AD 161/2021
Los paralelismos entre la DSA y el RGPD.
RESUMEN
Este artículo muestra los paralelismos entre el Reglamento Europeo de Protección de Datos y la Propuesta de Reglamento relativo al mercado único de servicios digitales, más conocido como DSA por sus siglas en inglés (Digital Services Act), además de incluir mi opinión personal y el problema subyacente del más que probable cuello de botella que se va a producir.
SUMMARY
This article shows the parallels between the European Data Protection Regulation and the proposed Digital Services Act (DSA), and includes my personal opinion and the underlying problem of the likely bottleneck that will occur.
PALABRAS CLAVE
AEPD – DPO – DPD – privacidad – GDPR – RGPD – derecho – DSA – digitalización –confidencialidad – accountability – Compliance – intimidad – riesgo – código de conducta – sanción – auditoria
KEY WORDS
AEPD – DPO – DPD – privacy – GDPR – RGPD – right – DSA – digitization – confidentiality – accountability – Compliance – privacy – risk – code of conduct – sanction – audit
A raíz de una entrevista que me han hecho recientemente decidí que era un buen momento de reflejar a través de un artículo los paralelismos entre el Reglamento Europeo de Protección de Datos y la Propuesta de Reglamento relativo al mercado único de servicios digitales, más conocido como DSA por sus siglas en inglés (Digital Services Act).
Para entrar en calor los músculos, como en cualquier entrenamiento, habrá que empezar por estirar músculos, en este caso digamos que la Propuesta de Reglamento, a partir de ahora DSA, es la regulación de los artículos 12 a 15 de la Directiva de Comercio Electrónico (2000/31/CE) extraídos de ésta para darles un propio texto regulador y armonizado en el que demos cabida a los prestadores de servicios intermediarios en el mercado interior, dando cabida de esta forma a ciertos servicios que hace 20 años cuando salió a la luz la Directiva 2000/31 todavía no éramos capaces de ver su alcance como son las App Stores, los juegos en línea, las enciclopedias en línea, las aplicaciones IoT, los prestadores de servicios de pago y, como no los archifamosos servicios de mensajería instantánea, servicios de infraestructura en línea, foros y plataformas, ya sean del tipo Marketplace o redes sociales. Por tanto, esta propuesta de Reglamento tiene un alcance importantísimo en nuestra sociedad tal cual está planteada hoy, siendo necesaria su regulación, si bien puede que sus buenas intenciones acaben ofreciendo a los prestadores de servicios intermediadores unas herramientas de evasión de principios fundamentales como son la libertad de expresión y el derecho a la privacidad, por lo que a través de este pequeño artículo ofreceré no sólo el paralelismo respecto al RGPD sino que lanzaré algunas preguntas que me asaltan y, que pese a querer ver las buenas intenciones de la propuesta, sinceramente, esta Propuesta no me va a permitir un sueño ligero.
Por tanto, vamos a ello, busquemos como en los juegos de semejanzas aquellos paralelismos, partiendo de la base que buscan en ambos casos un marco armonizado de aplicación directa para los estados miembros puesto que la herramienta jurídica es un Reglamento:
Considerandos
Tanto la DSA como el RGPD tienen un prólogo de interminables considerandos que, en todo caso, se hace imprescindible su lectura antes de adentrarse uno en su articulado. Así el RGPD consta de 173 considerandos frente a los nada despreciables 106 considerandos de la DSA.
EEE
En ambos casos los textos normativos son pertinentes a efectos del Espacio Económico Europeo lo que amplía su proyección respecto a que sólo se dirigiera a países de la Unión Europea, más concretamente se amplía el espectro a Islandia, Liechtenstein y Noruega.
Representante
Se recoge la figura del Representante cuando el prestador/responsable no se encuentre ubicado en el EEE pero dirija sus servicios a interesados que se encuentren en el Espacio Económico Europeo. Hay que tener en cuenta que mientras el RGPD no hace alusión a que el representante legal en la Unión tenga que estar ubicado en ningún país específico, en el caso de la DSA si se obliga a que este representante se encuentre en el mismo estado en el que se encuentre la sede principal financiera y, en el caso que no tengan establecimiento, deberán elegir un representante que se ubique en un país donde preste sus servicios.
