DMA: Implicaciones para la seguridad de las nuevas leyes antimonopolio de la UE

La Ley de Mercados Digitales frente a los guardianes: un acto de equilibrio

The Digital Market Act (DMA) - a European legislation being discussed in the European Parliament Paul Henri-Spaak building

La actual lucha de poder entre la UE y las grandes empresas tecnológicas pone de relieve la acuciante necesidad de un enfoque equilibrado y matizado de las políticas reguladoras que tenga en cuenta los intereses de todas las partes implicadas, y no en menor medida los de los consumidores. La Ley de Mercados Digitales (LMD) pretende lograr este equilibrio, pero ¿lo conseguirá?


Unos pocos gigantes tecnológicos dominan los mercados digitales de todo el mundo, dificultando la penetración de las pequeñas empresas. La UE se enfrenta a la ardua tarea de frenar su monopolio y dar a los ciudadanos europeos más control sobre sus datos a través de la Ley de Mercados Digitales (LMD), pero hay una trampa…

¿Qué es la Ley de Mercados Digitales?

La Ley de Mercados Digitales o DMA es un conjunto de normas definidas por la Comisión Europea. Se aplica a los operadores de negocios digitales en la Unión Europea que cumplen los criterios que los califican como gatekeepers. El objetivo de esta normativa es ofrecer un entorno más justo a las empresas que dependen de estos gatekeepers para ofrecer sus servicios en el mercado único europeo.

En pocas palabras: Las grandes empresas tecnológicas consideradas guardianes deben abrir sus plataformas a competidores más pequeños para que la competencia sea más justa.

La nueva legislación pretende permitir a las nuevas empresas tecnológicas competir e innovar en el entorno de las plataformas en línea sin tener que cumplir las cláusulas abusivas impuestas por las plataformas, que pueden limitar su desarrollo o disminuir sus posibilidades de hacer llegar sus productos a los consumidores. Demasiado poder en manos de unos pocos puede ahogar la innovación y restringir la competencia leal.

Al mismo tiempo, la Comisión confía en que las nuevas medidas darán lugar a mejores y más opciones entre las que elegir para los consumidores, les permitirán un acceso directo a los servicios, precios más justos y más oportunidades de cambiar de proveedor si así lo desean, como resultado de un entorno competitivo más sano.

La Comisión pretende conseguirlo permitiendo al mismo tiempo a los “gatekeepers” conservar todas sus oportunidades actuales de innovar y ofrecer nuevos servicios. Pero ya no se les permitiría utilizar prácticas desleales en su beneficio, ni hacia los usuarios empresariales ni hacia los clientes que dependen de ellos. Y aunque la fragmentación normativa actual en la UE supone a menudo mayores costes de cumplimiento para las plataformas que operan a escala transfronteriza, la nueva legislación unificada ayudaría a resolver también este problema y proporcionaría más seguridad jurídica a los guardianes.

¿Qué es la Ley de Servicios Digitales?

La nueva Ley de Servicios Digitales (DSD) es un conjunto único de normas aplicables en toda la UE, con mecanismos que permiten a la Comisión Europea y a los Estados miembros coordinar sus actuaciones. Su principal objetivo es combatir los bienes, contenidos o servicios ilegales que se distribuyen en línea. Incluye:

  • Medidas para que los usuarios señalen estos contenidos y para que las plataformas cooperen con “señaladores de confianza”.
  • Nuevas obligaciones sobre la trazabilidad de las empresas usuarias en los mercados en línea.
  • Salvaguardias efectivas para los usuarios, incluida la posibilidad de impugnar las decisiones de moderación de contenidos de las plataformas
  • Obligaciones para las plataformas muy grandes que llegan a más del 10% de la población de la UE de evitar el abuso de sus sistemas.
  • Mayor accesibilidad de las plataformas para las personas con discapacidad
  • Prohibición de anuncios dirigidos a niños (o basados en características especiales de los usuarios) en las plataformas en línea
  • Medidas de transparencia para las plataformas en línea, incluida la transparencia de la publicidad en línea de cara al usuario y la transparencia de los algoritmos utilizados para la recomendación. Además, las autoridades y los investigadores tendrán acceso a los datos de las principales plataformas para examinar su funcionamiento.
  • Una estructura de supervisión acorde con la complejidad del espacio en línea. Los Estados miembros tendrán el papel principal, apoyados por un nuevo Consejo Europeo de Servicios Digitales; en el caso de las plataformas muy grandes, la supervisión y el cumplimiento corresponderán a la Comisión.
  • Las pequeñas empresas y las microempresas quedan exentas de las obligaciones más costosas, pero son libres de aplicar las mejores prácticas para su ventaja competitiva.
  • Las plataformas y otros intermediarios no son responsables del comportamiento ilícito de los usuarios, a menos que tengan conocimiento de actos ilegales y no los eliminen.

