FUNDAMENTOS ÉTICOS Y JURÍDICOS DE LAS TIC.

TEMA 6.- EL RÉGIMEN JURÍDICO DE LOS SERVICIOS DE LA

SOCIEDAD DE LA INFORMACIÓN

Ana Garriga Domínguez

Universidad de Vigo
I. ÁMBITO DE APLICACIÓN DE LA LEY 34/2002

Uno de los rasgos básicos en la concepción de Internet fue el de la libertad, que

tiene su manifestación más significativa en la libertad de expresar pensamientos e ideas,
así como de informar acerca de hechos de interés social. Su propio diseño, su tecnología
abierta y de libre uso, ha favorecido su expansión como cauce de comunicación
planetaria. En el ámbito de la Unión Europea, a través de la Directiva 2000/31/CE del
Parlamento Europeo y del Consejo de 8 de junio de 2000, relativa a determinados
aspectos jurídicos de los servicios de la sociedad de la información, en particular el
comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico),
se pretendió armonizar las legislaciones nacionales de los Estados miembros a fin de
facilitar el desarrollo de los servicios de la sociedad de la información, particularmente
el comercio electrónico. Su objetivo, según el considerando 8 de la Directiva era crear
un marco jurídico que garantice la libre circulación de los servicios de la sociedad de
la información entre los Estados miembros. La Directiva y también la Ley 34/2002 que
la transpuso en el Estado español fue contestada desde las asociaciones de internautas
porque consideraban que suponía un ataque la libertad y a los derechos de los usuarios
de la red y, mercantilizaba toda la actividad que se desarrollase en Internet. Actualmente
esta Directiva ha sido completada y modificada por el Reglamento (UE) 2022/2065 del
Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado
único de servicios digitales y por el que se modifica la Directiva 2000/31/CE
(Reglamento de Servicios Digitales).

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y

de comercio electrónico tiene como finalidad establecer el marco legal para los
servicios de la sociedad de la información y de la contratación electrónica. El régimen
jurídico comprende la regulación de las obligaciones de los prestadores de servicios
incluidos los que actúan como intermediarios en la transmisión de contenidos por las
redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la
información previa y posterior a la celebración de contratos electrónicos y sus
condiciones de validez, así como el régimen sancionador aplicable a los prestadores de
servicios de la sociedad de la información.

La Ley maneja un concepto amplio de servicios de la sociedad de la

información. En su Exposición de Motivos, la Ley 34/2002 explica que entre ellos,
además de la contratación de bienes y servicios por vía electrónica, debe englobarse el
suministro de información por dicho medio (como el que efectúan los periódicos o
revistas que pueden encontrarse en la red), las actividades de intermediación relativas
a la provisión de acceso a la red, a la transmisión de datos por redes de
telecomunicaciones, a la realización de copia temporal de las páginas de Internet
solicitadas por los usuarios, al alojamiento en los propios servidores de información,
servicios o aplicaciones facilitados por otros o a la provisión de instrumentos de
búsqueda o de enlaces a otros sitios de Internet, así como cualquier otro servicio que se

1
preste a petición individual de los usuarios (descarga de archivos de vídeo o audio...),
siempre que represente una actividad económica para el prestador.

Estos servicios son ofrecidos por los operadores de telecomunicaciones, los

proveedores de acceso a Internet, los portales, los motores de búsqueda o cualquier
otro sujeto que disponga de un sitio en Internet a través del que realice alguna de las
actividades indicadas, incluido el comercio electrónico.

En el Anexo de la LSSI se define y detalla el concepto de servicios de la

sociedad de la información como todo servicio prestado normalmente a título oneroso, a
distancia, por vía electrónica y a petición individual del destinatario, incluidos los
servicios no remunerados por sus destinatarios, cuando constituyan una actividad
económica para el prestador de servicios. Prestador de servicios es la persona física o
jurídica que proporciona un servicio de la sociedad de la información.

Su ámbito de aplicación se determina, además de acuerdo con un criterio

territorial según lo establecido en los artículos 2 y siguientes. Las disposiciones de la
Ley 34/2002 regularán en primer término la actividad de los prestadores de servicios
establecidos en España, es decir, aquellos cuya residencia o domicilio social se
encuentren en territorio español, si se trata del mismo el lugar en que esté efectivamente
centralizada la gestión administrativa y la dirección de sus negocios, pues en caso
contrario se considerará que se encuentran establecidos en donde se realice dicha
gestión o dirección. También se considerarán establecidos en España los servicios que
los prestadores residentes o domiciliados en otro país ofrezcan a través de un
establecimiento permanente situado en España, al disponer en territorio español de
forma habitual de instalaciones o centros de trabajo, en los que realice toda o parte de su
actividad. Pero, en todo caso, si el prestador o alguna de sus sucursales está inscrita en
el registro Mercantil o en otro registro público español, se presumirá que está
establecido en España.

En segundo lugar, la ley 34/2002 se aplicará también a los prestadores de

servicios de la sociedad de la información establecidos en otro Estado miembro de la
Unión Europea o del Espacio Económico Europeo cuando el destinatario de los
servicios radique en España y los servicios afecten a las materias recogidas en el
artículo 3.

En tercer lugar, a los prestadores establecidos en un Estado que no pertenezca a

la Unión Europea o al Espacio Económico Europeo les será de aplicación lo dispuesto
en determinados artículos (7.2 y 11.2) y cuando dirijan sus servicios específicamente al
territorio español quedarán sujetos, además, a las obligaciones de la Ley siempre que no
sean contrarias a las normas internacionales que sean aplicables.

Finalmente, se excluyen del ámbito de aplicación de la Ley y se regulan por su

normativa específica los servicios prestados por notarios y registradores de la propiedad
y mercantiles, así como los prestados por abogados y procuradores.

II. EL PRINCIPIO DE LIBRE PRESTACIÓN DE SERVICIOS.

De acuerdo con lo establecido en el artículo 4 de la Directiva 200/31/CE,

prestación de servicios de la sociedad de la información no podrá someterse

2
autorización previa. Así lo establece también la LSSI salvo para aquellas actividades o
sectores que necesiten tal autorización o licencia también en el “mundo físico”. Por
ejemplo, si queremos dedicarnos a actividades como la de venta de fármacos, seguros,
productos financieros, etc., que necesitan autorización con carácter general, los
requisitos para operar en Internet serán los mismos que en el mercado tradicional.

Por tanto, la prestación de servicios de la sociedad de la información cuando el

prestador se encuentre establecido en algún Estado miembro de la Unión Europea se
realizará en régimen de libre prestación de servicios. Si bien, para los prestadores
establecidos en Estados no miembros de la Unión Europea la libertad para prestar estos
servicios dependerá de los acuerdos internacionales aplicables.

El principio general es, por tanto, el de libre prestación de servicios; sin embargo,
van a poder establecerse una serie de restricciones en función de determinadas razones.
El artículo 8 de la LSSI establece que los órganos competentes podrán adoptar las
medidas necesarias para que se interrumpa su prestación o para retirar los datos que los
vulneren, cuando éstos atenten contra los siguientes principios:

a) La salvaguarda del orden público, la investigación penal, la seguridad pública y

la defensa nacional.
b) La protección de la salud pública o de las personas físicas o jurídicas que tengan
la condición de consumidores o usuarios, incluso cuando actúen como
inversores.
c) El respeto a la dignidad de la persona y al principio de no discriminación por
motivos de raza, sexo, religión, opinión, nacionalidad, discapacidad o cualquier
otra circunstancia personal o social.
d) La protección de la juventud y de la infancia.
e) La salvaguarda de los derechos de propiedad intelectual.

Los principios que justificarían una restricción de los servicios responden a la

necesidad de garantizar y proteger derechos e intereses legítimos de los Estados y los
particulares. Ya hemos tratado de que las redes de comunicación y particularmente
Internet pueden utilizarse en la comisión de conductas lesivas para unos y otros. Hoy la
mayor parte de los delitos tradicionales se pueden cometer con ayuda de las
comunicaciones electrónicas y, así, por ejemplo, se han multiplicado las formas de
estafa y fraude a través de la red: usurpación de identidad, phishing, clonación de
páginas web de entidades bancarias, etc. También existe un masivo comercio ilícito de
sustancias susceptibles de afectar a la salud pública (por ejemplo la venta de
medicamentos falsos) y a los derechos de los consumidores y usuarios. También es
sobradamente conocido que existen numerosos sitios que albergan contenidos ilícitos
que, como la pornografía infantil, violarían los derechos fundamentales de los menores
o que contienen imágenes vejatorias que afectan a personas de diferentes edades y
condición y que son discriminadas por su origen racial o social, su sexo o por razones
de discapacidad, contrarias a su honor y dignidad, por poner solo algunos ejemplos.

Sin embargo y si bien estos principios justifican la adopción de medidas

restrictivas, hubiese sido deseable que la LSSI ofreciese unas pautas más concretas que
clarificasen mejor cuándo se entenderá que un servicio atenta contra alguno de estos
principios. Pues su redacción de una forma tan genérica deja en manos de la órgano
competente la interpretación del alcance de los mismos. Por ello, la propia ley exige en

3
el artículo 11.4 que las medidas que se adopten por la autoridad competente sean
objetivas, proporcionadas y no discriminatorias, y respeten las normas previstas para los
procedimientos administrativos o en la legislación procesal que corresponda. Según se
define en el Anexo de la LSSI, un órgano competente podrá ser un órgano
administrativo (del Estado, de las [Link]. o de las Entidades locales) o un órgano
jurisdiccional (jueces y tribunales), que tenga competencias en las materias concretas
resultantes de la aplicación de alguno de los principio que permiten restringir la
prestación del servicio. Obviamente, con independencia de cuál sea el órgano o
autoridad competente, habrán de respetar las normas que rigen su actuación (normas
procesales o de procedimiento) en cada caso y el derecho específico aplicable (normas
penales, de protección de datos personales, reguladoras de la propiedad intelectual o de
los derechos de los consumidores, etc.).

