Las regulaciones tecnológicas que prepara Europa para 2023 nacerán obsoletas si se repiten estos errores del RGPD, advierten los expertos

Las directrices de la Comisión Europea para sus políticas tecnológicas en 2022 se filtraron hace unos días. Además de dar detalles sobre la nueva ley de semiconductores o la ley de ciberresiliencia, el documento también permitió esbozar una fecha para la batería de regulaciones tecnológicas que Bruselas prepara en el conocido como paquete DSA. Podrían llegar en el año 2023.

Este paquete DSA toma su nombre de las siglas en inglés (Digital Services Act) y ya a finales del año pasado la Comisión presentó el borrador de las dos regulaciones que la conformarán:la Ley de Servicios Digitales y la Ley de Mercado Digital. Vienen a dar respuesta a una directiva, la del comercio electrónico, que se ha quedado desfasada. Es del año 2000.

Europa confiere a este nuevo paquete de medidas la misma importancia que tuvo el Reglamento General de Protección de Datos (RGPD), que se aprobó en 2016 y entró en vigor dos años después, en 2018. Al igual que ha ocurrido con el RGPD, la Unión espera que tanto el Reglamento sobre la IA (cuyo borrador se presentó en abril) y este paquete DSA se conviertan en estándares globales.

La tarea es ardua: regular a las tecnológicas. Pero sobre el RGPD ya hay voces críticas que piden actualizarlo, después de que la Comisión de Protección de Datos (DPC, en sus siglas en inglés, la análoga de la Agencia Española de Protección de Datos en Irlanda) haya provocado un cuello de botella. Ese cuello de botella se debe al principio de ventanilla única que rige el Reglamento.

Los presupuestos de la AEPD y de las autoridades de protección de datos europeas se estancan: "Deberían quedarse con el dinero de las multas"

Este principio de ventanilla única estipula que en el RGPD será la autoridad de control nacional la competente y la encargada de investigar y sancionar a aquellos que vulneren algún precepto del reglamento. La DPC irlandesa cobra especial relevancia porque la mayoría de las grandes tecnológicas tienen sus principales sedes en Europa en este país debido a su fiscalidad ventajosa.

Un reciente informe de una organización de activistas denunciaba que la DPC tenía todavía sin resolver el 98% de las demandas que se habían interpuesto contra las grandes tecnológicas.

Ahora, con el paquete DSA en el horizonte, algunos legisladores europeos han mostrado su intención de que estas nuevas regulaciones cuenten con un principio de ventanilla única similar. Esto haría a la Unión Europea depender de lo que se decida, de nuevo, tanto en Irlanda como en Luxemburgo.

Llegados a este punto, Business Insider España ha consultado con diversos expertos cuáles son los principales desafíos que aborda el paquete DSA ahora que enfila unos meses esenciales para su redacción definitiva. Como avanza Sergio Carrasco, abogado e ingeniero de Fase Consulting, "habrá que ver qué es lo que queda".

"El problema va a ser mucho mayor"

Iciar López-Vidriero es abogada y experta en protección de datos en ICEF Consultores. "Aunque el mecanismo de cooperación transfronterizo nace con buenas intenciones, en el caso del RGPD ha provocado un auténtico cuello de botella que considero extrapolable a la DSA", abunda. También pronostica que dicho problema "va a ser mucho mayor".

"Estamos hablando de que los principales prestadores de servicios intermediarios son americanos y tienen su sede principal en Europa en un país o países concretos", expone, "provocando, pese a las buenas intenciones del legislador" un "nuevo o mayor cuello de botella" porque el organismo competente "se vea totalmente colapsado".

En casos como ese, el cuello de botella se convertirá "en un tapón". Por eso, López-Vidriero teme que se esté hablando de una "crónica de una muerte anunciada" sobre estos nuevos reglamentos. "La DSA parte de que se ofrezca un mecanismo sencillo y fácil para los destinatarios, así como mecanismos judiciales y extrajudiciales en caso de que los mismos no estén de acuerdo con las decisiones".

El responsable de Competencia en Alemania advierte que las propuestas europeas para regular a las tecnológicas podrían nacer obsoletas

"Una reclamación", lamenta, "se puede convertir en una historia interminable". "Parece que no hemos aprendido tanto del RGPD". "Se han tenido en cuenta otros principios, como legislar a los prestadores de servicios que hace 20 años ni se sabía para qué servían o qué podían llegar a hacer, y hoy son usados de una forma más que cotidiana".

En ese contexto, la especialista recuerda que los usuarios han pasado de una actitud pasiva "a una totalmente activa" en la que resulta "casi necesario" que se publique "toda la vida personal de forma constante". "Entiendo que el legislador ha priorizado unas necesidades, aunque debería haberse previsto un mecanismo de armonización más ágil".

