I. Introducción
Con fecha 12 de octubre de 2022, ha sido publicado en el DOUE el importante Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022 (LA LEY 21630/2022), sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 (LA LEY 17913/2019) y (UE) 2020/1828 (LA LEY 23718/2020) (Reglamento de Mercados Digitales, Digital Markets Act o DMA).
La finalidad del Reglamento DMA es hacer frente a los desequilibrios económicos que generan los grandes superintermediarios, guardianes de acceso o gatekeepers del mundo digital, sus prácticas comerciales desleales y sus consecuencias negativas, como la reducida disputabilidad comercial de los mercados de plataformas. Indirectamente, la norma es un intento de afirmar la soberanía digital de la UE.
El propósito último del Reglamento es que este marco jurídico proporcione a los emprendedores y a las startups nuevas oportunidades para competir e innovar en el entorno de las plataformas en línea.
II. Antecedentes
Para actualizar el Derecho digital europeo al ritmo de los rápidos cambios en las tecnologías, los servicios y los sistemas digitales, con fecha 15 de diciembre de 2020 la Comisión Europea dio a conocer, en el marco de la nueva estrategia digital europea titulada «Configurar el futuro digital de Europa», dos proyectos de reglamentos europeos: la Ley de Mercados Digitales (Digital Markets Act o Reglamento DMA) y la Ley de Servicios Digitales (Digital Services Act o Reglamento DSA), destinados a regular las mayores plataformas en línea.
A principios de 2022, el Consejo y el Parlamento Europeo alcanzaron un acuerdo provisional sobre el texto del Reglamento DMA, que posteriormente fue refrendado por los representantes de los Estados miembros de la UE. El 18 de julio de 2022, el Consejo Europeo adoptó formalmente este reglamento.
Tras su publicación en el Diario Oficial de la Unión Europea el 12 de octubre de 2022, el Reglamento DMA será aplicable en la primavera de 2023 y la Comisión ya se está preparando para su aplicación en cuanto lleguen las primeras notificaciones.
III. Novedades principales
Esta legislación histórica introduce un nuevo régimen regulador ex ante para los mercados digitales (en lugar de basarse en las herramientas de aplicación ex post existentes), y está tomado del Derecho de las Telecomunicaciones. Se trata, en síntesis, de un régimen específico de obligaciones, supervisión y sanciones de Derecho Público.
El Reglamento DMA se aplica a los servicios de plataformas básicas prestados u ofrecidos por los guardines de acceso a empresas y usuarios finales establecidos o ubicados en la UE, independientemente de su lugar de establecimiento o residencia y de cualquier otra legislación nacional aplicable a su servicio, dado que por lo general son norteamericanos o chinos. Estos prestadores, muy pocos, son los grandes señores de Internet.
Su objetivo es prohibir determinadas prácticas utilizadas por las grandes plataformas en línea que actúan como guardianes de acceso digitales del mercado único, imponiéndoles diversas obligaciones.
La norma no emplea los conceptos de «plataformas en línea» y «plataformas en línea de muy gran tamaño» del Reglamento DSA. En su lugar, y para ser considerada como «guardián de acceso» en virtud del Reglamento DMA, una plataforma en línea debe (art. 3):
- a) tener un impacto significativo en el mercado interior, es decir, alcanzar un volumen de negocio anual en la UE igual o superior a 7.500 millones de euros en cada uno de los tres últimos ejercicios, o que su capitalización media de mercado o su valor justo de mercado equivalente ascienda al menos a 75.000 millones de euros en el último ejercicio, y prestar el mismo servicio básico de plataforma en, al menos, tres Estados miembros de la UE;
- b) proporcionar un servicio básico de plataforma que actúe como una importante puerta de acceso para que los usuarios empresariales lleguen a los clientes y a otros usuarios finales, es decir, que en el último ejercicio financiero tenga al menos 45 millones de usuarios finales activos mensuales y, al menos, 10.000 usuarios empresariales activos anuales establecidos o ubicados en la UE; y
- c) gozar actualmente de una posición afianzada y duradera o lo hará en un futuro próximo; este criterio se cumple si se alcanzan los umbrales de usuarios indicados en la letra anterior b) en cada uno de los tres últimos ejercicios.
Los «servicios básicos de plataforma» (los core platform services o CPS, expresión que a mi juicio es más técnicamente precisa que la traducción española) incluyen servicios de intermediación en línea, motores de búsqueda, servicios de redes sociales, servicios de plataforma para compartir vídeos, servicios de comunicaciones interpersonales independientes del número (como WhatsApp y demás servicios de mensajería instantánea de voz, texto, imágenes y archivos), sistemas operativos como Microsoft Windows, navegadores web, asistentes virtuales, servicios de computación en nube como Google Cloud o Microsoft Azure y servicios de publicidad en línea. Esta lista puede ampliarse o cambiar con el tiempo.