Para establecer esas medidas de restricción habrán de respetarse las garantías

previstas en el Derecho español protectoras de los derechos fundamentales implicados
en cada caso, cuando estos pudieran resultar afectados. Expresamente se alude en la
LSSI a los derechos a la intimidad personal y familiar, a la protección de los datos
personales, a la libertad de expresión o a la libertad de información. Además de acuerdo
con los establecido en el artículo 20 de la Constitución, sólo la autoridad judicial
competente podrá adoptar las medidas previstas en este artículo, cuando pueda resultar
afectada la libertad de expresión, del derecho de producción y creación literaria,
artística, científica y técnica, la libertad de cátedra y el derecho de información y, en
concreto, solo el juez podrá autorizar el secuestro de páginas de Internet o de su
restricción, cuando afecte a dichos derechos.

Se trata de una cuestión muy importante, pues si bien los derechos

fundamentales no son absolutos y pueden ceder en determinadas circunstancias ante
otros derechos o intereses dignos de protección, los derechos fundamentales son el pilar
básico en el que se asienta cualquier sociedad que realmente se constituya como un
Estado democrático y de Derecho. Las constituciones de las sociedades democráticas
son fruto del pluralismo y como consecuencia de ello recogen, valores, principios y
derechos heterogéneos que en ocasiones tienden a enfrentarse entre sí. Valores, por
ejemplo, como la libertad y la seguridad pueden aparecer como antagónicos en diversas
circunstancias y ello sucede también con los derechos fundamentales. Por otra parte, ni
los valores ni los derechos, son absolutos, sino que todos ellos pueden resultar limitados
en favor de otro derecho fundamental o de otro bien que el ordenamiento jurídico
considere los suficientemente relevante.

Cuando proceda la aplicación del artículo 8 de la LSSI para garantizar alguno de

los principios que legitimen la restricción de los servicios, podrían resultar afectados en
ocasiones derechos fundamentales, particularmente sensibles en este ámbito son las
libertades de expresión e información, por ello nos detendremos en su análisis. Si bien
con mucha frecuencia, la limitación de estas libertades, también en Internet vendrá
exigida para garantizar otros derechos también fundamentales comos son los derechos
al honor, a la intimidad personal y familiar, a la propia imagen o a la protección de los
datos personales.

Un aspecto muy relevante de las libertades de expresión e información es que,

además de derechos fundamentales, son garantías institucionales, es decir, instrumentos
que utiliza el sistema democrático para protegerse. La institución que garantizan es la

4
opinión pública libre, fundamento del pluralismo político y elemento básico en un
sistema democrático. Las libertades de expresión y de información cumplen una función
esencial de preservación del principio democrático y del pluralismo ideológico al permitir
a los ciudadanos formar sus propias opiniones y convicciones, su conciencia individual y
colectiva acerca de hechos y acontecimientos, así como participar en la discusión social
sobre asuntos de interés público, protegiendo también la capacidad de manifestar la
disidencia, las ideas diferentes e incluso contrarias a las mayoritarias. Por todas estas
razones las libertades de expresión e información son además de derechos fundamentales,
garantías institucionales básicas en un Estado democrático y social de Derecho, pues en la
medida en que aseguran el mantenimiento de una comunicación pública libre, son en
palabras del Tribunal Constitucional condición de realización efectiva del principio de
legitimidad democrática (STC 6/1981, de 16 de marzo).

Por otra parte, no sólo protegen intereses individuales, sino que las libertades del
artículo 20.1 CE, en la medida en que entrañan el reconocimiento y la garantía de la
opinión pública, poseen una dimensión objetiva, ya que contribuyen a la participación
política y son un instrumento de control de los poderes e instituciones públicas, tanto
respecto de los procedimientos y de las decisiones que adoptan como respecto de la
actuación de las personas que las ocupan. También, son condición necesaria y previa
para el ejercicio de otros derechos fundamentales inherentes al funcionamiento de un
sistema democrático, pues cuando el ciudadano ejerce su derecho al sufragio elige sobre
la base de un juicio que se construye sobre el conocimiento del que disponga de los
asuntos públicos y su gestión y, par ello el ejercicio de las libertades de expresión e
información son imprescindibles.

La libertad de expresión es proclamada en el artículo 20 de nuestra Constitución

que reconoce y protege el derecho a expresar y difundir libremente los pensamientos,
ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción y
en ese mismo precepto se reconoce y protege el derecho a comunicar o recibir libremente
información veraz por cualquier medio de difusión. Son dos libertades diferentes, la
primera ampara la emisión de juicios y opiniones, mientras que la segunda garantiza la
manifestación de hechos, que se consideran noticiables. El objeto de la libertad de
expresión o de opinión es el pensamiento o la idea y en la libertad de información la
noticia o el dato: No obstante, en las situaciones que nos presenta la realidad, no siempre
es sencillo separar lo que es opinión de lo que es información y en muchos casos
aparecerán necesariamente unidas, ya que la expresión de ideas y opiniones necesita con
frecuencia apoyarse en la narración de hechos y la comunicación de hechos o de noticias
irán casi siempre acompañadas de comentarios que los valoran.

Los titulares de los derechos del artículo 20.1 son todos los ciudadanos aunque,
especialmente respecto del derecho a comunicar informaciones veraces, los medios de
comunicación social cumplen un papel de gran relevancia como intermediarios naturales
entre la noticia y la ciudadanía y estas libertades alcanzan su máximo nivel cuando la
libertad es ejercitada por los profesionales de la información a través los medios de
comunicación social.

Con frecuencia, cuando se informa o se expresan valoraciones sobre las personas o

sus conductas, el ejercicio de estas libertades podrán afectar no sólo a los derechos a la
intimidad o a la protección de datos personales, sino también a los derechos al honor y a la
propia imagen.

5
 No es necesario insistir en el concepto del derecho a la protección de datos
personales, ni tampoco hace falta extendernos sobre el derecho a la intimidad personal y
familiar. Simplemente basta con recordar que es el derecho a mantener en secreto ese
«círculo íntimo, personal y familiar» que todo ser humano posee, esa parte de la vida de
la persona que guarda la más estrecha relación con el «fuero interno» y que su titular
desea mantener fuera del conocimiento de los demás.

El derecho al honor es un derecho fundamental diferente del derecho a la intimidad

personal y familiar. Es derecho de todo ser humano ser tratado de manera compatible con
su dignidad, que se manifiesta de forma clara y directa en la estimación que él siente por sí
mismo y que espera de los demás. El derecho al honor protege, por un lado, la propia
estima en que el individuo se tiene y por otro, el prestigio que tiene cualquier persona, su
buen nombre, reputación o fama.

El derecho a la propia imagen es un derecho fundamental autónomo con protección

independiente derivado como los anteriores de la dignidad humana y dirigido a proteger
la dimensión moral de las personas. Atribuye a cada persona un poder de disposición
sobre la información gráfica de sus rasgos físicos, pudiendo impedir la obtención,
reproducción o publicación de la propia imagen por parte de un tercero no autorizado,
con independencia de la finalidad perseguida por quien la capta o difunde.

En el propio texto constitucional se recoge el conflicto entre unos y otros derechos

fundamentales, estableciéndose en el apartado cuatro del artículo 20 que las libertades de
expresión e información “tienen su límite en el respeto a los derechos reconocidos en este
Título, en los preceptos de las leyes que los desarrollen y, especialmente, en el derecho al
honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la
infancia”. Sin embargo, esto no quiere decir que los derechos a la intimidad, honor o a la
imagen vayan a actuar como límites absolutos, en todo caso, para las libertades de
expresión e información. Con carácter general no van prevalecer unos sobre las otras o al
revés, sino que dependerá de las concretas situaciones y en base a determinados criterios,
que servirán para ponderar los derechos en conflicto en cada caso concreto. Estos criterios
que han de tenerse en cuenta para resolver el posible conflicto entre unos y otros son:

a) La especial posición institucional de las libertades de expresión e información.

Gozan de una posición preferente, pero no incondicionada en el Ordenamiento
español cuando se cumplan los requisitos siguientes.
b) El requisito de veracidad. La exigencia de veracidad actúa como límite interno
de la libertad de información, pues la propia Constitución configura la libertad
de información como el derecho a transmitir información veraz, por lo que es
una condición imprescindible para legitimar su ejercicio.

El requisito constitucional de veracidad no exige una rigurosa y absoluta exactitud

en el contenido de la información, sino que lo que exige es una especial actitud del
informador, una determinada diligencia profesional, comprobando la veracidad de los
hechos a través de las averiguaciones oportunas de forma que hayan sido previamente
contrastados con datos objetivos, excluyendo, por tanto, invenciones o rumores. Por otra
parte, la veracidad legitima la intromisión en el derecho al honor, pero si se trata de una
violación de la intimidad, actuará en sentido contrario.

6
 c) El requisito de interés general o la relevancia pública de la noticia. Para que
las libertades de expresión e información gocen de una posición preferente
frente a los derechos de artículo 18.1 de la Constitución, es necesario, además
de la veracidad de la información comunicada, que lo transmitido tenga interés
público o general, lo que es distinto por cierto de la curiosidad del público.