EU Parliament image by Marius Oprea on Unsplash

¿Quién puede considerarse gatekeeper?

La DMA define como “gatekeeper” a una gran plataforma en línea con una posición económica fuerte, un impacto significativo en el mercado interior y activa en varios países de la UE (independientemente de si tienen su sede en la UE o no), y que vincula a una gran base de usuarios con un gran número de empresas. Además, una plataforma de este tipo sólo podrá considerarse gatekeeper si también es estable en el tiempo, lo que significa que ha cumplido los criterios anteriores en cada uno de los tres últimos ejercicios.

Obviamente, los criterios sólo los cumplirán un puñado de plataformas de grandes tecnológicas que tienen un impacto desproporcionado en el mercado.

Compañías como Google / Alphabet Inc, Apple, Microsoft, Amazon y Meta se calificarán como gatekeepers.

Por ejemplo, en virtud de la DMA, Amazon tendrá que dejar de favorecer sus propios productos frente a los de proveedores independientes que aloja la plataforma, y Google ya no podrá recopilar datos de servicios como Maps y YouTube, y combinarlos con los de Google Search sin el consentimiento explícito de los usuarios.

¿Cuál es la situación actual de la DMA?

La DMA entrará en vigor en mayo de 2023. Entonces, en los 4 meses siguientes, las empresas que prestan servicios de plataforma básica aclararán con la Comisión si cumplen o no los requisitos para ser consideradas gatekeepers, y las que cumplan los criterios tendrán otros 6 meses desde la recepción de la decisión para garantizar el cumplimiento de las obligaciones que establece la DMA. En un esfuerzo por lograr el equilibrio adecuado entre necesidades contrapuestas, la Comisión está organizando talleres técnicos para recabar opiniones de las partes interesadas sobre el cumplimiento de las obligaciones por parte de los gatekeepers.

Si los gatekeepers no cumplen la nueva normativa después de los 6 meses permitidos, se les impondrá una multa de hasta el 10% de su volumen de negocios anual total mundial o, en caso de infracciones reiteradas, de hasta el 20%, y podrán incurrir en multas coercitivas de hasta el 5% del volumen de negocios medio diario. Además, en caso de infracciones sistemáticas, también se podrán imponer a los guardianes otras soluciones tras una investigación de mercado, caso por caso, incluidas soluciones estructurales como la desinversión de (partes de) una empresa.

El texto acordado provisionalmente por los negociadores del Parlamento Europeo y el Consejo se dirige a las grandes empresas que prestan los denominados “servicios de plataforma principal” más propensos a prácticas comerciales desleales, como redes sociales, mensajeros, navegadores o motores de búsqueda, con una capitalización de mercado de al menos 75.000 millones de euros o una facturación europea de 7.500 millones de euros en los últimos tres años o una plataforma principal que cuente con 45 millones de usuarios europeos.

¿Qué significarán las nuevas normas para los gatekeepers?

Los gatekeepers tendrán que

  • permitir a terceros interoperar con los propios servicios del gatekeeper “en situaciones específicas”
  • permitir a sus usuarios comerciales acceder a los datos de uso que hayan generado en la plataforma
  • permitir a los anunciantes y editores de su plataforma ejercer un mayor control sobre sus propios contenidos
  • permitir a sus usuarios comerciales promocionar su oferta y celebrar contratos con clientes fuera de la plataforma del guardián.

Y, al mismo tiempo, estos gatekeepers ya no podrán favorecer sus propios productos y servicios frente a los ofrecidos por vendedores independientes alojados en sus plataformas, en términos de ranking, ni impedir que los usuarios desinstalen cualquier app o software preinstalado, ni agrupar datos de sus distintas divisiones, y lo que es más importante desde el punto de vista de la privacidad, ya no podrán rastrear a los usuarios finales fuera de la plataforma del gatekeeper para publicidad dirigida sin su consentimiento explícito.

La normativa completa se publicó en el Diario Oficial de la Unión Europea y está disponible en varios idiomas.

Flags of the European Union in front of the EU-commission building "Berlaymont" in Brussels, Belgium

¿Cuáles son las implicaciones para la seguridad?

Aunque la mayoría de los reglamentos propuestos son una gran noticia, hay dos medidas propuestas que plantean problemas de seguridad: el requisito de interoperabilidad de la DMA y los requisitos de transparencia de la DSA.