Los guardianes de acceso que cumplan estos requisitos deben notificarlo a la Comisión Europea en un plazo de dos meses a partir del cumplimiento de los umbrales mencionados. La Comisión los designará como gatekeeper en un plazo de 45 días hábiles a partir de la recepción de esta información.
Una vez designados, los guardianes de acceso deben cumplir con ciertas obligaciones respecto a cada uno de sus servicios de plataforma principal (los señalados servicios básicos de plataforma). Las obligaciones son inmediata y directamente aplicables (en virtud del artículo 5) o son susceptibles de una mayor especificación (obligaciones de los artículos 6 y 7) por parte de la Comisión. La Comisión se ocupará de la especificación posterior mediante la apertura de un procedimiento y la declaración de medidas que deberán aplicarse en un plazo de 6 meses para garantizar el cumplimiento efectivo. El gatekeeper también puede solicitar a la Comisión que determine si las medidas que pretende aplicar como resultado de su autoevaluación garantizan el cumplimiento de los artículos 6 y 7 del Reglamento DMA.
Las obligaciones de los gatekeepers se dividen en prohibiciones y obligaciones positivas.
1. Prohibiciones
Los guardianes de acceso no pueden llevar a cabo las siguientes actividades:
- A) Utilización de datos. No pueden utilizar de forma cruzada o combinar datos personales obtenidos de su servicio de plataforma principal o de terceros que se anuncian en su servicio con datos obtenidos de otro de sus servicios, sin autorización. Ni tampoco utilizar, en competencia con los usuarios empresariales, los datos proporcionados por éstos como resultado de su utilización de los servicios de la plataforma principal del guardián de acceso.
- B) Autopreferenciación. En primer lugar, el guardián de acceso no podrá establecer obligaciones que impidan a los usuarios profesionales ofrecer los mismos productos o servicios a usuarios finales a través de servicios de intermediación en línea de terceros o de su propio canal de venta directa en línea a precios o condiciones que sean diferentes de los ofrecidos a través de los servicios de intermediación del guardián. También prohíbe que el guardián pueda condicionar el acceso a sus propios servicios de plataforma, que el guardián clasifique más favorablemente sus propios productos y servicios en los resultados de las búsquedas o que el guardián pueda exigir a los usuarios finales que utilicen sus sistemas operativos y aplicaciones, como los sistemas de pago para las compras dentro de la plataforma u otras funciones, para los servicios que los usuarios empresariales prestan utilizando los servicios de la plataforma principal del gatekeeper.
- C) Cambios, bajas y quejas. Están prohibidas aquellas medidas que restringen la capacidad de los usuarios finales de cambiar entre diferentes aplicaciones y servicios, incluidos los servicios de acceso a Internet, así como las condiciones generales que dificultan que los usuarios abandonen su plataforma o servicio, o que impidan que las empresas o los usuarios finales denuncien el incumplimiento del gatekeeper a la autoridad competente.
2. Obligaciones positivas
La norma establece las siguientes:
- A) Interoperabilidad. Los guardianes de acceso deben proporcionar durante un período de tiempo las interfaces técnicas necesarias para que sus servicios de comunicaciones interpersonales independientes de la numeración, como la mensajería instantánea de voz, vídeo, texto e imágenes y el intercambio de archivos, sean interoperables con los servicios homólogos de terceros, preservando al mismo tiempo la seguridad, como el cifrado de extremo a extremo, cuando proceda.
- B) Acceso a los datos. Los guardianes de acceso tienen que brindar a los usuarios finales un acceso en tiempo real y una portabilidad efectiva de los datos proporcionados por el usuario final o generados a través de la actividad del usuario final, así como conceder a los usuarios empresariales acceso en tiempo real a los datos generados por ellos y por los usuarios finales a partir de su uso del servicio de la plataforma del guardián, y proporcionar a los motores de búsqueda de terceros acceso a los datos de clasificación, consulta, clics y visualización.
- C) Publicidad. Los guardianes de acceso tienen que ser transparentes con los anunciantes y editores a los que prestan servicios de publicidad en línea en lo que respecta al precio y las tasas que pagan los anunciantes, la remuneración de los editores y las métricas sobre las que se calculan los precios, las tasas y la remuneración. También deben facilitarles el acceso a las herramientas y datos de medición del rendimiento del gatekeeper para que puedan evaluar y verificar el rendimiento del gatekeeper en relación con los servicios básicos de la plataforma prestados.
- D) Aplicaciones y tiendas de aplicaciones. Los guardianes están obligados a ofrecer a los usuarios empresariales un acceso justo a las tiendas de aplicaciones, los motores de búsqueda en línea y las redes sociales del propio gatekeeper. También tienen que permitir a los usuarios finales desinstalar fácilmente las aplicaciones de software precargadas y cambiar la configuración predeterminada que dirige o redirecciona a los usuarios finales a los productos o servicios proporcionados por el gatekeeper. En fin, los guardianes de acceso tienen que permitir la instalación y el uso de aplicaciones de software de terceros o de tiendas de aplicaciones de software interoperables con el sistema operativo del gatekeeper y permitir incluso que se establezcan por defecto.