Son dos las circunstancias que pueden determinar que unos determinados hechos
posean relevancia pública: el carácter público de la persona a que se refieren los hechos, o
los hechos mismos con independencia del carácter de persona pública o privada de quien
se haya visto involucrado en ellos. Determinadas personas, ya sea porque ocupen un cargo
público, ya sea porque las actividades a las que se dediquen tengan una especial relevancia,
pueden verse con más frecuencia afectados por críticas, opiniones y revelaciones adversas.
Igualmente otros personajes con notoriedad pública, que habitualmente desvelan
informaciones relacionadas con su vida privada o con su actividad profesional asumen un
riesgo frente a aquellas informaciones, críticas u opiniones que pueden ser molestas o
hirientes. Aunque esto no significa que no tengan derecho a la intimidad o al honor y
además, con independencia del carácter público o privado de la persona o de sus
actividades es necesario que los hechos o las materias objeto de información sean de
interés general o de otra forma en nada contribuirían a la formación de la opinión pública.

El requisito de relevancia pública de la noticia exige que los acontecimientos o los

datos que se difundan sean de interés para la comunidad en el sentido de que esos hechos
sean susceptibles de afectar al conjunto de los ciudadanos y no porque despierten un mero
interés curioso o eleven la audiencia del medio de comunicación que lo publique, ya que
las informaciones que difundan datos íntimos de las personas y que solamente pretendan
satisfacer la curiosidad del público, no estarían amparadas por el derecho a la información.
Debe distinguirse, por lo tanto, el «interés público» del interés del público.

d) La adecuación de las expresiones y términos empleados. El ejercicio de las

libertades de información y expresión no pueden amparar intromisiones en los
derechos fundamentales de las personas objeto de la noticia que sobrepasen los
límites de lo imprescindible en relación con su función constitucional, de forma
que no es posible en modo alguno justificar que nadie soporte pasivamente la
difusión periodística de datos relevantes de su vida íntima cuyo conocimiento
es trivial, irrelevante e indiferente para el interés público.

Tampoco ampara el ejercicio de la libertad de expresión la utilización de términos

o calificativos formalmente injuriosos, vejatorios u ofensivos y por la misma razón: en
nada contribuyen a la formación de la opinión pública libre. La expresión de ideas,
pensamientos, críticas u opiniones se encuentra delimitada por la ausencia de expresiones
intrínsecamente vejatorias por lo que la utilización de expresiones insultantes no va a estar
amparada por el artículo 20 de la Constitución, ni aún en el caso de que las opiniones
proferidas se refieran a personajes públicos e incluso a cargos o autoridades públicas.

Una de las peculiaridades de Internet frente a cualquier otro sistema de

comunicación o de difusión tradicional es que posibilita que desde cualquier lugar del
mundo se tenga acceso a esa comunicación o información. Este es sin duda uno de sus
más grandes logros. Sin embargo, cuando la información o la opinión o valoración
sobre unos hechos o una o varias personas conculca los derechos de terceros, también el
acceso es ilimitado en todo el planeta. Cuando se publica en Internet un contenido ilícito

7
o lesivo con los derechos de alguna persona, el alcance de la difusión de dichos
contenidos publicados en un Estado concreto se convierte en universal. Por otra parte, a
la hora de valorar la lesión producida, por ejemplo por unas informaciones o
expresiones que atentaran contra el derecho a la intimidad o al honor de una persona,
sería muy difícil sino imposible cuantificar el grado de difusión de esa información y
por lo tanto de evaluar el daño ocasionado, pues Internet produce también un efecto
multiplicador del daño, ya que un contenido que lesiona determinados derechos
fundamentales está disponible en cualquier punto del planeta. Esta realidad ha llevado a
que el Tribunal de Justicia de la Unión Europea (TJUE) haya constatado que en estos
casos el criterio del lugar en donde se ha producido el daño, sea insuficiente para
determinar ante que juez nacional la persona lesionada puede interponer una
reclamación por esos daños (determinación del juez competente). Es decir, si bien la
norma general es presentar la demanda en dónde se produce la difusión de la
información lesiva, cuando se produzca una lesión de un derecho de la personalidad a
través de Internet puede acudir, en función del lugar en el que haya producido el daño
causado en la Unión Europea por dicha lesión, a un único juez por la totalidad de ese
daño. Pues, la repercusión de un contenido publicado en Internet que afecte al honor, la
imagen o la intimidad de una persona va a poder ser mejor valorada por el órgano
jurisdiccional del lugar en el que la supuesta víctima tiene su centro de intereses. Así se
recoge en su sentencia de 25 de octubre de 2011. Como consecuencia de esta
interpretación del TJUE de las normas sobre competencia la persona lesionada va a
poder reclamar por la totalidad del daño sufrido en el lugar de su residencia habitual o
en otro Estado en el que no resida habitualmente, cuando tenga allí su centro de
intereses en la medida en que otros indicios, como el ejercicio de una actividad
profesional, permitan establecer la existencia de un vínculo particularmente estrecho
con ese Estado miembro. De esta forma ya no se verá obligado, aunque podrá hacerlo
si prefiere, a reclamar ante los órganos competentes de cada Estado en el que se
encuentre establecido el emisor de la noticia en Internet y ésta se ha publicado y sea, o
haya sido, accesible.

Por otra parte, las libertades de información y de expresión podrán ser limitadas
también para garantizar otros derechos y bienes importantes, como son los de los
menores o para garantizar cualquiera de los otros principios recogidos en el artículo 8
de la LSSI.

Por último, hemos de señalar que el último apartado del artículo 8.1, que prevé
la posibilidad de interrumpir la prestación del servicio o la retirada de datos para
garantizar los derechos de propiedad intelectual y en artículo el 8.2 se establece que

“los órganos competentes para la adopción de las medidas a que se refiere el apartado
anterior, con el objeto de identificar al responsable del servicio de la sociedad de la
información que está realizando la conducta presuntamente vulneradora, podrán
requerir a los prestadores de servicios de la sociedad de la información la cesión de los
datos que permitan tal identificación a fin de que pueda comparecer en el
procedimiento.”

Este requerimiento exige que previamente sea autorizado judicialmente, pero

una vez que se ha obtenido la autorización judicial, los prestadores estarán obligados a
facilitar los datos necesarios para llevar a cabo la identificación del responsable del
servicio.

8
 Finalmente, las restricciones previstas a la libre prestación de servicios se aplicarán
a todos los prestadores de servicios con independencia de su país de procedencia. De
hecho, en el artículo 11.2 que regula el deber de colaboración de los prestadores de
servicios de intermediación se establece que

“Si para garantizar la efectividad de la resolución que acuerde la interrupción de

la prestación de un servicio o la retirada de contenidos procedentes de un prestador
establecido en un Estado no perteneciente a la Unión Europea o al Espacio Económico
Europeo, el órgano competente estimara necesario impedir el acceso desde España a los
mismos, y para ello fuera necesaria la colaboración de los prestadores de servicios de
intermediación establecidos en España, dicho órgano podrá ordenar a los citados
prestadores de servicios de intermediación que suspendan el correspondiente servicio de
intermediación utilizado para la provisión del servicio de la sociedad de la información o
de los contenidos cuya interrupción o retirada hayan sido ordenados respectivamente.”

III. OBLIGACIONES DE LOS PRESTADORES DE SERVICIOS.

La LSSI impone una serie de obligaciones a los prestadores de servicios: el

deber general de proporcionar información, el deber de colaborar con los órganos
competentes y el deber de retención de los datos de tráfico y conexión y el deber de
accesibilidad.

3.1. Deber de suministrar determinada información a los usuarios y a los

órganos competentes.

El artículo 10 establece que el prestador de servicios de la sociedad de la

información está obligado a proporcionar la siguiente información:

a) Su nombre o denominación social.

b) Su domicilio o, para las empresas extranjeras, la dirección de uno de sus

establecimientos permanentes en España.

c) Su dirección de correo electrónico o cualquier otra información que permita

contactar con el de forma directa y efectiva.

d) Los datos de su inscripción en el Registro Mercantil o en otro registro público

en el que lo estuvieran inscritos.

e) Cuando la actividad a la que se dedique estuviese sujeta a un régimen de

autorización administrativa previa, deberá informar de los datos relativos a dicha
autorización y los identificativos del órgano competente encargado de su
supervisión.

f) Si se ejerce una profesión regulada habrá de referirse también la siguiente

información:

- Los datos del Colegio profesional al que pertenezca y el número de

colegiado.

9
 - El título académico oficial o profesional con el que cuente y el Estado
de la Unión Europea en el que se expidió dicho título, así como su
homologación reconocimiento.

- Las normas profesionales aplicables al ejercicio de su profesión y los

medios a través de los cuales se puedan conocer, incluidos los
electrónicos.

g) Su número de identificación fiscal.

h) Información exacta y clara sobre los precios de los servicios y productos, así
sobre los impuestos aplicables y los gastos de envío.

i) Los códigos de conducta a los que, en su caso, esté adherido y la manera de

consultarlos electrónicamente.

La información a los usuarios y a los órganos competentes se facilitará de forma

permanente, fácil, directa y gratuita, a través de medios electrónicos. Se considerará
cumplida esta obligación si se incluye en su página web.

El artículo 10.3 exige la inclusión de una información específica en aquellos

caso en los que se haya atribuido un rango de numeración telefónica a servicios de
tarificación adicional en el que se permita el acceso a servicios de la sociedad de la
información y se requiera su utilización por parte del prestador de servicios:

a) Las características del servicio que se va a proporcionar.

b) Las funciones que efectuarán los programas informáticos que se descarguen,

así como el número telefónico que se marcará.

c) El procedimiento para dar fin a la conexión de tarificación adicional,

incluyendo una explicación del momento concreto en que se producirá dicho fin,
d) El procedimiento necesario para restablecer el número de conexión previo a la
conexión de tarificación adicional.

