Carlos B Fernández. El DOUE del 2 de febrero ha publicado el Reglamento Delegado (UE) 2024/436 de la Comisión, de 20 de octubre de 2023, por el que se completa el Reglamento (UE) 2022/2065 (LA LEY 22694/2022) (ley de servicios digitales o DSA, por su abreviatura en inglés), estableciendo las normas relativas a la realización de auditorías de las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño.
Esta norma entrará en vigor a los veinte días de su publicación oficial y está destinada a los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda que tengan un promedio mensual de destinatarios del servicio activos en la Unión igual o superior a cuarenta y cinco millones, y a las que se designe como plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño.
Desarrolla lo previsto en el Artículo 37 de la DSA, según el cual los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño se someterán, a su propia costa y al menos una vez al año, a auditorías independientes para evaluar el cumplimiento de: a) las obligaciones establecidas en el capítulo III y, b) cualquier compromiso contraído en virtud de los códigos de conducta a que se refieren los artículos 45 y 46 y los protocolos de crisis a que se refiere el artículo 48.
Es decir, la auditoría debe evaluar si estas plataformas y motores de búsqueda están cumpliendo el amplio conjunto de obligaciones de diligencia debida que se contienen en las cinco secciones del capítulo III del Reglamento de 2022, “para crear un entorno en línea transparente y seguro”.
En particular, el Reglamento Delegado establece las normas aplicables a la realización de las auditorías contempladas en el artículo 37 del Reglamento (UE) 2022/2065 (LA LEY 22694/2022), en lo relativo a:
a) las fases procedimentales para asegurar que la entidad auditora que se elija reúna las condiciones del artículo 37, apartado 3, del Reglamento (UE) 2022/2065 (LA LEY 22694/2022);
b) las fases procedimentales a efectos de la cooperación y asistencia por parte del prestador auditado en la realización de las auditorías, incluido el acceso a la información pertinente con la finalidad de obtener evidencia de auditoría;
c) la definición y selección de las metodologías de auditoría;
d) los modelos de informe de auditoría e informe de aplicación de la auditoría.
Elección de la entidad auditora
El Reglamento establece que, de forma previa a la elección de una entidad auditora para la realización de la auditoría, el prestador auditado comprobará si la entidad que vaya a elegir reúne los requisitos establecidos en el artículo 37, apartado 3, de la DSA Reglamento (UE) 2022/2065 (LA LEY 22694/2022), a saber: a) ser independientes del auditado de que se trate y de cualquier persona jurídica vinculada a él, y no tener ningún conflicto de intereses con él; b) poseer conocimientos acreditados en el ámbito de la gestión de riesgos, competencia y capacidades técnicas y, c) tener objetividad y ética profesional acreditadas, basadas en particular en su adhesión a códigos de conducta o normas apropiadas).
Cuando la entidad auditora que se vaya a elegir esté integrada por más de una persona jurídica o tenga la intención de recurrir a uno o varios subcontratistas, el prestador auditado verificará que todas las personas jurídicas o todos los subcontratistas cumplen de forma individual los requisitos contemplados en el artículo 37, apartado 3, letras a) y c), de la DSA y de forma conjunta el requisito contemplado en el artículo 37, apartado 3, letra b), de la misma.
Alcance de la auditoría y grado de seguridad razonable
La forma y la duración de la auditoría serán las adecuadas para permitir a la entidad auditora evaluar el cumplimiento por parte del prestador auditado de todas las obligaciones y compromisos objeto de auditoría con un grado de seguridad razonable.
La auditoría cubrirá un período que comience inmediatamente después del cierre del período de la auditoría anterior y finalice en una fecha que permita a la entidad auditora realizarla en el plazo de un año exigido por el artículo 37, apartado 1, del Reglamento (UE) 2022/2065, lo que implica llevar a cabo su evaluación conforme a lo dispuesto en dicho apartado sobre la base de la información obtenida y de los procedimientos de auditoría llevados a cabo durante dicho período, así como completar el informe de auditoría y remitirlo al prestador auditado con arreglo al artículo 37, apartado 4, de dicho Reglamento.