IV. Supervisión
La aplicación del Reglamento DMA corresponde a la Comisión Europea y no a las autoridades nacionales. Si un gatekeeper no cursa la notificación a la Comisión de acuerdo con los requisitos de la norma, puede ser multado con el 1 % de su volumen de negocios total (del año anterior). Si un gatekeeper no cumple con sus obligaciones clave o con las medidas ordenadas por la Comisión, ésta puede imponerle multas de hasta el 10 % de su volumen de negocios total a nivel mundial en el ejercicio anterior, o de hasta el 20 % en caso de incumplimiento reiterado. En los casos de incumplimiento sistemático de las obligaciones de un guardián de acceso, la Comisión puede imponerle soluciones de comportamiento o estructurales para garantizar su cumplimiento.
El Reglamento DMA precisa que tutela intereses legales diferentes a los protegidos por el Derecho de la competencia (cdo. 11). Debe aplicarse de forma complementaria y sin perjuicio de los artículos 101 (LA LEY 6/1957) y 102 del TFUE (LA LEY 6/1957) u otras normas nacionales de competencia. Esto supone que las autoridades nacionales no pueden tomar decisiones contrarias a las decisiones de la Comisión adoptadas en el marco del Reglamento DMA. En lo que respecta a la aplicación, la Comisión espera una estrecha cooperación y coordinación con los Estados miembros.
El Reglamento DMA contempla el derecho de los usuarios empresariales y finales, incluidos los denunciantes, a plantear sus preocupaciones sobre las prácticas desleales de los guardianes de acceso, tales como el establecimiento de «condiciones de acceso discriminatorias, el cierre injustificado de cuentas de usuarios profesionales o motivos poco claros para descatalogar productos» (cdo. 42). Los gatekeepers no pueden impedir o restringir que los usuarios empresariales o los usuarios finales planteen cualquier problema de incumplimiento ante cualquier autoridad pública pertinente, incluidos los tribunales nacionales. Por lo tanto, está prohibida cualquier práctica que pueda inhibir u obstaculizar a los usuarios a la hora de plantear sus reclamaciones, por ejemplo, mediante el recurso a cláusulas de confidencialidad en los acuerdos u otras estipulaciones contractuales.
Como el Reglamento DMA es un reglamento del Derecho de la Unión, las obligaciones de los guardianes pueden hacerse cumplir directamente en los tribunales nacionales. Esto facilitará las acciones directas por daños y perjuicios por parte de los perjudicados por la conducta de los gatekeepers incumplidores.
V. Entrada en vigor
Como reglamento europeo, el Reglamento DMA es directamente aplicable en toda la UE sin necesidad de ninguna otra legislación. Tras su publicación en el Diario Oficial de la UE, la norma entrará en vigor a los veinte días de su publicación y comenzará a aplicarse a partir del 2 de mayo de 2023 (art. 54), con algunas salvedades. Los guardianes de acceso tendrán un máximo de seis meses después de haber sido designados para cumplir con sus nuevas obligaciones.
VI. Conclusiones
El Reglamento DMA codifica muchos elementos de casos anteriores del Derecho de la competencia acuñados por la Comisión Europea. Asimismo, con el binomio DMA-DSA la UE quiere repetir el «efecto Bruselas» logrado en protección de datos con el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016): la UE aprueba normas jurídicas que configuran el entorno empresarial e imponen prácticas de cumplimiento normativo en todo el mundo. El tiempo nos dirá si consiguen resolver los grandes problemas que lastran el desarrollo tecnológico de la UE: la lentitud de la innovación, la falta de competencia y la escasa inversión en tecnologías de nueva generación.
A mi juicio, la preparación será clave para todos los afectados por el Reglamento DMA. Al mismo tiempo, los emprendedores, las empresas y las plataformas que busquen aprovechar los cambios que implican una mayor capacidad de elección e interoperabilidad pueden crear nuevos modelos de negocio.
La evolución de las nuevas prácticas en los mercados digitales por parte de los guardianes de acceso tras la aplicación del Reglamento DMA también seguirá siendo observada atentamente desde la perspectiva de la aplicación de la competencia. Si bien la Comisión hace hincapié en el nuevo régimen ex ante del Reglamento DMA, la aplicación del Derecho de la competencia en vigor sigue siendo importante. Es probable que las herramientas del Derecho de la competencia continúen desplegándose en los mercados digitales, aunque posiblemente con teorías de daño más novedosas que las vistas anteriormente en los casos de aplicación de la Comisión.
Otros Estados tratarán de reflejar ciertos aspectos del régimen del Reglamento DMA, que puede ser tomado como un modelo en algunos aspectos. Los Estados Unidos o el Reino Unido, entre otros, también están considerando una legislación para abordar los desequilibrios (1) en los mercados digitales.