Para utilización y la descarga de programas informáticos que efectúen funciones

de marcación es necesario contar con el consentimiento previo, informado y expreso del
usuario por lo que dicha información debe estar disponible de manera claramente
visible e identificable.

Este deber general de información se ve ampliado por lo dispuesto en el artículo

[Link]. Este artículo establece la obligación de informar sobre cuestiones de seguridad a
los proveedores de servicios de intermediación establecidos en España. En concreto se
exige que se informe los clientes de los servicios sobre los diferentes medios de carácter
técnico que aumenten los niveles de la seguridad de la información y permitan la
protección frente a virus informáticos y programas espía, la restricción de los correos
electrónicos no solicitados, así como sobre las herramientas que existen para el filtrar y
restringir del acceso a determinados contenidos y servicios en Internet no deseados o
que puedan resultar perjudiciales para la juventud y la infancia. Igualmente se exige que
informen a sus clientes acerca de las posibles responsabilidades en que puedan incurrir

10
por el uso de Internet con fines ilícitos, especialmente aquellos que se refieran a la
comisión de ilícitos penales o la vulneración de la propiedad intelectual e industrial.

También habrán de informar a sus clientes los proveedores de servicios de

acceso a Internet y los prestadores de servicios de correo electrónico o sobre las
medidas de seguridad que apliquen en la provisión de estos servicios.

Como en el caso del deber general de información, ésta habrá de facilitarse de

manera permanente, fácil, directa y gratuita y se entenderá que se ha cumplido con esta
obligación si se incluye en su página web.

3.2. Deber de colaboración.

El artículo 36 de la LSSI establece un deber general de colaboración para todos

los prestadores de servicios en la sociedad de la información. Deberán facilitar al
Ministerio de Ciencia y Tecnología y a los órganos competentes en materia de
supervisión y control (Ministerio de Industria, Turismo y Comercio o los órganos que
de las Comunidades Autónomas, en su caso) toda la información y colaboración
precisas para el ejercicio de sus funciones.

También tendrán que permitir el acceso a sus instalaciones y la consulta de

cualquier documentación relevante para la actividad de control de que se trate, a los a
agentes del Ministerio o al personal inspector.

Por otro lado, en el artículo 11 se establece el deber de colaboración específico

para los prestadores de servicios de intermediación. En el Anexo de la LSSI se define a
los servicios de intermediación como aquellos servicios de la sociedad de la
información a través de los cuales se facilita la prestación o utilización de otros
servicios de la sociedad de la información o el acceso a la información. Son servicios de
intermediación la provisión de servicios de acceso a Internet, la transmisión de datos
por redes de telecomunicaciones, la realización de copia temporal de las páginas de
Internet solicitadas por los usuarios, el alojamiento en los propios servidores de datos,
aplicaciones o servicios suministrados por otros y la provisión de instrumentos de
búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet.

Se establece una obligación de colaboración para poder hacer efectivas las

medidas de restricción a las que se refiere el artículo 8 de la LSSI. Como se recordará,
con la finalidad de proteger los principios enumerados en el artículo octavo, los órganos
competentes, podían ordenar a un prestador de servicios de intermediación establecido
en España la interrupción del servicio o la retirada de datos, incluso cuando esto
procedan de un prestador establecido en otro país.

El artículo 11 complementa al 8 al establecer el deber de colaboración para los

prestadores de servicios de intermediación, de forma que cuando un órgano competente
ordene que se interrumpa la prestación de un servicio o la retirada de determinados
contenidos provenientes de prestadores establecidos en España, éstos deberán suspender
el correspondiente servicio de intermediación utilizado para la provisión del servicio o
de los contenidos cuya interrupción o retirada hayan sido ordenados. Además el órgano
competente podrá, si fuera necesario para garantizar la efectividad de la resolución que
acuerde la interrupción de la prestación de un servicio o la retirada de contenidos

11
procedentes de un prestador establecido en un Estado no comunitario, impedir el acceso
desde España a los mismos. Para ello cuando sea necesario, también podrá ordenar al
prestador español que suspenda el servicio de intermediación que esta siendo utilizado
para la provisión del servicio o de los contenidos cuya interrupción o retirada hayan
sido ordenados.

En año 2022 se introdujo un nuevo apartado del artículo 11, para proteger a las
víctimas de ataques y daños en Internet y en este sentido se establece que:

cuando resulte necesario para proteger los derechos de la víctima o grupos o

personas discriminadas, los jueces y tribunales podrán acordar, de conformidad con la
legislación procesal, motivadamente, y siempre de acuerdo con el principio de
proporcionalidad, cualquiera de las medidas de restricción o interrupción de la
prestación de servicios o de retirada de datos de páginas de internet que contempla la
presente ley.

Para garantizar el cumplimiento del deber de colaboración, el artículo 38 de la

LSSI tipifica como infracción muy grave, sancionada con una multa de entre 150.001 a
600.000 euros, el incumplimiento de la obligación de suspender la transmisión, el
alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio
equivalente de intermediación, cuando un órgano administrativo competente lo haya
ordenado según o establecido en el artículo 11.

3.3. Obligaciones relativas a la portabilidad de datos no personales.

Los proveedores de servicios de intermediación que alojen o almacenen datos de

usuarios a los que presten servicios de redes sociales o servicios de la sociedad de la
información equivalentes deberán remitir a dichos usuarios, a su solicitud, los
contenidos que les hubieran facilitado, sin impedir su transmisión posterior a otro
proveedor. La remisión deberá efectuarse en un formato estructurado, de uso común y
lectura mecánica.

Asimismo, deberán transmitir dichos contenidos directamente a otro proveedor

designado por el usuario, siempre que sea técnicamente posible, según prevé el artículo
95 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
Garantía de los Derechos Digitales.

Para el cumplimiento de estas obligaciones será aplicable lo dispuesto en el

artículo 12.5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de
27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE.

3.4. Deber de conservar los datos de conexión y tráfico generados por las
comunicaciones.

Se hará de acuerdo con lo establecido en la Ley 25/2007, de 18 de octubre, de

conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas
de comunicaciones. Los datos de tráfico y conexión permiten obtener perfiles
individuales de comunicación incluyendo fuentes de información sobre la ubicación

12
geográfica de los usuarios o la duración de las comunicaciones que afectan directamente
al derecho a la protección de datos personales y al secreto de las comunicaciones. Así lo
ha entendido nuestro Tribunal Constitucional que considera que el derecho fundamental
al secreto de las comunicaciones amparado por el artículo 18.3 de la nuestra
Constitución “no cubre sólo el contenido de la comunicación, sino también, en su caso,
otros aspectos de la misma, como por ejemplo, la identidad subjetiva de los
interlocutores o de los corresponsales”1. El derecho fundamental al secreto de las
comunicaciones puede resultar violado por el empleo de artificios técnicos que permitan
registrar “los números telefónicos marcados sobre un determinado aparato, aunque no
el contenido de la comunicación misma”2.

Su conservación exige que se cumplan los requisitos que establece el artículo 8

del Convenio Europeo para la protección de los Derechos Humanos y las Libertades
Fundamentales de 19503. Estos requisitos son los que el Tribunal Europeo de Derechos
Humanos ha venido exigiendo en relación con las posibilidades de limitar los derechos
amparados en el artículo 8 del Convenio y son los siguientes:

1. La medida limitativa de los derechos a la vida privada debe estar «prevista por la
ley». Este primer requisito exige que la injerencia tenga una base en el Derecho
interno del Estado, “pero la observancia de éste no es suficiente: la Ley
enjuiciada debe ser accesible al interesado, que además, debe poder prever las
consecuencias para él”4. Es decir, este requisito exige no sólo que la medida
tenga una base legal en el Derecho interno, sino que sea “accesible al justiciable
y previsible”5. Una norma es previsible cuando está redactada con la suficiente
precisión para permitir a toda persona –si es necesario, con el consejo
apropiado– regular su conducta.
2. La injerencia en la vida privada debe «perseguir un fin legítimo», en concreto,
los mencionados en el apartado segundo del artículo 8, esto es, la seguridad
nacional, la seguridad pública, el bienestar económico del país, la defensa del
orden y de la prevención del delito, la protección de la salud o de la moral, o la
protección de los derechos y de las libertades de terceros.
3. La intromisión en los derechos del artículo 8 debe ser «necesaria en una
sociedad democrática» para alcanzar tal fin. La noción de necesidad implica una
exigencia o necesidad social imperiosa para la intromisión. Este último requisito
exigirá normalmente la ponderación de los intereses en conflicto, el derecho o
derechos afectados y la finalidad de la injerencia, o un juicio de

1
STC 114/1984, de 29 de noviembre, fundamento jurídico séptimo.
2
Ibídem. Esta es la postura mantenida también por el Tribunal Europeo de Derechos Humanos; vid.
2
especialmente,
Ibídem. Esta esSSTEDH
la postura
de 2mantenida
de agosto también
de 1984 por
(asunto
el Tribunal
Malone Europeo
vs. ReinodeUnido)
Derechos
y de Humanos;
30 de juliovid.
de
especialmente, SSTEDH de 2 de agosto de 1984 (asunto Malone vs. Reino Unido) y de 30 de julio de
1997 (asunto Valenzuela Contreras vs. España). De esta opinión es asimismo la Fiscalía General del
Estado; vid. Consulta 1/99, sobre tratamiento automatizado de datos personales en el ámbito de las
telecomunicaciones.
3
Recomendación 3/99 sobre conservación de los datos sobre tráfico por los proveedores de servicio
Internet a efectos de cumplimiento de la legislación, aprobada el 7 de septiembre de 1999.
4
Punto 50 del asunto Leander contra Suecia, STEDH de 26 marzo 1987. En el mismo sentido el apartado
66 del asunto Malone contra el Reino Unido, STEDH de 2 de agosto de 1984.
5
STEDH de 16 de febrero de 2000 (caso Aman contra Suiza). En esta resolución consideró que la norma
de Derecho suizo que permitía la interceptación de conversaciones telefónicas no era «previsible», porque
no indicaba con la suficiente claridad el fin y las condiciones de ejercicio del poder discrecional de las
autoridades. En el mismo sentido STEDH de 4 de junio de 2002 (caso Landvreugd contra Holanda), entre
otras.

