El DSA es, en esencia, la actualización del viejo modelo de “puertos seguros” de la Directiva de comercio electrónico, con mucha más atención a cómo las plataformas gestionan la información que alojan.
Teverga
1. Antecedentes: Directiva de comercio electrónico y safe harbours
La Directiva 2000/31/CE sobre comercio electrónico creó un sistema de exención de responsabilidad para determinados intermediarios (conduit, caché, hosting). En el caso del alojamiento de datos (art. 14 DCE), el prestador no responde por la información que almacena para sus usuarios si:
-
No tiene conocimiento efectivo de que el contenido es ilícito, ni de hechos que revelen claramente esa ilicitud.
-
Y, cuando obtiene ese conocimiento, actúa con rapidez para retirar el contenido o bloquear el acceso.
El TJUE interpretó que esta exención solo vale para prestadores que actúan de forma “técnica, automática y pasiva”, es decir, que no tienen conocimiento ni control sobre la información: es la famosa distinción entre rol neutral y rol activo. Si el host interviene de forma activa en la optimización, promoción o presentación de contenidos, puede perder el safe harbour porque ya no es un mero intermediario neutral. Este modelo generó inseguridad: muchas plataformas temían que investigar o filtrar contenidos les hiciera perder la exención, lo que desincentivaba medidas proactivas contra contenidos ilícitos (incluyendo productos falsificados).
En paralelo, la Comisión impulsó autorregulación, especialmente frente a falsificados, mediante el Memorandum of Understanding on the sale of counterfeit goods on the internet, un acuerdo voluntario entre grandes plataformas y titulares de derechos para adoptar medidas técnicas y organizativas que previnieran ofertas de falsificados en marketplaces.
2. El salto al Digital Services Act (DSA)
El Reglamento (UE) 2022/2065, Digital Services Act, sustituye a la DCE en materia de responsabilidad de intermediarios y crea un marco general, escalonado, para todos los servicios de intermediación, incluida la plataforma de comercio electrónico.
-
Mantiene el esquema de safe harbours, pero lo reescribe, incorporando la jurisprudencia del TJUE.
-
Regula en capas: obligaciones básicas para todos los intermediarios, obligaciones adicionales para hosting providers, reglas específicas para plataformas en línea y, aún más, para plataformas de muy gran tamaño.
En materia de responsabilidad, el art. 6 DSA replica en esencia el modelo del antiguo art. 14 DCE:
-
El hosting sigue exento si no tiene conocimiento efectivo ni es consciente de circunstancias que revelen la ilicitud, y si, al adquirir ese conocimiento, retira o bloquea con prontitud el contenido ilícito.
-
El Reglamento precisa que ese conocimiento debe ser específico, no basta ser consciente en abstracto de que el servicio también se usa para contenidos ilegales.
Al mismo tiempo, el DSA reafirma la prohibición de imponer una obligación general de monitorización o de búsqueda activa de contenidos ilícitos (art. 7, que retoma el art. 15 DCE). Pero introduce la llamada “cláusula del buen samaritano”: la plataforma no pierde automáticamente el safe harbour por realizar, de buena fe y con diligencia, investigaciones o filtrados voluntarios para detectar y retirar contenidos ilícitos. Se corrige así el incentivo a “no mirar” que había creado la interpretación estricta del papel activo.
3. Gestión de la información: conocimiento, notificación y actuación
El DSA convierte la gestión de la información en el eje práctico de la responsabilidad:
-
Obliga a los servicios de alojamiento (incluidas plataformas) a establecer mecanismos de “notice & action” electrónicos, fáciles de usar, que permitan a cualquier persona notificar contenidos ilícitos.
-
Las notificaciones suficientemente precisas y fundamentadas, que permitan a un prestador diligente apreciar sin análisis jurídico complejo la ilicitud, se consideran que confieren conocimiento efectivo (art. 16.3 DSA).
Además, crea la figura de los “alertadores fiables” (trusted flaggers): entidades especializadas, reconocidas por un Estado miembro, cuyas notificaciones deben ser tramitadas con prioridad por las plataformas en línea, sin dilación indebida. Esto afecta directamente a la lucha contra falsificados y otras infracciones de PI, porque asociaciones sectoriales u oficinas de PI pueden actuar como alertadores que alimentan el sistema de gestión de contenidos.
El Reglamento también insiste en que:
-
El host debe justificar de forma clara y motivada sus decisiones de retirada o bloqueo, incluyendo la base jurídica y, en su caso, si se ha utilizado filtrado automatizado.
-
Debe ofrecer sistemas internos de reclamación y, para plataformas, vías de resolución extrajudicial de disputas, con el objetivo de evitar el overblocking (retirada excesiva por miedo a la responsabilidad).
Para las plataformas de muy gran tamaño, la gestión de la información se refuerza todavía más: deben identificar y mitigar “riesgos sistémicos” ligados a la difusión de contenidos ilícitos, lo que implica análisis periódicos, ajustes algorítmicos y medidas de reducción de riesgos (por ejemplo, mejorar la velocidad y calidad del tratamiento de notificaciones).
4. Ciberseguridad y gestión informacional como deber regulatorio
El recorrido DCE → jurisprudencia TJUE → DSA muestra una evolución clara:
-
Del modelo inicial que protegía al intermediario siempre que se mantuviera neutral y reaccionara solo cuando se le notificaba,
-
a un marco en el que la plataforma debe disponer de sistemas internos estructurados de gestión de información ilícita (procedimientos de notificación, evaluación, retirada, registro, revisión), sin que ello le haga perder el puerto seguro.
En la práctica, esto aproxima la lógica de la responsabilidad de plataformas a la de un sistema de ciberseguridad y compliance digital: monitorizar de forma razonable, registrar eventos, responder a incidentes, documentar decisiones y cooperar con autoridades y titulares de derechos se convierte en condición para conservar la exención de responsabilidad y para poder seguir operando en el mercado interior digital de la UE.