A muchos puede parecerles una expresión de deseos, pero con la aprobación de la Digital Markets Act (DMA) a la que se añadirá pronto la Digital Services Act (DMA), la Unión Europea sigue levantando los pilares de lo que hiperbólicamente llama soberanía digital. Los cimientos existen desde 2018 con el Reglamento de Protección de Datos (RGDP) pero se echaban en falta otros instrumentos. La monserga sobre la lentitud de las instituciones europeas ha sido desmentida esta vez por un proceso legislativo de 18 meses [el RGPD tardó ocho años]. En Estados Unidos, la multiplicación de agencias federales y las convocatorias de las Big Tech al Capitolio no han dado lugar a ninguna regulación significativa.
Margrethe Vestager y Tierry Breton
El texto aprobado el 24 de marzo y cuya entrada en vigor se espera para octubre, estipula una veintena de reglas económicas ex ante cuya aplicación es automática, sin necesidad de instruir un expediente que, tal como muestra la experiencia, derivaría en sanciones tardías e indoloras para los infractores.
Con la DMA – y con la DSA, aprobada por el Parlamento, pero cuya negociación prosigue en el llamado trilogue institucional – las autoridades europeas han cambiado radicalmente de filosofía. El comisario de Mercado Interior, Thierry Breton, se ha declarado satisfecho con la derrota de los lobbies que han pretendido sabotear la tramitación de estas leyes europeas dedicando recursos al esfuerzo – al parecer baldíos – de influir sobre los eurodiputados. Google llegó más lejos: intentó desacreditar a Breton, difundiendo la tesis de que sería partidario a priori del troceo de las corporaciones tecnológicas estadounidenses. Ese plan se filtró y Sundar Pichai, CEO de Alphabet, tuvo que llamar a Breton para disculparse.
Margrethe Vestager, la tenaz comisaria europea cuya cartera incluye las cuestiones de competencia, se ha pronunciado a través de Twitter: “la UE ha conseguido algo sin precedentes, una legislación que abre la vía a unos mercados digitales abiertos y cuestionables”.
Declaraciones al margen, el texto final de la DMA – y el inconcluso de la DSA – intentan resolver la secular impotencia del derecho europeo, cuyos mecanismos se articulan en torno a la noción de ´posición dominante`, para servir de instrumento regulatorio en el nuevo mundo digital. Por lo tanto, el artefacto jurídico ha tenido que construirse sobre la base de otro concepto, el ´poder de mercado`, apenas suavizado con la expresión inglesa gatekeeper.
La DMA cubre numerosos servicios y habrá quien diga que son demasiados para encajarlos en una sola norma, aunque esa es una de las razones para que sean dos normas complementarias. Motores de búsqueda (Google), tiendas de aplicaciones (AppStore, Google Play), sistemas operativos (iOS, Android y Windows), plataformas de comercio electrónico (Amazon), redes sociales (Facebook, Instagram, WhatsApp), navegadores (Chrome, Safari) y asistentes personales (Alexa, Siri, Google Assistant). Estos últimos fueron agregados a última hora en la lista. Los comerciantes y desarrolladores van a tener el derecho de contactar directamente con los clientes de estos grupos y de proponerles precios más bajos en sus propios sitios web. En particular, Amazon tendrá vedado competir con los vendedores activos en su marketplace utilizando para ello los datos que le han sido facilitados con motivo de las transacciones.
Evidentemente aparecerán zonas grises en la aplicación de la DMA, pero las premisas apuntan con tino. Google y Meta no podrán recoger datos de sus servicios para usarlos en segmentar la publicidad sin el consentimiento de los usuarios. Apple tendrá que aceptar alternativas a su AppStore [por cierto, Epic Games y Spotify podrán utilizar métodos de pago diferentes, diluyendo de facto la seguidilla de demandas cruzadas]. Facebook e Instagram deberán combatir la desinformación y dejar de mirar a otro lado ante los contenidos punibles.
Uno de los cambios más debatidos ha sido la interoperabilidad de las aplicaciones de mensajería, aunque sean de distinto proveedor: iMessage y WhatsApp, pero también Telegram y Signal. Cada uno deberá garantizar que se respetará el cifrado de los mensajes de otras plataformas. Las aplicaciones preinstaladas en los smartphones podrán ser desinstaladas por los usuarios y estos escoger otras diferentes. No menos importante es la obligación – un trastorno para el modelo de negocio de Apple – que obliga a los fabricantes de dispositivos a tolerar la conexión de periféricos que no sean de su marca.
El texto negociado entre Parlamento, Comisión y Consejo europeos tiene como principal característica la prohibición de que los gatekeepers favorezcan sus propios servicios: no podrán obligar a sus competidores a usarlos ni bloquearlos cuando recurren a otras alternativas. Las sanciones por incumplimiento pueden alcanzar al 10% de los ingresos anuales o incluso al 20% en caso de reincidencia. Los gatekeepers se definen por su función, pero también por su talla: 75.000 millones de euros de facturación global o 7.500 millones sólo dentro de la UE.
El debate sobre quién se ocupará de hacer cumplir la DMA ha sido duro. Francia, que ostenta la presidencia del Consejo este semestre, proponía que fuera el país de destino del servicio, propuesta que bloqueó Irlanda – con otros nueve miembros – con el argumento de que así se correría el riesgo de fragmentar el mercado único. Estos países querían que fuera el país de origen (Irlanda acoge las sedes europeas de varios de los presuntos implicados). Al final, ni uno ni otros: esa potestad ha quedado en manos de la Comisión, que deberá crear los procedimientos y dotarlos de recursos adecuados.