13
 proporcionalidad para determinar si no existe algún medio menos lesivo para el
derecho afectado que la medida adoptada y que constituye una injerencia. Así lo
ha establecido el TEDH, entre otras, en la sentencia Sentencia de 24 noviembre
1986 (caso Gillow) en la que establece que “la noción de necesidad implica una
injerencia basada en una necesidad social imperiosa y sobre todo
proporcionada al fin legítimo perseguido”.
4. Que la opción de tales medidas no suponga, en ningún caso, la violación de la
prohibición de la vigilancia exploratoria o general a gran escala.6

La Ley 25/2007 tiene por objeto “la regulación de la obligación de los

operadores de conservar los datos generados o tratados en el marco de la prestación
de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así
como el deber de cesión de dichos datos a los agentes facultados siempre que les sean
requeridos a través de la correspondiente autorización judicial con fines de detección,
investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en
las leyes penales especiales”7.

Los operadores habrán de conservar los datos de tráfico y de localización sobre

personas físicas y jurídicas y los datos relacionados necesarios para identificar al
abonado o usuario registrado8. Sin embargo, no se conservará el contenido de las
comunicaciones electrónicas ni a la información consultada utilizando una red de
comunicaciones electrónicas. El artículo 3 establece que deberán conservarse los datos
que resulten necesarios para rastrear e identificar el origen y el destino de una
comunicación; aquellos que permitan determinar la fecha, hora y duración de una
comunicación; los necesarios para identificar el tipo de comunicación y el equipo de
comunicación de los usuarios, así como los necesarios para identificar la localización
del equipo de comunicación móvil.

Los sujetos obligados a conservar estos datos son los operadores que presten
servicios de comunicaciones electrónicas disponibles al público o exploten redes
públicas de comunicaciones, en los términos establecidos en la Ley 32/2003, de 3 de
noviembre, General de Telecomunicaciones. El período de conservación será de doce
meses desde la desde la fecha en que se haya producido la comunicación9.

Los operadores deberán adoptar medidas de seguridad apropiadas para evitar la

pérdida o alteración y el acceso no autorizado de los datos retenidos, garantizando su
calidad, confidencialidad y seguridad de acuerdo con lo previsto en la legislación sobre
protección de datos personales.

Los datos conservados de acuerdo con lo previsto en la Ley 25/2007 sólo serán
cedidos, previa autorización judicial que determinará, conforme a lo previsto en la Ley

6
Vid. STEDH de 6 de septiembre de 1978 (asunto Klass).
7
Asimismo, a través de la Disposición Adicional Única que regula los servicios de telefonía mediante
tarjetas de prepago, la Ley 25/2007 establece el deber de los operadores de servicios de telefonía móvil
que comercialicen servicios con sistema de activación mediante la modalidad de tarjetas de prepago de
llevar un libro-registro en el que conste la identidad de los clientes que adquieran una tarjeta inteligente
con dicha modalidad de pago.
8
Se han de conservar también los datos relativos a la a las llamadas infructuosas, en la medida que los
datos son generados o tratados y conservados o registrados por los sujetos obligados.
9
Reglamentariamente, este plazo podrá ampliarse o reducirse para determinados datos o para una
categoría de datos hasta un máximo de dos años o un mínimo de seis meses.

14
de Enjuiciamiento Criminal y de acuerdo con los principios de necesidad y
proporcionalidad su cesión a los agentes facultados. Agentes facultados son los
miembros de las Fuerzas y Cuerpos de Seguridad, cuando desempeñen funciones de
policía judicial, los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el
desarrollo de sus competencias como policía judicial y el personal del Centro Nacional
de Inteligencia en el curso de las investigaciones de seguridad sobre personas o
entidades, de acuerdo con lo previsto en su legislación específica.

La Ley 25/2007 limita el derecho de acceso prohibiendo que se comunique al

interesado la cesión de estos datos a los agentes facultados. Lógicamente si esta cesión
se comunicase al interesado podrían frustrarse los fines perseguidos por la ley, esto es,
la detección, investigación y enjuiciamiento del delito grave de que se trate en cada
caso.

Finalmente y de acuerdo con lo establecido en el artículo 18.3 CE y en la

jurisprudencia del Tribunal Constitucional, la Ley 25/2007 exige que la resolución
judicial que habilite la cesión de los datos conservados al amparo de esta norma
determine, conforme a lo previsto en la Ley de Enjuiciamiento Criminal y de acuerdo
con los principios de necesidad y proporcionalidad, los datos conservados que han de
ser cedidos a los agentes facultados.

3.5 Accesibilidad de las páginas web.

Se regula en la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la

Unión Europea en materia de accesibilidad de determinados productos y servicios,
migración de personas altamente cualificadas, tributaria y digitalización de actuaciones
notariales y registrales, que establece que:

Los sitios web incluidos en el ámbito de aplicación del título I deberán

satisfacer, como mínimo, el nivel medio de los criterios de accesibilidad al contenido
generalmente reconocidos. Para ello servirá de referencia la norma UNE 139803 o
aquella que la sustituya, sin perjuicio de los criterios técnicos recogidos en el Real
Decreto 1112/2018, del 7 de septiembre, sobre accesibilidad de los sitios web y
aplicaciones para dispositivos móviles del sector público. En el artículo 5 de este Real
Decreto se establecen los requisitos para la accesibilidad de los sitios web y
aplicaciones para dispositivos móviles. Son los siguientes:

1. Los sitios web y aplicaciones para dispositivos móviles de las entidades

obligadas incluidas en el ámbito de aplicación del presente real decreto deberán ser
accesibles para sus personas usuarias y, en particular, para las personas mayores y
personas con discapacidad, de modo que sus contenidos sean perceptibles, operables,
comprensibles y robustos teniendo en cuenta las normas del artículo 6. Es decir, las
normas armonizadas cuyas referencias hayan sido publicadas en el «Diario Oficial de la
Unión Europea».

2. La accesibilidad se tendrá presente de forma integral en el proceso de diseño,

gestión, mantenimiento y actualización de contenidos de los sitios web y las
aplicaciones para dispositivos móviles.

15
 3. Las entidades obligadas adoptarán, siempre que sea posible, medidas para
aumentar la accesibilidad de sus sitios web y aplicaciones para dispositivos móviles
respecto del nivel mínimo de accesibilidad que deba cumplirse en cada momento.

IV. EL RÉGIMEN DE RESPONSABILIDAD DE LOS PRESTADORES

DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN.

Como en cualquier otro ámbito de la actividad humana, social o económica, los

prestadores de servicios de la sociedad de la información están sujetos a la
responsabilidad civil, penal y administrativa establecida con carácter general en el
Derecho español. Además y por las propias peculiaridades de los servicios que se
prestan en la sociedad de la información, la LSSI establece un régimen de
responsabilidad específico para los operadores y proveedores de estos servicios.

4.1. La inexistencia de una obligación general de supervisión.

Antes de entrar a analizar los artículos 14 y siguientes de la LSSI, que regulan el

régimen de responsabilidad para los distintos prestadores de servicios en función de su
actividad, es necesario aclarar que el artículo 15 de la Directiva 2000/31/CE establece la
inexistencia de una obligación general de supervisión.

Los Estados miembros no impondrán a los prestadores de servicios una

obligación general de supervisar los datos que transmitan o almacenen, ni una
obligación general de realizar búsquedas activas de hechos o circunstancias que
indiquen actividades ilícitas, respecto de los servicios contemplados en los artículos 12,
13 y 14.

En el mismo sentido el artículo 8 de Reglamento de Servicios Digitales, dispone

que:

No se impondrá a los prestadores de servicios intermediarios ninguna obligación

general de monitorizar la información que transmitan o almacenen, ni de buscar activamente
hechos o circunstancias que indiquen la existencia de actividades ilícitas.

El Tribunal de Justicia de la Unión Europea ha tenido oportunidad de

pronunciarse en varias ocasiones sobre el alcance del artículo 15 y, por lo tanto, sobre
los límites de la responsabilidad de los prestadores de servicios en la sociedad de la
información. En su sentencia de 24 de noviembre de 2011, estableció que el apartado
primero del artículo 15 de la Directiva 200/31/CE prohíbe a las autoridades nacionales
adoptar medidas que obliguen a un proveedor de acceso a Internet a proceder a una
supervisión general de los datos que transmita en su red.

Scarlet Extended SA es un proveedor de acceso a Internet que proporciona a sus

clientes acceso a Internet, sin ofrecer otros servicios como la descarga o el intercambio
de archivos. SABAM es una sociedad de gestión que representa a los autores,
compositores y editores de obras musicales, autorizando el uso por terceros de sus obras
protegidas. Esta sociedad de autores consideraba que los internautas utilizaban los
servicios de Scarlet para descargar, sin autorización y sin pagar derechos, obras que
figuran en su catálogo mediante redes «peer to peer». En el año 2004, SABAM presenta
una demanda contra Scarlet y mediante resolución de 29 de junio de 2007, el Presidente
del Tribunal de primera instancia de Bruselas condenó a Scarlet a poner fin a las

16
infracciones de los derechos de autor impidiendo cualquier forma de envío o de
recepción por sus clientes, mediante un programa «peer-to-peer», de archivos
electrónicos que reproduzcan una obra musical del repertorio de SABAM.

