La labor a escala de la Unión destinada a combatir los contenidos terroristas en línea comenzó en 2015, con un marco de cooperación voluntaria entre Estados miembros y prestadores de servicios de alojamiento de datos. Por eso la UE consideró necesario complementar dicha labor con un marco legislativo claro para seguir reduciendo la accesibilidad de los contenidos terroristas en línea y luchar adecuadamente contra un problema que evoluciona con rapidez. El marco legislativo pretende basarse en esfuerzos voluntarios, reforzados por la Recomendación (UE) 2018/334 de la Comisión, y responde a los llamamientos del Parlamento Europeo para reforzar las medidas de lucha contra los contenidos ilícitos y nocivos en línea conforme al marco horizontal establecido por la Directiva 2000/31/CE (LA LEY 7081/2000) del Parlamento Europeo y del Consejo, y del Consejo Europeo para mejorar la detección y la retirada de los contenidos en línea que incitan a actos terroristas. Bien entendido que el presente Reglamento no afecta a la aplicación de esta última directiva Directiva 2000/31/CE (LA LEY 7081/2000). En particular, las medidas tomadas por un prestador de servicios de alojamiento de datos en cumplimiento del presente Reglamento, incluidas cualesquiera medidas específicas, no deben suponer, por sí mismas, que ese prestador de servicios de alojamiento de datos deje de beneficiarse de la exención de responsabilidad que le concede esa Directiva. Además, el presente Reglamento no afecta a los poderes de las autoridades y los órganos jurisdiccionales nacionales de establecer la responsabilidad de los prestadores de servicios de alojamiento de datos si no se cumplen las condiciones establecidas en dicha Directiva para la exención de responsabilidad.
El presente Reglamento establece las normas para luchar contra el uso indebido de los servicios de alojamiento de datos para la difusión de contenidos terroristas en línea, con el fin de garantizar el correcto funcionamiento del mercado interior y tiene el propósito de contribuir a la protección de la seguridad pública estableciendo al mismo tiempo garantías adecuadas y sólidas para velar por la protección de los derechos fundamentales, incluido el derecho al respeto de la vida privada, a la protección de los datos de carácter personal; a la libertad de expresión, incluido el derecho a recibir y transmitir información; el derecho a la libertad de empresa y a la tutela judicial. Además, se prohíbe toda discriminación.
Las autoridades competentes y los prestadores de servicios de alojamiento de datos deben adoptar solamente las medidas que sean necesarias, adecuadas y proporcionadas en una sociedad democrática, teniendo en cuenta la importancia particular concedida a la libertad de expresión y de información, y a la libertad y el pluralismo de los medios de comunicación, que constituyen los pilares esenciales de una sociedad democrática y pluralista y que son valores en los que se fundamenta la Unión. Las medidas que afecten a la libertad de expresión y de información deben ser muy específicas, para luchar contra la difusión de contenidos terroristas en línea respetando, al mismo tiempo, el derecho a recibir y transmitir información lícitamente, teniendo en cuenta el papel esencial de los prestadores de servicios de alojamiento de datos en el fomento del debate público y en la distribución y recepción de hechos, opiniones e ideas, de conformidad con la ley. Las medidas efectivas en línea de lucha contra los contenidos terroristas en línea y la protección de la libertad de expresión y de información no son objetivos incompatibles, sino que son objetivos complementarios que se refuerzan mutuamente.
Concepto de «almacenamiento»
Con objeto de luchar de manera eficaz contra la difusión de contenidos terroristas en línea y de asegurar al mismo tiempo el respeto de la vida privada de las personas, el presente Reglamento es aplicable a los prestadores de servicios de la sociedad de la información que almacenen y difundan entre el público información y material proporcionados por un usuario del servicio a petición de este, independientemente de que el almacenamiento y la difusión al público de tal información y material sea de naturaleza meramente técnica, automática y pasiva. El concepto de «almacenamiento» se debe entender como la conservación de datos en la memoria de un servidor físico o virtual. Por lo tanto, deben quedar fuera del ámbito de aplicación del presente Reglamento los prestadores de servicios de «mera transmisión» o «almacenamiento temporal», así como de otros servicios proporcionados en otros niveles de la infraestructura de internet, que no conllevan almacenamiento, como los registros y los registradores, los proveedores de sistemas de nombres de dominio (DNS, por sus siglas en inglés «domain name systems»), los servicios de pago o los servicios de protección contra ataques de denegación de servicio distribuido (DDoS, por sus siglas en inglés «distributed denial of service»).
Concepto de «difusión entre el público»
El concepto de «difusión entre el público» debe suponer poner la información a disposición de un número potencialmente ilimitado de personas, a saber, facilitar el acceso a la información a los usuarios en general sin exigir intervención ulterior del proveedor de contenidos, independientemente de que dichas personas accedan realmente a dicha información. En consecuencia, cuando el acceso a la información exija un registro o una admisión a un grupo de usuarios, debe considerarse que existe difusión entre el público solo cuando el registro o la admisión de los usuarios que intenten acceder a la información se produzca de modo automático sin que un ser humano decida o seleccione a quién otorgar acceso. Los servicios de comunicaciones interpersonales, tal como se definen en el art. 2, punto 5, de la Directiva (UE) 2018/1972 (LA LEY 20019/2018) del Parlamento Europeo y del Consejo, como el correo electrónico o los servicios de mensajería privada, deben quedar fuera del ámbito de aplicación del presente Reglamento. Se considerará que la información se almacena y difunde entre el público a los efectos del presente Reglamento tan solo cuando dichas actividades se lleven a cabo previa solicitud directa del proveedor de contenidos. Por consiguiente, los prestadores de servicios tales como de infraestructura en la nube, que se proporcionan previa solicitud de partes distintas de los proveedores de contenidos y solo benefician en modo indirecto a estos últimos, no deben entrar en el ámbito de aplicación del presente Reglamento. El presente Reglamento abarca, por ejemplo, los proveedores de medios sociales, los servicios de distribución de vídeo, imágenes y audio, los servicios de intercambio de archivos y otros servicios en la nube, en la medida en que dichos servicios se emplean para poner la información almacenada a disposición del público previa solicitud directa del proveedor de contenidos. Cuando un prestador de servicios de alojamiento de datos preste varios servicios, el presente Reglamento se debe aplicar solamente a aquellos servicios que entren dentro de su ámbito de aplicación.
