Volver a página de inicio

¿Contamos con un entorno digital seguro para los menores en la UE? Análisis transversal de la legislación española y europea. Especial referencia a la «Estrategia digital de la UE» y la Ley de Servicios Digitales

Orbegozo Miguel, Xabier

LA LEY Unión Europea, Nº 133, Sección Regulación, Febrero 2025, LA LEY

LA LEY 1504/2025

I. Introducción – Menores en Internet, un problema con múltiples aristas

El 14 de junio de 2024 la página web oficial de la Comisión Europea publicó (1) una nota de prensa en la que informaba de la solicitud de información solicitada a una serie de páginas web de contenido «para adultos» (2) . Concretamente, la Comisión solicitaba información sobre el cumplimiento de las disposiciones de la Ley de Servicios Digitales —Reglamento de Servicios Digitales, RSD o Digital Services Act— en relación con la protección de menores.

La vulnerabilidad de este colectivo en su uso de Internet ocupa titulares desde hace ya bastantes años, siendo un hito fundamental la publicación por el periódico WSJ de los conocidos como «Facebook files» (3) en los que, según apunta la investigación del periódico, la citada compañía —hoy bajo el conglomerado Meta— era conocedora de que el uso de redes sociales como Facebook en la etapa adolescente se asociaba con problemas de salud mental en estas etapas del desarrollo, a pesar de lo cual se esforzaban por atraer usuarios —clientes— adolescentes y preadolescentes. Desde entonces, la abundante controversia surgida sobre este particular, respaldada por un importante movimiento ciudadano —especialmente en los EEUU— dio como resultado una imagen inédita en el Senado de este país, en el que el propio Mark Zuckerberg y otros directivos de compañías tecnológicas asumían —siquiera moralmente— cierta responsabilidad, llegando incluso a disculparse, en imágenes que dieron la vuelta al mundo.

La relación entre el uso de estas tecnologías y problemas de salud mental, que cuenta en la actualidad con un abrumador consenso científico, no es sino una más de las muchas cuestiones que amenazan la integridad y el desarrollo de nuestros menores —y de la población general, sujeta también a peligros en el uso de estas tecnologías—. No ajenas a esta realidad los Gobiernos han tomado esto como una de las prioridades en su agenda de los próximos años, desarrollando numerosas medidas para regular el proceder de las empresas proveedoras de servicios digitales y su responsabilidad.

El objetivo del presente trabajo es el de identificar de manera general las amenazas a las que se enfrentan los menores en el mundo digital con el catálogo de diferentes normas que recogen preceptos aplicables a cada uno de los supuestos. A continuación, parte importante del trabajo se centrará, por cuanto supone una de las prioridades actuales de la agenda en Bruselas, en analizar las medidas adoptadas dentro del marco de esta «estrategia digital europea» y más concretamente el Reglamento de Servicios Digitales, dirigido, expresa o implícitamente, a tratar, directa o indirectamente, muchas de las amenazas a las que hacíamos alusión.

II. Riesgos específicos

1. Clasificación de riesgos

a) Exposición a contenido inapropiado

• — Contenido sexual: como pornografía y material sexualmente explícito; «grooming» (4) y solicitudes sexuales; el denominado «sexting».
• — Contenido violento: exposición a violencia gráfica, radicalización y extremismo, retos o «challenges» peligrosos.

Este es, precisamente, uno de los ámbitos de actuación del Reglamento de Servicios Digitales al que nos referiremos en las siguientes páginas.

b) Privacidad y protección de datos

• — Recopilación y uso ilegítimo de datos personales
• — racking y perfilado de menores

La cuestión de la protección de datos no es nueva en términos legislativos, puesto que contamos con instrumentos a nivel europeo de sobra conocidos —como el Reglamento General de Protección de Datos (LA LEY 6637/2016)—, cuyos preceptos específicos en relación con los menores pondremos de manifiesto posteriormente.

La otra gran cuestión que surge en este apartado sería la del derecho al olvido digital —o derecho de supresión, según la terminología empleada por el art. 17 del RGPD (LA LEY 6637/2016)—, muy asociada también a la exposición de menores en internet —con fines legítimos— por parte de padres o tutores legales, dejando una huella que no ha sido libremente elegida por los mismos.

c) Cuestiones de ciberseguridad

• — Robo de identidad
• — Suplantación de identidad
• — Acceso a información personal

En este caso entramos en el terreno del derecho penal en supuestos en los que el hecho ilícito afecta igualmente a los mayores de edad.

d) Ciberacoso y violencia digital

• — Cyberbullying
• — Acoso sexual cibernético
• — Extorsión digital
• — Difamación

e) Adicción y Salud Mental

• — Adicción a redes sociales o videojuegos
• — Trastornos del sueño
• — Problemas relacionados con la imagen corporal
• — Ansiedad/depresión

En este punto, igualmente heterogéneo, las medidas a adoptar son también muy numerosas y parten, si bien excede el ámbito de reflexión del presente trabajo, de la propia toma de conciencia sobre el problema, lo que queda en manos de políticas de formación y concienciación —sobre el propio uso del control parental, por ejemplo, o la edad mínima para dar acceso a determinados servicios o aplicaciones—. No es una batalla sencilla, por cuanto se topa de frente contra la enorme influencia de las compañías proveedoras de servicios. Con todo, el legislador europeo, en el RSD, plantea algunas cuestiones interesantes que puede contribuir a paliar alguna de estas amenazas, implicando a los proveedores de servicios y creando figuras específicas para el control de contenidos.

f) Riesgos económicos/comerciales

• — Compras en aplicaciones o videojuegos
• — Publicidad dirigida a menores
• — Estafas y fraudes

2. Posibles respuestas

Aunque en algunos casos estemos también en supuestos que recaen directamente en el ámbito penal, a menudo las normas dirigidas a dotar de mayor transparencia a las plataformas en las que se ofrecen productos o servicios y la regulación de la publicidad dirigida a menores serán elementos centrales para regular la cuestión. Veremos que, en parte, son elementos a los que se refiere el RSD.

Los retos, por tanto, pueden resumirse en la necesidad de contar con un marco regulatorio en el que se proteja al «consumidor menor», se restrinja o regule la publicidad dirigida a este colectivo, se responsabilice a los proveedores de servicios de los contenidos que ofrecen y se puedan establecer sistemas —tecnológicamente sencillos en este momento del desarrollo técnico— de verificación de edad. Nos encontramos ante una problemática en la que convergen derecho público y privado, desde el administrativo al penal, pero con un fuerte componente internacional, por la propia naturaleza de los sujetos objeto de regulación que, más allá de los individuos que puedan cometer actos ilícitos particulares, serán las plataformas que les dan dimensión mundial, sin límites de fronteras de ninguna naturaleza.

Las formas de reaccionar antes este fenómeno pueden tener diferentes enfoques. Por un lado, el preventivo es el enfoque más barato y sencillo de implementar, y se centraría en esfuerzos educativos, de formación de los agentes que trabajen con el colectivo infanto-juvenil, de concienciación de la sociedad sobre los peligros existentes. También parece fácil reforzar la verificación de edad/identidad para el acceso a determinados servicios no destinados a menores pero que no cuentan con filtros suficientes para evitar este acceso. La efectiva implementación de la «identidad digital europea», que citaremos dentro de la «Estrategia Digital» de la UE— podría ser la respuesta —no exenta de implicaciones controvertidas respecto de la privacidad— para esto, pero —he aquí el problema— su implementación debe involucrar a los prestadores de servicios online, poco proclives a modificar el statu quo, por lo que ello les pudiera suponer.

El segundo enfoque sería el reactivo, las medidas que hacen falta para reaccionar frente a comportamientos que violenten los derechos de los usuarios en general y de los menores en particular. Las sanciones a los prestadores de servicios ocupan aquí un capítulo importante y serán convenientemente analizadas en lo que respecta a la nueva regulación contenida en el Reglamento sobre Servicios Digitales. Los mecanismos de supervisión y denuncia son, también, esenciales y veremos de qué manera se ha dotado a las autoridades de las herramientas para poder fiscalizar determinadas actividades ilícitas en entornos digitales.

Adicionalmente, los desafíos en términos de armonización legislativa y territorialidad de las normas juegan aquí un papel crucial, puesto que estamos legislando un fenómeno global que no conoce de fronteras físicas y en el que la deslocalización de las empresas que operan estos servicios hace que la implementación efectiva de las normas resulte una tarea problemática.

III. Un marco legislativo diverso

La necesidad de establecer mecanismos armonizados para la protección de la infancia en Internet resulta clara (5) , y así lo están entendiendo las Autoridades a nivel global. Para proceder con el análisis, y en aras a centrar el tema, partiremos de un breve análisis del gran acuerdo mundial para la protección de la infancia, la Convención para los Derechos del Niño, cuyos preceptos tienen evidente plasmación más de tres décadas después de la elaboración de dicho texto. Nos referiremos, a continuación, otras dos grandes normas serán directamente aplicables a otras de las amenazas citadas: el Convenio de Budapest sobre ciberdelincuencia (LA LEY 21666/2001) y el RGPD —intensamente tratado por la academia —, para terminar analizando otras iniciativas que diferentes organismos europeos están desarrollando en la actualidad.

1. Convención sobre Derechos del Niño y su aplicación al entorno digital

Ante semejantes retos, cuyas consecuencias a medio y largo plazo para un enorme número de personas están aún siendo analizadas, el abordaje legislativo debe atacar en diferentes frentes, partiendo de la protección de sus derechos (6) que garantiza a este colectivo la Convención de la ONU sobre derechos del niño (7) .

En concreto, los siguientes arts. de dicha norma serían aplicables a las amenazas a la infancia en entornos digitales.

• a) El derecho a la protección —art. 19— garantiza la protección contra toda forma de violencia, incluida, desde luego, la violencia digital, lo que deriva en la obligación de los Estados de implementar medidas contra el ciberacoso o la explotación online.
• b) La libertad de expresión —art. 13—. Debe buscarse un —complejo— equilibrio entre esta libertad y la especial protección que merecen. Aunque es discutible —y discutida (8) —, el acceso de niños a smartphones, debe ponerse sobre la mesa los límites de la libertad de recibir y difundir información en línea.
• c) El derecho a la privacidad —art. 16— se plasma en la protección de datos personales de los menores, la injerencia en su esfera privada, su reputación o el derecho al olvido digital.
• d) Acceso a la información —art. 17—, que debería plasmarse en tener acceso a una información diversa y confiable. El contenido dirigido a menores, o al que puedan tener acceso fácilmente, debería, al menos, no ser perjudicial, siendo deseable que además este contenido fuera positivo para su desarrollo.
• e) El derecho a la educación —art. 28— también plante diferentes reflexiones llevado al plano digital. La alfabetización digital es, a todas luces, una necesidad de los jóvenes para integrarse en una sociedad fuertemente «digitalizada». El acceso a recursos educativos por medio de estas plataformas ha sido, durante algunos años, considerado altamente eficaz, pero, recientemente, algunos Estados pioneros en la digitalización de las aulas están dando pasos atrás (9) ante la evidencia de mayores perjuicios que beneficios. La cuestión de las desigualdades derivadas de la llamada «brecha digital» es también controvertida y entronca con otro derecho, el de la no discriminación del art. 2 de este mismo texto.
• f) La protección contra la Explotación —arts. 34 y 36— tiene derivadas evidentes en este ámbito, con innumerables casos en prensa que reflejan los riesgos en este sentido. Las medidas contra la explotación sexual online, o la prevención de la pornografía infantil son esenciales y conllevan analizar, por un lado, las consecuencias penales para los autores y, fundamentalmente, la responsabilidad de las plataformas en línea que difunden determinados contenidos.
• g) El interés superior del menor —art. 3— debería ser, finalmente, la piedra angular sobre la que se asientan todas las políticas y legislaciones de protección. A juzgar por los Facebook Files a los que nos referíamos, no es desde luego una de las prioridades de las compañías la de crear entornos digitales seguros y amables para los menores de edad, por lo que deberán ser las autoridades las que pongan límites. La inclusión de mecanismos de denuncia adaptados a los menores —en tanto en cuanto no se pueda limitar su acceso a determinados servicios— es también un punto importante. En las siguientes páginas trataremos de dar cuenta de cómo la Unión Europea está tratando esta difícil cuestión en su nuevo paquete de medidas para regular el entorno digital.

2. Reglamento General sobre Protección de Datos Personales (RGPD)

A) Consideraciones generales

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), ha supuesto —de modo análogo a lo que está ocurriendo con las obligaciones impuestas por el Reglamento de Servicios Digitales en nuestro uso diario de Internet— una pequeña revolución en la protección de datos personales, estableciendo un marco uniforme para los 27 Estados miembros en una cuestión sensible y actualizando el régimen establecido por la Directiva 95/46/CE (LA LEY 5793/1995).