Cuando no se haya realizado ninguna auditoría con anterioridad, el período cubierto por la auditoría comenzará transcurridos cuatro meses a contar desde la notificación contemplada en artículo 33, apartado 6, párrafo primero, del Reglamento (UE) 2022/2065 (LA LEY 22694/2022), y su duración permitirá finalizar el informe de auditoría de conformidad con el artículo 6, apartado 1, del presente acto delegado en un plazo máximo de un año a partir del inicio del período auditado.
Metodologías de auditoría adecuadas
Sin perjuicio de las metodologías de auditoría específicas contempladas en los artículos 13, 14, y 15 a que nos referiremos más abajo, las auditorías se llevarán a cabo empleando metodologías de auditoría adecuadas para reducir los riesgos de auditoría evaluados a un nivel que permita a la entidad auditora alcanzar las conclusiones de auditoría con un grado de seguridad razonable.
El Reglamento prevé también Metodologías específicas para la auditoría del cumplimiento de diversos artículos de la DSA, como son los artículos 34 y 35, sobre la evaluación y la reducción de riesgos (arts. 13 y 14); del artículo 36, sobre el mecanismo de respuesta a las crisis (art. 15); del artículo 37, sobre la auditoría independiente, del Reglamento (UE) 2022/2065 (LA LEY 22694/2022) (art. 16); del cumplimiento de los códigos de conducta y protocolos de crisis (art. 17)
Calidad de la evidencia de auditoría
Las conclusiones y los dictámenes de auditoría se basarán en una evidencia de auditoría que reúna los dos requisitos que se indican a continuación:
a) que sea pertinente y suficiente para reducir los riesgos de auditoría detectados de acuerdo con el artículo 9 y para permitir a la entidad auditora emitir conclusiones y dictámenes de auditoría de acuerdo con el artículo 8;
b) que sea fiable según el juicio y escepticismo profesionales de la entidad auditora.
Conclusiones de la auditoría
El informe de auditoría incluirá las conclusiones de auditoría que la entidad auditora haya extraído sobre el cumplimiento de cada obligación y cada compromiso objeto de auditoría por parte del prestador auditado.
La conclusión de auditoría podrá ser:
a) «Favorable» cuando la entidad auditora concluya, con un grado de seguridad razonable, que el prestador auditado ha cumplido la obligación o el compromiso objeto de auditoría;
b) «Favorable con observaciones» cuando la entidad auditora concluya, con un grado de seguridad razonable, que el prestador auditado ha cumplido la obligación o el compromiso objeto de auditoría, pero: i) la entidad auditora formula observaciones acerca de los valores de referencia facilitados por el prestador auditado con arreglo al artículo 5, apartado 1, letra a); o bien, ii) la entidad auditora recomiende mejoras que no afecten al fondo de su conclusión;
c) «Negativa» cuando la entidad auditora concluya, con un grado de seguridad razonable, que el prestador auditado no ha cumplido la obligación o el compromiso objeto de auditoría.
Obligaciones a auditar
Las obligaciones establecidas en el capítulo III que deben cumplir los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño se sintetizan de la siguiente manera:
La Sección 1.ª establece las disposiciones aplicables a todos los prestadores de servicios intermediarios, que son:
- La designación y publicación de un punto único de contacto que les permita ponerse en comunicación directamente, por vía electrónica, con las autoridades de los Estados miembros, con la Comisión y con la Junta a que se refiere el artículo 61 con respecto a la aplicación del presente Reglamento (artículo 11)
- La designación y publicación de un punto único de contacto que permita a los destinatarios del servicio comunicarse directa y rápidamente con ellos, por medios electrónicos y de manera sencilla, también permitiendo a los destinatarios del servicio elegir los medios de comunicación, que no se basarán únicamente en herramientas automatizadas (artículo 12)
- La designación por escrito, por parte de los prestadores de servicios intermediarios que no tengan un establecimiento en la Unión pero que ofrezcan servicios en la Unión, de una persona física o jurídica para actuar como su representante legal en uno de los Estados miembros en los que el prestador ofrezca sus servicio, con las facultades necesarias y recursos suficientes para garantizar su cooperación eficiente y en tiempo oportuno con las autoridades competentes de los Estados miembros, la Comisión y la Junta, y cumplir dichas decisiones (artículo 13)
- La inclusión, en sus condiciones generales, en lenguaje claro, sencillo, inteligible, accesible al usuario e inequívoco (en particular cuando el servicio intermediario esté dirigido principalmente a menores o sea utilizado predominantemente por ellos), de información sobre cualquier restricción que impongan en relación con el uso de su servicio respecto de la información proporcionada por los destinatarios del servicio. Esta información deberá incluir datos sobre cualesquiera políticas, procedimientos, medidas y herramientas empleadas para moderar los contenidos, incluidas la toma de decisiones mediante algoritmos y la revisión humana, así como sobre las normas de procedimiento de su sistema interno de gestión de reclamaciones (artículo 14)
