Sí. Los proveedores de VLOP y VLOSE están obligados a publicar anualmente los informes sobre sus evaluaciones de riesgos, las medidas de mitigación establecidas, los informes de auditoría y los informes de ejecución de auditoría. Estos se transmitieron a la Comisión y a los coordinadores de servicios digitales de establecimiento durante ese ciclo de evaluación de riesgos.
Los proveedores de VLOP y VLOSE también deben publicar, cuando proceda, información sobre las consultas que hayan llevado a cabo con expertos externos en apoyo de las evaluaciones de riesgos y el diseño de medidas de mitigación de riesgos.
Para el contexto: Los proveedores de VLOP y VLOSE deben evaluar los riesgos sistémicos derivados de sus servicios al menos una vez al año y, en cualquier caso, siempre antes de desplegar nuevas funcionalidades que puedan tener un impacto en los riesgos. Están obligados a identificar en virtud de la Ley de Servicios Digitales y deben establecer medidas de mitigación adaptadas a los riesgos que identificaron como parte de dicha evaluación de riesgos. La Ley de Servicios Digitales también exige a los proveedores de VLOP y VLOSE que se aseguren de que sus servicios se sometan a una auditoría de cumplimiento al menos una vez al año, lo que dará lugar a un informe de auditoría por parte de una organización de auditoría independiente.
Los proveedores de VLOP y VLOSE deben transmitir el informe de evaluación de riesgos, las medidas de reducción del riesgo y el informe de auditoría a la Comisión y al DSC de establecimiento sin demora indebida una vez finalizados. Cuando los auditores formulen recomendaciones relativas al cumplimiento de la Ley de Servicios Digitales, los proveedores deberán presentar sus reacciones a dichas recomendaciones en un informe de ejecución de la auditoría que también deberá transmitirse, una vez finalizado, a la Comisión y al Comité de Servicios Digitales de establecimiento.
Artículos pertinentes: 34, 35, 37 y 42, apartado 4, del Reglamento (UE) 2022/2065. Las obligaciones específicas de la Ley de Servicios Digitales para los VLOP y los VLOSE son las que figuran en la sección 5, capítulo III, de la Ley de Servicios Digitales.
La publicación debe tener lugar a más tardar tres meses después de la recepción del informe sobre la auditoría de cumplimiento anual a la que deben someterse cada VLOP y VLOSE. Esto significa que, para cada servicio, la fecha de publicación depende de la fecha en que la entidad auditora independiente presente su informe de auditoría al prestador.
La Ley de Servicios Digitales exige a los proveedores de VLOP y VLOSE que se aseguren de que sus servicios se sometan a una auditoría independiente al menos una vez al año, lo que dará lugar a un informe de auditoría por parte de la organización auditora. En el caso de los 19 primeros VLOP y VLOSE designados por la Comisión en abril de 2023, la Ley de Servicios Digitales entró en vigor en agosto de 2023 y los informes de auditoría debían presentarse entre el 28 de agosto y el 4 de septiembre de 2024 a más tardar, en función de la fecha en que el prestador acusara recibo de la decisión de designación.
En cualquier caso, los proveedores de VLOP y VLOSE deben transmitir los informes relativos a sus evaluaciones de riesgos (incluidos los informes ad hoc de evaluación de riesgos antes de desplegar nuevas funcionalidades), las medidas de mitigación de riesgos y las auditorías de cumplimiento a su coordinador de servicios digitales de establecimiento y a la Comisión sin demora indebida una vez finalizadas.
Los proveedores tienen la obligación de publicar informes sobre sus evaluaciones de riesgos y sus medidas de mitigación de riesgos al menos una vez al año. Estos informes deben cubrir el ciclo de evaluación de riesgos correspondiente, completado antes de la presentación del informe de auditoría. También deben publicarse las evaluaciones de riesgos y las medidas de mitigación de riesgos que aún no se hayan puesto a disposición del público, junto con sus informes de auditoría e informes de ejecución de auditoría. Esto también incluye informes de evaluación de riesgos ad hoc (es decir, evaluaciones realizadas antes de desplegar nuevas funcionalidades que puedan tener un impacto en los riesgos) transmitidos a la Comisión y al DSC de establecimiento en ese ciclo anual.