Los objetivos generales del Reglamento podrían resumirse en los siguientes:

• — Reforzar los derechos de los ciudadanos sobre sus datos personales con una norma directamente aplicable en toda la UE
• — Armonizar también las obligaciones para las empresas en un «mercando único digital»
• — Establecer, en definitiva, un sistema de protección de datos adaptado a la era digital

El art. 6 establece las bases jurídicas para el tratamiento de datos, basado en el consentimiento, recogiendo, en los arts. 13 a 21, una serie de derechos específicos, concretamente:

• — Derecho de información —arts. 13 y 14—
• — Derecho de acceso —art. 15—
• — Derecho de rectificación —art. 16—
• — Derecho de supresión (o «derecho al olvido») —art. 17—
• — Derecho a la limitación del tratamiento —art. 18—
• — Derecho a la portabilidad —art. 20—
• — Derecho de oposición —art. 21—

B) Disposiciones aplicables a menores

En el caso de los menores nos encontramos, todavía más si cabe, con un «campo fértil para la asimetría contractual» (10) , en el que existen algunas disposiciones específicas para menores. Así, el art. 8 (11) recoge obligaciones específicas en relación con el consentimiento de los menores. Por un lado, los menores de 16 años no podrán consentir, sino que tendrán que ser los titulares de la tutela o patria potestad los que consientan el tratamiento de datos (12) , debiendo el responsable del tratamiento hacer todos los «esfuerzos razonables» para verificar este consentimiento.

Por su parte, el art. 12 —referente a la transparencia en la información— establece una serie de requisitos reforzados cuando el receptor sea un niño, como la necesidad de información clara y lenguaje sencillo.

El art. 17, que como indicábamos positiviza el «derecho al olvido» digital, en referencia a los datos de menores hace referencia específica a los datos recogidos en relación con menores, introduciendo este entre los supuestos específicos a los que el Reglamento garantiza derecho a la supresión de datos «sin dilación indebida» por parte del responsable del tratamiento de los mismos.

Nuevamente, al establecerse límites de edad específicos, subsiste el problema de la verificación de edad, sobre todo en entornos digitales en los que el «filtro» humano es prácticamente inexistente, como a la hora de abrir una cuenta en una red social, por ejemplo. La verificación de edad vuelve a ser necesaria.

3. Convenio de Budapest sobre ciberdelincuencia

El Convenio sobre Ciberdelincuencia de 2001 —con el protocolo relativo específicamente a delitos de contenido racista y xenófobo, en vigor desde 2006—, es el primer hito legislativo destinado para abordar los delitos informáticos mediante la armonización de leyes nacionales, puesto que no deja de ser un instrumento de soft law que compromete a los Estados contratantes a adoptar medidas legislativas nacionales armonizadas para perseguir determinados comportamientos ilícitos. Plantea, además, un mecanismo de cooperación reforzada entre Estados. Su contenido, fundamentalmente penal y procesal, excede de las pretensiones del presente trabajo, pero procede introducir algunas notas de contexto para poder dibujar el panorama legislativo al que nos referíamos de la manera más completa.

El texto se estructura en cuatro capítulos principales en los que aborda cuestiones de derecho penal sustantivo, procesal y cooperación internacional. En la primera parte establece una serie de «tipos» delictivos que los Estados contratantes deben adaptar a sus legislaciones penales internas, distinguiendo diferentes categorías: delitos contra la confidencialidad, la integridad y la disponibilidad de los datos; delitos informáticos; delitos relacionados con el contenido; delitos de propiedad intelectual «y derechos afines» y, finalmente, «otras formas de responsabilidad». En este último punto destaca la alusión a la responsabilidad de las personas jurídicas del art. 12.

Dentro de las tipologías descritas en la sección primera del capítulo dos, destaca la introducción de un precepto específico en relación con los menores —art. 9—, dedicado específicamente a delitos relacionados con la pornografía infantil, que define de manera amplia, desde la propia imagen de menores adoptando comportamientos sexuales, hasta la mera representación de menores teniendo estos comportamientos, pasando por los comportamientos realizados por individuos que parezcan menores. En concreto, el texto conmina a los Estados contratantes a tipificar cuestiones como:

• — La producción de pornografía infantil para ser difundida por medios informáticos
• — La «oferta o puesta a disposición de pornografía infantil» a través de estos mismos medios
• — La distribución o transmisión
• — La adquisición «para uno mismo o para terceros», o
• — La mera posesión en sistemas informáticos o medios de almacenamiento de datos de esta naturaleza

El apartado procesal se centra en establecer la necesidad de implementar preceptos procesales para garantizar la persecución de estos hechos a través de medidas que permitan la conservación de los datos informáticos controvertidos o la revelación a instancia de las autoridades, la obtención en tiempo real, la interceptación o la confiscación de los mismos. También se refiere a cuestiones de jurisdicción —art.22—.

En lo referente a los mecanismos de cooperación internacional, se establece una red internacional basada en la asistencia mutua que se aplicará subsidiariamente entre los Estados contratantes en ausencia de tratados de asistencia mutua —art. 27—. La cooperación está prevista para la recopilación de pruebas, extradición u obtención de medidas cautelares que garanticen la efectividad del proceso.

4. Legislación española: la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico y el Anteproyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales

A) Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LA LEY 1100/2002)

Esta norma, aprobada para la transposición a nuestro Derecho de la Directiva 2000/31/CE (LA LEY 7081/2000), era, hasta la entrada en vigor del RSD, la única norma para atribuir responsabilidad a los prestadores de servicios que prestaban sus servicios en España (13) . Aunque vigente —su última revisión data de mayo de 2023— redunda en algunas cuestiones también cubiertas por el RSD, lo que invita a una revisión monográfica que excede las pretensiones del presente trabajo pero que merece ser abordada.

B) Anteproyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales

«Las personas menores de edad tienen derecho a ser protegidas eficazmente ante contenidos digitales que puedan perjudicar su desarrollo». Toda una declaración de intenciones, el art. 2.1 de este anteproyecto, aprobado el 4 de junio de 2024 en Consejo de Ministros (14) , muestra el interés del Ejecutivo español en esta cuestión. Este art. 2 se completa con otros derechos que conforman una suerte de «Bill of Rights» de los menores en el mundo digital (15) .

A falta de las enmiendas que sin duda modificarán numerosas cuestiones, el texto actualmente encima de la mesa plantea interesantes medidas para tratar de regular realidades que hasta hace pocos años ni se planteaban pero que volverán a quedar obsoletas a buen seguro en un breve plazo. El esquema general del anteproyecto es el siguiente:

• — Título I: Medidas en el ámbito de la protección de consumidores y usuarios: Destaca, en el art. 4 la obligación, para los fabricantes de dispositivos digitales, de proporcionar información en la que adviertan, «en un lenguaje accesible, inclusivo y apropiado para todas las edades, de los riesgos derivados del acceso a contenidos perjudiciales para la salud y el desarrollo físico, mental y moral de los menores.» Adicionalmente deberán informar sobre protección de datos, riesgos relacionados con la privacidad o el tiempo recomendado de uso. Esta obligación cubre una de las cuestiones a las que nos hemos referido, la pedagógica, la de empoderar a los usuarios menores, pudiendo actuar con conocimiento de causa.
• — Título II: Medidas en el ámbito educativo: Este punto, además de instar a los centros a regular el uso de dispositivos en las aulas de acuerdo con la Ley de Educación, prevé —art. 6— actividades de formación en centros de todos los niveles educativos. Nuevamente incide en anteproyecto en la pedagogía para hacer frente al problema, el enfoque preventivo al que hemos hecho alusión.
• — Título III: Medidas en el ámbito sanitario: Apuesta este punto por introducir esta problemática en los programas de prevención y promoción de la salud infantil y juvenil, formando para ello a los profesionales sanitarios. Añade la necesidad de promover estudios para un verdadero conocimiento de las consecuencias de un problema que, por su novedad, todavía no cuenta con muy numerosos trabajos.

  Se incorpora, además, el concepto de «conductas adictivas sin sustancia», con el objetivo de crear procedimientos de atención específicos para estas casuísticas.

• — Título IV: Medidas en el sector público: Se recoge el mandato general para las Administraciones públicas de velar —art. 10— «por crear contenidos digitales de calidad destinados a la promoción de hábitos saludables, el buen trato, la igualdad de género, la participación democrática y el acceso a distintos formatos de cultura». Para ello se prevén «espacios de interlocución con niños y adolescentes para conocer su experiencia con las tecnologías» o el desarrollo de «campañas y actividades de sensibilización, concienciación, prevención e información sobre los riesgos asociados al uso inadecuado de los entornos y dispositivos digitales», haciéndose en este último punto alusión específica a la pornografía. Igualmente, en línea con la filosofía general del texto, se hace alusión a la accesibilidad, a la utilización de lenguaje transparente y comprensible para todos los colectivos.

  Asimismo, se anuncia la creación —art. 12— de una «Estrategia Nacional sobre la protección de la infancia y la adolescencia en el entorno digital», para profundizar y dar continuidad a las medidas destinadas a proteger los derechos enunciados en el texto.

• — Disposición final primera que modifica la LOPJ (LA LEY 1694/1985): Se pretende dar cobertura legal a la autorización judicial, si las medidas previstas por la norma pudieran afectar a derechos fundamentales.
• — Disposición final segunda que modifica el Código Penal: Se realizan en este punto numerosas actualizaciones de preceptos para incorporar realidades propias del mundo digital a las conductas y consecuencias recogidas en el CP.
• — Disposición final tercera que modifica la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (LA LEY 2689/1998): El objetivo de esta modificación es el de atribuir a los juzgados centrales de lo contencioso-administrativo competencia para autorizar la ejecución de actos adoptados por los órganos administrativos competentes en esta materia.
• — Disposición final cuarta que modifica la Ley General para la Defensa de los Consumidores y Usuarios (LA LEY 11922/2007) y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre. Destaca en este precepto la obligación reforzada de verificación de edad para los empresarios que ofrezcan bienes o servicios destinados a mayores de edad, debiendo «recurrir a cualquier método de comprobación de la edad, efectivo y acorde con el medio a través del cual se vaya a llevar a cabo la contratación.» La de la verificación de la edad es, desde luego, una cuestión recurrente y una de las grandes lagunas de un mundo digital que no sabe —o no quiere— cómo hacer efectivo este control (16) .
• — Disposición final quinta que modifica la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LA LEY 19303/2018): En este punto destaca la propuesta para aumentar hasta dieciséis años la edad para consentir en el tratamiento de datos personales.
• — Disposición final sexta, que modifica la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual (LA LEY 15588/2022): En este caso se incorporan cinco modificaciones de la Ley 13/2022, de 7 de julio, general de Comunicación audiovisual (LA LEY 15588/2022) con el objetivo de establecer mecanismos de denuncia eficaces y evitar o mitigar las posibilidades de exposición de los menores a determinados contenidos inapropiados.

Este anteproyecto cuenta, por ahora, con el aval del Consejo Económico y Social que, en su dictamen de 24 de julio (17) , valora positivamente el objeto de la propuesta.

5. Otras normas o planes específicos en la UE

A) Estrategia del Consejo de Europa para los derechos de la infancia 2022-2027

Entre las prioridades del Consejo de Europa (18) podemos encontrar esta estrategia para cinco años en la que una de las seis prioridades para garantizar los derechos de los niños es, precisamente, la de «facilitar el acceso de los niños y niñas a las tecnologías y su utilización de una manera segura». Dentro de esta estrategia las acciones propuestas son muy diversas: «Acercar la tecnología a todos los niños y niñas, crear espacios en internet seguros para que los niños y niñas busquen información y compartan sus opiniones, mejorar la enseñanza sobre las tecnologías en los colegios, formar a profesores/as, informar a las madres y padres y lograr que los niños y niñas participen en las decisiones que están relacionadas con las tecnologías; asegurarse de que los casos de violencia sexual contra la infancia en internet se denuncien a la policía y se investiguen, que se castigue a las personas que hacen daño a niños y niñas y que se preste asistencia a las víctimas; estudiar y recopilar información sobre nuevos problemas que tienen un impacto en el bienestar de niños y niñas, tales como ser influencer o la inteligencia artificial».

Vemos que las prioridades, a todos los niveles de la Administración, van alineadas en el mismo sentido. Estamos en el momento de concretar todas estas acciones y aplicarlas en políticas concretas.

B) Estrategia de la UE para proteger y empoderar a los niños en el mundo en línea – Estrategia BIK + (19) .

En este caso es la Comisión Europea la que se implica en este tema con una estrategia que se asienta en tres pilares:

• a) Experiencias digitales seguras. Se quiere proteger a los niños frente a los contenidos, conductas y riesgos en línea nocivos e ilícitos y mejorar su bienestar gracias a un entorno digital seguro, para ello se alude expresamente a la cartera de identidad digital europea para la verificación de la edad como una de las claves, cuestión con la que coincidimos plenamente. Una de las prioridades, establecidos ya los riesgos, sería la de dificultar, como ya se ha hecho con tabaco o bebidas alcohólicas, el acceso.
• b) Capacitación digital. Nuevamente, se incide en la parte pedagógica, como elemento indispensable para el empoderamiento de los usuarios, menores en este caso.
• c) Participación activa. Se quiere también dar voz a este colectivo, puesto que no se trata de demonizar l uso de estas tecnologías, debiéndose «fomentar experiencias digitales innovadoras y creativas seguras.»

C) Sumario de la legislación vigente en la materia en la UE

La página web de la Comisión, dentro de la citada estrategia, elabora periódicamente un compendio de legislación relevante para la efectiva puesta en práctica de esta estrategia, cuya última versión —2024— incorpora las alusiones al Reglamento de Servicios Digitales (20) .