Scarlet recurrió dicha resolución ante la Corte de apelación de Bruselas alegando

entre otras razones que se le estaba imponiendo de hecho una obligación general de
supervisar las comunicaciones en su red, ya que cualquier dispositivo de bloqueo o de
filtrado del tráfico «peer-to-peer» requiere necesariamente una supervisión generalizada
de todas las comunicaciones que pasan por esa red, lo que en su opinión vulneraría el
artículo 15 de la Directiva 2000/31/CE y también las disposiciones sobre protección de
datos de carácter personal y la confidencialidad de las comunicaciones, pues implica el
tratamiento de las direcciones IP, que son datos personales. La Corte de apelación
belga, ante las alegaciones de la empresa demandada, realiza una consulta sobre la
interpretación correcta que ha de darse a las distintas directivas implicadas al TJUE a
través de una cuestión prejudicial.

El Tribunal de Justicia de la Unión Europea constata que el establecimiento de

dicho sistema de filtrado implicaría, en primer lugar, que el proveedor de acceso a
Internet tendría que identificar de entre el conjunto de las comunicaciones electrónicas
de todos sus clientes, los archivos correspondientes al tráfico «peer-to-peer». En
segundo lugar, Scarlet tendría que identificar entre ellos los archivos que contengan
obras sobre las que los titulares de derechos de propiedad intelectual tengan
supuestamente derechos. En tercer lugar debería determinar cuáles de esos archivos se
intercambian de un modo ilícito y, finalmente, tendría que proceder a bloquear los
intercambios de archivos que considere ilícitos.

Obviamente, señala el TJUE, tal supervisión preventiva exigiría una vigilancia

activa de la totalidad de las comunicaciones electrónicas efectuadas en la red del
proveedor afectado y, por lo tanto, comprendería todos los datos que se vayan a
transmitir y todos los clientes que utilicen dicha red. Y esa supervisión activa del
conjunto de datos respecto de todos sus clientes con el fin de evitar cualquier futura
lesión de los derechos de propiedad intelectual supondría una supervisión general
prohibida por el artículo 15, apartado 1, de la Directiva 2000/31/CE.

En una sentencia más reciente, de 16 de febrero de 2012, el Tribunal de Justicia

resuelve una caso similar en el que está implicada una red social.

Netlog explota una plataforma de red social en línea en la que cada persona que
se registra recibe un espacio personal denominado «perfil» que el propio usuario puede
rellenar y al cual se puede acceder en todo el mundo. Se trata de una plataforma que es
usada diariamente por decenas de millones de personas y con la finalidad principal crear
comunidades virtuales a través de las cuales esas personas pueden comunicarse entre
ellas y relacionarse. Los usuarios, en su perfil, pueden abrir un diario, indicar sus
aficiones y sus preferencias, mostrar a sus amigos, mostrar fotos personales o publicar
fragmentos de vídeos.

La sociedad de autores SABAM consideró que la red social de Netlog ofrecía

también a todos los usuarios la posibilidad de usar, a través de su perfil, obras musicales
y audiovisuales del repertorio de SABAM y poner dichas obras a disposición del
público de modo que otros usuarios de esa red podrían tener acceso a ellas, sin su

17
autorización y sin que Netlog abonase un canon por ese concepto. Por estas razones
SABAM solicitó de los tribunales belgas que requirieran a Netlog para que cesara
inmediatamente la puesta a disposición ilícita de obras musicales o audiovisuales del
repertorio de SABAM o que se le impusiese una multa de 1.000 euros por día de
demora. Como en el caso anterior, Netlog entendió que ese requerimiento equivaldría a
imponerle una obligación general de supervisión y además podría forzarle a crear,
indistintamente para toda su clientela, in abstracto y con carácter preventivo, a sus
expensas y sin limitación en el tiempo, un sistema que filtre la mayor parte de la
información almacenada en sus servidores, con el fin de detectar archivos electrónicos
que contuvieran obras musicales, cinematográficas o audiovisuales de cuyos derechos
SABAM alega que es titular y de bloquear de inmediato el intercambio. Y, por otra
parte ese sistema de filtrado supondría un tratamiento de datos personales que habría de
realizarse de acuerdo con las normas sobre protección de datos personales.

Como en la sentencia Scarlet Extended, el TJUE considera que el requerimiento

judicial por el que se ordenara al prestador de servicios de alojamiento de datos
afectado establecer el sistema de filtrado controvertido le obligaría a proceder a una
supervisión activa de la casi totalidad de datos respecto de todos sus clientes con el fin
de evitar cualquier futura lesión de los derechos de propiedad intelectual, lo que
implicaría la imposición de una obligación de una supervisión general prohibida por el
artículo 15, apartado 1, de la Directiva 2000/31/CE.

Pero además señala el Tribunal de Justicia que la protección de la propiedad

intelectual no es un derecho absoluto y por tanto debe ponderarse con respecto a la
protección de otros derechos fundamentales, lo que exige que las autoridades y los
órganos judiciales nacionales cuando adopten medidas destinadas a proteger a los
titulares de los derechos de autor deban garantizar un justo equilibrio entre la
protección de ese derecho y la protección de los derechos fundamentales de las
personas afectadas por tales medidas.

En este caso en concreto, si se obligase al proveedor de un servicio de

alojamiento de datos a realizar el filtrado y la supervisión de toda la información
almacenada en su red implicaría una vulneración, no sólo del artículo 15 de la Directiva
2000/31/CE, sino también del principio de libertad de empresa pues se le estaría
obligando a establecer a su cargo un complejo, gravoso y permanente sistema
informático complejo, que además sería contrario a los requisitos recogidos en el
artículo 3.1 de la Directiva 2004/48, del Parlamento Europeo y del Consejo, de 29 de
abril de 2004, relativa al respeto de los derechos de propiedad intelectual, que exige que
las medidas adoptadas para garantizar el respeto de los derechos de propiedad
intelectual no sean inútilmente complejas o gravosas.

Asimismo, considera el TJUE que dicho sistema de filtrado vulneraría los

derechos fundamentales de los clientes a la protección de datos de carácter personal y su
derecho a recibir o comunicar informaciones. Pues, tal sistema de filtrado implicaría la
identificación, el análisis sistemático y el tratamiento de la información relativa a los
perfiles creados en la red social por los clientes de ésta, dándose la circunstancia de
que las informaciones relativas a esos perfiles son datos protegidos de carácter
personal, ya que permiten identificar, en principio, a tales clientes. Pero, también
podría vulnerar la libertad de información pues resulta posible que dicho sistema no

18
distinga de manera suficiente entre contenidos lícitos e ilícitos, por lo que su
establecimiento podría dar lugar al bloqueo de comunicaciones contenido fuese lícito.

Por estas razones el Tribunal de Justicia declaró que la imposición de ese

sistema general de filtrado y sobre toda la información almacena en la red social no
respetaría el requisito de garantizar un justo equilibrio entre, por un lado, el derecho de
propiedad intelectual y, por otro, la libertad de empresa, el derecho a la protección de
datos de carácter personal y la libertad de recibir o comunicar informaciones.

Finalmente, resta por señalar que, si bien el artículo 15 de la Directiva

2000/31/CE exonera a los proveedores de un deber de supervisión de los contenidos,
establece para los prestadores de los servicios un deber de colaboración. El apartado
segundo del artículo 15 autoriza a los Estados miembros a establecer obligaciones con
el fin de que los prestadores de servicios de la sociedad de la información comuniquen
con prontitud a las autoridades públicas competentes los presuntos datos ilícitos o las
actividades ilícitas llevadas a cabo por destinatarios de su servicio, así como la
autorización de establecer la obligación de comunicar a las autoridades competentes, a
solicitud de éstas, información que les permita identificar a los destinatarios de su
servicio con los que hayan celebrado acuerdos de almacenamiento.

Por otra parte, la Directiva establece en los artículos 12 a 14 un sistema de

exoneración de responsabilidad bajo determinadas circunstancias de los proveedores de
los servicios, que será incorporada a la LSSI en la forma en la que veremos a
continuación. La Ley 34/2002 establece, con ánimo de regular la totalidad de la
actividad que se desarrolla en la red, cuatro regímenes de responsabilidad diferentes en
función del tipo de actividad del prestador del servicio.

4.2. La responsabilidad de los operadores de redes y proveedores de acceso.

El artículo 14 de la LSSI regula la responsabilidad de los operadores de redes de

telecomunicaciones y proveedores de acceso a redes de telecomunicaciones que presten
un servicio de intermediación que consista en transmitir por una red de
telecomunicaciones datos facilitados por el destinatario del servicio o en facilitar acceso
a ésta. Este precepto se aplicaría a las operadoras telefónicas y prestadoras de acceso a
Internet, pero también a cualquier otro servicio de intermediación, como por ejemplo
una entidad que facilitase una red local a un grupo de usuarios para conectarse a la red.
Dentro de las actividades de transmisión y provisión de acceso se incluyen el
almacenamiento automático, provisional y transitorio de los datos, siempre que sirva
exclusivamente para permitir su transmisión por la red de telecomunicaciones y su
duración no supere el tiempo razonablemente necesario para ello.