Artículos pertinentes: Artes. 34, 37 y 42, apartado 4, del Reglamento (UE) 2022/2065
La Ley de Servicios Digitales persigue objetivos amplios de transparencia y control público, como confirmó el vicepresidente del Tribunal de Justicia de la Unión Europea en sus autos en los asuntos C‐639/23 P(R), C-511/24 P(R) y C-620/24 P(R) relativos a las medidas provisionales solicitadas en relación con la obligación establecida en el artículo 39 de la Ley de Servicios Digitales. Además, el considerando 100 de la Ley de Servicios Digitales establece que los proveedores de plataformas en línea de muy gran tamaño y plataformas en línea de muy gran tamaño deben informar «completamente» sobre su evaluación de riesgos.
La publicación de informes sobre las evaluaciones de riesgos y las medidas de mitigación de riesgos por parte de los proveedores de VLOP y VLOSE y sus auditorías anuales de cumplimiento de la Ley de Servicios Digitales es crucial para informar al público (incluidas las organizaciones de la sociedad civil, los representantes de los medios de comunicación y los investigadores) y para fomentar un debate social sobre los riesgos sistémicos derivados de los VLOP y VLOSE y las medidas de mitigación de riesgos adoptadas por sus proveedores.
Por lo tanto, los informes que los proveedores publican deben ser lo más completos posible. Al mismo tiempo, los proveedores de VLOP y VLOSE pueden eliminar información de los informes que deben publicar cuando dicha información pueda:
- dar lugar a la divulgación de información confidencial del prestador o de los destinatarios del servicio;
- causar vulnerabilidades significativas para la seguridad del servicio;
- socavar la seguridad pública; o
- perjudicar a los destinatarios del servicio.
Los proveedores de plataformas en línea de muy gran tamaño y plataformas en línea de muy gran tamaño deben presentar una exposición de los motivos al coordinador de servicios digitales de establecimiento y a la Comisión para la eliminación de información de la versión pública de sus informes de evaluación de riesgos y las medidas de mitigación establecidas, incluidos los informes ad hoc de evaluación de riesgos, los informes de auditoría y los informes de ejecución de auditoría. La motivación debe justificar minuciosamente cada expurgación y explicar específicamente por qué, en opinión del proveedor de los VLOP y los VLOSE, las expurgaciones están justificadas con arreglo al artículo 42, apartado 5, de la Ley de Servicios Digitales.
Habida cuenta de los objetivos de transparencia de la Ley de Servicios Digitales, las expurgaciones solo pueden realizarse excepcionalmente y deben justificarse con un razonamiento claro que explique todas las condiciones pertinentes establecidas en el artículo 42, apartado 5, de la Ley de Servicios Digitales. Cuando se hayan realizado expurgaciones, deben hacerse claramente visibles marcando el texto eliminado (por ejemplo, mediante expurgación oscurecida) en lugar de simplemente suprimir u omitir el contenido. Esto garantiza que el grado de redacción sea evidente para el público, al tiempo que protege la información confidencial o sensible a la seguridad subyacente. Las redacciones silenciosas socavarían el objetivo de transparencia de la Ley de Servicios Digitales, ya que oscurecen al público si se ha eliminado la información y dónde.
Artículo pertinente: Artículo 42, apartado 5, del Reglamento (UE) 2022/2065 («Ley de Servicios Digitales»)
Según la jurisprudencia del Tribunal de Justicia de la Unión Europea (véase, por ejemplo: La información del asunto T-198/03, Bank Austria Creditanstalt, debe considerarse confidencial cuando cumpla acumulativamente los tres requisitos previos de protección siguientes:
- sólo debe ser conocido por un número limitado de personas;
- su divulgación deberá ser susceptible de causar un perjuicio grave a la persona que la haya facilitado o a terceros;
- los intereses que puedan resultar perjudicados por la divulgación deben ser objetivamente dignos de protección, lo que debe apreciarse al ponderar los intereses que se oponen a la publicación con el interés público en la publicación.