Sanciones
El Reglamento y la DSA asientan límites máximos de imposición de sanciones si bien trasladan a los Estados miembros que establecerán el régimen de sanciones aplicable en caso de incumplimiento, siendo su principal objetivo que sean eficaces, proporcionadas y disuasorias. En el caso del RGPD se establece un máximo de 20 millones de euros o un 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía y en el caso de la DSA se prevén sanciones mayores, ya que no establece cuantía máxima sino que sólo hace mención al tanto por ciento máximo a aplicar, en este caso 6 % de la renta o facturación anual del prestador de servicios intermediarios afectado.
Auditoria
Teniendo en cuenta que en ambos textos normativos se contempla un modelo Compliance en el que hay que hacer una evaluación del riesgo, puesta en marcha de controles y revisión continua de los mismos, en este caso se hace mención expresa a las auditorias, que deben ser independientes y en el caso de la DSA se hace una mención expresa a que además sean externas y anuales, mientras en el RGPD no se hace mención de una temporalidad ni de máximos ni de mínimos, pudiendo en su caso realizarse auditorías internas siempre y cuando se cumpla la premisa de la independencia y objetividad.
Delegado de Protección de Datos/Encargado de cumplimiento
Si bien la figura del DPO (Data Protection Officer) ya se ha convertido casi como un actor de Hollywood muy cotizado y que todos quieren que participe en su película, en realidad la figura del Delegado de Protección de Datos es una figura que sólo resulta obligatoria de designación en algunos casos (art.37 RGPD y art. 36 LOPDGdd). En el caso de la DSA las plataformas en línea de muy gran tamaño deberán designar siempre al Encargado de cumplimiento que participe, de manera apropiada y oportuna, en todas las cuestiones de la DSA.
Autoridad de control/ Coordinador de servicios digitales
Tanto en uno como en otro caso se busca la delegación de funciones en los Estados miembros a través de organismos que actúen de forma objetiva y sin dependencia con el Gobierno, en el caso del RGPD se denominan autoridades de control, pudiendo haber más de una en cada estado miembro, siempre y cuando una asuma el liderazgo, al igual que sucede con la DSA. En el caso de la DSA el coordinador de servicios digitales deberá publicar periódicamente un informe sobre las actividades realizadas y, deberá estar al corriente de las órdenes de actuación contra contenidos ilícitos o de entrega de información reguladas a través del sistema común de intercambio de información. A este respecto además lanzo mi opinión al final del presente artículo ya que se puede intuir que la figura del coordinador de servicios digitales sea finalmente asumida por las autoridades de control.
Modelo Compliance
Hay que tener en cuenta que ambas normativas tienen un mismo modelo de implantación, el Modelo Compliance, de ahí la importancia de la medición del riesgo y el seguimiento de los controles, si bien en el caso de la DSA si hace mención expresa de una temporalidad mínima que debe atenderse y que establece en que al menos una vez al año se llevará a cabo una evaluación de cualquier riesgo sistémico significativo que se derive del funcionamiento y uso que se haga de sus servicios en la Unión.
Códigos de conducta
En ambos textos jurídicos se da una especial importancia al fomento de creación de Códigos Tipo que en todo caso se consideran de voluntaria adhesión, haciendo en el caso de la DSA una distinción entre los Códigos tipo de forma generalizada y los Códigos Tipo relativos a la publicidad en línea.
Entrada en vigor y aplicación
Si bien la DSA todavía es una propuesta en su texto ya se prevé que una vez se publique el Reglamento, previsiblemente en 2023, entre en vigor a los 20 días al igual que el RGPD, si bien aunque en ambos textos se recoge una vacatio legis, en este caso nada supera a los 2 años de vacactio legis que ya sufrió el RGPD, siendo la vacatio legis de la DSA de tan sólo 3 meses.
Mi opinión personal y el problema subyacente del más que probable cuello de botella que se va a producir
Desde mi punto de vista, efectivamente el mecanismo de cooperación transfronterizo, si bien nace de unas buenas intenciones, en el caso del RGPD ha provocado un auténtico cuello de botella, el cual considero que será extrapolable a la DSA, prediciendo que el problema va a ser mucho mayor, ya que estamos hablando de que los principales prestadores de servicios intermediarios son americanos y tienen su sede principal en Europa en un país o países concretos, como por ejemplo Irlanda, provocando, pese a las buenas intenciones del legislador delegando en los distintos estados miembros la posibilidad de gestionar las reclamaciones, un nuevo o mayor cuello de botella porque el organismo (coordinador) al cual se designe en Irlanda se va a ver totalmente colapsado, debiendo tener en cuenta que además como se busca que esos organismos sean independientes, se pudiere dar el caso que dichas competencias fueren asumidas por las propias autoridades de control en protección de datos de cada país, lo que hace que el cuello de botella se convierta en un tapón y antes de que vea la luz el Reglamento estemos hablando de una crónica de una muerte anunciada por las dificultades materiales de asumir las reclamaciones que se van a trasladar.
