La proliferación de las grandes empresas tecnológicas ha suscitado la necesidad de una mejora del funcionamiento del mercado único que exige, correlativamente, una ambiciosa reforma del actual marco jurídico como consecuencia, fundamentalmente, del popular comercio electrónico en el ámbito de la Unión Europea (en adelante UE). De hecho, se ha publicado recientemente una infografía por parte del Consejo de la UE que pone de manifiesto que el 73% de los usuarios de Internet de la Unión Europea, entre 16 y 74 años, compra en línea.
Durante este año se han ido dando pasos de gigante en el ámbito del mercado digital con la elaboración de instrumentos normativos especialmente necesarios para la creación de un espacio digital seguro tanto para las empresas como para los ciudadanos. El primer gran avance se ha producido este verano con la sonada Ley de Servicios Digitales (en adelante, DSA) que ha sido formalmente firmada por los representantes del Parlamento Europeo y del Consejo este 19 de octubre para su pronta entrada en vigor. El segundo ha venido de la mano de la reciente publicación, también en este mes de octubre, de la Ley de Mercados Digitales (en adelante, DMA), normativa que aún deberá ser puesta en común por la Comisión Europea y la industria de las plataformas en línea de gran tamaño.
Entrando a analizar la DMA con más profundidad, se ha publicado por parte de la Comisión Europea un formulario de preguntas y respuestas que ilustra, de manera muy clara, muchos de los aspectos que hemos de conocer de esta disposición.
¿Qué es la Ley de Mercados Digitales o DMA?
La Ley de Mercados Digitales es una normativa que introduce una serie de reglas dirigidas a las plataformas digitales que actúan como «guardianas»o “gatekeepers” en el sector digital.
Precisamente la DMA tiene por objeto esencial evitar que estos guardianes impongan sus propias normas privadas con condiciones injustas a las empresas y a los usuarios, creando un marco único y claro a nivel de la UE.
Algunas de las garantías contenidas en esta normativa y que se ponen a disposición de los usuarios son la posibilidad de darse de baja fácilmente de los servicios de la plataforma principal, proporcionar datos de rendimiento publicitario e información sobre los precios de anuncios o permitir a los desarrolladores utilizar sistemas alternativos de pago dentro de la aplicación.
¿A quién le va a aplicar la DMA?
La DMA únicamente será aplicable a las empresas que sean identificadas como «gatekeepers» según criterios objetivos establecidos en la ley. Se trata de empresas que desempeñan un papel especialmente relevante en el mercado interior debido a su tamaño y a su importancia.
Se establece, además, un requisito adicional para que las entidades sean susceptibles de quedar sujetas a la Ley de Mercados Digitales. En concreto, estas plataformas tienen que ser identificadas como guardianas de, al menos, uno de los denominados “servicios de plataforma básica” como son los motores de búsqueda en línea, tiendas de aplicaciones, servicios de plataformas para compartir vídeos o determinados servicios de mensajería instantánea. Son, entre otras, las conocidas Google, Apple, Amazon o YouTube, plataformas que tienen un impacto muy significativo en la sociedad por constituir una importante puerta de entrada para que las empresas lleguen a sus usuarios finales.
Por tanto, ¿cuáles son los tipos de servicios de plataforma básica que están afectados por la Ley de Mercados Digitales?
Algunos de estos servicios ya se anticipaban en la anterior pregunta, pero la propia Comisión Europea ha dispuesto, de forma exhaustiva, una lista determinada:
- Servicios de intermediación en línea.
- Motores de búsqueda en línea.
- Servicios de redes sociales en línea.
- Servicios de plataformas para compartir vídeos.
- Servicios de comunicación interpersonal independiente del número.
- Sistemas operativos.
- Servicios de computación en la nube.
- Servicios de publicidad.
- Navegadores web.
- Asistentes virtuales.
¿Cuál es el procedimiento para saber quién puede convertirse en un gatekeeper?
Serán las propias empresas las encargadas de comprobar, por sí mismas, si cumplen con los umbrales cuantitativos incluidos en la DMA. Una vez determinen que reúnen las condiciones para ser consideradas como tales, tendrán que proporcionar a la Comisión información necesaria a este respecto.
En los seis meses siguientes a la identificación de una empresa como gatekeeper, ésta deberá cumplir con las disposiciones que se enumeran en la DMA. Para los «gatekeepers» que aún no gozan de una posición arraigada y duradera en el mercado, pero que se espera que lo hagan en un futuro próximo, se aplicarán aquellas obligaciones que sean necesarias y adecuadas para garantizar que la empresa no consiga, por medios desleales, dicha posición en sus operaciones.
¿Qué es lo que deben o no deben hacer los “gatekeepers”?
Algunosejemplos de las actuaciones que se imponen como obligaciones a los gatekeepers por parte de esta normativa son las siguientes:
- Permitir a los usuarios finales desinstalar fácilmente las aplicaciones preinstaladas o cambiar la configuración por defecto de sistemas operativos, asistentes virtuales o navegadores web.
- Permitir a los usuarios finales instalar aplicaciones de terceros o tiendas de aplicaciones que utilicen o interoperen con el sistema operativo del gatekeeper.
- Permitir que los usuarios finales se den de baja de los servicios de la plataforma principal del gatekeeper con la misma facilidad con la que se suscribieron a los mismos.