En el capítulo de normas vigentes (además de propuestas de legislación y estrategias) podemos encontrar:

• — Directiva contra la trata de seres humanos
• — DSCA: Directiva de servicios de comunicación audiovisual
• — Directiva ASM: Directiva sobre los abusos sexuales a menores
• — Directiva sobre la privacidad digital: Directiva sobre la privacidad y las comunicaciones electrónicas
• — Ley de servicios digitales (Reglamento de Servicios Digitales)
• — Identidad Digital Europea
• — RGPD: Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016)
• — Ley de Inteligencia Artificial (AI Act)
• — Directiva sobre seguridad general de los productos
• — DPCD: Directiva sobre las prácticas comerciales desleales
• — Decisión marco relativa a la lucha contra el racismo y la xenofobia

6. Algunos ejemplos de regulación fuera de la UE

A) Estados Unidos (21)

Aunque pionera, la UE no ostenta en absoluto la exclusividad en la regulación del entorno digital. Son muchas las iniciativas legislativas a las que podríamos referirnos en este punto, como —aunque no se trate en puridad de una norma— las «Directrices sobre la protección de la infancia en línea de la Unión Internacional de Telecomunicaciones» de 2020 (22) , organismo especializado de las Naciones Unidas para las TIC.

Entrando en legislaciones nacionales, los EE.UU. cuentan con abundante regulación al respecto. A nivel federal destacan dos normas.

Por un lado, la Children’s Online Privacy Protection Act (COPPA) (23) , que regula, fundamentalmente la recopilación de datos personales de menores personas menores de 13 años, con requisitos específicos para prestadores de servicios/sitios web y un régimen sancionador para casos de incumplimiento. En la línea de nuestro RGDP, introduce la necesidad de consentimiento verificable por parte de padres o tutores legales.

Por otro lado, en relación con la responsabilidad de los prestadores de servicios —de la que se ocupa nuestro Reglamento de Servicios Digitales— encuentra su regulación en la sección 230 de la Communications Decency Act de 1996 (24) que exoneraba de responsabilidad a los medios por los contenidos de terceros emitidos (25) , considerada «the most important law protecting internet speech» y «perhaps the most influential law to protect the kind of innovation that has allowed the Internet to thrive» (26) .

Aunque de menor relevancia, existen otras normas específicas como la Children’s Internet Protection Act (CIPA) (27) , dirigida a instituciones educativas y bibliotecas que ofrecen acceso a Internet —establece una serie de medidas para evitar el acceso a contenidos inapropiados— o la Protecting Children in the 21st Century Act (28) que complementa a la anterior en cuestiones de educar en el uso responsable de Internet.

En todo caso, dado que el principal desarrollo en esta materia está reservado a los Estados, podemos citar algunas normas estatales recientes:

• — California Age-Appropriate Design Code Act (2022): En esta norma, pionera en el país, se exige a las empresas proveedoras la evaluación del impacto de sus servicios para menores (29) , obligando, por ejemplo, a algunas modificaciones en el diseño de sus servicios en cuando a la privacidad —estableciéndose la máxima configuración de privacidad por defecto—, o el tratamiento de datos personales de los menores, prohibiéndose la elaboración de perfiles a partir de estos datos o el propio almacenamiento o tratamiento de los datos para fines no estrictamente necesarios para proporcionar el servicio.
• — Arkansas Social Media Safety Act (2023) (30) : Este texto (31) requiere verificación de edad para el uso de redes sociales y consentimiento parental para el acceso y uso de las mismas para menores de dieciocho años. Nuevamente, la cuestión de la verificación de la edad se muestra esencial, aunque compleja de llevar a la práctica con todas las garantías.
• — Otros ejemplos: Numerosos estados están aprobando normas similares, algunos buenos ejemplos son la Utah Social Media Regulation Act (32) (2023) o la Virginia Consumer Data Protection Act (33) (2023). Texas y Ohio tienen igualmente normas e Illinois está también trabajando en ello (34) .

En común denominador de todas estas normas está en la verificación de edad obligatoria, algunas normas introducen restricciones de horario para menores, consentimiento parental a partir de determinadas edades, protección de datos de los menores reforzadas o requisitos respecto del diseño de los servicios, en aras a evitar los efectos «adictivos» —o de «engagement»— que citábamos y que cuenta con amplio consenso.

B) Normas en otros países

Sin poder ahondar más en estas normas, siquiera citar algunos otros ejemplos de normas que a nivel mundial están tratando de regular la cuestión, coincidiendo, con matices en centrarse en aspectos similares a los que se están comentando en el presente trabajo.

• — Reino Unido: «Age Appropriate Design Code» o «Children´s Code» (2020) (35) + Online Safety Act (2023) (36) .
• — Australia: «Online Safety Act» (2021/2024) (37) .
• — India: «Information Technology Rules» (2021) (38)
• — Japón: – «Act on Development of an Environment That Provides Safe and Secure Internet Use for Young People» (2008).

La oleada de legislaciones a nivel global invita, entendemos, a ser optimistas respecto de la posibilidad, real y efectiva, de limitar la operativa de estas compañías.

IV. «Estrategia Digital» de la UE – Algunas notas

La dimensión que ha adquirido Internet en los países desarrollados en las últimas dos décadas exige un enfoque legislativo que aborde diferentes cuestiones. No basta con velar por los intereses de los usuarios de aplicaciones u otros servicios, puesto que el impacto económico en la UE de la operativa de las grandes multinacionales que aglutinan la mayoría de estos servicios exige un enfoque adicional, basado en las derivadas más «mercantiles» o de competencia. Por último, si un fenómeno, por sí solo, merece atención a nivel regulatorio, es la Inteligencia Artificial, cuyas potencialidades —en positivo o en negativo—, apremian también al legislador.

Consciente de todo ello, el paquete de medidas legislativas englobado en la «Década Digital de Europa» o «Configurar el futuro digital de Europa» (39) , pivota sobre tres grandes reglamentos: el Reglamento de Servicios Digitales —o RSD, también llamado Ley de Servicios Digitales o DSA de sus siglas en inglés—, el Reglamento de Mercados Digitales —Ley de Mercados Digitales o DMA— y el Reglamento sobre Inteligencia artificial —Ley de IA o AI Act— incluye otras iniciativas relevantes para tratar de dar respuesta a los innumerables retos que esta exposición de ciudadanos y empresas a Internet está suponiendo.

La primera gran norma, a la que nos referiremos con mayor en el presente estudio, es la Ley de Servicios Digitales, plenamente operativa desde febrero de 2024. Esta, que será objeto de análisis en el presente trabajo, es la que se dirige específicamente a la protección de los usuarios/consumidores, definiendo responsabilidades de las plataformas en línea (entre las que se incluyen las aplicaciones de redes sociales). Se pretende, para ello, vigilar la difusión de contenidos y productos ilícitos —discursos de odio, desinformación—, aumentando la transparencia, pero sin obviar la necesidad de integrar estas tecnologías en la vida de los ciudadanos, fomentando la innovación, la competitividad y el mercado interior de la UE. La creación de diferentes organismos específicos, como los coordinadores de servicios digitales en cada uno de los Estados miembros da cuenta de la apuesta firme que las instituciones europeas han hecho por la efectiva aplicación de la norma, cuestión esta que será valorada en las próximas páginas.

En paralelo, el legislador europeo aprobó la conocida como Ley de Mercados Digitales, a través del Reglamento (UE) 2022/1925 (LA LEY 21630/2022) sobre mercados disputables y equitativos en el sector digital (40) , centrándose este texto en otras cuestiones accesorias a las anteriormente mencionadas y más relacionadas con la posición de las grandes multinacionales en el mercado europeo y sus prácticas potencialmente anticompetitivas. En concreto, a través de esta norma se pretende establecer un mecanismo para igualar, en la medida en que esto sea posible en la práctica, el terreno de juego para que no terminen operando solo las empresas de mayor tamaño, favoreciendo así un mercado competitivo del que se vean favorecidos también los consumidores.

Para lograr los citados objetivos, el reglamento crea la figura de los guardianes de acceso —o gatekeepers—, empresas con posición consolidada en el mercado —controlando servicios básicos de plataforma (41) en al menos tres Estados miembros de la UE— y que, por su volumen de negocios y número de usuarios (42) constituyan una suerte de amenaza a las citadas garantías. La consideración de «guardián de acceso» podrá ser declarada por las propias empresas, si bien la Comisión Europea tendrá también capacidad para investigar y otorgar dicha consideración a las mercantiles que considere dentro de los umbrales (43) .

Aquellas compañías a las que acredite esta condición deberán cumplir una serie de condiciones que les obligarán a omitir ciertas conductas que, desde su posición dominante, restringen la competencia y perjudican a pequeños profesionales que operan en línea bajo las directrices de estas grandes empresas. Del mismo modo, se limitará la posibilidad de promocionar los propios servicios en condiciones más ventajosas que los de terceros en la plataforma o preinstalar determinadas aplicaciones propias, dificultando su desinstalación o la operatividad de las aplicaciones de terceros.

Finalmente, estas dos normas conviven con una tercera, de enorme impacto por la cuestión tan mediática que regula, rodeada de mensajes poco menos que apocalípticos (44) . La esperada Ley de Inteligencia Artificial ha irrumpido en el panorama legislativo europeo como una norma pionera a nivel mundial en la regulación de un fenómeno tecnológico cuyos avances en solo un año no tienen precedentes con ninguna otra tecnología inventada por el ser humano, lo que hace que las derivadas que pueda tomar en otros tantos meses sean inimaginables. Con todo, el Reglamento 2024/1689 por el que se establecen normas armonizadas en materia de inteligencia artificial (LA LEY 16665/2024) (45) —cuya extensa exposición de motivos merece una lectura pormenorizada—, es un esfuerzo regulatorio ambicioso que pretende sentar unas bases para poder regular este fenómeno.

La norma parte de la base de la necesidad de que siempre personas deban supervisar los sistemas basados en IA, queriendo, además —y esta es una cuestión central— ofrecer una definición de «inteligencia artificial» que pueda adaptarse a los previsibles cambios tecnológicos (46) . La forma elegida para acometer esta tarea pasa por establecer niveles de riesgo en los que se deberán clasificar los diferentes sistemas presentes o futuros en cuatro categorías, que irán desde aquellos con consideración de «riesgo mínimo» a los de »riesgo inaceptable» —estos conllevarán, directamente, la prohibición de los mismos (47) —, pasando por dos estadios intermedios —riesgo «limitado» y riesgo «alto», con diferentes limitaciones.

Además de los citados reglamentos, destacan la creación de una «Identidad Digital Europea» —de enorme relevancia práctica— o la Ley Europea de Chips . La primera, como decimos, aunque no muy comentada, tiene a nuestro entender gran proyección práctica, por cuando, como estamos viendo a nivel comparado, la base del sistema de protección de menores, sobre todo cuando nos referimos a evitar el acceso a determinados contenidos o aplicaciones, pasa, ya no por el control parental, cuya efectividad en la práctica ofrece pocas esperanzas, sino por la efectiva implementación de sistemas de verificación de edad que, directamente, filtren el usuario que accede a los diferentes servicios. De modo análogo a las potencialidades que para fines profesionales nos ofrece la firma electrónica o el DNI electrónico en España, esta Identidad Digital Europea está llamada a ser un instrumento muy útil para, entre otras cosas, dar respuesta a alguna de las amenazas a las que nos enfrentamos como sociedad en relación con los menores.

Esta batería de normas viene a completar el régimen del RGPD para ofrecer respuestas en forma directamente vinculantes y uniformes a los retos de la sociedad de Internet .

En este contexto, volviendo a la primera de las legislaciones comentadas —la LSD—, este trabajo pretende ahondar en el funcionamiento general de dicha norma, con especial consideración de los menores.

V. Reglamento de Servicios Digitales

1. Consideraciones introductorias

El Reglamento (UE) 2022/2065 del Parlamento europeo y del consejo de 19 de octubre de 2022 (LA LEY 22694/2022) relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (LA LEY 7081/2000) (Reglamento de Servicios Digitales) constituye uno de los ejes fundamentales de citada estrategia digital europea y es de aplicación desde febrero de 2024 (48) . La modificación —que no derogación— de la Directiva 2000/31/CE (LA LEY 7081/2000) (49) —Directiva sobre comercio electrónico— resultaba, a estas alturas, imprescindible —por el puro avance tecnológico— y la apuesta por el reglamento asegura un grado de uniformidad muy deseable en cuestiones sensibles como la que nos ocupa (50) , si bien el TJUE había hecho lo propio para aproximar la aplicación de los principios de la Directiva en los diferentes Estados miembros (51) —además del TEDH en relación con el derecho a la libertad de expresión y la responsabilidad de los medios por los contenidos que se publican en ellos (52) —.

La operativa, intrínsecamente transfronteriza de los proveedores de servicios en Internet, exige este enfoque armonizado europeo, puesto que directa o indirectamente tienen incidencia en nuestro mercado interior. La propia exposición de motivos del reglamento se refiere a la necesidad de garantizar que estas compañías «se comporten de modo responsable y diligente para crear un entorno en línea seguro, predecible y digno de confianza (53) , y para que los ciudadanos de la Unión y otras personas puedan ejercer los derechos garantizados por la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) (en lo sucesivo, «Carta»), en particular la libertad de expresión y de información, la libertad de empresa, el derecho a la no discriminación y la garantía de un nivel elevado de protección de los consumidores» (54) . Junto con el Reglamento de Mercados Digitales, estas normas pretenden influir en el equilibrio de poder que, hasta la fecha, caía más del lado de las grandes multinacionales.

