|
27.4.2021 |
ES |
Diario Oficial de la Unión Europea |
C 149/3 |
Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Ley de servicios digitales
(El texto completo del presente dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD www.edps.europa.eu)
(2021/C 149/03)
El 15 de diciembre de 2020, la Comisión adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE (DSA).
El SEPD apoya el objetivo de la Comisión de promover un entorno en línea seguro y transparente a través de la definición de responsabilidades, también en materia de rendición de cuentas, para los prestadores de servicios intermediarios, especialmente las plataformas en línea como los mercados y las redes sociales.
El SEPD acoge con satisfacción que la propuesta pretenda ser complementaria en lugar de sustituir las protecciones existentes en virtud del Reglamento (UE) 2016/679 y de la Directiva 2002/58/CE. Dicho esto, la propuesta repercutirá claramente en el tratamiento de los datos personales. El SEPD considera necesario garantizar la complementariedad en la supervisión y en la vigilancia de las plataformas en línea y otros prestadores de servicios de alojamiento de datos.
Determinadas actividades en el contexto de las plataformas en línea presentan riesgos crecientes no solo para los derechos de las personas, sino para la sociedad en su conjunto. Si bien la propuesta incluye una serie de medidas de reducción de riesgos, ciertas salvaguardias adicionales están justificadas, en particular en relación con la moderación de contenidos, la publicidad en línea y los sistemas de recomendación.
La moderación de contenidos deberá llevarse a cabo de conformidad con el Estado de Derecho. Habida cuenta del ya endémico seguimiento del comportamiento de las personas, en particular en el contexto de las plataformas en línea, la DSA deberá definir en qué circunstancias la lucha contra los «contenidos ilícitos» legitima el uso de medios automatizados para detectar, identificar y actuar contra dichos contenidos ilícitos. Deberá prohibirse la elaboración de perfiles a efectos de moderación de contenidos, a menos que el prestador pueda demostrar que tales medidas son estrictamente necesarias para hacer frente a los riesgos sistémicos identificados explícitamente por la DSA
Habida cuenta de la multitud de riesgos asociados a la publicidad personalizada en línea, el SEPD insta a los colegisladores a que estudien normas adicionales que vayan más allá de la transparencia. Dichas medidas deberán incluir una eliminación gradual que conduzca a la prohibición de la publicidad personalizada sobre la base de un seguimiento generalizado, así como restricciones en relación con las categorías de datos que pueden tratarse con fines específicos y las categorías de datos que pueden divulgarse a los anunciantes o a terceros para permitir o facilitar la publicidad personalizada.
De conformidad con los requisitos de protección de datos desde el diseño y por defecto, los sistemas de recomendación no deberán basarse por defecto en la elaboración de perfiles. Dado su impacto significativo, el SEPD también recomienda medidas adicionales para seguir promoviendo la transparencia y el control de los usuarios en relación con los sistemas de recomendaciones.
En términos más generales, el SEPD recomienda introducir requisitos mínimos de interoperabilidad para las plataformas en línea de muy gran tamaño y promover el desarrollo de normas técnicas a escala europea, de conformidad con la legislación aplicable de la Unión sobre normalización europea.
Teniendo en cuenta la experiencia y los avances relacionados con la Digital Clearinghouse (centro de intercambio de información digital), el SEPD recomienda encarecidamente que se establezca una base jurídica explícita y exhaustiva para la cooperación y el intercambio de información pertinente entre las autoridades de control, cada una en el marco de sus respectivos ámbitos de competencia. La Ley de servicios digitales deberá garantizar una cooperación institucionalizada y estructurada entre las autoridades de supervisión competentes, incluidas las autoridades de protección de datos, las autoridades de protección de los consumidores y las autoridades de competencia.