- Permitir a terceros interoperar con los servicios propios del gatekeeper.
- Proporcionar a las empresas que se anuncian en su plataforma el acceso a las herramientas de medición del rendimiento del gatekeeper y a la información necesaria para que los anunciantes y editores realicen su propia verificación independiente de sus anuncios.
- Proporcionar a los usuarios comerciales acceso a los datos generados por sus actividades en la plataforma del gatekeeper.
Por el contrario, alguna de las prohibiciones a las que están sujetos los gatekeepers son:
- Prohibir el uso de los datos de los usuarios del ámbito empresarial cuando los gatekeepers compiten con ellos en su propia plataforma.
- Prohibición de clasificar los propios productos o servicios del gatekeeper de forma más favorable en comparación con los de terceros.
- Prohibición de exigir a los desarrolladores de aplicaciones que utilicen determinados servicios del gatekeeper (como sistemas de pago o proveedores de identidad).
- Prohibición de exigir a los desarrolladores de aplicaciones que utilicen determinados servicios del gatekeeper (como tales sistemas de pago o proveedores de identidad) para aparecer en las tiendas de aplicaciones del gatekeeper.
- Prohibición de rastrear a los usuarios finales fuera del servicio de la plataforma principal de los guardianes con el fin de publicidad dirigida, sin que se haya otorgado el consentimiento efectivo.
¿Se ha implantado un régimen con unas condiciones de acceso justas, razonables y no discriminatorias?
El acuerdo impondrá a los guardianes la obligación de asegurar, diseñar, así como publicar las condiciones generales de acceso de manera que sean justas, razonables y no discriminatorias en cada una de las tiendas de aplicaciones, los motores de búsqueda en línea y los servicios de redes sociales.
Asimismo, los gatekeepers van a ser responsables de proporcionar un mecanismo alternativo de resolución de conflictos en caso de un desacuerdo que se pudiera generar con un usuario comercial en lo que respecta a la aplicación de dichas condiciones generales de acceso.
¿Qué ocurrirá si un guardián no cumple con esta norma? ¿Quién será la autoridad de control de la DMA?
Efectivamente, se prevé la posibilidad de imponer sanciones en caso de incumplimiento de las prohibiciones y obligaciones a que están sujetos por parte de la Comisión, única encargada de hacer cumplir las normas establecidas en la DMA. Esta centralización del poder es consecuencia de la propia naturaleza transfronteriza de los gatekeepers. Si bien esto no es óbice para que la Comisión coopere y se coordine estrechamente con las autoridades competentes y los Tribunales de los Estados miembros.
Concretamente, la Comisión podrá imponer multas de hasta el 10% del del volumen de negocios anual total de la empresa en todo el mundo o del 20% en caso de que una infracción sea reiterada. Pueden, incluso imponerse otro tipo de soluciones estructurales o medidas alternativas igualmente eficaces consistentes en la obligación de vender una empresa o parte de ella (es decir, la venta de unidades, activos, derechos de propiedad intelectual o marcas), así como la prohibición de que un gatekeeper pueda adquirir cualquier entidad que preste servicios en el sector digital o servicios que permitan la recogida de datos afectados por el incumplimiento sistemático.
¿Podrán los perjudicados por la conducta de los gatekeepers acceder a una indemnización privada?
La respuesta es que sí. Las obligaciones y prohibiciones contenidas en la DMA pueden ser aplicadas directamente a los Tribunales Nacionales. En consecuencia, esto facilitará el ejercicio de las acciones directas por daños y perjuicios que se hayan ocasionado por la conducta de los gatekeepers incumplidores.
¿Cuándo entra en vigor esta normativa?
Lo cierto es que, como comentábamos al principio, ya se ha publicado el Reglamento (UE) 2022/1925 del Parlamento Europeo y el Consejo a fecha 14 de octubre de 2022 sobre sobre mercados competitivos y justos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Ley de Mercados Digitales). Se abre ahora un plazo de 20 días para su entrada en vigor y hasta 6 meses para la aplicación efectiva de sus disposiciones ya que antes la Comisión deberá establecer sus propios planes sobre cómo investigar y supervisar estas plataformas y someterlos a debate con la industria del sector.
A estas las normativas anteriormente mencionadas se suma, para envolver, blindar y prestar unas mayores garantías digitales la reciente propuesta de la Comisión de la Ley de Resiliencia Cibernética (en adelante CRA) contra la ciberdelincuencia masiva que se produce en los productos de hardware y software. No obstante, tendremos aún que esperar al juicio del Parlamento Europeo y del Consejo de la UE para que sea formalmente aprobada.
Realmente, estos nuevos instrumentos no están más que reflejando las grandes vulnerabilidades generalizadas en los sistemas, así como el suministro insuficiente e incoherente de actualizaciones de seguridad para solucionarlas. A todo ello hay que añadirle una comprensión y un acceso a la información insuficiente por parte de los usuarios, lo que les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura.
Con todo, podemos concluir que es necesario día a día adoptar jurídicamente esta realidad para crear un entorno en línea más seguro, definir unas responsabilidades claras para las plataformas, así como hacer frente a los desafíos digitales actuales, como son la lucha contra los productos y contenidos ilícitos, la desinformación, el discurso de odio, así como la transparencia en la notificación y supervisión de los datos.