La publicidad segmentada ha sido un tema polémico durante todo el proceso. La DMA refuerza lo establecido por el RGPD obligando a obtener el consentimiento de los usuarios. Ha habido acuerdo oficioso acerca de la prohibición de dirigir la publicidad online a los menores o a objetivos susceptibles de discriminación (características étnicas, orientaciones políticas o sexuales, religión, etc). Pero, oficialmente, estos aspectos se han dejado para la DSA.
Uno de los logros del Parlamento, frente al Consejo – en la negociación final cada gobierno estuvo representado por su embajador ante la UE – fue la inclusión del requisito de interoperabilidad entre servicios de mensajería: las compañías tienen dos años de plazo para hacerlo posible en lo que respecta a mensajes, imágenes, notas de voz y envío de documentos; para las videollamadas y chats grupales tendrán cuatro años. Este asunto era considerado una ´línea roja`, pero los europarlamentarios han obtenido garantías de que la Comisión explorará los resultados iniciales en una primera revisión.
Otra disposición destacable es la que recoge una prohibición temporal de las así llamadas killer acquisitions, sospechosas de tratar de aniquilar la competencia de una empresa menor. Además – esto podría ser importante para los prestatarios de servicios cloud – los usuarios tendrán derecho a mover a otra plataforma, sin interferencias ni costes adicionales, los datos que han ayudado a generar.
En cuanto a la información personal recogida, las compañías necesitarán el consentimiento del usuario, tal como recoge el RGPD; los gatekeepers deberán facilitar el proceso, algo que recortar en la medida de lo posible. En parte, esto está relacionado con el principio FRAND (fair, reasonable and non-discriminatory) hoy vigente en las patentes, que será extensivo a los buscadores, las tiendas de aplicaciones y las redes sociales.
El hecho de que la DMA y la DSA estén tan próximas en el tiempo hay que interpretarlo como la creación de un nuevo corpus jurídico para afrontar los abusos de poder de las grandes corporaciones tecnológicas. Que no es un movimiento menor lo revela el hecho de que el presidente Joe Biden y la presidenta de la CE, Ursula von der Leyen anunciaran al alimón haber llegado a un acuerdo para la transferencia de datos entre Estados Unidos y la UE. Asunto que, desde luego, merece tratamiento separado.
La DSA está a punto de llegar al mismo estatus que la DMA. Algunas de sus disposiciones serán cruciales: se han confirmado las propuestas para que las compañías retiren en menos de 24 horas cualquier contenido ilegal de sus plataformas, redes y marketplaces. Además, se apunta la formación que han de recibir los moderadores a cargo de esa tarea.
La Comisión Europea plantea dos ambiciosas propuestas dentro de la DSA: un mecanismo de gestión de crisis y una tasa de supervisión para las VLOP (very large online companies). En esta nomenclatura entran aquellas que tengan más de 45 millones de usuarios digitales en Europa, lo que podría dar lugar a que Booking entre en esa categoría.
El mecanismo de gestión de crisis se orienta a lidiar con la desinformación en circunstancias excepcionales [como las actuales, dicho sea de paso]. Cuando exista una situación comprometida, la Comisión podrá obligar a que se proceda a evaluar el riesgo e incluso a tomar medidas que mitiguen los daños: los gatekeepers deberán informar de todo a la CE, que podrá ordenarles nuevas medidas. El documento contempla mecanismos específicos para la gestión de las crisis sanitarias o de seguridad: si la DSA sale como está previsto, las compañías deberán practicar auditorías anuales como parte de esas obligaciones.
La segunda gran propuesta que la Comisión ha puesto sobre la mesa de cara a la DSA es una tasa de supervisión, como la que ya rige en otros ámbitos regulatorios. En este caso, se aplicará a los VLOP y se limitará a los costes estimados de las tareas de información relativas a la aplicación de la normativa.
Como era previsible, algunas voces han criticado que estas normativas se dirigen, sin excepción, a compañías estadounidenses. Lo cierto es que esta es una realidad del mercado, son las que dominan con claridad el espacio digital y nadie ignora de cuáles se trata. También se ha querido verlas como una fórmula idónea para impulsar el crecimiento de competidores europeos. Es posible – ojalá fuera probable – que la DMA abra espacios para que así ocurra, pero cualquiera sabe que esos competidores europeos no reúnen condiciones comparables a las estadounidenses.
Los equipos jurídicos de Google, Apple, Amazon y Meta han optado por no enfrentarse frontalmente a la nueva legislación en ciernes, prefiriendo estudiar punto por punto la mejor manera de aplicarla y en su caso recurrir las sanciones. El contraste de fuerzas da una clave: la Comisión cuenta con sólo 80 funcionarios encargados de enfrentarse a nutridos (y ricos) equipos jurídicos de las Big Tech. Así, por ejemplo, la Competition and Markets Authority (CMA) de Reino Unido emplea el triple de funcionarios para una función similar en el ámbito de un solo país. De hecho, una crítica que suele hacerse al RGPD es que resulta muy fácil violarlo debido a la carencia de recursos para asegurar su aplicación.
A todo esto, no se puede obviar el papel de Estados Unidos. El llamado “efecto Bruselas” dicta que las compañías estadounidenses tienden a adoptar de hecho la legislación europea a sus actividades globales, porque les resulta más sencillo que aplicarlas región por región. Pero en este caso esa actitud puede ser costosa. La administración Biden, sin el descaro que inspiraba la anterior, se ha visto entre dos aguas. Por un lado, algunos de sus exponentes han criticado lo que consideran un ataque selectivo a las empresas de su país, pero al mismo tiempo tienen en su punto de mira a las Big Tech. Quizás la DMA y la DSA puedan servir de acicate para que el Congreso estadounidense acelere sus reformas legislativas: proyectos de ley no le faltan.