1. INTRODUCCIÓN Y CONTEXTO
|
1. |
El 15 de diciembre de 2020, la Comisión adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE (1). |
|
2. |
La propuesta sucede a la comunicación Shaping Europe’s Digital Future (Configurar el futuro digital de Europa), en la que la Comisión confirmó su intención de desarrollar normas nuevas y revisadas para intensificar el mercado interior de servicios digitales, aumentando y armonizando las responsabilidades de las plataformas en línea y de los prestadores de servicios de información, y reforzando la supervisión de las políticas de contenidos de las plataformas en la UE (2). |
|
3. |
Según la exposición de motivos, los servicios digitales nuevos e innovadores han contribuido profundamente a las transformaciones sociales y económicas en la Unión y en el mundo. Al mismo tiempo, el uso de estos servicios también se ha convertido en la fuente de nuevos riesgos y desafíos, tanto para la sociedad en su conjunto como para las personas que los utilizan (3). |
|
4. |
El objetivo de la propuesta es garantizar las mejores condiciones para la prestación de servicios digitales innovadores en el mercado interior, contribuir a la seguridad en línea y la protección de los derechos fundamentales, y establecer una estructura de gobernanza sólida y duradera para la supervisión eficaz de los prestadores de servicios intermediarios (4). A tal fin, la propuesta:
|
|
5. |
El SEPD fue consultado informalmente sobre el proyecto de propuesta de Ley de servicios digitales el 27 de noviembre de 2020. El SEPD acoge con satisfacción que se le haya consultado en esta fase temprana del procedimiento. |
|
6. |
Además de la propuesta de Ley de servicios digitales, la Comisión también ha adoptado una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a unos mercados competitivos y justos en el sector digital (Ley de mercados digitales) (5). De conformidad con el artículo 42, apartado 1, del Reglamento 2018/1725, también se ha consultado al SEPD sobre la propuesta de Ley de mercados digitales, que es objeto de un dictamen separado. |
3. CONCLUSIONES
|
93. |
En vista de lo anterior, el SEPD formula las recomendaciones siguientes: |
En lo que respecta a la relación con el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE:
|
— |
adaptar la redacción del artículo 1, apartado 5, inciso i), de la propuesta a la redacción actual del artículo 1, apartado 5, letra b), de la Directiva 2000/31/CE; y |
|
— |
aclarar que la propuesta no es aplicable a las cuestiones relativas a la responsabilidad de los responsables y encargados del tratamiento. |
En lo que respecta a la moderación y la notificación de sospechas de delitos:
|
— |
aclarar que no todas las formas de moderación de contenidos requieren atribución a un interesado concreto y que, de conformidad con los requisitos de minimización y protección de datos desde el diseño y por defecto, la moderación de contenidos no deberá implicar, en la medida de lo posible, el tratamiento de datos personales; |
|
— |
garantizar que la moderación de los contenidos se lleve a cabo de conformidad con el Estado de Derecho, definiendo en qué circunstancias la lucha contra los «contenidos ilícitos» legitima el uso de medios automatizados y el tratamiento de datos personales para detectar, identificar y actuar contra dichos contenidos ilícitos; |
|
— |
especificar que deberá prohibirse la elaboración de perfiles a efectos de moderación de contenidos, a menos que el prestador pueda demostrar que tales medidas son estrictamente necesarias para hacer frente a los riesgos sistémicos explícitamente identificados en la propuesta; |
|
— |
aclarar si, y en caso afirmativo, en qué medida los prestadores de servicios intermediarios están autorizados a notificar voluntariamente las sospechas de delitos a las autoridades policiales o judiciales, al margen del caso previsto en el artículo 21 de la propuesta; |
|
— |
especificar que cualquier prestador de servicios de alojamiento de datos que utilice medios automatizados de moderación de contenidos deberá garantizar que dichos medios no produzcan resultados discriminatorios o injustificados; |
|
— |
ampliar el requisito del artículo 12, apartado 2, de la propuesta a todas las formas de moderación de contenidos, independientemente de que dicha moderación tenga lugar con arreglo a las condiciones del prestador o sobre cualquier otra base; y especificar que las medidas deben ser «necesarias» además de «proporcionadas» a los objetivos perseguidos; |