2. Relación del Reglamento con otros instrumentos

Como se ha indicado, el Reglamento no deroga la Directiva 2000/31/CE (LA LEY 7081/2000), es más, adopta algunos preceptos en su articulado, pero esta no es la única norma con la que puede entrar en conflicto sobre cuestiones específicas. Así, por aplicación del principio de especialidad (55) , estos textos prevalecerían sobre las disposiciones generales del RSD:

• — Reglamento (UE) 2019/115023, del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea.
• — Directiva (UE) 2019/216124, por la que se modifica la Directiva 93/13/CEE (LA LEY 4573/1993) del Consejo, y las Directivas 98/6/CE (LA LEY 4912/1998), 2005/29/CE (LA LEY 6058/2005) y 2011/83/UE (LA LEY 21601/2011), en lo que atañe a la mejora de la aplicación y la modernización de las normas de protección de los consumidores de la Unión.
• — Reglamento (UE) 2016/67925 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como otras normas relativas la protección de los datos personales y la privacidad de las comunicaciones.

3. Ámbito de aplicación personal del Reglamento —la conexión sustancial con la UE de los prestadores de servicios—

En aras a garantizar la máxima eficacia del texto, este se aplicará de manera universal, independientemente del lugar de establecimiento o ubicación de los «servicios intermediarios» —art. 2—, en tanto en cuanto los destinatarios de estos servicios se encuentren en la UE (56) . A este respecto, indica expresamente que esta oferta de servicios debe ponerse de manifiesto «por medio de una conexión sustancial con la Unión» (57) . Esta conexión sustancial podrá determinarse de diferentes maneras:

• a) A través del mero establecimiento del proveedor en la UE
• b) Los casos en los que exista un número de destinatarios del servicio «significativo en relación con su población»
• c) Cuando el proveedor oriente actividades a diferentes Estados miembros. En este caso, la orientación de actividades podrá deducirse de indicadores como el idioma en el que se ofrece el servicio, la moneda, la posibilidad de acceder al servicio y encargar productos o el uso de determinados dominios. La mera oferta de una aplicación en la tienda de aplicaciones de un Estado también activará este requisito. Además, las actividades de publicidad dirigidas a un mercado nacional concreto. Alude el reglamento, sobre esta cuestión, por analogía, a los criterios de interpretación del art. 17.1.c del Reglamento 1215/2012 (58) .

El ámbito de aplicación personal, por tanto, se refiere de manera genérica a estos servicios intermediarios, entendidos como tales —art. 3.g.—: servicios de «mera transmisión», servicios de «memoria caché» o servicios de «alojamiento de datos». A la vista está que, por un lado, la norma tiene un carácter considerablemente técnico y, por otro lado, deliberadamente abierto, puesto que, a través de conceptos bastante genéricos como los descritos, podrá adaptarse mejor a los cambios tecnológicos que dejan obsoletas todas las aproximaciones legislativas en cuestión de meses.

4. El régimen de responsabilidad de los proveedores

Si bien los destinatarios principales de los preceptos del Reglamento parecen ser estos «servicios intermediarios», el capítulo II, se refiere a la responsabilidad de los proveedores de dichos servicios, en las diferentes modalidades mencionadas en el párrafo anterior —mera transmisión, memoria caché y alojamiento de datos—, estableciendo una serie de supuestos de exención de responsabilidad (59) si concurren determinadas circunstancias.

Este régimen de responsabilidad es continuista con respecto a lo establecido en la Directiva 2000/31/CE (LA LEY 7081/2000) y en la jurisprudencia citada, si bien contribuye a la efectividad de sus principios armonizando estos criterios en un texto directamente aplicable a 27 Estados.

El régimen de exenciones funciona, en función del servicio de que se trate, de la siguiente manera:

• a) Servicios de mera transmisión. Ante servicios consistentes en mera transmisión de información en línea —art. 4—, el reglamento considera que no se les podrá considerar responsables, siempre y cuando la información —ilícita— no haya sido originada por el propio servicio, no haya seleccionado al receptor de la información y no haya seleccionado ni modificado la información contenida en esta transmisión. Es importante destacar que el mismo art. no descarta que las autoridades correspondientes puedan, en su caso, exigir al prestador del servicio que impida o ponga fin a la transmisión de informaciones con carácter ilícito.
• b) Memoria caché. De manera similar, los prestadores de servicios de memoria caché, consistentes en el almacenamiento automático y temporal de la información en línea, no serán responsables del contenido de dicha información, siempre y cuando no la modifiquen y cumplan las condiciones de acceso y las normas relativas a la actualización de esta información —art. 5—.
• c) Alojamiento de datos. En la misma línea, el prestador del servicio de almacenamiento de información —realizado a petición del usuario— tampoco será responsable de esta información, en tanto en cuanto no conozca de la ilicitud que pueda suponer dicho contenido y siempre que, en cuanto conozca de la ilicitud, bloquee el acceso o retire el contenido ilícito «con prontitud» —art. 6—. En este caso, como vemos, la exención de responsabilidad va aparejada a una suerte de obligación de fiscalizar el contenido, respondiendo ante avisos de los propios usuarios o a partir de sus mecanismos internos de control «con prontitud» para evitar la responsabilidad.

5. Condiciones especiales de aplicación en función del tamaño – Las «plataformas en línea de muy gran tamaño», «los motores de búsqueda de muy gran tamaño» y la exclusión de pequeñas empresas

Una de las cuestiones de mayor trascendencia del Reglamento es la referida a la consideración especial que reciben dentro del texto determinados prestadores de servicios en atención a su tamaño.

Por un lado, considera el reglamento, los prestadores considerados plataformas o motores de búsqueda de «muy gran tamaño» «pueden entrañar riesgos para la sociedad, de distinto alcance y repercusión que los generados por plataformas más pequeñas» (60) . Es por ello por lo que estarán obligados por la totalidad de las normas generales del reglamento, además de estar sometidas a algunas obligaciones reforzadas específicas. Por ejemplo, dada la capacidad de influencia de estas plataformas en la opinión pública, se alude expresamente a la necesidad de garantizar derechos fundamentales como la libertad de expresión y de información y el pluralismo de los medios de comunicación (61) . Les atribuye, además, obligaciones adicionales en materia de información y transparencia, debiendo, por ejemplo, proporcionar sus textos de condiciones generales en todos los idiomas cooficiales.

La consideración de prestadores de muy gran tamaño, descrita en el art. 33, se aplicará a plataformas y motores de búsqueda con un promedio mensual de destinatarios del servicio activos de, al menos, cuarenta y cinco millones. Estos umbrales serán, en principio, declarados por la propia prestadora del servicio, pero también podrá ser la propia Comisión la que decida, con los datos de los que disponga, que un prestador se encuentra dentro de los citados márgenes (62) .

Por otro lado, las microempresas o pequeñas empresas recibirán un tratamiento más laxo por parte de la norma. Así, el art. 19 excluye a estas empresas de las obligaciones adicionales —sección 3, capítulo III— que se impone a los prestadores de plataformas- (63) . Bien es cierto que la propia definición de «prestadores de plataforma» excluye, implícitamente, las pequeñas empresas, puesto que está pensando —como veremos más adelante— en prestadores de servicios como las redes sociales —que no pertenecen, precisamente, a empresas de pequeño tamaño—.

Con todo, aunque el foco mediático recae sobre las grandes corporaciones, no tenemos claro hasta qué punto empresas de menos tamaño per se pueden presentar una amenaza menor en términos cualitativos —es evidente que tienen menor mercado y por tanto la capacidad de influencia es más reducida—, puesto que, además, este menor control puede redundar en una mayor facilidad para la difusión de contenidos inapropiados (64) .

6. Ámbito de aplicación objetivo – los «contenidos ilícitos»

Siendo uno de los objetivos del reglamento la lucha contra contenido ilícitos, este concepto debe ser entendido de la manera más amplia a cualquier contenido, servicio, producto o actividad ilícito.

Cita el texto numerosos ejemplos de esta «ilicitud»: delitos de incitación al odio; contenidos terroristas; contenidos discriminatorios ilícitos: contenidos relacionados con actividades ilícitas como: el intercambio de imágenes que representen abusos sexuales de menores; el intercambio ilícito no consentido de imágenes privadas; el acoso en línea; la venta de productos falsificados, la venta de productos o la prestación de servicios que infrinjan el Derecho en materia de protección de los consumidores, el uso no autorizado de material protegido por derechos de autor, la oferta ilegal de servicios de alojamiento o la venta ilegal de animales vivos (65) .

Llama la atención, a este respecto, que el art. 8 exime a los prestadores de servicios de obligación de «monitorización o búsqueda activa» de hechos que puedan considerarse ilícitos, lo que hace más relevante la figura de los alertadores fiables a la que nos referiremos posteriormente.

7. Actuación frente a posibles contenidos ilícitos

A) Órdenes de actuación

La forma típica de actuación que prevé el Reglamento frente a contenidos que puedan considerarse ilícitos será la de la orden de actuación destinada a los proveedores, que dictarán las autoridades judiciales o administrativas competentes. Las condiciones formales que debe reunir esta orden se encuentran recogidas en el art. 9 e incluyen la obligación de transmitir la orden al coordinador de servicios digitales del Estado miembro en el que se dicte la orden y este deberá transmitirla al resto de coordinadores de servicios digitales según el procedimiento establecido.

Recibida la orden por parte del prestador de servicio, este deberá informar al receptor del servicio —usuario— de la recepción de la orden y de la forma de proceder para cumplir con la misma, informando de la vía de recurso de la que disponga de acuerdo con la normativa específica, que se regirá por el Derecho procesal interno.

B) Órdenes de entrega de información

Hacíamos alusión al comienzo del presente estudio a una de estas órdenes, mediante las cuales se solicita información sobre la protección de menores a una serie de páginas web de streaming de contenido pornográfico. El art. 10 establece que los prestadores de servicios deberán informar «sin dilación indebida» a las autoridades pertinentes, introduciéndose también una lista de requisitos formales para estas solicitudes de información. De modo análogo al caso anterior, también se informará a los coordinadores de servicios digitales de estas solicitudes de información.

8. Obligaciones generales de diligencia debida para todos los prestadores de servicios regulados por el reglamento (66)

A continuación, mostraremos de manera sintética las obligaciones que el texto impone de manera general a todos los prestadores de servicios, independientemente de su tamaño.

A) Puntos de contacto

El reglamento obliga a los proveedores de servicios a crear «puntos únicos de contacto» para facilitar al máximo la comunicación con:

• — Las autoridades o con la propia Comisión Europea.
• — Los usuarios o destinatarios de los servicios.

En los supuestos en los que el proveedor no tenga domicilio en la UE, el reglamento impone la obligación de nombrar un representante legal en un Estado miembro.

B) Condiciones generales

Dentro de la obligación general de actuar de manera «diligente, objetiva y proporcionada» que señala en art. 14, se establecen una serie de requisitos específicos respecto de la información que debe proporcionarse en las condiciones generales, en la que deberán figurar todas las restricciones que se impongan en relación con la moderación de contenidos y toda la información relativa a la gestión de reclamaciones. Esta información deberá reflejarse en un «lenguaje claro, sencillo, inteligible accesible al usuario e inequívoco, y se hará pública en un formato fácilmente accesible y legible por máquina» —art.14.1º—. Adicionalmente, cualquier cambio que se realice en estas condiciones generales deberá ser notificado a los usuarios.

En este punto, el reglamento hace una alusión concreta a los menores —art. 14.3º—, reforzando la obligación relativa a las condiciones generales cuando el servicio se dirija principalmente a menores, debiendo los prestadores hacer comprensibles las condiciones a este colectivo. Nuevamente, este precepto va en línea con las normas internacionales comentadas.

C) Transparencia informativa

Se establece la obligación general —art. 15— para los prestadores de servicios de informar anualmente —al menos— de la actividad «de moderación de contenidos» llevada a cabo, excluyéndose de esta obligación a los prestadores pequeños —microempresas o pequeñas empresas—. Esta exclusión, como hemos argumentado, puede tener sus riesgos, al permitir implícitamente comportamientos «peligrosos» por parte de estas pequeñas empresas.

9. Obligaciones específicas para prestadores de servicios de alojamiento de datos

A partir del art. 16 el Reglamento se encarga de los servicios de alojamiento de datos de manera monográfica.

Concretamente, este tipo de servicios deberán:

• a) Establecer mecanismos de notificación y acción —art. 16—. Deberán facilitar que personas físicas o «entidades» puedan informar de informaciones que estas entiendan que pueden considerarse ilícitas. Estos mecanismos tienen que ser «de fácil acceso y manejo» y debe ofrecer la posibilidad al usuario de indicar una serie de cuestiones específicas, como una explicación de los motivos de la «denuncia» o la localización exacta de la información sospechosa. Obliga además a enviar acuse de recibo al prestador de servicio cuando la persona que notifique proporcione datos de correo electrónico.
• b) Declarar los motivos de las restricciones. Adicionalmente, en los casos en los que se produzca alguna restricción por considerarse que existen contenidos ilegales o incompatibles con las condiciones impuestas por la plataforma, esta deberá informar —art. 17— de los motivos por los que se produce esta restricción a los afectados por la misma. Es decir, que los usuarios a los que se les restrinja el uso del servicio por considerarse que el contenido resulta incompatible con la norma estarán, hasta cierto punto, protegidos por cuando deberán recibir una información suficiente al respecto.
• c) Notificar sospechas de delitos. Finalmente, el art. 18 se refiere de manera expresa a la «notificación de sospechas de delitos», obligando al prestador del servicio a poner en conocimiento de las autoridades estas sospechas, «de inmediato», y proporcionando todos los datos disponibles.

