Acceso a datos de plataformas y motores de búsqueda

Se encuentra actualmente en preparación el Reglamento Delegado que complementa el Reglamento (UE) 2022/2065 [de Servicios Digitales] mediante el establecimiento de las condiciones técnicas y los procedimientos bajo los cuales los proveedores de plataformas en línea de muy gran tamaño y motores de búsqueda de muy gran tamaño deben compartir datos de acuerdo con el Artículo 40 (el "Reglamento Delegado").

El Reglamento Delegado, cuya adopción se prevé para el primer trimestre del año, se establece como nuevo marco para el acceso de los investigadores a los datos de las grandes plataformas en línea y los grandes motores de búsqueda, lo que es una medida clave del Reglamento de Servicios Digitales ("DSA") para aumentar la transparencia y la responsabilidad de las plataformas.

El Reglamento Delegado ha sido desarrollado por la Comisión Europea con el fin de especificar las condiciones en las que debe producirse dicho intercambio de datos, su propósito de uso y los aspectos procedimentales más relevantes. Todo ello ponderando los derechos e intereses de los actores involucrados y estableciendo mecanismos de asesoramiento independientes.

La Comisión adoptará actos delegados para especificar con más detalle las condiciones en las que deben compartirse los datos, los fines para los que pueden utilizarse y los procedimientos pertinentes, teniendo en cuenta los derechos e intereses de los agentes implicados y, si es necesario, mecanismos consultivos independientes.

A continuación repasamos las claves de este nuevo Reglamento Delegado.

Contexto regulatorio en el que se enmarca la iniciativa: el Art. 40 DSA.

En la actualidad, la actividad de los intermediarios en línea tiene una gran repercusión en nuestra sociedad, desempeñando un papel clave en el intercambio de información y en las transacciones económicas. No obstante, en numerosas ocasiones se desconoce el proceso de diseño de las plataformas, en particular en lo relativo a sus sistemas algorítmicos. 

En este contexto, el Art. 40 DSA prevé que investigadores autorizados puedan solicitar a las plataformas en línea de muy gran tamaño ("VLOP" por sus siglas en inglés) y los a buscadores de muy gran tamaño ("VLOSE" por sus siglas en inglés), conjuntamente referidos en el Reglamento Delegado como "Proveedores de Datos", el acceso a datos para detectar, identificar y comprender los riesgos sistémicos a los que se refiere el art. 34 DSA. Riesgos que no resultan ajenos a nuestra realidad actual y que se materializan, entre otros supuestos, en la potencial desinformación a la que nos enfrentamos o en determinados contenidos ilícitos. Los investigadores también podrán solicitar acceso a datos para evaluar la adecuación, eficiencia e impacto de las medidas de mitigación de riesgos conforme al art. 35 DSA desarrolladas por parte de los VLOPs y VLOSEs.

Con carácter previo a la entrada en vigor de la DSA, el alcance de estas investigaciones resultaba limitado, en la medida que los datos sobre los que se basaban eran fruto de iniciativas voluntarias de los propios proveedores.

En el marco del Art. 40 DSA, existen dos fórmulas de acceso a los datos:

• Por un lado, la recogida en el Art. 40(12) DSA, que determina que los investigadores pueden acceder a aquellos datos que sean públicamente accesibles en las interfaces en línea de VLOPs y VLOSEs, siempre que cumplan con los requisitos enunciados en el citado precepto. En la actualidad existen procedimientos formales abiertos contra empresas como X, Aliexpress, Meta y TikTok por presuntas deficiencias en el proceso de otorgar acceso a los investigadores en los términos del Art. 40(12) DSA.
• Por otro lado, el Art. 40(4) DSA introduce la posibilidad de que los investigadores puedan solicitar acceso a datos no públicos, siempre que acrediten los requisitos enunciados por el Art. 40(12) y adicionalmente demuestren estar afiliados a una institución de investigación y acrediten que las actividades de investigación planificadas se llevarán a cabo con fines de detección, identificación y comprensión de riesgos sistémicos según lo establecido en el Art. 34(1) DSA y/o para evaluar las medidas de mitigación de riesgos enunciadas en el Art. 35 DSA. Finalmente, deben comprometerse a hacer públicos los resultados de la investigación, de manera gratuita. 

Ambas vías exigen la previa presentación de una solicitud al Coordinador de Servicios Digitales ("DSC" por sus siglas en inglés) del establecimiento, que en calidad de supervisor del efectivo cumplimiento de la DSA, tiene encomendado comprobar que estas solicitudes cumplen los requisitos ya enumerados. Una vez aprobada, la plataforma tiene 15 días para responder a la solicitud del DSC. En caso de hacerlo en sentido negativo, dispone de un plazo de 15 días para enmendar la solicitud de acceso y el DSC tendrá otros 15 días para confirmar o rechazar dicha solicitud.