Órdenes de retirada
El presente Reglamento armoniza el procedimiento y las obligaciones resultantes de las órdenes de retirada que exijan a los prestadores de servicios de alojamiento de datos retirar o bloquear el acceso a los contenidos terroristas, previa evaluación por las autoridades competentes. Dada la velocidad con la que se difunden los contenidos terroristas por los servicios en línea, se debe imponer a los prestadores de servicios en línea la obligación de garantizar que se retiren los contenidos terroristas a que se refiere la orden de retirada, o que se bloquee el acceso a ellos en todos los Estados miembros, en el plazo de una hora desde la recepción de la orden de retirada. Excepto en situaciones de emergencia debidamente justificadas, la autoridad competente debe proporcionar al prestador de servicios de alojamiento información sobre los procedimientos y los plazos aplicables con al menos doce horas de antelación a la emisión de la primera orden de retirada a ese prestador. Los casos de emergencia debidamente justificados se producen cuando la retirada de los contenidos o el bloqueo del acceso a los contenidos terroristas transcurrida más de una hora desde la recepción de la orden de retirada produciría un daño grave, como por ejemplo situaciones de amenaza inminente para la vida o para la integridad física de una persona o cuando dichos contenidos muestren acontecimientos en curso que produzcan daños continuados para la vida o para la integridad física de una persona. La autoridad competente determinará si constituyen casos de emergencia y justificar debidamente su decisión en la orden de retirada. El prestador de servicios de alojamiento de datos debe informar lo antes posible a la autoridad competente que dictó la orden en caso de que no pueda acatar la orden de retirada en el plazo de una hora desde su recepción por motivos de fuerza mayor o imposibilidad de hecho, incluidos los motivos técnicos u operativos justificados, y cumplirá la orden de retirada tan pronto como se haya resuelto la situación.
La orden de retirada debe incluir una motivación calificando el material que tiene que ser retirado o el acceso que debe ser bloqueado en tanto que contenido terrorista y proporcionar información suficiente para localizar dicho contenido, facilitando una dirección exacta URL y, cuando proceda cualquier otra información adicional, por ejemplo una captura de pantalla del contenido en cuestión. No obstante, la motivación debe permitir al prestador de servicios de alojamiento de datos y, en última instancia, al proveedor de contenidos, ejercer de forma efectiva su derecho a la tutela judicial. Los motivos aducidos no deben implicar la divulgación de información sensible que pudiera poner en riesgo las investigaciones en curso.
Las autoridades competentes deben publicar informes anuales de transparencia que incluyan información sobre el número de órdenes de retirada, el número de casos en que una orden no fue ejecutada y el número de decisiones relativas a medidas específicas, el número de asuntos sometidos a procedimientos de control administrativos o judiciales y el número de decisiones que impongan sanciones.
Sanciones
La UE considera que las sanciones son necesarias para garantizar el cumplimiento efectivo del presente Reglamento por los prestadores de servicios de alojamiento de datos. Los Estados miembros deben adoptar normas sobre sanciones, que pueden ser de carácter administrativo o penal, así como, cuando proceda, directrices para la imposición de multas. El incumplimiento en casos concretos puede ser sancionado, con respeto de los principios de ne bis in idem y de proporcionalidad, y con la garantía de que esas sanciones tienen en cuenta la inobservancia sistemática. Las sanciones pueden adoptar diferentes formas, entre ellas la de advertencia formal en caso de infracciones leves o la de sanción pecuniaria en relación con infracciones más graves o sistemáticas. Deben imponerse sanciones particularmente rigurosas en los casos en que el prestador de servicios de alojamiento de datos incumpla de forma sistemática o reiterada la obligación de retirada de los contenidos terroristas, o de bloqueo del acceso a ellos, en el plazo de una hora desde la recepción de una orden de retirada. Para garantizar la seguridad jurídica, el presente Reglamento debe establecer qué infracciones son sancionables y las circunstancias que son pertinentes para determinar el tipo y nivel de tales sanciones. Al determinar si se deben imponer o no sanciones económicas, deben tenerse debidamente en cuenta los recursos económicos del prestador de servicios de alojamiento de datos. Asimismo, la autoridad competente debe tener en cuenta si el prestador de servicios de alojamiento de datos es una empresa emergente o una micro empresa, pequeña o mediana empresa tal que definidas en la Recomendación 2003/361/CE de la Comisión. También se deben tener en cuenta otras circunstancias adicionales, por ejemplo, si la conducta del prestador de servicios de alojamiento de datos ha sido objetivamente imprudente o reprobable o si la infracción se ha cometido por negligencia o intencionadamente. Los Estados miembros deben garantizar que las sanciones impuestas por infracción del presente Reglamento no incentiven la retirada de material que no sea terrorista.
[Véase P. de Miguel Asensio, «Servicios de alojamiento de datos y medidas contra la difusión de contenidos terroristas en línea: el Reglamento (UE) 2021/784», en la Sección Tribuna, supra]