10. Disposiciones adicionales para «prestadores de plataformas en línea» —redes sociales—

A continuación. el RSD se fija en esta categoría de prestadores de manera específica e introduce una serie de obligaciones adicionales. Estas plataformas en línea son definidas por el propio texto como «redes sociales o las plataformas en línea que permiten a los consumidores celebrar contratos a distancia con comerciantes, como prestadores de servicios de alojamiento de datos que no solo almacenan información proporcionada por los destinatarios del servicio a petición de estos, sino que además difunden dicha información al público a petición de los destinatarios del servicio. (67) » Estamos, por tanto, ante las disposiciones específicas referidas a compañías de sobra conocidas y utilizadas por millones de usuarios en todo el mundo y con gran peso en la manipulación de la opinión pública y otros efectos indeseables que recaen, mayormente, sobre los usuarios más vulnerables, por cuestión de edad —lo que más interesa en este trabajo— u otros condicionantes educativos o culturales.

Concretamente, el Reglamento introduce estas importantes figuras, con especial mención a los «alertadores fiables» o el precepto específico sobre protección de menores en línea.

a) Sistema interno de gestión de reclamaciones. Por un lado, el art. 20 establece la necesidad de un sistema interno de gestión de reclamaciones para supuestos en los que el prestador del servicio retire información del usuario o restrinja su visibilidad; suspenda o cese la prestación del servicio; suprima la cuenta del usuario; restrinja o suspenda la capacidad «de monetizar la información proporcionada por los destinatarios, o de no hacerlo».

El sistema de reclamaciones, por imperativo del propio texto, deberá ser «eficaz» y accesible electrónicamente y sin ningún coste para el usuario y la reclamación deberá ser resuelta «en tiempo oportuno y de manera no discriminatoria, diligente y no arbitraria», debiendo ser comunicada la resolución —motivadamente— lo antes posible.

b) Resolución extrajudicial de recursos. Para los casos de desacuerdos respecto de las decisiones obtenidas en el sistema anterior, o si estas no llegaran a producirse, deberá establecerse un sistema de resolución extrajudicial de recursos, del que deberá informar debidamente el prestador del servicio.

La tarea de certificar que el órgano de resolución extrajudicial cumple con los requisitos de imparcialidad, independencia, conocimientos técnicos y demás requisitos recogidos por el art. 21.3º corresponderá al coordinador de servicios digitales del Estado en cuestión. Para ello, otorgará la correspondiente certificación que tendrá una duración de cinco años, debiendo los órganos informar al coordinador, anualmente, sobre cuestiones básicas relativas a su funcionamiento —como el número de litigios gestionados y los resultados de los mismos— debiendo, adicionalmente, elaborar un informe cada dos años con unos requisitos más exhaustivos —recogidos en el punto 4 del mismo art.—.

c) Alertadores fiables. El papel de los alertadores fiables —o «trusted flaggers»— es, a nuestro juicio, central para el funcionamiento del sistema, sobre todo en relación con la protección de colectivos vulnerables como los menores.

Los coordinadores de servicios digitales de cada Estado miembro otorgarán la condición de alertadores fiables (68) a entidades que consideren que cuentan con los conocimientos necesarios, además de ser independientes de los prestadores de servicios y dirijan sus actividades a la detección de situaciones incompatibles con la norma y la notificación de las mismas. El coordinador de servicios digitales velará, además, por que la entidad sigue fiel a dichos requisitos, pudiendo revocar su condición de alertador fiable de manera unilateral.

Las notificaciones enviadas por las entidades que cuenten con esta certificación tendrán carácter prioritario a la hora de ser valoradas por los proveedores de servicios.

d) Medidas contra usos indebidos. La norma —art. 20— es tajante al indicar que las plataformas deberán suspender los servicios prestados a usuarios que «proporcionen con frecuencia contenidos manifiestamente ilícitos» —con advertencia previa—. El precepto queda, sin embargo, algo vacío de aplicabilidad por cuanto no detalla la frecuencia específica a la que se refiere ni la gravedad de la ilicitud de los contenidos. Si bien el punto 3 del art. da una serie de parámetros para efectuar esta evaluación, la subjetividad de la valoración es considerable, puesto que se limita a decir que la plataforma deberá evaluar «las cifras absolutas de contenidos manifiestamente ilícitos», «su proporción relativa en relación con la cifra total de elementos de información proporcionados» o «la gravedad» de los usos indebidos, pero elude afinar más en los elementos valorativos.

e) Medidas de transparencia informativa. Se imponen medidas de transparencia reforzadas para estas plataformas en el art. 24. De acuerdo con este precepto, a los informes a los que nos referíamos anteriormente debe añadirse información respecto de los litigios sometidos a órganos de resolución extrajudicial y del número de suspensiones impuestas.

Adicionalmente deberán ofrecer, en abierto, datos sobre el promedio de número de usuarios, información que también deberá ser remitida al coordinador de servicios digitales que corresponda para que este, en su caso, comunique a la Comisión la posibilidad de que se esté llegando a los umbrales de usuarios que conllevarían la consideración de plataformas o motores de «muy gran tamaño».

f) Diseño de interfaces y transparencia en el sistema de recomendación. Queriendo abordar cuestiones que afectan directamente al usuario, el Reglamento impone a estas plataformas —art. 25— la obligación de no diseñar interfaces «de manera que engañen o manipulen a los destinatarios del servicio o de manera que distorsionen u obstaculice sustancialmente de otro modo la capacidad de los destinatarios de su servicio de tomar decisiones libres e informadas».

La ambigüedad del precepto, entendemos que deliberada, queda completada con el mandato a la Comisión para que publique directrices sobre la aplicación de lo antedicho a situaciones específicas que podrían resumirse en aquellas interfaces que condicionan el «libre albedrío» del usuario a la hora de elegir diferentes opciones dentro de una página web o las trabas para poner fin al servicio del que se trate.

Por su parte, el art. 27 deberán dar cuenta de manera clara de los criterios que emplean en sus sistemas de recomendación, debiendo dar opción a los usuarios de que modifiquen estos criterios.

g) Publicidad en las plataformas. Este es otro punto importante y que todos los usuarios hemos podido ver en los últimos meses (69) . En línea con la idea de empoderar a los usuarios, la norma obliga a identificar de manera clara las informaciones que constituyan anuncios publicitarios, debiendo poder identificarse al anunciante.

h) Protección de los menores en línea. Este breve precepto introduce las líneas básicas de actuación del Reglamento en relación con la protección de menores. Promulga la obligación general para los prestadores de plataformas que sean accesibles para menores —art. 28.1º— de establecer «medidas adecuadas y proporcionadas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en su servicio». El desarrollo específico de este principio general deberá ser desarrollado por la Comisión, de acuerdo con el punto cuatro del mismo art.. Podríamos plantearnos en este punto si sería deseable la elaboración de una norma específica que abordara monográficamente la protección de menores en Internet. A nuestro juicio, las medidas impuestas por el Reglamento, sumadas a los esfuerzos legislativos nacionales —como el Anteproyecto de Ley español al que nos hemos referido— pueden generar un ecosistema legislativo que aborde los grandes temas.

Adicionalmente, el texto prohíbe la presentación de anuncios basados en la elaboración de perfiles para los que se utilicen datos personales, cuando puedan considerar que el destinatario va a ser menor de edad, todo ello sin necesidad de tratar datos personales adicionales con este fin.

11. Normas específicas para plataformas que permiten a consumidores celebrar contratos a distancia con comerciantes

Nuevamente nos encontramos ante un fenómeno de amplia repercusión práctica, como es de la posibilidad de realizar transacciones económicas con comerciantes a través de las plataformas. La flexibilidad en la operativa de estos proveedores es enormemente compleja, ya que en la actualidad los servicios que ofrecen las plataformas se mezclan la pura difusión de información, con una muy eficaz plataforma publicitaria en la que, a menudo, pueden cerrarse transacciones directamente.

Si bien la exclusión de pequeñas empresas y microempresas es compartida con el punto anterior, se introducen obligaciones específicas que, aunque en la línea de las anteriores, tienen algunas particularidades, que señalaremos a continuación.

a) Trazabilidad. Estas plataformas que, recordemos, no son meras «tiendas online», deberán contar con una información mínima a la hora de promocionar productos o servicios. Se trata de identificar de manera suficiente al vendedor en aras, así lo entendemos, de garantizar transacciones seguras en las que pueda hacerse responsable a una persona física o jurídica concreta en caso de existir alguna controversia. Nombre, dirección, número de teléfono, cualquier identificación electrónica, datos de la cuenta de pago, datos de la inscripción en el registro mercantil correspondiente —si existiera dicha inscripción— y una certificación del comerciante comprometiéndose a vender productos u ofrecer servicios que no resulten ilegales son los elementos que exige el art. 30.

De acuerdo con la información recogida, la plataforma podrá negarse a promocionar el producto o servicio, ante lo que el comerciante también tendrá derecho de reclamación.

b) Información al consumidor. En la misma línea, el vendedor deberá ofrecer información al usuario-consumidor sobre su identidad, la licitud del producto y las eventuales vías de reclamación.

12. Obligaciones para prestadores y motores de búsqueda de gran tamaño en relación con los denominados «riesgos sistémicos»

A) Sobre la designación de plataformas de muy gran tamaño

En el art. 33 se establece que las plataformas en línea de muy gran tamaño serán designadas cuando alcancen un umbral significativo de usuarios activos mensuales, concretamente se marca la línea en cuarenta y cinco millones de usuarios, que resulta ser el equivalente —aproximado— al diez por ciento de la población de la UE.

Si bien no se menciona directamente, el impacto de estas plataformas en colectivos vulnerables como los menores resulta más que evidente —siendo «responsables» de más de uno de los riesgos a los que nos referíamos al comienzo de este trabajo— por lo que su identificación es clave para poder ejercer un control más estricto en aras a la mitigación, en la medida de los posible, de los riesgos.

a) Gestión de riesgos sistémicos, auditoría independientes y protocolo de crisis. A continuación —arts. 34-36—, el texto obliga a estas plataformas a identificar y analizar riesgos significativos que puedan producirse por su funcionamiento. Concretamente estamos refiriéndonos a cuestiones como la difusión de contenidos ilícitos, la manipulación de contenidos y posibles efectos restrictivos de derechos fundamentales. Incluye además la necesidad de tomar medidas para paliar estos riesgos, para lo que el art. 35 da una lista de medidas —no cerrada—, que aluden a muy numerosas cuestiones dentro de la operativa de estas empresas, desde la adaptación de las condiciones generales a la adaptación de los sistemas algorítmicos (70) —cuestión esencial sin duda—, mejor coordinación/cooperación con los alertadores fiables o medidas de concienciación.

En caso de producirse una «crisis», la Comisión —que juega un papel fundamental a la hora de implementar de manera efectiva el Reglamento y que es la encargada de fiscalizar la actividad de los «muy grandes prestadores»— podrá exigir a las plataformas la adopción de medidas para mitigar los efectos de dicha crisis. Asimismo, el art. 48 posibilita que la Comisión, en situaciones extraordinarias que puedan afectar a la seguridad o salud pública, elabore —junto con los propios operadores— protocolos de crisis para hacer frente a estas situaciones.

Es clara la necesidad de identificar estos riesgos para proteger eficazmente a la población vulnerable. La correcta identificación de la difusión de contenidos ilícitos o situaciones de acoso o explotación de menores en línea redundaría en la mitigación de uno de los grandes riesgos de estas tecnologías respecto de los menores. Con todo, la inacción —o, al menos, falta de proactividad— de estas plataformas, es recurrentemente puesta en evidencia y requiere de una supervisión externa, para lo que —además de la figura de los alertadores fiables— se introduce la figura de las auditorías independientes en el art. 37.

b) Auditorías independientes y acceso a los datos por parte de la Comisión y los Coordinadores de Servicios Digitales. Estas plataformas deberán someterse —art. 37— a auditorías anuales realizadas por entidades independientes, entidades que deberán certificar el cumplimiento de las obligaciones del reglamento. En el mejor de los casos, este sería un elemento de control que, en la práctica, debería promover altos niveles de transparencia y de efectiva toma de medidas por parte de las plataformas. Aunque es pronto para evaluar la eficacia de este precepto, debemos estar atentos a cómo se están realizando estas auditorías y hasta qué punto son capaces de destapar situaciones potencialmente ilícitas, también y especialmente, para colectivos que merecen una protección reforzada.

Adicionalmente, así lo indica el art. 40, estos prestadores de servicios deberán dar acceso a la Comisión o a los coordinadores de servicios digitales correspondientes a los datos necesarios para un efectivo seguimiento que determine que su actividad se corresponde con las obligaciones del reglamento.

c) Códigos de conducta. En aras a la implementación práctica de una norma, en ocasiones, ambigua en sus términos, el reglamento prevé el fomento por parte de la Comisión y la Junta (71) de códigos de conducta generales —art. 46— a los que hay que añadir la previsión de creación de códigos de conducta específicos en materia de publicidad y accesibilidad.

Para el primero de ellos, la Comisión «podrá invitar» a los prestadores de estos servicios o a autoridades competentes, organizaciones de la sociedad civil y demás interesadas, a participar en la elaboración de estos códigos que pretenden lograr —pecando quizá de cierto idealismo— compromisos para la adopción de medidas específicas de reducción de los —probablemente— numerosos riesgos sistémicos a los que se refiere este apartado de la norma.