Las excepciones a la obligación de publicación deben interpretarse de manera restrictiva. Las justificaciones de las expurgaciones deben ser claras y estar bien explicadas. Cada expurgación debe evaluarse caso por caso y debe facilitarse una explicación de los motivos de dicha expurgación, habida cuenta de las condiciones establecidas en el artículo 42, apartado 5, de la Ley de Servicios Digitales. Cuando los proveedores de VLOP y VLOSE expurguen información sobre la base de solicitudes de confidencialidad, deberán justificar sus alegaciones de que la información cumple los requisitos de confidencialidad (es decir, que cumple las tres condiciones enumeradas anteriormente) en las exposiciones de motivos que presenten al coordinador de servicios digitales de establecimiento y a la Comisión. No puede considerarse que las declaraciones incompletas, sin fundamento, genéricas o solo parcialmente fundamentadas justifiquen las expurgaciones. Los proveedores de VLOP y VLOSE deben justificar las reclamaciones de confidencialidad relativas a partes específicas del texto en sus informes. Por ejemplo, la confidencialidad no puede reclamarse en los informes de evaluación de riesgos en su conjunto.
Cuando sea absolutamente necesario para proteger información que se haya considerado confidencial, los proveedores pueden parafrasear el texto en cuestión en las versiones públicas de los informes.
Artículo pertinente: Artículo 42, apartado 5, del Reglamento (UE) 2022/2065 («Ley de Servicios Digitales»)
Cuando la Comisión considere que las expurgaciones no están justificadas y, por tanto, que el proveedor de un VLOP o VLOSE no ha cumplido plenamente sus obligaciones de transparencia, podrá considerar que tal acción constituye una infracción del Reglamento.
Artículo pertinente: Artículo 42 del Reglamento (UE) 2022/2065 («Ley de Servicios Digitales»)
El artículo 42, apartado 4, de la Ley de Servicios Digitales establece un ciclo anual de publicación de informes, con el objetivo de garantizar la transparencia. La finalidad de dicho ciclo de publicación es permitir al público comparar los informes de evaluación de riesgos de los VLOP y los VLOSE a que se refiere el artículo 34 de la Ley de Servicios Digitales con los informes de auditoría independientes de los VLOP y los VLOSE a que se refiere el artículo 37, apartado 4, de la Ley de Servicios Digitales.
Además, el artículo 37 de la Ley de Servicios Digitales exige a los proveedores de plataformas en línea de muy gran tamaño y plataformas en línea de muy gran tamaño que garanticen que sus servicios se sometan a auditorías al menos una vez al año, lo que dará lugar a informes de auditoría obligatorios. El primer informe de auditoría anual debe presentarse un año después de que las normas aplicables a los VLOP y los VLOSE comiencen a aplicarse al servicio en cuestión. El artículo 42, apartado 4, de la Ley de Servicios Digitales exige a los proveedores de plataformas en línea de muy gran tamaño y plataformas en línea de muy gran tamaño que publiquen sus informes de auditoría a más tardar tres meses después de su recepción por parte de la entidad auditora. Tres meses después de la fecha de recepción del informe de auditoría, el proveedor de VLOP y VLOSE también debe publicar los demás informes enumerados en el artículo 42, apartado 4, de la Ley de Servicios Digitales, incluido «un informe que establezca la evaluación de riesgos de conformidad con el artículo 34». Tanto el informe de auditoría como los demás informes mencionados en el artículo 42, apartado 4, de la Ley de Servicios Digitales que deben publicar los proveedores de plataformas en línea de muy gran tamaño y plataformas en línea de muy gran tamaño, incluido el informe de evaluación de riesgos, son los del año en curso.