Los prestadores serán "juez y parte"

Sergio Carrasco, de Fase Consulting, reconoce que el paquete DSA "es un paso adelante con respecto a lo que teníamos antes", pero "con respecto a determinadas obligaciones que luego puedan desarrollarse" es "muy complejo" contar con los estados miembros. Esas obligaciones "son bastante amplias". Y esa, en definitiva, "va a ser la parte compleja".

"Incluso teniendo reglamentos, somos muy amigos de establecer obligaciones de registro o licencias en cada territorio", recuerda. "Y la DSA tiene una serie de aspectos en cuanto a la defensa del consumidor que habrá que ver qué sucede en caso de incumplimientos o problemas que sucedan".

La Unión Europea ultima un sistema de identidad digital segura para que los ciudadanos puedan hacer trámites o pagar impuestos que estará completamente operativo en un año

"Van a surgir problemas", vaticina Carrasco, aunque es prudente. "Primero se tendrá que aprobar la propuesta definitiva y ver qué es lo que queda. Hay muchos otros aspectos que pueden ser discutidos, como la diferenciación entre los grandes prestadores y las obligaciones que se les impongan".

El problema para este abogado es que con esas obligaciones "los vamos a convertir, de alguna manera, en juez y parte a la hora de tomar decisiones". 

"Debemos oponernos a la gestión institucional y privada de la libertad de expresión"

El colectivo X.net es uno de los que en España más se han movilizado para preservar la libertad de expresión tanto en el ámbito digital como en el físico, y hace unos días expusieron los motivos por los que se oponían a varios aspectos "liberticidas" de la futura DSA, la "necesaria reforma del marco jurídico sobre servicios digitales" que en España hasta ahora configuraba la LSSI.

LSSI que, por otro lado, el PP ha planteado reformar en el Senado con una propuesta de ley para que los usuarios que se registren en plataformas sociales tengan que enseñar su DNI.

En concreto, X.net considera que "los principales peligros" de esta nueva regulación son "el filtrado preventivo del contenido y responsabilidades", los sistemas de recomendación de anuncios, la posible falta de transparencia en la interoperabilidad y los riesgos de confiar la aplicación de la norma en nuevas entidades nacionales de control.

España ultima su observatorio para analizar el impacto social de los algoritmos y se postula como país piloto para probar el futuro reglamento europeo de la inteligencia artificial

Sobre este último punto, de la misma manera que vaticinan otros expertos consultados por Business Insider España, X.net teme que crear esas nuevas entidades nacionales "o reciclar las de protección de datos" suponga perpetuar el cuello de botella.

"Las autoridades de protección de datos nacionales de momento tienen todavía muchos problemas de lentitud y falta de proactividad por cómo han sido diseñadas", advierten. "Es preferible una entidad supranacional bien regulada que permita evitar los sesgos nacionales, las puertas giratorias y la corrupción además de poder aplicar criterios más neutrales".

El colectivo enfatiza además en que "no se debe fomentar la censura de contenido, sino la obligación de verificación para las instituciones, los partidos y quien paga y cobra por la creación y viralización de contenido", al tiempo que pregunta si quiere la UE "equipararse a Rusia en cuanto a libertad de expresión".

También llama a que la nueva regulación no difiera entre mundo en línea y mundo físico. "La privacidad debe garantizarse desde el diseño y por defecto, sin publicidad personalizada por defecto. El uso de datos personales debe estar desactivado de forma predeterminada". Además, piden transparencia sobre "cómo se generan los algoritmos de recomendación" publicitarios.

Actualizar los derechos humanos al mundo digital

El paquete DSA busca perseguir aquellos contenidos ilícitos y exigir una mejor moderación a plataformas como Facebook. Esta misma semana, The Wall Street Journal cuestionaba la eficacia de la inteligencia artificial de la red social para detectar esos contenidos violentos o con discursos de odio que proliferan en su red social.

Pero si para perseguir esos contenidos ilícitos es necesario monitorizar a usuarios o bots, Iciar López-Vidriero, de ICEF Consultores, teme que pueda darse "una posible vulneración de derechos constitucionales" si las diligencias llevan a "obtener información desde los dispositivos" desde los que se han remitido esos contenidos.

"La DSA enfatiza en el término transparencia, pero dicho término no impedirá que se sigan cometiendo delitos". "Al final, más que obligaciones o paquetes reguladores, se deben poner sobre la mesa grandes retos previos, como la actualización de derechos humanos afectos a la sociedad digital y, especialmente, el cariz de la ética en los ámbitos tecnológicos", concluye.