Como norma general, los operadores y proveedores, que presten un servicio de

intermediación que consista en transmitir por una red de telecomunicaciones datos
facilitados por el destinatario del servicio o en facilitar acceso a ésta no serán
responsables por la información transmitida. Es decir, la mera transmisión de datos no
genera ningún tipo de responsabilidad. Sin embrago, los operadores y prestadores de un
servicio de intermediación sí serán responsable cuando:

a) ellos mismos hayan originado la transmisión;

19
 b) hayan modificado los datos más allá de la manipulación estrictamente
técnica de los archivos que alberguen los datos y que tiene lugar durante su
transmisión; o
c) hayan seleccionado los datos o a los destinatarios de los mismos.

4.3. Responsabilidad de los prestadores de servicios que realizan copia

temporal de los datos solicitados por los usuarios.

El artículo 15 de la Ley 34/2002 es una transposición casi literal de las

disposiciones del artículo 13 de la Directiva 2000/31/CE que regula la memoria tampón
(caching) que ofrecen los servidores intermedios que almacenan las páginas de Internet
que los usuarios vistan con más frecuencia para agilizar su descarga (proxys).

Como en el caso anterior, estos prestadores de servicios que se limitan a realizar

una copia temporal de los datos solicitados por los usuarios, que prestan un servicio de
intermediación que consiste en transmitir por una red de telecomunicaciones datos
facilitados por un destinatario del servicio, con la única finalidad de hacer más eficaz su
transmisión posterior a otros destinatarios que los soliciten, los almacenen en sus
sistemas de forma automática, provisional y temporal, no serán responsables por el
contenido de esos datos ni por la reproducción temporal de los mismos. No obstante,
podrán ser responsables cuando:

a) no modifiquen la información;
b) solamente permitan el acceso a la información a sus destinatarios;
c) respeten las normas generalmente aceptadas y aplicadas por el sector para la
actualización de la información;
d) no interfieran en la utilización lícita de la tecnología que normalmente es
aceptada y utilizada por el sector, con la finalidad de obtener datos sobre el
uso de la información; y
e) retiren la información almacenada o imposibilitan su acceso, en cuanto
tengan conocimiento efectivo de que:
- ha sido retirada del lugar de la red en que se encontraba inicialmente;
- se ha imposibilitado el acceso a ella o
- un órgano administrativo o judicial competente ha ordenado retirarla o
impedir que se acceda a ella.

Como puede observarse, la Ley exige a los prestadores de servicio de

intermediación, rigurosos protocolos de actualización de la información, pues deberán
evitar las discordancias entre la información que se encuentra en el sitio de origen de la
misma y la almacenada en estos servicios, en la medida en la que tengan conocimiento
efectivo de esta discordancia.

4.4. Responsabilidad de los prestadores de servicios de alojamiento o

almacenamiento de datos.

Tampoco, en principio, los prestadores de servicios de alojamiento o

almacenamiento de datos que permitan incorporar y alojar información por personas
distintas del administrador (páginas web, foros, servidores ftp, redes sociales, blogs,
etc.), serán responsables por la información almacenada a petición de los destinatarios.
Ahora bien, para que los servicios de intermediación consistentes en albergar o alojar en

20
servidores o espacios propios datos suministrados por terceras personas (hostin) estén
exentos de responsabilidad deberán cumplir dos condiciones:

a) Que no tengan conocimiento efectivo de que la actividad o la

información almacenada es ilícita o de que lesiona bienes o derechos
de un tercero susceptibles de indemnización.

Se entenderá que el prestador de servicios tiene el conocimiento efectivo cuando

un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que
se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión,
y el prestador conociera la correspondiente resolución. También es posible que los
prestadores, en virtud de acuerdos voluntarios o de otros medios de conocimiento
efectivo que pudieran establecerse, apliquen otros procedimientos de detección y
retirada de contenidos.

b) Si tuvieran conocimiento de que se está realizando una actividad

ilícita, si no quieren incurrir en responsabilidad deberán actuar con
diligencia para retirar los datos o hacer imposible el acceso a ellos.

A este deber de diligencia se refiere también la Directiva 2000/31/CE cuando en

su considerando 48 se reconoce la potestad de los Estados miembros para exigir a los
prestadores de servicios de alojamiento de datos la aplicación de un deber de diligencia
razonable, especificado en el Derecho nacional, a fin de que detecten y prevengan
determinados tipos de actividades ilícitas.

En relación con la interpretación que se debe dar a ambas condiciones de

exención de la responsabilidad, el Tribunal Supremo en su sentencia de 19 de diciembre
de 2009 considera que el artículo 16 de la Ley 34/2002 permite entender que el
conocimiento efectivo de la ilicitud de los datos almacenados (se trataba de expresiones
injuriosas, ofensivas e insultantes contra una sociedad de autores constitutivas de una
intromisión en su derecho al honor) puede obtenerse por el prestador del servicio a
partir de hechos o circunstancias aptos para posibilitar, aunque mediatamente o por
inferencias lógicas al alcance de cualquiera, una efectiva aprehensión de la realidad de
que se trate. Es decir, en determinadas circunstancias en las que es posible inferir la
ilicitud de los contenidos por otros medios, no es necesario para que se produzca el
conocimiento efectivo del artículo 16, la declaración y comunicación de la ilicitud de
los datos al proveedor. En este caso, el Tribunal Supremos entendió que existía ese
conocimiento efectivo porque resultaba muy revelador el propio dominio
"[Link]", dirigido por la "Plataforma de coordinación de movilizaciones
contra la SGAE" a la dirección que el prestador del servicio había proporcionado, entre
otras circunstancias. Y puesto, que se podía deducir por estos hechos que el prestador
había tenido conocimiento efectivo del tenor injurioso de los datos alojados y no los
había retirado ni impedido el acceso a ellos, no había actuado con la diligencia
necesaria.

Finalmente en el apartado segundo del artículo 16 se establece una excepción a

lo dispuesto en el primer apartado, excluyendo la exención de responsabilidad para los
prestadores de servicios de alojamiento de datos cuando el destinatario del servicio
actúe bajo la dirección, autoridad o control de su prestador.

21
 4.5. Responsabilidad de los prestadores de servicios que faciliten enlaces a
contenidos o instrumentos de búsqueda.

El artículo 17 de la LSSI regula la responsabilidad de los prestadores de

servicios que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o
instrumentos de búsqueda de contenidos. Se trata de una innovación de la Ley española,
que como ya hemos señalado tiene una pretensión totalizadora respecto de la atribución
de responsabilidad en Internet, puesto que este tipo de servicio no aparece incluido en la
sección cuarta del Capítulo II de la Directiva 2000/31/CE, que establece régimen de
responsabilidad de los prestadores de servicios intermediarios. Este artículo afectaría
además de a los buscadores propiamente dichos a cualquier página que contenga
enlaces a diferentes contenidos, ya que se trata de evitar que el acceso a contenidos
ilícitos o lesivos para los derechos de terceros.

Como en todos los supuestos anteriores, los prestadores que faciliten enlaces a
contenidos o instrumentos de búsqueda no serán responsables por la información a la
que dirijan a los destinatarios de sus servicios cuando se cumplan las siguientes
condiciones:

a) Que no tengan conocimiento efectivo de que la actividad o la

información a la que remiten o recomiendan es ilícita o lesiona bienes
o derechos de un tercero susceptibles de indemnización;

Igualmente, como en el caso de los servicios de alojamiento de datos se

entenderá que tienen conocimiento efectivo de la ilicitud de la actividad o de que esta
lesiona bienes o derechos de un tercero cuando un órgano competente haya declarado la
ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o
se hubiera declarado la existencia de la lesión, y el prestador conociera la
correspondiente resolución. Y ello, con independencia de que el prestador haya
adoptado determinados procedimientos de detección y retirada de contenidos en
aplicación de acuerdos voluntarios y de otros medios de conocimiento efectivo que
pudieran establecerse.

b) Que cuando tengan ese conocimiento efectivo, actúen con diligencia

para suprimir o inutilizar el enlace correspondiente.

También al igual que en artículo anterior se establece una excepción a la dicha

exención de responsabilidad en los términos fijados por la Ley 56/2007, de Medidas de
Impulso de la Sociedad de la Información, haciendo responsable al prestador de
servicios que faciliten enlaces a contenidos o instrumentos de búsqueda cuando el
proveedor de contenidos al que se enlace o cuya localización se facilite actúe bajo la
dirección, autoridad o control del prestador que facilite la localización de esos
contenidos.

V. LAS COMUNICACIONES COMERCIALES POR VÍA

ELECTRÓNICA Y USO DE COOKIES.

Las comunicaciones comerciales por vía electrónica o spam están reguladas por
los artículos 19 y siguientes de la Ley 34/2002 y por la legislación de protección de
datos personales en todo lo referente al tratamiento de los datos personales de los

22
destinatarios de las comunicaciones. El primer requisito legal para el envío de
comunicaciones comerciales realizadas por vía electrónica es que estén claramente
identificadas como tales, es decir, el destinatario que recibe la comunicación ha de
poder saber que le están enviando publicidad y quien se la está enviando, pues se exige
asimismo que la persona física o jurídica en nombre de la cual se realicen, este
perfectamente identificada. Para garantizar esa correcta identificación por parte del
destinatario, cuando se envíen a través de correo electrónico u otro medio de
comunicación electrónica equivalente, las comunicaciones comerciales deberán incluir
al comienzo del mensaje la palabra «publicidad» o la abreviatura «publi».