- La publicación, en un formato legible por máquina y de forma fácilmente accesible, al menos una vez al año, de informes claros y fácilmente comprensibles sobre cualquier actividad de moderación de contenidos que hayan realizado durante el período pertinente (artículo 15)
La Sección 2.ª establece las disposiciones adicionales aplicables a los prestadores de servicios de alojamiento de datos, incluidas las plataformas en línea, que se resumen en:
- Los prestadores de servicios de alojamiento de datos deberán establecer mecanismos que permitan que cualquier persona física o entidad les notifique la presencia en su servicio de elementos de información concretos que esa persona física o entidad considere contenidos ilícitos. Dichos mecanismos serán de fácil acceso y manejo, y permitirán el envío de notificaciones exclusivamente por vía electrónica (artículo 16)
- Los prestadores de servicios de alojamiento de datos deberán proporcionar una declaración de motivos clara y específica a cualquier destinatario del servicio afectado por cualquiera de las restricciones que se señalan, impuestas por el hecho de que la información proporcionada por el destinatario del servicio sea un contenido ilegal o incompatible con sus condiciones generales (artículo 17)
- La notificación inmediata a las autoridades policiales o judiciales del Estado miembro o Estados miembros afectados, cuando un prestador de servicios de alojamiento de datos tenga conocimiento de cualquier información que le haga sospechar que se ha cometido, se está cometiendo o es probable que se cometa un delito que implique una amenaza para la vida o la seguridad de una o más personas, aportando toda la información pertinente de que disponga (artículo 18)
La Sección 3.ª recoge las disposiciones adicionales aplicables a los prestadores de plataformas en línea (que no se aplicarán a los prestadores de plataformas en línea que sean microempresas o pequeñas empresas, salvo que hayan sido designados como plataformas en línea de muy gran tamaño en el sentido del artículo 33)).
- Los prestadores de plataformas en línea facilitarán a los destinatarios del servicio, en particular a las personas físicas o entidades que hayan presentado una notificación, durante un período mínimo de seis meses a partir de la decisión a que se refiere el presente apartado, acceso a un sistema interno eficaz de gestión de reclamaciones, que les permita presentar las reclamaciones por vía electrónica y de forma gratuita, contra la decisión tomada por el prestador de la plataforma en línea. Los prestadores de plataformas en línea tratarán las reclamaciones presentadas a través de su sistema interno de gestión de reclamaciones en tiempo oportuno y de manera no discriminatoria, diligente y no arbitraria (artículo 20)
- Los destinatarios del servicio, incluidas las personas físicas o entidades que hayan enviado notificaciones, a quienes vayan destinadas las decisiones a que se refiere el artículo 20, apartado 1, tendrán derecho a elegir cualquier órgano de resolución extrajudicial de litigios que haya sido certificado de conformidad con el apartado 3 del artículo 21 para resolver litigios relativos a esas decisiones, incluidas las reclamaciones que no se hayan resuelto a través del sistema interno de tramitación de reclamaciones mencionado en dicho artículo (artículo 21)
- Los prestadores de plataformas en línea adoptarán las medidas técnicas y organizativas necesarias para asegurarse de que se otorgue prioridad a las notificaciones enviadas por los alertadores fiables, dentro de su ámbito de especialidad señalado, a través de los mecanismos a que se refiere el artículo 16, y de que se tramiten y resuelvan sin dilación indebida. La condición de «alertador fiable» se otorgará, previa solicitud de cualquier entidad que lo desee, por el coordinador de servicios digitales del Estado miembro donde el solicitante esté establecido, a un solicitante que haya demostrado que cumple todas las condiciones establecidas (artículo 22)
- Los prestadores de plataformas en línea suspenderán, durante un período razonable y después de haber realizado una advertencia previa, la prestación de sus servicios a los destinatarios del servicio que, tras una evaluación caso por caso, en tiempo oportuno y de manera diligente y objetiva, resulta que proporcionen con frecuencia contenidos manifiestamente ilícitos (artículo 23)
- Además de la información a que se refiere el artículo 15, los prestadores de plataformas en línea incluirán en los informes a que se refiere dicho artículo información sobre: a) el número de litigios sometidos a los órganos de resolución extrajudicial de litigios a que se refiere el artículo 21, los resultados de la resolución de los litigios y el tiempo medio necesario para completar los procedimientos de resolución de los litigios, así como el porcentaje de litigios en los que el prestador de la plataforma en línea haya aplicado las decisiones del órgano y, b) el número de suspensiones impuestas en virtud del artículo 23, distinguiendo entre suspensiones aplicadas por proporcionar contenido manifiestamente ilegal, enviar notificaciones manifiestamente infundadas y enviar reclamaciones manifiestamente infundadas. A más tardar el 17 de febrero de 2023 y al menos una vez cada seis meses a partir de entonces, los prestadores publicarán para cada plataforma en línea o motor de búsqueda en línea, en una sección de su interfaz en línea a disposición del público, información sobre el promedio mensual de destinatarios del servicio activos en la Unión, calculado como promedio de los seis últimos meses y de conformidad con la metodología establecida en los actos delegados a que se refiere el artículo 33, apartado 3, cuando se hayan adoptado dichos actos delegados (artículo 24).