|
— |
reforzar los requisitos de transparencia establecidos en el artículo 14, apartado 6, y en el artículo 15, apartado 2, letra c), de la propuesta, detallando en mayor medida la información que debe facilitarse a las personas afectadas, en particular en caso de uso de medios automatizados para dicha moderación de contenidos, sin perjuicio de la obligación de informar y de los derechos de los interesados en virtud del Reglamento (UE) 2016/679; |
|
— |
modificar el artículo 15, apartado 2, de la propuesta para indicar inequívocamente que, en cualquier caso, deberá facilitarse información sobre los medios automatizados utilizados para la detección e identificación de contenidos ilícitos, con independencia de si la decisión posterior ha implicado o no el uso de medios automatizados; |
|
— |
exigir a todos los prestadores de servicios de alojamiento de datos, y no solo a las plataformas en línea, que proporcionen un mecanismo de reclamación de fácil acceso, tal como se prevé en el artículo 17 de la propuesta; |
|
— |
establecer un plazo en el artículo 17 de la propuesta para la decisión de la plataforma sobre la reclamación, así como la indicación de que el mecanismo de reclamación que debe establecerse se entiende sin perjuicio de los derechos y las vías de recurso de que disponen los interesados de conformidad con el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE; |
|
— |
especificar con más detalle, mediante la inclusión en un anexo, cualquier otro delito (distinto del abuso sexual de menores) que cumpla el umbral del artículo 21 de la propuesta y pueda dar lugar a una obligación de notificación; |
|
— |
considerar la posibilidad de introducir medidas adicionales para garantizar la transparencia y el ejercicio de los derechos de los interesados, con sujeción, cuando sea estrictamente necesario, a limitaciones definidas de forma precisa (por ejemplo, cuando sea necesario para proteger la confidencialidad de una investigación en curso) de conformidad con los requisitos establecidos en el artículo 23, apartados 1 y 2, del Reglamento (UE) 2016/679; y |
|
— |
definir claramente el término «información pertinente» a que se refiere el artículo 21 de la propuesta, proporcionando una lista exhaustiva de categorías de datos que deberán comunicarse, así como cualquier categoría de datos que deberán conservarse con el fin de apoyar nuevas investigaciones por parte de las autoridades policiales pertinentes, en caso necesario. |
En lo que respecta a la publicidad en línea:
|
— |
considerar normas adicionales que vayan más allá de la transparencia, incluida una eliminación gradual que conduzca a la prohibición de la publicidad personalizada sobre la base de un seguimiento generalizado; |
|
— |
considerar las restricciones en relación con a) las categorías de datos que pueden tratarse para fines de selección; b) las categorías de datos o los criterios con arreglo a los cuales se pueden orientar o servir los anuncios; y c) las categorías de datos que pueden divulgarse a los anunciantes o a terceros para permitir o facilitar la publicidad personalizada; y |
|
— |
aclarar en mayor medida la referencia a la persona física o jurídica en cuyo nombre se presenta la publicidad en los artículos 24 y 30 de la propuesta; |
|
— |
añadir a los requisitos del artículo 24 bis un nuevo elemento que obligue al prestador de la plataforma a informar a los interesados de si el anuncio se ha seleccionado mediante un sistema automatizado (por ejemplo, intercambio de anuncios o plataforma) y, en ese caso, la identidad de la persona o personas físicas o jurídicas responsables del sistema o sistemas; |
|
— |
especificar en el artículo 30, apartado 2, letra d), que el registro deberá incluir también información sobre si uno o más grupos concretos de destinatarios del servicio han sido excluidos del grupo destinatario de publicidad; |
|
— |
sustituir la referencia a «los parámetros principales» por «parámetros» y aclarar qué parámetros deberían divulgarse como mínimo para constituir «información significativa» en el sentido de los artículos 24 y 30 de la propuesta; y |
|
— |