La Ley 34/2002 permite el envío de publicidad a través del correo electrónico u

otro medio equivalente cuando el destinatario las haya solicitado o hubiera prestado su
consentimiento para ello. En los demás casos está prohibido, salvo cuando exista una
relación contractual previa con el destinatario de la comunicación comercial y los datos
de contacto hayan sido obtenidos de forma lícita, es decir, se hayan respetado las
normas sobre protección de datos personales en su recogida y tratamiento, y el prestador
del servicio los emplee para el envío de comunicaciones comerciales referentes a
productos o servicios de su propia empresa, similares a los contratados inicialmente por
el destinatario de la comunicación comercial. En este caso, el prestador del servicio
deberá ofrecer al destinatario de la comunicación la posibilidad de oponerse al
tratamiento de sus datos con fines comerciales, de manera sencilla y gratuita, en el
momento de la recogida de los datos y en cada una de las comunicaciones comerciales
posteriores.

EL consentimiento es revocable y los prestadores de este tipo de servicios

habrán de informar a los destinatarios de forma clara y completa de la finalidad y usos
de sus datos personales, en aquellos casos en los que empleen dispositivos de
almacenamiento y recuperación de datos en equipos terminales.

El artículo 38 de la LSSI, en sus apartados 3 y 4, respectivamente, tipifica como

infracción grave el envío masivo de comunicaciones comerciales por correo electrónico
u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año,
de más de tres comunicaciones comerciales por los medios aludidos a un mismo
destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el
artículo 21 y como infracción leve el envío de spam contraviniendo los dispuesto en el
artículo 21 cuando no constituya infracción grave. Las sanciones serán de multa de
entre 30.001 a 150.000 euros y de hasta 30.000 euros, respectivamente y la potestad
sancionadora corresponderá a la Agencia Española de protección de Datos.

En el apartado 2 del artículo 22 se establece que:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y

recuperación de datos en equipos terminales de los destinatarios, a condición de que
los mismos hayan dado su consentimiento después de que se les haya facilitado
información clara y completa sobre su utilización, en particular, sobre los fines del
tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter personal.

23
 Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario
para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los
parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica

al solo fin de efectuar la transmisión de una comunicación por una red de
comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para
la prestación de un servicio de la sociedad de la información expresamente solicitado
por el destinatario.

El artículo 22 de la LSSI se refiere a la utilización de cookies y tecnologías

similares utilizadas (tales como local shared objects o flash cookies , web beacons o
bugs , etc.) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un
ordenador, un teléfono móvil o una tablet) de una persona física o jurídica que utiliza,
sea o no por motivos profesionales, un servicio de la sociedad de la información. La
citada norma también resulta de aplicación al empleo de técnicas de fingerprinting, es
decir, a las técnicas de toma de la huella digital del dispositivo. Los requisitos de
consentimiento informado se rigen por lo dispuesto en el RGPD y en la LOPDGDD,
cuando impliquen un tratamiento de datos personales. cuando la utilización de una
cookie conlleve el tratamiento de datos personales, los responsables de tal tratamiento
deberán asegurarse del cumplimiento de las exigencias adicionales establecidas por la
normativa sobre protección de datos personales, en particular en relación con las
categorías especiales de datos. Se considerará que existe tratamiento de datos personales
cuando el usuario esté identi-icado por un nombre o dirección de email que lo
identifique (por ejemplo, por tratarse de un usuario registrado) o cuando se utilicen
identi-ficadores únicos que permitan distinguir unos usuarios de otros y realizar un
seguimiento individualizado de los mismos (por ejemplo, un ID de publicidad).

Quedan exceptuadas del cumplimiento de las obligaciones establecidas en el

artículo 22.2 las cookies utilizadas para alguna de las siguientes finalidades:

- Permitir únicamente la comunicación entre el equipo del usuario y la red;

- Las que sirvan estrictamente prestar un servicio expresamente solicitado
por el usuario.

EL GT29 (actual CEPD), en su Dictamen 4/2012, sobre la exención del requisito

de consentimiento de cookies consideró que estarían exentas de ese requisitos las
siguientes:

- Cookies de “entrada del usuario”

- Cookies de autenticación o identificación de usuario (únicamente de
sesión).
- Cookies de seguridad del usuario
- Cookies de sesión de reproductor multimedia.
- Cookies de sesión para equilibrar la carga.
- Cookies de personalización de la interfaz de usuario.
- Determinadas cookies de complemento (plug-in) para intercambiar
contenidos sociales

24
 Estas cookies quedan excluidas del ámbito de aplicación del artículo 22.2 de la
LSSI, y, por lo tanto, no sería necesario informar ni obtener el consentimiento sobre su
uso. Por el contrario, será necesario informar y obtener el consentimiento para la
utilización de cualquier otro tipo de cookies, tanto de primera como de tercera parte, de
sesión o persistentes.

VI. BREVE REFERENCIA AL REGLAMENTO DE SERVICIOS

DIGITALES (RSD)

El Reglamento de Servicios Digitales obliga a las empresas de servicios digitales

de toda la UE a rendir cuentas por los contenidos publicados en sus plataformas. Se el 4
de octubre de 2022 y es plenamente aplicable desde el 17 de febrero de 2024. Su
objetivo es garantizar un entorno en línea más seguro para los usuarios y las empresas
de servicios digitales y, en particular, garantizar una mejor protección de los derechos
fundamentales en el entorno digital mediante el establecimiento de nuevas normas
sobre:
• la lucha contra los contenidos ilícitos en línea, incluidos bienes, servicios e
información, respetando plenamente la Carta de los Derechos Fundamentales;
• la lucha contra los riesgos en línea para la sociedad;
• la trazabilidad de los comerciantes en los mercados en línea;
• las medidas de transparencia para las plataformas en línea;
• la supervisión reforzada.

Su ámbito de aplicación se extiende a todas las empresas de servicios

intermediarios en línea que conecten a los usuarios con contenidos, productos y
servicios en el mercado único de la UE, con independencia de si están establecidas
dentro o fuera de la Unión, entre ellas:
• los mercados en línea,
• las redes sociales,
• las plataformas de intercambio de contenidos,
• las plataformas de reserva de viajes y alojamiento en línea.

Las obligaciones que se establecen son proporcionales al tamaño de las

empresas y a su impacto en la sociedad. Las plataformas muy pequeñas están exentas de
la mayoría de las obligaciones. Se establecen nuevas obligaciones para las plataformas
digitales con el fin de proteger mejor a los usuarios y aumentar la transparencia, entre
ellas:
• luchar contra la venta de productos y servicios ilícitos;
• combatir los contenidos ilícitos (noticias falsas, propaganda, incitación al odio,
acoso y abuso a menores), reaccionar rápidamente ante ellos y permitir que los
usuarios alerten de dichos contenidos, respetando la libertad de expresión;
• utilizar herramientas de moderación de contenidos que incluyan la opción de
impugnar las decisiones cuando se elimine contenido de los usuarios o se
restrinja el acceso a este;
• aumentar la transparencia para los usuarios en relación con las condiciones
generales y el modo en que los algoritmos recomiendan contenidos;

25
 • prohibir la publicidad dirigida a menores y el uso de datos personales sensibles
para personalizar los anuncios publicitarios (género, orientación sexual, raza,
religión o convicciones políticas);
• prohibir los «patrones oscuros», es decir, las interfaces engañosas diseñadas
deliberadamente para, por ejemplo, conseguir que los usuarios se suscriban a
servicios sin darse cuenta.

Para las plataformas en línea de muy gran tamaño y a los motores de búsqueda
en línea de muy gran tamaño (que tengan más de 45 millones de usuarios activos),
teniendo en cuenta el papel clave que desempeñan en el comercio electrónico, la
difusión de información y la facilitación del intercambio de opiniones e ideas se le
imponen obligaciones específicas:
• establecer planes de reducción, sujetos a auditorías, de los riesgos sistémicos que
plantean, como la desinformación, la manipulación durante procesos electorales,
la ciberviolencia contra las mujeres o el abuso a menores;
• compartir datos con investigadores y autoridades;
• permitir que los usuarios decidan si desean recibir recomendaciones
personalizadas y, en caso afirmativo, cómo (por ejemplo, que no se basen en sus
búsquedas en línea).

En caso de incumplimiento, se establecen sanciones en función de su tamaño:

• a las empresas con menos de 45 millones de usuarios activos se les pueden

imponer las sanciones, entre ellas multas, establecidas en la legislación nacional
de los Estados miembros;
• a las empresas con más de 45 millones de usuarios activos se les pueden
imponer multas de hasta el 6 % de su volumen de negocios mundial.

También se prevén nuevos derechos para los usuarios:

• Se les garantiza un mayor control sobre lo que ven en línea y están más
capacitados para comprender los anuncios que ven o informarse sobre ellos.
• No se les podrá perfilar utilizando datos especialmente protegidos.
• A los menores de edad no se les podrá mostrar publicidad basada en la
utilización de sus datos personales, tal como se definen en el RGPD.
• Los usuarios tienen la posibilidad de denunciar contenidos ilícitos y la
plataforma estará entonces obligada a notificarles las decisiones que adopte.

Para luchar contra la desinformación, el RSD aumenta la transparencia de las

normas para la moderación de contenidos en línea, al tiempo que facilita el acceso a los
datos por parte de las autoridades y los investigadores, de modo que puedan comprender
mejor el entorno en línea, su impacto social y sus posibles riesgos. Asimismo, deben:
• adoptar medidas para hacer frente a los riesgos relacionados con la difusión de
contenidos ilícitos en línea;
• disponer de un mecanismo para que los usuarios alerten de contenidos ilícitos y
atender con prontitud las notificaciones.

Para luchar contra la manipulación de información en línea, se establece un

Mecanismo de Respuesta a las Crisis, que permitirá analizar cómo afectan a la crisis en

26
cuestión las actividades de las plataformas en línea de muy gran tamaño y de los
motores de búsqueda en línea de muy gran tamaño y decidir medidas para garantizar
que se respeten los derechos fundamentales.

27