- Los prestadores de plataformas en línea no diseñarán, organizarán ni gestionarán sus interfaces en línea de manera que engañen o manipulen a los destinatarios del servicio o de manera que distorsionen u obstaculicen sustancialmente de otro modo la capacidad de los destinatarios de su servicio de tomar decisiones libres e informadas (artículo 25)
- Los prestadores de plataformas en línea que presenten anuncios publicitarios en sus interfaces en línea se asegurarán de que, por cada anuncio publicitario concreto presentado a cada destinatario específico, los destinatarios del servicio sean capaces de identificar, de manera clara, concisa e inequívoca y en tiempo real: a) que la información es un anuncio publicitario; b) la persona física o jurídica en cuyo nombre se presenta el anuncio publicitario; c) la persona física o jurídica que ha pagado por el anuncio publicitario y, d) información significativa accesible directa y fácilmente desde el anuncio acerca de los principales parámetros utilizados para determinar el destinatario a quien se presenta el anuncio publicitario y, en su caso, acerca de cómo cambiar esos parámetros. Además, los prestadores de plataformas en línea ofrecerán a los destinatarios del servicio una funcionalidad para declarar si el contenido que proporcionan es una comunicación comercial o contiene comunicaciones comerciales. (artículo 26)
- Los prestadores de plataformas en línea que utilicen sistemas de recomendación establecerán en sus condiciones generales, utilizando un lenguaje claro y comprensible, los parámetros principales utilizados en sus sistemas de recomendación, así como cualquier opción a disposición de los destinatarios del servicio para modificar o influir en dichos parámetros principales (artículo 27 y vid también artículo 38)
- Los prestadores de plataformas en línea accesibles a los menores establecerán medidas adecuadas y proporcionadas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en su servicio. En particular, los prestadores de plataformas en línea no presentarán anuncios en su interfaz basados en la elaboración de perfiles, tal como se define en el artículo 4, punto 4, del RGPD, mediante la utilización de datos personales del destinatario del servicio cuando sean conscientes con una seguridad razonable de que el destinatario del servicio es un menor (artículo 28)
La Sección 4.ª establece unas disposiciones adicionales aplicables a los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes (que no se aplicarán a los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes que sean microempresas o pequeñas empresas, salvo que hayan sido designados como plataformas en línea de muy gran tamaño de conformidad con el artículo 33)
- Los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes se asegurarán de que los comerciantes solo puedan utilizar dichas plataformas en línea para promocionar mensajes u ofrecer productos o servicios a los consumidores situados en la Unión si, previamente al uso de sus servicios para estos fines, han obtenido la información que se indica referida al comerciante. Aunque, a los efectos del presente Reglamento, los comerciantes serán responsables de la exactitud de la información facilitada, antes de autorizar al comerciante de que se trate el uso de sus servicios, el prestador de la plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes hará todo lo posible por evaluar si la información facilitada es fiable y completa mediante el uso de cualquier base de datos en línea o interfaz en línea oficial de libre acceso puesta a disposición por un Estado miembro o por la Unión o solicitando al comerciante que aporte documentos justificativos de fuentes fiables. (artículo 30)
- El prestador de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes garantizará que su interfaz en línea esté diseñada y organizada de manera que los comerciantes puedan cumplir con sus obligaciones en relación con la información precontractual, la conformidad y la información de seguridad del producto en virtud del Derecho de la Unión aplicable. En concreto, el prestador de que se trate garantizará que sus interfaces en línea permitan a los comerciantes proporcionar información sobre el nombre, la dirección, el número de teléfono y la dirección de correo electrónico del operador económico (artículo 31)
- Cuando un prestador de una plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes tenga conocimiento, independientemente de los medios utilizados, de que un producto o servicio ilícito haya sido ofrecido por un comerciante a los consumidores situados en la Unión a través de sus servicios, dicho prestador informará, en la medida en que tenga sus datos de contacto a los consumidores que hayan adquirido el producto o servicio ilícito a través de sus servicios, de la información que se indica (artículo 32)
Finalmente, la Sección 5.ª de este capítulo establece las obligaciones adicionales de gestión de riesgos sistémicos para prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño y a las que se designe como plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño.