considerar requisitos similares aplicables para garantizar la trazabilidad de los comerciantes (artículo 22 de la propuesta) en relación con los usuarios de servicios de publicidad en línea (artículos 24 y 30 de la propuesta). |
En lo que respecta a los sistemas de recomendación:
|
— |
aclarar que, de conformidad con los requisitos de protección de datos desde el diseño y por defecto, los sistemas de recomendación no deberán basarse por defecto en la «elaboración de perfiles» en el sentido del artículo 4, apartado 4, del Reglamento (UE) 2016/679; |
|
— |
prever que la información sobre el papel y el funcionamiento de los sistemas de recomendación se presente por separado, de manera que sea fácilmente accesible, clara y concisa; |
|
— |
disponer que, de conformidad con los requisitos de protección de datos desde el diseño y por defecto, los sistemas de recomendación no deberán basarse por defecto en la «elaboración de perfiles» en el sentido del artículo 4, apartado 4, del Reglamento (UE) 2016/679; e |
|
— |
incluir los requisitos adicionales siguientes en el artículo 29 de la propuesta:
|
En lo que respecta al acceso de los investigadores inspeccionados:
|
— |
disponer que, de conformidad con los requisitos de protección de datos desde el diseño y por defecto, los sistemas de recomendación no se basen por defecto en la «elaboración de perfiles» en el sentido del artículo 4, apartado 4, del Reglamento (UE) 2016/679; |
|
— |
reformular el artículo 26, apartado 1, letra c), del apartado de la propuesta para hacer referencia al efecto negativo sistémico, real o previsible, en la protección de la salud pública, los menores, el discurso cívico o los efectos reales o previsibles relacionados con los procesos electorales y la seguridad pública, en particular en relación con el riesgo de manipulación intencionada de su servicio, incluso mediante el uso no auténtico o explotación automatizada del servicio; |
|
— |
ampliar el artículo 31 para permitir al menos la verificación de la eficacia y proporcionalidad de las medidas de mitigación; y |
|
— |
estudiar la manera de facilitar la investigación de interés público en general, incluso fuera del contexto del control del cumplimiento de la propuesta; |
En lo que respecta a la interoperabilidad de las plataformas:
|
— |
estudiar la introducción de requisitos mínimos de interoperabilidad para las plataformas en línea de muy gran tamaño y promover el desarrollo de normas técnicas a escala europea, de conformidad con la legislación aplicable de la Unión sobre normalización europea. |
En lo que respecta a la aplicación, la cooperación, las sanciones y el cumplimiento:
|
— |
garantizar la complementariedad en la supervisión de las plataformas en línea y de otros prestadores de servicios de alojamiento de datos, en particular mediante:
|
|
— |
La referencia a las autoridades competentes en el ámbito del Derecho de la competencia, así como al Consejo Europeo de Protección de Datos en los considerandos de la propuesta; |
|
— |
garantizar que los coordinadores de servicios digitales, las autoridades competentes de la Comisión, deberán también tener la facultad y el deber de consultar a las autoridades competentes pertinentes, incluidas las autoridades de protección de datos, en el contexto de sus investigaciones y evaluaciones del cumplimiento de la propuesta; |
|
— |
aclarar que las autoridades de control competentes en virtud de la propuesta deberán poder facilitar, a petición de las autoridades de control competentes en virtud del Reglamento (UE) 2016/679 o por propia iniciativa, cualquier información obtenida en el contexto de cualquier auditoría e investigación relacionada con el tratamiento de datos personales, e incluir una base jurídica explícita a tal efecto; |
|
— |
garantizar una mayor coherencia entre los criterios incluidos en el artículo 41, apartado 5, el artículo 42, apartado 2, y el artículo 59 de la propuesta; y |
|
— |
permitir que el Consejo Europeo de Servicios Digitales emita dictámenes de iniciativa y que el Consejo emita dictámenes sobre asuntos distintos de las medidas adoptadas por la Comisión. |
Bruselas, 10 de febrero de 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) COM(2020) 825 final.
(2) COM(2020) 67 final, p. 12.
(3) COM(2020) 825 final, p. 1.
(4) COM(2020) 825 final, p. 2.
(5) COM(2020) 842 final.