Debemos tener en cuenta que la DSA parte de que se ofrezca un mecanismo sencillo y fácil para los destinatarios, además de que se ofrezcan también mecanismos judiciales y extrajudiciales en caso que el destinatario no esté de acuerdo con la decisión alcanzada, lo que provoca que una reclamación se pueda convertir en una historia interminable y que la efectividad que busca la propuesta de Reglamento nazca sin esperanza.
Por tanto, mi opinión es que parece que no hemos aprendido tanto del RGPD y que se han tenido más en cuenta otros principios como legislar a los prestadores de servicios de intermediación que hace 20 años casi ni se sabía para que servían o qué podían llegar a hacer y, estamos hablando que pasados 20 años estos servicios son usados de una forma más que cotidiana (App Stores, los juegos en línea, las enciclopedias en línea, las aplicaciones IoT, los prestadores de servicios de pago y, como no los archifamosos servicios de mensajería instantánea, servicios de infraestructura en línea, foros y plataformas, ya sean del tipo Marketplace o redes sociales) pasando los usuarios de una posición pasiva a una posición totalmente activa en la que resulta casi necesario que una persona publique su vida personal de forma constante. Por tanto, entiendo que el legislador ha priorizado unas necesidades si bien entiendo que debía haberse previsto un mecanismo de armonización más ágil.
Así mismo, el modelo de DSA es el mismo que en el RGPD (compliance) más diligencia debida, siendo necesario abarcar o acomodarse a un entorno de origen y experiencia americana, pero intentando controlar la situación, por parte de las autoridades de los estados miembros, dado que se ven, por así decirlo atados de pies y manos para poner a disposición mecanismos de defensa (policía administrativa). Otro problema, aparte de los enunciados es que la diligencia afecta al cumplimiento del presente package puede dar lugar a tratamientos de datos masificados amparándose en el deber de cumplimiento legal o interés legítimo para asegurar dicha diligencia y efectuar la monitorización y control de los riegos, imponiéndose obligaciones que ya existían como la auditoría de algoritmos, porque no nos olvidemos que las propias plataformas actúan como autorreguladoras.
Por otra parte, podemos encontrarnos con censuradores de facto y con nuevos mecanismos de entrada en dichas plataformas, al estilo de las entidades bancarias cuando pretendes realizar operaciones financieras (diligencia de información y conocimiento).
Otra consideración importante es la posible vulneración de derechos constitucionales si lo que se pretende es monitorizar a posibles usuarios o boots y si la obligación de diligencia puede dar lugar a poder obtener información desde los dispositivos a través de los cuales se efectúan los contenidos denominados ilícitos, los cuales tampoco la DSA establece una clara definición, pudiendo encontrarnos con la problemática de cuando un contenido es ilícito o cuando es nocivo y si esa limitación no pudiere dar lugar a posibles actuaciones que, tomando en consideración el comodín de la delincuencia, pudiere ser fruto de actuaciones más allá del cifrado y encriptación, pudiendo corromper las mismas, especialmente, en las plataformas de contenido entre distintos usuarios.
La DSA habla o enfatiza el término transparencia, pero dicho término no impedirá que se siga cometiendo delitos y, más allá, en materia de publicidad no veo muy claro de qué forma pretenden aglutinar las obligaciones de diligencia y transparencia respecto a las subastas (header bidden o waterfall).
Al final, más que obligaciones o paquetes reguladores, considero que se ha de poner encima de la mesa grandes retos previos como la actualización de derechos humanos afectos a la sociedad digital y, especialmente, el cariz de la ética en los ámbitos tecnológicos.
Por último, la posible entrada en aplicación de la presente DSA de qué forma afectará a los derechos digitales vigentes a través de la LOPDGDD, en especial a los derechos de rectificación y actualización de la información contenida en los artículos 85 y 86 y… quién decidirá sobre el ámbito de veracidad del contenido, fuentes, etc.
Iciar López-Vidriero Tejedor
25 de octubre de 2021
BREVE CURRICULAR
Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.
Redes sociales
Twitter: @ICIARLVT
Linkedin: Iciar López-Vidriero