En tanto en cuanto la movilización de diferentes instituciones para paliar riesgos a colectivos vulnerables es significativa en muchos ámbitos, es esperable que actúen también en este caso, si bien habrá que prestar atención al nivel de compromiso con estos códigos de conducta que puedan mostrar las plataformas y motores de búsqueda.

La alusión específica a cuestiones como publicidad y accesibilidad da cuenta de la naturaleza nuclear que ambas tienen para el legislador. La publicidad es recibida, de manera más o menos intencionada o dirigida, por menores, cuya capacidad crítica a la hora de consumirla se presupone menor a la de un adulto, lo que, indudablemente, redunda en la necesidad de establecer todas las cautelas en este ámbito.

13. Supervisión y aplicación de la norma

A) Los coordinadores de servicios digitales como punta de lanza sobre el terreno

El reglamento apuesta por la descentralización de la aplicación general de la norma —con la salvedad de las prerrogativas exclusivas de la Comisión que veremos a continuación— creando —art. 49— la figura del Coordinador de Servicios Digitales (DSC de Digital Services Coordinator) como autoridad principal, designada por cada Estado miembro, para supervisar el cumplimiento de la norma. Estos deberán mantener total independencia en sus funciones, actuar con imparcialidad, transparencia y oportunidad, deberán ser dotados de recursos suficientes para llevar a cabo sus tareas y ejercerán sus facultades de manera objetiva y proporcional

Las competencias más destacadas atribuidas a estos órganos por parte de reglamento serán:

• a) Iniciativa para llevar a cabo investigaciones en el marco de la norma.
• b) Para ello tendrá autoridad para solicitar información/datos de los prestadores y realizar inspecciones (del modo en que hemos visto).
• c) Tendrán además capacidad para aceptar compromisos vinculantes de los prestadores.
• d) Poder para ordenar el cese de comportamientos incompatibles con la norma por parte de los prestadores y la eventual imposición de multas (de acuerdo con el régimen sancionador que veremos a continuación).
• e) Podrán, además, adoptar medidas provisionales en casos extraordinarios y urgentes.

El procedimiento para las solicitudes de información se detalla en el art. 51 e incluye amplios poderes, pudiendo requerir a los prestadores acceso a datos sensibles, como los algoritmos. También serán —art. 52— considerables las prerrogativas que les otorga el Reglamento en materia de investigación, teniendo capacidad de realizar inspecciones, solicitar explicaciones verbales o designar auditores.

Las citadas medias provisionales, en casos urgentes, tendrán una duración máxima de tres meses, siempre proporcionales y justificadas, e incluirán la posibilidad de suspender el servicio del prestador.

Los compromisos —voluntarios— con los prestadores, a los que nos hemos referido, podrán ser vinculantes, llevando su incumplimiento acarreadas posibles sanciones. Los coordinadores tendrán la facultad —y casi la obligación— de comprobar la implementación efectiva de dichos compromisos.

Para el efectivo desempeño de sus funciones a nivel de todos los Estados miembros, el reglamento prevé un marco para el intercambio de información —ex art. 55— entre los diferentes coordinadores estatales, estableciendo mecanismos de cooperación transfronteriza, protocolos para el intercambio seguro de datos y salvaguardas para la información confidencial.

B) Delimitación competencial de los Estados y la Comisión

En Reglamento establece la regla general de que los Estados deberán velar por el cumplimiento de la norma de los prestadores localizados en su territorio, reservando sin embargo una serie de competencias cuya supervisión y cumplimiento será directamente responsabilidad de la Comisión.

Estas serán, primero, todas las obligaciones relativas a los prestadores y motores de búsqueda de muy gran tamaño —con la salvedad establecida por el art. 56.4— y las cuestiones reguladas por la sección 5 del capítulo III, relativas a los riesgos sistémicos de las plataformas de muy gran tamaño, analizadas en páginas anteriores.

En aplicación de estas competencias exclusivas de la Comisión, los arts. 64 a 83 establecen un régimen de obtención de información, inspección y supervisión paralelo, y similar en sus términos, al anteriormente citado para los DSC. Si bien cuenta con algunas particularidades, las limitaciones del formato del presente trabajo permiten únicamente remitir al lector a los citados preceptos —posponiendo su análisis exhaustivo a trabajos posteriores— más allá del régimen sancionador al que nos referimos en el siguiente punto.

C) Indemnizaciones

Con independencia del régimen sancionador al que nos referiremos a continuación, el Reglamento —arts. 53 y 54— incorpora la posibilidad de presentar una reclamación contra el prestador de servicios por parte de «los destinatarios del servicio y todos los organismos, organizaciones o asociaciones autorizados a ejercer en su nombre los derechos conferidos por el presente Reglamento» ante supuestos de infracción del Reglamento y se presentará ante el coordinador de servicios digitales del Estado miembro del destinatario del servicio. Se prevé un procedimiento contradictorio de acuerdo con el Derecho nacional.

Por su parte, el art. 54 prevé la posibilidad, adicional, de solicitar contra el prestador indemnización por daños o perjuicios «sufrido como consecuencia del incumplimiento por parte de dichos prestadores de sus obligaciones en virtud del presente Reglamento».

D) Sanciones

El régimen sancionador del Reglamento es, de modo análogo al sistema de inspección y supervisión visto en el punto precedente, doble. El régimen general será el aplicado por los Estados (72) y el reforzado, respecto de los prestadores sobre los que la Comisión tiene competencia exclusiva, lo ejecutará esta. Las sanciones deberán ser siempre «efectivas, proporcionadas y disuasorias» y, en el caso de las impuestas por os Estados, deberán también ser comunicadas a la Comisión.

El ambos casos —idénticamente a otros regímenes sancionadores contenidos en otras normas europeas—, se prevén multas —por incumplimiento— y multas coercitivas —para «forzar» el cumplimiento—, con idénticos límites porcentuales sobre el volumen de facturación, pero con algunos matices respecto del fundamento de la sanción, más detallados en el caso de las impuestas por la Comisión. El importe máximo será pues, para aquellas adoptadas por los Estados —art. 52— del:

• — 6 % del volumen de negocios anual en todo el mundo del prestador de servicios intermediarios de que se trate en el ejercicio fiscal anterior por incumplimientos de obligaciones generales del Reglamento.
• — 1 % de los ingresos anuales, o del volumen de negocios anual en todo el mundo, del prestador de servicios intermediarios o de la persona de que se trate en el ejercicio fiscal anterior por proporcionar información incorrecta, incompleta o engañosa, por no responder o por no rectificar información incorrecta, incompleta o engañosa y por no someterse a una inspección sea del. 4.
• — En el caso de las multas coercitivas el importe máximo de la multa será del 5 % del promedio diario del volumen de negocios en todo el mundo o de los ingresos del prestador de servicios intermediarios de que se trate en el ejercicio fiscal anterior por día, calculado a partir de la fecha especificada en la decisión.

Para el caso de las sanciones impuestas por la Comisión, las multas —art. 73— estarán limitadas al:

• — 6 % del total de su volumen de negocios anual en todo el mundo en el ejercicio fiscal anterior cuando constate que dicho prestador, de forma «intencionada o por negligencia» infringe las disposiciones del Reglamento, incumple una decisión de medidas cautelares o incumple un compromiso declarado vinculante.
• — 1 % del total de sus ingresos o volumen de negocios anuales en todo el mundo del ejercicio fiscal anterior cuando, entre otras, de «forma intencionada o por negligencia» proporcionen información incorrecta, incompleta o engañosa; no responda a la solicitud de información mediante decisión en el plazo establecido; no rectifiquen en el plazo determinado por la Comisión, la información incorrecta, incompleta o engañosa; se niegue a someterse a una inspección.
• — El caso de las multas coercitivas —art. 76— se prevé la adopción de estas con un límite del 5 % del promedio diario de los ingresos o del volumen de negocios anuales en todo el mundo del ejercicio fiscal anterior por día, calculados a partir de la fecha fijada por la decisión, con el objetivo específico de obligar a los prestadores a proporcionar información correcta y completa en respuesta a una decisión que requiera información; someterse a una inspección; cumplir con una decisión por la que ordene medidas cautelares; cumplir compromisos declarados legalmente vinculantes o con decisiones adoptadas por la Comisión en aplicación del art. 73.

VI. Conclusiones

El presente trabajo ha querido plantear una visión completa y general de un tema tremendamente amplio y diverso y ofrecer, o abrir, algunas líneas para la investigación jurídica que recibirán un tratamiento monográfico específico.

Las amenazas a las que las que nos somete el uso de algunos servicios online han quedado de manifiesto y cuentan con abundante respaldo desde sectores educativos y sanitarios, así como la necesidad de abordar la cuestión desde la perspectiva de la protección de determinados colectivos como los menores de edad.

Los retos legislativos descritos, en general, pasan por:

• — Configurar sistemas de verificación de edad efectivos —y tecnológicamente sencillos hoy en día.
• — Establecer controles sobre la privacidad y la protección de datos de menores, y sobre el consentimiento a su tratamiento y uso para determinados fines, que deberían estar muy restringidos.
• — En línea con lo anterior, establecer un marco legislativo que proteja al menor en su condición consumidor vulnerable, restringiéndose o regulándose la publicidad que reciben o las posibles transacciones que puedan hacer en línea.
• — Implicar a los proveedores de servicios, para que tomen un papel activo en el control de contenidos inapropiados o comportamientos de acoso, difamación o análogos.

Es importante destacar que el papel de las políticas preventivas al que hemos hecho alusión debería constituir una de las prioridades. La percepción general de inocuidad del uso de determinados servicios o aplicaciones va quedando atrás, y estamos ante una sociedad cada vez más informada y formada sobre estos riesgos. Los planes citados, dentro de la Estrategia Europea o a nivel nacional español, plantean numerosas acciones formativas, para los propios menores, pero también para formadores, sanitarios, etc.

Entrando en terreno puramente jurídico, se trata de una problemática que requiere diferentes abordajes e implica múltiples disciplinas jurídicas para su análisis. Sin ánimo de exhaustividad, hemos tratado de exponer las principales respuestas legislativas en los diferentes ámbitos implicados.

En la esfera de los datos personales, el RGPD, por su parte, se erige como un texto sólido para la defensa de estos derechos e incluye preceptos específicos sobre menores de edad. El consentimiento y el derecho al olvido son cuestiones centrales en un colectivo que no tiene, aún, capacidad para tomar decisiones legalmente vinculantes sobe este particular.

Respecto de la implicación y la responsabilidad de los prestadores de servicios online, la LSD —junto con las normas nacionales que sin duda irán aflorando— contribuye a establecer un régimen de responsabilidad de las plataformas, sujeto, todo hay que decirlo, a unos supuestos de exención bastante amplios y sin obligaciones directas de supervisión de contenidos —preceptos como el art. 8 exime a los prestadores de servicios de obligación de «monitorización o búsqueda activa»—, lo que pone de manifiesto el importante papel de la figura de los alertadores fiables, cuyas potencialidades —a juzgar por el número de entidades publicada por la Comisión— están lejos de suponer un instrumentos realmente eficaz.

Bien es cierto que, ante posibles incumplimientos, el Reglamento introduce un régimen sancionador con sumas potencialmente muy cuantiosas, cuya aplicación dará cuenta de la efectividad de los sistemas de aplicación y supervisión de la norma.

En el concreto objeto de estudio, los preceptos específicos sobre menores son escasos, aunque el conjunto de las normas del Reglamento también cubre implícitamente los riesgos a los que se enfrenta este colectivo. La alusión a la obligación general para los prestadores de plataformas accesibles para menores —art. 28.1— de establecer «medidas adecuadas y proporcionadas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en su servicio» resulta algo genérica, e invita a los legisladores nacionales a actuar para proponer medidas específicas. Sobre este particular, en España, el citado Anteproyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales invita a un cierto optimismo.

Adicionalmente, el RSD prohíbe la presentación de anuncios basados en la elaboración de perfiles para los que se utilicen datos personales, cuando puedan considerar que el destinatario va a ser menor de edad, todo ello sin necesidad de tratar datos personales adicionales con este fin.

Volviendo al primero de los retos apuntados en este capítulo de conclusiones, muchas de las cuestiones controvertidas dependen de la posibilidad de identificar de manera eficaz a los menores en el uso de estas tecnologías. Este es uno de los elementos centrales de numerosas de las legislaciones comentadas, por ejemplo, en EE.UU. Por lo tanto, la implementación definitiva de soluciones como la cartera de Identidad Digital Europea está llamada a ser fundamental para lograr el objetivo descrito.

En definitiva, estamos ante un problema con muy heterogéneas derivadas que requiere respuestas transversales. Ante un fenómeno intrínsecamente deslocalizado-transnacional como es este, cabría una reflexión sobre la posibilidad de desarrollar estrategias legislativas a nivel global que muestre unidad ante los poderes fácticos que constituyen estas empresas tecnológicas.