Aún no está claro qué se entiende por plataforma clave en la AVD: ¿plataformas muy grandes? - ni qué tipo de datos tendrán que compartir. En cuanto a la interoperabilidad, a pesar de la ambigüedad implícita en la elección de la palabra “en situaciones específicas”, significa que las aplicaciones de mensajería como WhatsApp y Facebook Messenger tendrán que ser interoperables con servicios como Signal, permitiendo a sus usuarios finales intercambiar mensajes, enviar archivos o hacer llamadas. Obviamente, hay una gran diferencia en términos de protocolos de cifrado y políticas de privacidad entre estos servicios, por lo que muchos se preguntan si esto significará comprometer el cifrado de extremo a extremo y Perfect Forward Secrecy que los usuarios de Signal han estado disfrutando hasta ahora, si deciden enviar o recibir mensajes o llamadas entre plataformas. Los colegisladores acordaron evaluar en el futuro las obligaciones de interoperabilidad también para las redes sociales.

Otra consecuencia no deseada podría ser obligar a las tiendas de aplicaciones de los gatekeepers a debilitar el control de los desarrolladores autorizados a distribuir sus aplicaciones a través de estas plataformas. Incluso con las normas vigentes, un informe de Positive Technologies detectó vulnerabilidades clasificadas como de “alto riesgo” en el 38% de las aplicaciones para iOS y el 43% de las aplicaciones para Android. Estas vulnerabilidades no sólo suponen riesgos para la privacidad, sino que también hacen a los usuarios más vulnerables a piratas informáticos malintencionados, ya sean privados o estatales.

A algunos les preocupa que, si se promulga sin la debida consideración, la apertura de las plataformas digitales y la obligación de compartir datos puedan permitir a “entidades malignas” “librar una ciberguerra económica o, peor aún, militar”. Para contextualizar, cabe señalar que, si bien el autor citado, el profesor Björn Lundqvist, es un reputado especialista en derecho de la competencia, la CEPA está financiada por varias organizaciones que son el objetivo de la DMA: Amazon Web Services, Google y Microsoft. Pero eso no significa que haya que desestimar estas preocupaciones.

Gran parte de los riesgos de seguridad surgen de la definición de “usuario empresarial” de la ley, que actualmente es muy amplia e incluye no solo a pequeñas entidades que intentan hacer crecer su negocio a través de las plataformas centrales, sino también a empresas o incluso gobiernos procedentes de jurisdicciones poco amistosas, que podrían utilizar la norma de acceso a los datos para obtener datos de los guardianes.

En el peor de los casos, Google podría verse obligado a compartir datos de búsqueda europeos con rivales como la rusa Yandex o la china Alibaba. Los riesgos aumentan aún más si se tienen en cuenta todos los datos recopilados por el servicio en la nube de Amazon o Alexa, o por los sistemas para automóviles de Apple y Android. Es casi como si fuera una idea terrible permitir que cualquier empresa recopile y guarde tantos datos de los usuarios en primer lugar…

Un primer paso para mitigar estos riesgos es definir mejor quién puede usar la regla de acceso a los datos, para asegurarse de que solo empodera a los usuarios finales y a las pequeñas empresas. En un mundo ideal, imponer restricciones sobre qué tipo de datos pueden almacenar los guardianes también reduciría los riesgos de seguridad si actores malintencionados consiguieran acceder a esos datos.

La DMA afirma que el cifrado de extremo a extremo debe mantenerse, pero encontrar una solución técnica para lograr la interoperabilidad sin romper el cifrado llevará tiempo (Meta anunció que quiere interconectar WhatsApp y Messenger en marzo de 2019, pero aún no ha podido hacerlo) y la Comisión debería ajustar sus plazos en consecuencia, para asegurarse de que esto se haga bien.

Además, debería garantizar una vía para que los gatekeepers planteen objeciones legítimas a las solicitudes de interoperabilidad que pondrían en peligro la seguridad de los usuarios, como las solicitudes de aplicaciones de mensajería rusas o chinas. La versión actual de la ley prevé una exención por motivos específicos de seguridad pública, pero es crucial garantizar que esta exención pueda aplicarse con la rapidez y flexibilidad necesarias.

Y, como aconseja la Electronic Frontier Foundation, la DMA debería prohibir explícitamente que cualquier servicio de mensajería que “rompa la promesa de cifrado de extremo a extremo por cualquier medio -incluido el escaneo de mensajes en la aplicación del lado del cliente o la adición de participantes “fantasma” a los chats” pueda “exigir interoperabilidad”.

La redacción actual de la ley permite a los guardianes tomar medidas “estrictamente necesarias y proporcionadas” para preservar la seguridad. A través de su serie de talleres técnicos, la Comisión pretende recabar opiniones sobre el texto legal actual. Una vez finalizado a nivel técnico y revisado por juristas-lingüistas, deberá ser aprobado por el Parlamento y el Consejo.

Es de esperar que encuentre el equilibrio adecuado entre la resistencia a las peticiones de los guardianes digitales, que solo quieren retrasar o evitar una normativa que afecta a sus beneficios, y la atención a las preocupaciones legítimas en materia de seguridad.