Dado que un informe de auditoría solo debe elaborarse y publicarse un año completo después de la entrada en vigor de las normas aplicables a los VLOP y los VLOSE a un servicio designado, la obligación de publicar el informe de evaluación de riesgos del artículo 42, apartado 4, de la Ley de Servicios Digitales solo se aplica a partir de un año después de esa fecha. Por consiguiente, si bien los proveedores de servicios designados como VLOP y VLOSE en abril de 2023 estaban obligados a compilar sus primeros informes de evaluación de riesgos en agosto/septiembre de 2023, el artículo 42, apartado 4, de la Ley de Servicios Digitales solo exige a dichos proveedores que publiquen sus informes de evaluación de riesgos para 2024 junto con sus informes de auditoría para 2024. No obstante, la Comisión anima a los proveedores de VLOP y VLOSE a publicar también sus informes de evaluación de riesgos del primer año en el que las normas aplicables a los VLOP y VLOSE se apliquen a sus servicios, incluso si su informe de auditoría anual aún no era exigible.
Artículos pertinentes: Artes. 37, apartado 4, y 42, apartado 4, del Reglamento (UE) 2022/2065. Las obligaciones específicas de la Ley de Servicios Digitales para los VLOP y los VLOSE son las que figuran en la sección 5, capítulo III, de la Ley de Servicios Digitales.
Para cumplir los objetivos de transparencia de la Ley de Servicios Digitales, los proveedores de plataformas en línea de muy gran tamaño y plataformas en línea de muy gran tamaño deben poner sus informes a disposición del público. Una vez publicados, los destinatarios deben poder acceder a dichos informes. Por ejemplo, esto adopta la forma de una página específica de cumplimiento o transparencia de la Ley de Servicios Digitales en la interfaz en línea del VLOP o del VLOSE. Esta página garantiza que los representantes de la sociedad civil, los investigadores, los representantes de los medios de comunicación y los usuarios puedan localizar y acceder fácilmente a los informes pertinentes. De conformidad con el artículo 42, apartado 4, de la Ley de Servicios Digitales, los proveedores de plataformas en línea de muy gran tamaño y plataformas en línea de muy gran tamaño no deben impedir que los perceptores accedan a los informes de evaluación de riesgos, mitigación, auditoría y ejecución de auditorías.
Los prestadores también podrán informar a la Comisión y al coordinador de servicios digitales de su establecimiento una vez que se haya realizado la publicación.
Artículos pertinentes: Artes. 34, 35, 37 y 42, apartado 4, del Reglamento (UE) 2022/2065.
Los proveedores de VLOP y VLOSE deben poner a disposición del público los resultados de la última evaluación de riesgos realizada en el momento de la publicación, incluso si el período cubierto por ella no coincide con el período auditado de forma independiente. Como se aclara en el considerando 100 de la Ley de Servicios Digitales, el objetivo de las obligaciones de información enumeradas en el artículo 42, apartado 4, de la Ley de Servicios Digitales es garantizar la transparencia. Especialmente, con respecto a los riesgos sistémicos identificados por los proveedores de VLOP y VLOSE y las medidas de mitigación adoptadas para contrarrestarlos. La publicación de la información más reciente y actualizada es la medida más adecuada para cumplir las obligaciones de transparencia informativa contenidas en dicha disposición, garantizando que los usuarios tengan acceso a toda la información disponible en ese momento, aunque, por razones puramente fácticas, aún no haya sido auditada de forma independiente.
Los diferentes ciclos de evaluación de riesgos y auditoría no impiden la posibilidad de comparar los resultados de la evaluación de riesgos realizada por los propios proveedores y los informes de auditoría independientes, ya que todos ellos se publicarán finalmente.
Artículos pertinentes: Artes. 34, 35, 37 y 42, apartado 4, del Reglamento (UE) 2022/2065.
Related content
La Ley de Servicios Digitales detalla una serie de acciones para promover la transparencia y la rendición de cuentas de los servicios en línea, sin obstaculizar la innovación y la competitividad.