VII. Bibliografía

• — BRITO IZQUIERDO, N., «Tratamiento de los datos personales de menores de edad en la nueva normativa europea protectora de datos personales», Actualidad Civil, n.^o 5, mayo de 2018.
• — BROADBENT, M., «The Digital Services Act, the Digital Markets Act, and the New Competition Tool European Initiatives to Hobble U.S. Tech Companies», Center for Strategic and International studies (Washington DC), noviembre 2020. https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/201109_Broadbent_Digital_Services_Act_Digital_Markets_Acts.pdf
• — BURI, I. y VAN HOBOKEN, J., «The Digital Services Act (DSA) proposal: a critical overview», Digital Services Act (DSA) Observatory Institute for Information Law (IViR), University of Amsterdam Discussion paper – version of 28 October 2021. Disponible en: https://dsa-observatory.eu/wp-content/uploads/2021/11/Buri-Van-Hoboken-DSA-discussion-paper-Version-28_10_21.pdf.
• — BUSCH, C. y MAK, V., «Putting the Digital Services Act into Context: Bridging the Gap between EU Consumer Law and Platform Regulation», 10 Journal of European Consumer and Market Law (EuCML), 1 de mayo de 2021, 109, European Legal Studies Institute Osnabrück Research Paper series, No. 21-03. Disponible en SSRN: https://ssrn.com/abstract=3933675 o http://dx.doi.org/10.2139/ssrn.3933675.
• — CHANDER, A., «When the Digital Services Act Goes Global», Berkeley Technology Law Journal, Vol. 38, 2023. https://doi.org/10.15779/Z38RX93F48.
• — CHIARELLA, M.L., «Digital Markets Act (DMA) and Digital Services Act (DSA): New Rules for the EU Digital Environment», Athens Journal of Law – Volume 9, Issue 1, enero 2023 – pp. 33-58. Disponible en: https://www.athensjournals.gr/law/2023-9-1-2-Chiarella.pdf.
• — COROADO, S., «Leviathan vs Goliath or States vs Big Tech and what the digital services act can do about it», Working Papers, Forum Transregionale Studien 25/2023 DOI: https://doi.org/10.25360/01-2023-00038.
• — DAVARA FERNÁNDEZ DE MARCOS, L., «Los menores en el Reglamento General de Protección de Datos (LA LEY 6637/2016): cuestiones de interés (Comentario al art. 8 RGPD (LA LEY 6637/2016))», en TRONCOSO REIGADA, A. (dir.), Comentario al Reglamento General de Protección de Datos (LA LEY 6637/2016) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LA LEY 19303/2018) (tomo I), Civitas, Pamplona, 2021.
• — DE NOVA LABIÁN, A. J., «La Diligencia Debida De Las Plataformas En línea Dentro Del Reglamento Europeo De Servicios Digitales», Cuadernos Europeos De Deusto, n.^o 70 (abril), pp. 99-131. https://doi.org/10.18543/ced.2991.
• — FERNÁNDEZ PÉREZ, A., «La protección de los derechos fundamentales de los menores en Internet desde la perspectiva europea.» Ius et Praxis, Vol. 22, núm.1, pp.377-415. Disponible en : https://www.redalyc.org/articulo.oa?id=19746570011.
• — GARRIGA DOMÍNGUEZ, A., «Las exigencias de transparencia para los sistemas algorítmicos de recomendación, selección de contenidos y publicidad en línea en el nuevo Reglamento Europeo de Servicios Digitales», Revista Española De La Transparencia, 17 Extra, pp. 137-164. https://doi.org/10.51915/ret.309.
• — GALANTINO, S., «How Will the EU Digital Services Act Affect the Regulation of Disinformation?», Scripted, volume 20, n.^o 1, febrero 2023, pp. 89-129.
• — HELBERGER, N. y SAMUELSON, P., «Will the EU’s Digital Services Act Become a Global Transparency Regime?» (March 1, 2024). Verfassungsblog, 1 de marzo de 2024. Disponible en SSRN https://ssrn.com/abstract=4783341.
• — KELLER, D., «The EU’s new Digital Services Act and the Rest of the World» Verfassungsblog, 7 de noviembre de 2022. Disponible en https://verfassungsblog.de/dsa-rest-of-world/, DOI: 10.17176/20221107-215642-0.
• — KOSTERS, L. y GSTREIN, O. J., «TikTok and Transparency Obligations in the EU Digital Services Act (DSA) – A Scoping Review», Zeitschrift für Europarechtliche. Studien (ZEuS), 01/2024. DOI: 10.5771/1435-439X-2024-1-110. Disponible en SSRN: https://ssrn.com/abstract=4652543 o http://dx.doi.org/10.2139/ssrn.4652543.
• — LANNING, K., «The Evolution of Grooming: Concept and Term», Journal of Interpersonal Violence, 33, 2018, pp. 16-5. https://doi.org/10.1177/0886260517742046.
• — LÓPEZ‐VIDRIERO TEJEDOR, I., «Novedades que introduce el paquete del reglamento de servicios digitales y algunos de sus paralelismos con el RGPD», Derecho Digital e Innovación, n.^o 14, octubre de 2022.
• — MADRID PARRA, A., «Aproximación inicial a los Reglamentos Europeos sobre servicios y mercados digitales (1)», La Ley Unión Europea, n.^o 110, enero de 2023, pp.1-27.
• — MATTACE, G., «La protección de los datos personales de los niños en el espacio digital», Actualidad Jurídica Iberoamericana, n.^o 20, febrero 2024, pp.1418-1439.
• — MIGUEL ASENSIO, P.A. de., «Derecho a indemnización en materia de datos personales», Cuadernos de Derecho Transnacional, 16(2), 487-500. https://doi.org/10.20318/cdt.2024.8925.
• — : «Redes sociales y datos personales: bases jurídicas para el tratamiento e implicación de las autoridades de defensa de la competencia», La Ley Unión Europea, n.^o 118, 2023
• — : «Reglamento General de Protección de Datos (LA LEY 6637/2016): coordinación entre la aplicación pública y la aplicación privada», La Ley Unión Europea, Número 112, marzo 2023, pp. 1-5.
• — : «Obligaciones de diligencia y responsabilidad de los intermediarios: el Reglamento (UE) de Servicios Digitales», La Ley: Unión Europea, n.^o 109, diciembre 2022, pp. 1-47.
• — : «Competencia y derecho aplicable en el Reglamento General sobre Protección de datos de la Unión Europea», Revista Española de Derecho Internacional, vol. 69/1, enero-junio 2017, pp. 75-108 http://dx.doi.org/10.17103/redi.69.1.2017.1.03.
• — MONJAS GONZÁLEZ, S., «Relevancia del reglamento de ley de servicios digitales para las autoridades reguladoras del audiovisual», Información Comercial Española, ICE: Revista de economía, n.^o 925.
• — MORAIS CARVALHO, F., ARGA LIMA, F., FARINHA, M., «Introduction to the Digital Services Act, content moderation and consumer protection», Revista de Direito e Tecnologia, vol. 3 (2021), no. 1, pp. 71-104. Disponible en: https://blook.pt/publications/publication/079dbcfa6aea/.
• — NOVA LABIÁN, A.J. de., «La diligencia debida de las plataformas en línea dentro del reglamento europeo de servicios digitales», Cuadernos Europeos de Deusto, n.^o 70, 2024. doi: https://doi.org/10.18543/ced.2991.
• — NUNZIATO, D. C., «The Digital Services Act and the Brussels Effect on Platform Content Moderation, «Chicago Journal of International Law»: Vol. 24: No. 1, art. 6. Disponible en: https://chicagounbound.uchicago.edu/cjil/vol24/iss1/6.
• — RODRIGUEZ AYUSO, J.F., «The Provision by Public Authorities of Safe Environments for Particularly Sensitive Citizen Interaction: The Situation at the European Level», Revista Digital de Derecho Administativo, n.^o 26, segundo semeste/2021, pp. 285-310;
• — : «La garantía de la privacidad de los menores de edad», Actualidad Jurídica Iberoamericana, N.^o 13, 2020, pp. 1004-1023.
• — SAVIN, A., «The EU Digital Services Act: Towards a More Responsible Internet», openhagen Business School, CBS LAW Research Paper No. 21-04, Journal of Internet Law. Disponible en: https://ssrn.com/abstract=3786792.
• — TAPIA HERMIDA, A.J., «Los 20 principios básicos de la Digitalización Mercantil Europea: las Leyes europeas de mercados y servicios digitales», Diario La Ley, n.^o 10251, sección Tribuna, 20 de marzo de 2023.
• — TORRES GUAJARDO, I. de., «Incidencia del uso de internet en los derechos fundamentales de los menores», Boletín Digital Civil, Asociación de Jueces y Magistrados Francisco de Vitoria, n.^o 19, noviembre 2017.
• — TOURKOCHORITI, I., «The Digital Services Act and the EU as the Global Regulator of the Internet», 24 Chicago Journal of International Law Vol. 24: No.1, art. 7. Disponible en https://chicagounbound.uchicago.edu/cjil/vol24/iss1/7.
• — VV. AA. (Dir.) Arenas Ramiro, M. y Ortega Giménez, A., Protección de datos. Comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en relación con el RGPD), Editorial Jurídica Sepin, 2019.
• — WILMAN, F., «The Digital Services Act (DSA) – An Overview», 16 de diciembre de 2022. Disponible en SSRN: https://ssrn.com/abstract=4304586 o http://dx.doi.org/10.2139/ssrn.4304586.
• — YADAV, S., & CHAKRABORTY, P., 2021. «Child-smartphone interaction: relevance and positive and negative implications.» Universal Access in the Information Society, 21, pp. 573-586. https://doi.org/10.1007/s10209-021-00807-1.
• — ZHENG WEI, J.T, ZUFALL, F. y JIA, R., «Operationalizing Content Moderation «Accuracy» in the Digital Services Act», Proceedings of the Seventh AAAI/ACM Conference on AI, Ethics, and Society (AIES2024). Disponible en https://ojs.aaai.org/index.php/AIES/article/view/31744/33911.

(1)

https://digital-strategy.ec.europa.eu/es/news/commission-sends-request-information-illegal-content-and-protection-minors-pornhub-xvideos-and?pk_campaign=Shaping%20Europe%27s%20Digital%20Future%20website%20updates&pk_medium=email&pk_source=ec_newsroom

Ver Texto

(2)

Concretamente: Pornhub, XVideos y Stripchat.

Ver Texto

(3)

https://www.wsj.com/articles/the-facebook-files-11631713039

Ver Texto

(4)

Véase K. Lanning, «The Evolution of Grooming: Concept and Term», Journal of Interpersonal Violence, 33, 2018, pp. 16-5. https://doi.org/10.1177/0886260517742046.

Ver Texto

(5)

Véase entre otros A. Fernández Pérez, «La protección de los derechos fundamentales de los menores en Internet desde la perspectiva europea», Ius et Praxis, vol. 22, n^o 1, pp. 377-415. Disponible en: https://www.redalyc.org/articulo.oa?id=19746570011.

Ver Texto

(6)

Sobre los derechos fundamentales de la infancia, véase I. de Torres Guajardo, «Incidencia del uso de internet en los derechos fundamentales de los menores», Boletín Digital Civil, Asociación de Jueces y Magistrados Francisco de Vitoria, n^o 19, noviembre 2017.

Ver Texto

(7)

Convención sobre los Derechos del Niño, adoptada por la Asamblea General de las Naciones Unidas el 20 de noviembre de 1989 (LA LEY 3489/1990) (En España: instrumento de ratificación BOE 31.12.1990).

Ver Texto

(8)

Sobre las ventajas o inconvenientes del uso de smartphones en menores, véase entre otros: S. Yadav y P. Chakraborty, 2021. «Child-smartphone interaction: relevance and positive and negative implications.» Universal Access in the Information Society, 21, pp. 573-586. https://doi.org/10.1007/s10209-021-00807-1.

Ver Texto

(9)

https://www.lavanguardia.com/vida/20230602/9013216/escuelas-suecas-dan-marcha-pantallas-vuelven-libros.html

Ver Texto

(10)

G. Mattace, «La protección de los datos personales de los niños en el espacio digital», Actualidad Jurídica Iberoamericana, n^o 20, febrero 2024, pp.1418-1439, p. 1425.

Ver Texto

(11)

Sobre este particular: L. Davara Fernández de Marcos, «Los menores en el Reglamento General de Protección de Datos (LA LEY 6637/2016): cuestiones de interés (Comentario al art. 8 RGPD (LA LEY 6637/2016))», en A. Troncoso Reigada (dir.), Comentario al Reglamento General de Protección de Datos (LA LEY 6637/2016) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LA LEY 19303/2018) (tomo I), Civitas, Pamplona, 2021; N. Brito Izquierdo, «Tratamiento de los datos personales de menores de edad en la nueva normativa europea protectora de datos personales», Actualidad Civil, n^o 5, mayo de 2018; J.F. Rodriguez Ayuso, «La garantía de la privacidad de los menores de edad», Actualidad Jurídica Iberoamericana, n^o 13, 2020, pp. 1004-1023.

Ver Texto

(12)

El Reglamento da la posibilidad a los Estados de reducir esta edad a trece años. En España, la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su art. 7 (LA LEY 19303/2018), establece que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. En la actualidad, el Anteproyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales, aprobado en junio de 2024, prevé el aumento de la edad de a dieciséis años.

Ver Texto

(13)

Véase A.J. de Nova Labián, «La diligencia debida de las plataformas en línea dentro del reglamento europeo de servicios digitales», Cuadernos Europeos de Deusto, n^o 70, 2024. doi: https://doi.org/10.18543/ced.2991, p.114.

