluidos del grupo
destinatario de publicidad;
— sustituir la referencia a «los parámetros
principales» por «parámetros» y aclarar qué parámetros deberían divulgarse como
mínimo para constituir «información significativa» en el sentido de los
artículos 24 y 30 de la propuesta; y
— considerar requisitos similares aplicables
para garantizar la trazabilidad de los comerciantes (artículo 22 de la
propuesta) en relación con los usuarios de servicios de publicidad en línea
(artículos 24 y 30 de la propuesta).
En lo que respecta a los sistemas de recomendación:
— aclarar que, de conformidad con los
requisitos de protección de datos desde el diseño y por defecto, los sistemas
de recomendación no deberán basarse por defecto en la «elaboración de perfiles»
en el sentido del artículo 4, apartado 4, del Reglamento (UE) 2016/679;
— prever que la información sobre el papel y
el funcionamiento de los sistemas de recomendación se presente por separado, de
manera que sea fácilmente accesible, clara y concisa;
— disponer que, de conformidad con los
requisitos de protección de datos desde el diseño y por defecto, los sistemas
de recomendación no deberán basarse por defecto en la «elaboración de perfiles»
en el sentido del artículo 4, apartado 4, del Reglamento (UE) 2016/679; e
— incluir
los requisitos adicionales siguientes en el artículo 29 de la propuesta:
— indicar en una parte destacada de la
plataforma que la plataforma utiliza un sistema de recomendaciones y un control
con las opciones disponibles de manera sencilla;
— informar al usuario de la plataforma de
si el sistema de recomendación es un sistema automatizado de toma de decisiones
y, en tal caso, de la identidad de la persona física o jurídica responsable de
la decisión.
— permitir que los interesados visualicen,
de manera sencilla, cualquier perfil relacionado con el uso de los contenidos
de la plataforma para el destinatario del servicio;
— permitir a los destinatarios del
servicio personalizar los sistemas de recomendación basándose, al menos, en
criterios naturales básicos (por ejemplo, tiempo, temas de interés, etc.); y
— ofrecer a los usuarios una opción de
fácil acceso para eliminar cualquier perfil o perfiles utilizados en el
tratamiento del contenido que ven.
En lo que respecta al acceso de los investigadores
inspeccionados:
— disponer que, de conformidad con los
requisitos de protección de datos desde el diseño y por defecto, los sistemas
de recomendación no se basen por defecto en la «elaboración de perfiles» en el
sentido del artículo 4, apartado 4, del Reglamento (UE) 2016/679;
— reformular el artículo 26, apartado 1,
letra c), del apartado de la propuesta para hacer referencia al efecto negativo
sistémico, real o previsible, en la protección de la salud pública, los
menores, el discurso cívico o los efectos reales o previsibles relacionados con
los procesos electorales y la seguridad pública, en particular en relación con
el riesgo de manipulación intencionada de su servicio, incluso mediante el uso
no auténtico o explotación automatizada del servicio;
— ampliar el artículo 31 para permitir al
menos la verificación de la eficacia y proporcionalidad de las medidas de
mitigación; y
— estudiar la manera de facilitar la
investigación de interés público en general, incluso fuera del contexto del
control del cumplimiento de la propuesta;
En lo que respecta a la interoperabilidad de las
plataformas:
— estudiar la introducción de requisitos
mínimos de interoperabilidad para las plataformas en línea de muy gran tamaño y
promover el desarrollo de normas técnicas a escala europea, de conformidad con
la legislación aplicable de la Unión sobre normalización europea.
En lo que respecta a la aplicación, la cooperación,
las sanciones y el cumplimiento:
— garantizar
la complementariedad en la supervisión de las plataformas en línea y de otros
prestadores de servicios de alojamiento de datos, en particular mediante:
— establecer una base jurídica explícita
para la cooperación entre las autoridades competentes, cada una de ellas en el
marco de sus respectivos ámbitos de competencia;
— exigir una cooperación
institucionalizada y estructurada entre las autoridades de supervisión
competentes, incluidas las autoridades de protección de datos; y
— hacer referencia explícita a las
autoridades competentes que participan en la cooperación e identificación de
las circunstancias en las que deberá llevarse a cabo la cooperación.
— garantizar que los coordinadores de
servicios digitales, las autoridades competentes de la Comisión, deberán
también tener la facultad y el deber de consultar a las autoridades competentes
pertinentes, incluidas las autoridades de protección de datos, en el contexto
de sus investigaciones y evaluaciones del cumplimiento de la propuesta;
— aclarar que las autoridades de control
competentes en virtud de la propuesta deberán poder facilitar, a petición de
las autoridades de control competentes en virtud del Reglamento (UE) 2016/679 o
por propia iniciativa, cualquier información obtenida en el contexto de
cualquier auditoría e investigación relacionada con el tratamiento de datos
personales, e incluir una base jurídica explícita a tal efecto;
— garantizar una mayor coherencia entre los
criterios incluidos en el artículo 41, apartado 5, el artículo 42, apartado 2,
y el artículo 59 de la propuesta; y
— permitir que el Consejo Europeo de
Servicios Digitales emita dictámenes de iniciativa y que el Consejo emita
dictámenes sobre asuntos distintos de las medidas adoptadas por la Comisión.
Bruselas, 10 de febrero
de 2021.
Wojciech Rafał
WIEWIÓROWSKI
(1) COM(2020) 825 final.
(2) COM(2020) 67 final, p. 12.
(3) COM(2020) 825 final, p. 1.
(4) COM(2020) 825 final, p. 2.
(5) COM(2020)
842 final.
No hay comentarios:
Publicar un comentario