Estas obligaciones son:
- Detectar, analizar y evaluar con diligencia cualquier riesgo sistémico en la Unión que se derive del diseño o del funcionamiento de su servicio y los sistemas relacionados con este, incluidos los sistemas algorítmicos, o del uso que se haga de sus servicios. Para ello llevarán a cabo las preceptivas evaluaciones de riesgos a más tardar en la fecha de aplicación a que se refiere el artículo 33, apartado 6, párrafo segundo, y al menos una vez al año a partir de entonces, y en cualquier caso antes de desplegar funcionalidades que puedan tener un impacto crítico en los riesgos detectados con arreglo al presente artículo. Esta evaluación de riesgos será específica de sus servicios y proporcionada a los riesgos sistémicos, teniendo en cuenta su gravedad y probabilidad (artículo 34)
- Aplicar medidas de reducción de riesgos razonables, proporcionadas y efectivas, adaptadas a los riesgos sistémicos específicos detectados de conformidad con el artículo 34, teniendo especialmente en cuenta las consecuencias de dichas medidas sobre los derechos fundamentales. (artículo 35)
- Además de los requisitos establecidos en el artículo 27, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño que utilicen sistemas de recomendación ofrecerán al menos una opción para cada uno de sus sistemas de recomendación que no se base en la elaboración de perfiles tal como se define en el artículo 4, punto 4, del RGPD (artículo 38)
- Cuando estos obligados presenten anuncios publicitarios en sus interfaces en línea, deberán recopilar y hacer públicos, en una sección específica de su interfaz en línea, a través de una herramienta de búsqueda fiable que permita realizar consultas en función de múltiples criterios, y mediante interfaces de programación de aplicaciones, un repositorio que contenga la información que se indica, durante todo el tiempo en el que presenten un anuncio y hasta un año después de la última vez que se presente el anuncio en sus interfaces en línea. Se asegurarán de que el repositorio no contenga ningún dato personal de los destinatarios del servicio a quienes se haya o se pueda haber presentado el anuncio y harán todos los esfuerzos que resulten razonables para garantizar que la información sea exacta y completa (artículo 39)
- Proporcionar al coordinador de servicios digitales de establecimiento o a la Comisión, cuando lo soliciten de forma motivada y en un período razonable, especificado en dicha solicitud, acceso a los datos que sean necesarios para hacer el seguimiento del cumplimiento del presente Reglamento y evaluarlo (artículo 40)
- Establecer una función de comprobación del cumplimiento, que sea independiente de sus funciones operativas y esté compuesta por uno o varios encargados del cumplimiento, incluido el jefe de la función de comprobación del cumplimiento. Dicha función de comprobación del cumplimiento tendrá autoridad, rango y recursos suficientes, así como acceso al órgano de dirección del prestador de plataformas en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño para hacer el seguimiento del cumplimiento del presente Reglamento por parte de dicho prestador (artículo 41)
- Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño publicarán los informes a que se refiere el artículo 15 a más tardar en un plazo de dos meses a partir de la fecha de aplicación a que se refiere el artículo 33, apartado 6, párrafo segundo, y a continuación al menos cada seis meses (artículo 42)