Ver Texto

(14)

Anteproyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales. https://www.mpr.gob.es/servicios/participacion/Documents/ANTEPROYECTO%20DE%20LEY%20ORG%C3%81NICA%20PARA%20LA%20PROTECCI%C3%93N%20DE%20LAS%20PERSONAS%20MENORES%20DE%20EDAD%20EN%20LOS%20ENTORNOS%20DIGITALES.pdf

Ver Texto

(15)

Concretamente: «Art. 2. Derechos de las personas menores de edad. 1. Las personas menores de edad tienen derecho a ser protegidas eficazmente ante contenidos digitales que puedan perjudicar su desarrollo. 2. Las personas menores de edad tienen derecho a recibir información suficiente y necesaria en una forma y lenguaje apropiado según la edad sobre el uso de las tecnologías, así como de sus derechos y de los riesgos asociados al entorno digital. 3. Las personas menores de edad tienen derecho al acceso a la información, a la libertad de expresión, y a ser escuchadas. 4. Las personas menores de edad tienen derecho al acceso equitativo y efectivo a dispositivos, conexión y formación para el uso de herramientas digitales.»

Ver Texto

(16)

Véase supra sobre la «Identidad digital europea».

Ver Texto

(17)

https://www.ces.es/documents/10180/5295981/Dic072024.pdf/84be5e27-56bf-b5fb-0dec-1044a447365e

Ver Texto

(18)

http://www.coe.int/children – https://rm.coe.int/guia-para-ninos-ninas-y-adolescentes-sobre-la-estrategia-del-consejo-d/1680ae9c6c

Ver Texto

(19)

https://ec.europa.eu/commission/presscorner/detail/es/ip_22_2825

Ver Texto

(20)

Puede descargarse en el siguiente enlace: https://op.europa.eu/en/publication-detail/-/publication/8e18982d-0db6-11ef-a251-01aa75ed71a1

Ver Texto

(21)

Sobre el posible conflicto entre la DSA y la legislación de los EEUU véase I. Tourkochoriti, «The Digital Services Act and the EU as the Global Regulator of the Internet», Chicago Journal of International Law, vol. 24, n^o 1, art. 7. Disponible en https://chicagounbound.uchicago.edu/cjil/vol24/iss1/7, pp.144-146.

Ver Texto

(22)

Se pueden consultar las directrices, así como otras iniciativas de la UIT en el siguiente enlace: https://www.itu-cop-guidelines.com/

Ver Texto

(23)

Children's Online Privacy Protection Act of 1998, 15 U.S.C. 6501-6505

Ver Texto

(24)

https://www.congress.gov/bill/104th-congress/senate-bill/314/text

Ver Texto

(25)

Se trata de una cuya reforma está siendo estudiada en la actualidad.

Ver Texto

(26)

«CDA 230: The Most Important Law Protecting Internet Speech», Electronic Frontier Found., https://www.eff.org/issues/cda230.

Ver Texto

(27)

https://www.fcc.gov/consumers/guides/ley-de-proteccion-de-la-infancia-en-internet-childrens-internet-protection-act-cipa.

Ver Texto

(28)

https://www.ftc.gov/legal-library/browse/statutes/protecting-children-21st-century-act.

Ver Texto

(29)

«Data Protection Impact Assessment for any online service, product, or feature likely to be accessed by children»

Ver Texto

(30)

https://arkleg.state.ar.us/Bills/Detail?id=sb396&;ddBienniumSession=2023%2F2023R

Ver Texto

(31)

No vigente en la fecha de publicación del presente trabajo.

Ver Texto

(32)

https://socialmedia.utah.gov/

Ver Texto

(33)

https://law.lis.virginia.gov/vacodefull/title59.1/chapter53/

Ver Texto

(34)

https://pluralpolicy.com/blog/illinois-hb-5380/

Ver Texto

(35)

https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/childrens-information/childrens-code-guidance-and-resources/introduction-to-the-childrens-code/

Ver Texto

(36)

https://www.legislation.gov.uk/ukpga/2023/50

Ver Texto

(37)

https://www.legislation.gov.au/C2021A00076/latest/text

Ver Texto

(38)

https://www.meity.gov.in/writereaddata/files/Information%20Technology%20%28Intermediary%20Guidelines%20and%20Digital%20Media%20Ethics%20Code%29%20Rules%2C%202021%20%28updated%2006.04.2023%29-.pdf

Ver Texto

(39)

«Configurar el futuro digital de Europa», una de las prioridades de la Comisión Europea en la actualidad, véase https://digital-strategy.ec.europa.eu/es/policies.

Ver Texto

(40)

Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo de 14 de septiembre de 2022 (LA LEY 21630/2022) sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 (LA LEY 17913/2019) y (UE) 2020/1828 (LA LEY 23718/2020) (Reglamento de Mercados Digitales).

Ver Texto

(41)

Tendrán esta consideración mercados online, motores de búsqueda (como Google), redes sociales (como TikTok o Instagram), servicios en la nube o servicios publicitarios.

Ver Texto

(42)

Volumen de negocios anual de un mínimo de 7.500.000.000€ en la UE los últimos tres ejercicios o una valoración de mercado de al menos 75.000.000.000€ a lo que se debe sumar un mínimo de cuarenta y cinco millones de usuarios finales en la UE y al menos diez mil usuarios profesionales.

Ver Texto

(43)

Para la lista completa de plataformas consideradas guardianes de acceso consultar: https://digital-markets-act-cases.ec.europa.eu/gatekeepers

Ver Texto

(44)

Bien es cierto que las consecuencias negativas no han sido obviadas por las principales potencias, como quedó reflejado en la «Cumbre de Bletchley», encuentro global sobre inteligencia artificial, tras la cual se publicó la siguiente declaración: https://www.gov.uk/government/publications/ai-safety-summit-2023-the-bletchley-declaration/dbc58681-1b68-47e0-8e3f-f91435fdf8ce.

Ver Texto

(45)

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (LA LEY 16665/2024) y por el que se modifican los Reglamentos (CE) n^o 300/2008 (LA LEY 3589/2008), (UE) n^o 167/2013 (LA LEY 2703/2013), (UE) n^o 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE (LA LEY 13360/2014), (UE) 2016/797 (LA LEY 8246/2016) y (UE) 2020/1828 (Reglamento de Inteligencia Artificial (LA LEY 16665/2024)). DO n^o 1689 de 12.7. 2024, pp. 1 a 144.

Ver Texto

(46)

El art. 3 define «sistema de IA» como «un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales», pero a continuación hace una meticulosa definición de muchos otros conceptos, muchos de ellos surgidos con esta tecnología, esenciales para entender la regulación planteada.

Ver Texto

(47)

Véase art. 5 del reglamento «Prácticas de IA prohibidas».

Ver Texto

(48)

Un extenso análisis del Reglamento puede verse, en esta misma revista, en P. de Miguel asensio, «Obligaciones de diligencia y responsabilidad de los intermediarios: el Reglamento (UE) de Servicios Digitales», La Ley: Unión Europea, n^o 109, diciembre 2022, pp. 1-47.

Ver Texto

(49)

Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000 (LA LEY 7081/2000), relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico). DO n^o 178 de 17.7.2000, pp. 1 a 16.

Ver Texto

(50)

Cabe señalar que la Directiva sigue vigente, así como la norma española aprobada para la transposición de esta, la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LA LEY 1100/2002), en todo aquello que no contradiga el Reglamento.

Ver Texto

(51)

La más reciente STJ GS 22 de junio de 2021, asuntos acumulados C-682/18 (LA LEY 74017/2021) y C-683/18, YouTube y Cyando, en la que se interpretan —entre otros— los arts. 14 y 15 de la Directiva, estableciendo que «la actividad del operador de una plataforma de intercambio de vídeos o de una plataforma de alojamiento y de intercambio de archivos está incluida en el ámbito de aplicación de esta disposición —art.14— siempre que dicho operador no desempeñe un papel activo que pueda conferirle un conocimiento y un control de los contenidos subidos a su plataforma.», «El art. 14, apartado 1, letra a), (…) debe interpretarse en el sentido de que, para que tal operador quede excluido, en virtud de esta disposición, de la exención de responsabilidad prevista en dicho art. 14, apartado 1, debe tener conocimiento de los actos ilícitos concretos de sus usuarios referentes a contenidos protegidos que han sido subidos a su plataforma.» Adicionalmente, anteriores sentencias entre las que destacan la STJ 23 de marzo de 2010, asuntos acumulados C-236/08 (LA LEY 12516/2010) y C-238/08, que interpreta el art. 14 Directiva 2000/31/CE (LA LEY 7081/2000), sobre la responsabilidad del prestador, en el sentido de que «la norma que establece se aplica al prestador de un servicio de referenciación en Internet cuando no desempeñe un papel activo que pueda darle conocimiento o control de los datos almacenados. Si no desempeña un papel de este tipo, no puede considerarse responsable al prestador de los datos almacenados a petición del anunciante, a menos que, tras llegar a su conocimiento la ilicitud de estos datos o de las actividades del anunciante, no actúe con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible.»; STJ 24 de noviembre de 2011, asunto C-70/10 (LA LEY 211678/2011)Scarlet Extended y STJ de 16 de febrero de 2012, asunto C-360/10 (LA LEY 4932/2012)SABAM, en los que el Tribunal se oponía a un requerimiento judicial por el que se ordenaba a un proveedor de acceso a Internet establecer un sistema de filtrado en determinadas circunstancias.

Ver Texto

(52)

STEDH 10 de octubre de 2013 (LA LEY 158235/2013), asunto Delfi AS.

Ver Texto

(53)

La lucha contra la desinformación es, sin duda, otro de los grandes retos. Sobre este particular: S. Galantino, «How Will the EU Digital Services Act Affect the Regulation of Disinformation?», Scripted, vol. 20, n^o 1, febrero 2023, pp. 89-129. La transparecencia, como otro de los grandes objetivos del texto, es tratada monográficamente en N. Helberger y P. Samuelson, ¿«Will the EU’s Digital Services Act Become a Global Transparency Regime»? (March 1, 2024). Verfassungsblog, 1 de marzo de 2024. Disponible en SSRN https://ssrn.com/abstract=4783341.

Ver Texto

(54)

Reglamento de Servicios Digitales, exposición de motivos, considerando 3.

Ver Texto

(55)

S. Monjas González, «Relevancia del reglamento de ley de servicios digitales para las autoridades reguladoras del audiovisual», Información Comercial Española, ICE: Revista de economía, n.^o 925, p. 63.

Ver Texto

(56)

Exposición de motivos considerando 13 hace una clasificación fundamental en aras a entender los destinatarios de la norma.

Ver Texto

(57)

Ibíd., considerando 7.

Ver Texto

(58)

En este caso, el reglamento se refiere a las condiciones exigidas para la consideración de consumidores «pasivos» en el Reglamento Bruselas I-bis. Igual que este caso, no cabe entender que la mera posibilidad de acceder a un servicio desde otro país constituya intención activa por parte del oferente del servicio.

Ver Texto

(59)

Recoge el criterio establecido por el TJUE en la STJ GS 22 de junio de 2021, asuntos acumulados C-682/18 (LA LEY 74017/2021) y C-683/18, cit.

Ver Texto

(60)

Exposición de motivos considerando 76.

Ver Texto

(61)

Ibíd., 47.

Ver Texto

(62)

Las prestadoras que estuvieran dentro de estos márgenes debían notificarlo antes del 17 de febrero de 2023. La lista actualizada de prestadores con esta consideración —con nombres de sobra conocidos— puede consultarse en el siguiente enlace: https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses .

Ver Texto

(63)

De acuerdo con la Recomendación 2003/361/CE (LA LEY 5981/2003), pequeñas empresas serán aquellas con menos de cincuenta empleades y un volumen de negocios anual de menos de diez millones de euros, mientras que las microempresas serán empresas de menos de diez empleades con un volumen de negocios de menos de dos millones.

Ver Texto

(64)

En esta línea S. Monjas González, «Relevancia…», loc. cit., p.59.

Ver Texto

(65)

Exposición de motivos punto (12).

Ver Texto

(66)

Sobre este particular, véase A.J. De nova Labián, «La Diligencia Debida De Las Plataformas En línea Dentro Del Reglamento Europeo De Servicios Digitales», Cuadernos Europeos De Deusto, n.^o 70 (abril), pp. 99-131. https://doi.org/10.18543/ced.2991.

Ver Texto

(67)

Exposición de motivos, considerando 13.

Ver Texto

(68)

Puede consultarse una lista actualizada de alertadores fiables en el siguiente enlace: https://digital-strategy.ec.europa.eu/es/policies/trusted-flaggers-under-dsa.

Ver Texto

(69)

Es frecuente ver en las publicaciones de influencers la etiqueta #ad o #publi en sus publicaciones. Aunque la norma obliga al prestador, el usuario que promociona productos o servicios a través de esa plataforma quedará obligado, indirectamente, puesto que de no cumplir incumpliría con las condiciones del servicio.

Ver Texto

(70)

Sobre esta cuestión específica A. Garriga Domínguez, «Las exigencias de transparencia para los sistemas algorítmicos de recomendación, selección de contenidos y publicidad en línea en el nuevo Reglamento Europeo de Servicios Digitales», Revista Española de la Transparencia, 17 Extra, pp. 137-164. https://doi.org/10.51915/ret.309.

Ver Texto

(71)

La figura de la Junta Europea de Servicios digitales queda definida en el art. 61 como «grupo consultivo independiente integrado por coordinadores de servicios digitales para la supervisión de los prestadores de servicios intermediarios. Su papel fundamental será el del asesoramiento a la Comisión y a los propios coordinadores de servicios digitales en aras a la correcta y eficaz aplicación del Reglamento».

Ver Texto

(72)

De acuerdo con el art. 52 «los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción del presente Reglamento por los prestadores de servicios intermediarios que estén bajo su competencia y adoptarán todas las medidas necesarias para garantizar su ejecución de conformidad con el art. 51».

Ver Texto