nº 1.004 - 29 de febrero de 2024
Cambios en la era digital: ¿me aplica el nuevo Reglamento Europeo de Servicios Digitales (DSA)?
David Molina, 
Elisabet Cots e 
Itziar Osinaga Abogados del despacho Baker & McKenzie
Las disposiciones de la DSA son ya aplicables a todos los PSI desde el 17 de febrero de 2024 (incluso algunas de sus disposiciones ya eran aplicables antes a algunas entidades)
La aplicación de la DSA no es tan intuitiva como puede parecer y muchas empresas caen dentro de su ámbito y no lo saben
¿Qué es la DSA?
Cuando empleamos Internet para comprar comida a domicilio sin movernos del sofá, reservar un hotel con un solo clic, vender los zapatos que ya no usamos a un desconocido en un abrir y cerrar de ojos y opinar públicamente sobre las últimas noticias, normalmente hay una pluralidad de intermediarios. Algunos de estos intermediarios tienen un poder tan notable que la Unión Europea ahora les ha impuesto deberes de diligencia.
Así, en octubre de 2022 se aprobó el Reglamento de Servicios Digitales (EU) 2022/2065 (o DSA, por las siglas en inglés de Digital Services Act). El objeto de la DSA (directamente aplicable en cualquier Estado Miembro) es regular requisitos de diligencia que los prestadores de servicios intermediarios en línea (PSI) deben aplicar para hacer frente a los contenidos ilícitos, la desinformación (fake news) y otros riesgos para la sociedad y, de este modo, crear un entorno en línea seguro, predecible y de confianza. Las disposiciones de la DSA son ya aplicables a todos los PSI desde el 17 de febrero de 2024 (incluso algunas de sus disposiciones ya eran aplicables antes a algunas entidades).
La DSA va un paso más allá de la Directiva 2000/31/CE (y las correspondientes normas nacionales que la transpusieron). Con esa se legisló sobre este tipo de servicios de intermediación, estableciendo, entre otros aspectos, la exención general de responsabilidad (bajo ciertos requisitos) para estos intermediarios digitales y la prohibición de imponer obligaciones generales de supervisión respecto del contenido incluido/publicado por los usuarios entre los que intermedia cuando su prestación es neutra, es decir, realizan un tratamiento meramente técnico y automático de la información proporcionada por el destinatario (usuario) del servicio. Esta exención que ha permitido a muchos PSI evitar la aplicación de determinadas normativas sectoriales se mantiene en la DSA.
Si bien la Directiva 2000/31 sigue vigente en muchos aspectos, la DSA amplía las obligaciones exigidas a los PSI, cubriendo desde las condiciones generales de uso, que deberán modificarse, la moderación de contenido, hasta la evaluación de los riesgos y los perjuicios sociales y económicos que pueda provocar la plataforma.
Ámbito de aplicación de la DSA
Simplificándolo, la DSA afecta a diferentes categorías de prestadores de servicios de intermediación: los que prestan servicios de mera transmisión (acceso a Internet, wifi, redes privadas virtuales (VPN)), de memoria caché (distribución de contenidos), y de servicios de alojamiento (cloud, plataformas de redes sociales, marketplaces, etc.) que ofrezcan dichos servicios en el mercado de la UE.
Dentro de la categoría de servicios de alojamiento se encuentran las plataformas en línea y, dentro de esta última, la subcategoría de plataformas y motores de búsqueda de gran tamaño. Formar parte de una categoría u otra es relevante, pues de ello dependerá la aplicación de más o menos obligaciones. Además de la división de categorías en función de los servicios ofrecidos, la DSA también diferencia el grado de aplicación con base en el número de usuarios, siendo las más afectadas aquellas consideradas de gran tamaño –que cuentan, como mínimo, con una media de 45 millones de usuarios activos mensuales o más en la UE.
Dado que determinadas obligaciones se establecen en función del servicio ofrecido, aquellos PSI que presten diferentes servicios pueden tener obligaciones distintas para cada tipo de servicio. Si pensamos en grandes gigantes de Silicon Valley normalmente no ofrecen un único servicio de intermediación, sino que disponen de distintas herramientas informáticas, distintas líneas de negocio y normalmente distintas sociedades para cada una.
A priori es fácil identificar determinados PSI afectados por la DSA, pero su regulación es tan amplia que puede afectar a muchas empresas cuya actividad principal no es la de intermediación, pero que en sus páginas webs tienen algún servicio de los regulados por la DSA. Sería el caso, por ejemplo, de una funcionalidad que permita a usuarios proponer ideas para nuevos productos u opinar sobre éstos. Por supuesto, todo tipo de foros (como los que permiten comentar noticias en línea) caen, también, directamente en el ámbito de aplicación de la norma.
¿Qué sucede si no cumplo?
El régimen sancionador de la DSA es uno de los puntos que más preocupa e intriga, puesto que su determinación dependerá de cada estado miembro. Eso sí, la DSA establece la imposición de sanciones con un tope máximo del 6 % del volumen de negocios anual en todo el mundo del PSI en caso de incumplir una obligación y del 1 % de los ingresos anuales, o del volumen de negocios anual en todo el mundo del PSI, en caso de cumplimiento defectuoso.
Además, la DSA prevé que los destinatarios de estos servicios (por lo tanto, también empresas) puedan reclamar daños y perjuicios si el incumplimiento de la DSA les ha perjudicado.
Conclusiones
La aplicación de la DSA no es tan intuitiva como puede parecer y muchas empresas caen dentro de su ámbito y no lo saben. Algunas de las nuevas obligaciones son de backoffice y otras mucho más visibles (como, por ejemplo, la articulación de un sistema de denuncia de contenidos publicados por usuarios). Es responsabilidad de cada empresa con contenido en línea: (1) asegurarse de si está, o no, dentro del ámbito de aplicación de la DSA; (2) valorar exactamente cuáles de sus servicios quedan sujetos; (3) determinar qué obligaciones le aplican (y, en su caso, razonar por escrito por qué motivos no les aplican más obligaciones); e (4) implementar los cambios obligatorios. ■