Resuelto el trámite de la solicitud, la verdadera problemática se plantea en el modo de compartir los datos. La falta de concreción en la redacción de la DSA -“el acceso debe ser proporcionado y proteger debidamente los derechos e intereses legítimos”-, hace que resulte necesario activar la opción recogida en el Art. 40(13) DSA. Este precepto prevé la adopción de actos delegados por parte de la Comisión Europea en los que se concreten los detalles técnicos y procedimentales que garanticen el proceso efectivo de compartir aquellos datos contemplados en el Art. 40(4) DSA. Precisamente de esta disposición surge el proyecto de Reglamento Delegado que examinamos. 

El nuevo Reglamento como acto delegado de la Comisión Europea.

El nuevo Reglamento Delegado se encuentra actualmente en fase de preparación. En particular, la fase de consulta se cerró en mayo de 2023, habiéndose recibido 133 contribuciones. En resumen, los encuestados destacaron la necesidad de estandarizar el procedimiento de solicitud, así como de concretar las condiciones que los investigadores deben cumplir para estar acreditados de acuerdo con el Art. 40 DSA. Asimismo, recordaron que era necesario aportar más claridad sobre las obligaciones de los destinatarios de las solicitudes de acceso, esto es, los Proveedores de Datos. Fruto de los comentarios recibidos, se preparó un borrador del Reglamento Delegado, que fue sometido a una consulta pública que finalizó el 10 de diciembre pasado. Durante este primer trimestre de 2025 se espera que la Comisión adopte el texto definitivo.

A lo largo del Reglamento Delegado se especifican las condiciones técnicas y los requisitos procedimentales que garanticen un proceso eficaz, práctico y claro de acceso a los datos. Se estructura en cinco secciones. A la primera, relativa a disposiciones generales en las que se especifica el objeto y las definiciones relevantes, le siguen tres secciones en materia de obligaciones de información y contacto, requisitos para la formulación y evaluación de solicitudes motivadas y condiciones para proporcionar los datos solicitados a los investigadores acreditados. Entre los puntos más relevantes del proceso en él reglado se encuentran:

Previsiones relativas al aseguramiento de la protección de datos de conformidad con las previsiones del Reglamento General de Protección de Datos

• Habilitación del portal de datos de la DSA por parte de la Comisión. En él se gestionará el acceso y se facilitará el intercambio de información entre los investigadores, los Proveedores de Datos y los DSC.
• La Comisión adquiere el rol de responsable del tratamiento de los datos personales que se deriven del funcionamiento del portal de acceso de la DSA. Por su parte, los DSC actuarán como responsables del tratamiento respecto a los datos personales involucrados en el proceso de acceso.
• Los DSC y los Proveedores de Datos deben establecer puntos de contacto y propiciar información accesible relativa al proceso de acceso a los datos.

Previsiones relativas a los requisitos para formular y evaluar las solicitudes de acceso

• Se establece un procedimiento reglado que el DSC debe seguir para la evaluación de la solicitud de acceso y posterior elaboración de la solicitud de acceso motivada.
• Tras una ponderación de los derechos e intereses de los Proveedores de Datos, el DSC determinará la modalidad de acceso que estime más adecuada.
• Se detallan los elementos que deben incluir tanto la solicitud presentada por el investigador, entre los que se encuentra la identidad del investigador, la descripción del proyecto de investigación y las medidas de seguridad propuestas. Asimismo, se especifican los requisitos de la solicitud motivada del DSC, que deberá incluir un resumen de la solicitud del investigador, así como los detalles de contacto del mismo, la fecha y la modalidad de acceso. Dicha solicitud motivada deberá publicarse en el portal de acceso de datos de la DSA.
• También se especifica el procedimiento que deberá seguirse en caso de requerirse la enmienda de la solicitud de acceso por parte de los Proveedores de Datos.
• Se abre la posibilidad de que el DSC consulte a un mecanismo de asesoramiento independiente antes de tomar una decisión sobre la evaluación de la solicitud y sobre su enmienda. En ese sentido, se especifican los requisitos que estos expertos deberán satisfacer, en materia de capacitación e independencia.
• Finalmente, se incluye la previsión de participar en un procedimiento de mediación en caso de que el Proveedor de Datos se muestre disconforme con la decisión adoptada por parte del DSC.
• La sección cuarta alude al formato que debe seguir la entrega de los datos, así como la documentación relacionada.

Próximos pasos

Tras el proceso de consulta pública, se prevé que la Comisión adoptará el texto final del Reglamento Delegado durante el primer trimestre de 2025. Estaremos atentos a los próximos desarrollos en este campo.