Archivos de la etiqueta: Identificación electrónica

09Ago/24

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) nº 910//2014 en lo que respecta al establecimiento del marco europeo de identidad digital. 

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Visto el dictamen del Comité de las Regiones (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1) La Comunicación de la Comisión de 19 de febrero de 2020, titulada «Configurar el futuro digital de Europa», anuncia una revisión del Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (4) para mejorar su eficacia, extender sus beneficios al sector privado y promover unas identidades digitales de confianza para todos los europeos.

(2) En sus Conclusiones de 1 y 2 de octubre de 2020, el Consejo Europeo instó a la Comisión a que presentara una propuesta relativa al desarrollo, a escala de la UE, de un marco para la identificación electrónica pública segura, en particular de las firmas digitales interoperables, de modo que los ciudadanos puedan tener el control de su identidad y sus datos en línea y se facilite el acceso a los servicios digitales públicos, privados y transfronterizos.

(3) El Programa Estratégico de la Década Digital para 2030, establecido por la Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo (5), fija los objetivos y las metas digitales de un marco de la Unión que, de aquí a 2030, deben dar lugar a la implantación generalizada de una identidad digital fiable, voluntaria y controlada por el usuario, reconocida en toda la Unión y que permita a todos los usuarios controlar sus datos en las interacciones en línea.

(4) La Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital, proclamada por el Parlamento Europeo, el Consejo y la Comisión (6) (en lo sucesivo, «Declaración»), subraya el derecho de todas las personas a acceder a tecnologías, productos y servicios digitales que sean seguros y protejan la privacidad desde el diseño. Esto incluye velar por que se ofrezca a todas las personas que viven en la Unión una identidad digital accesible, segura y fiable que permita acceder a una amplia gama de servicios en línea y fuera de línea, protegida contra los riesgos de ciberseguridad y los ciberdelitos, por ejemplo, la violación de la seguridad de los datos y la usurpación o la manipulación de identidad. En la Declaración también se afirma que toda persona tiene derecho a la protección de sus datos personales. Este derecho incluye el control de cómo se utilizan esos datos y con quién se comparten.

(5) Los ciudadanos de la Unión y los residentes en la Unión deben tener derecho a poseer una identidad digital que se mantenga bajo su control exclusivo y les permita ejercer sus derechos en el entorno digital y participar en la economía digital. Para alcanzar este objetivo, debe establecerse un marco europeo de identidad digital que permita a los ciudadanos de la Unión y los residentes en la Unión acceder a servicios públicos y privados en línea y fuera de línea en toda la Unión.

(6) Un marco de identidad digital armonizado debe contribuir a la creación de una Unión más integrada digitalmente al reducir los obstáculos digitales entre los Estados miembros y capacitar a los ciudadanos de la Unión y los residentes en la Unión para que disfruten de los beneficios de la digitalización, aumentando al mismo tiempo la transparencia y la protección de sus derechos.

(7) Un enfoque más armonizado en lo que respecta a la identificación electrónica debe reducir los riesgos y los costes asociados a la actual fragmentación derivada del uso de soluciones nacionales divergentes o, en algunos Estados miembros, a la ausencia de tales soluciones de identificación electrónica. Este enfoque debe reforzar el mercado interior al permitir que los ciudadanos de la Unión, los residentes en la Unión tal como se definen en el Derecho nacional y las empresas se identifiquen y proporcionen una autenticación de su identidad en línea y fuera de línea de manera segura, fiable, fácil de usar, cómoda, accesible y armonizada en toda la Unión. La cartera europea de identidad digital debe proporcionar a las personas físicas y jurídicas de la Unión un medio de identificación electrónica armonizado que permita autenticar y compartir datos relacionados con su identidad. Toda persona debe poder acceder de forma segura a servicios públicos y privados apoyándose en un ecosistema reforzado de servicios de confianza y en pruebas de identidad y declaraciones electrónicas de atributos verificadas, como cualificaciones académicas, por ejemplo, títulos universitarios u otros títulos profesionales o académicos. El marco europeo de identidad digital tiene por finalidad lograr un cambio que permita pasar de la utilización exclusiva de soluciones nacionales de identidad digital a la provisión de declaraciones electrónicas de atributos que sean válidas y estén legalmente reconocidas en toda la Unión. Los prestadores de declaraciones electrónicas de atributos deben beneficiarse de un conjunto de normas claras y uniformes, y las administraciones públicas deben poder confiar en los documentos electrónicos expedidos en un determinado formato.

(8) Varios Estados miembros han aplicado y emplean medios de identificación electrónica que son aceptados por prestadores de servicios en la Unión. Asimismo, se han realizado inversiones en soluciones tanto nacionales como transfronterizas atendiendo al Reglamento (UE) nº 910/2014, incluida la interoperabilidad de los sistemas de identificación electrónica notificados con arreglo a dicho Reglamento. Con el fin de garantizar la complementariedad y la rápida adopción de las carteras europeas de identidad digital por los usuarios existentes de los medios de identificación electrónica notificados, así como de reducir al mínimo las repercusiones sobre los prestadores de servicios existentes, se espera que las carteras europeas de identidad digital se beneficien de la experiencia adquirida con los medios de identificación electrónica existentes y de la infraestructura de los sistemas de identificación electrónica notificados implantada a escala nacional y de la Unión.

(9) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (7) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (8) se aplican a todas las actividades de tratamiento de datos personales en virtud del Reglamento (UE) nº 910/2014. Las soluciones que forman parte del marco de interoperabilidad previsto en el presente Reglamento también cumplen dichas normas. El Derecho de la Unión en materia de protección de datos establece principios, como los de minimización de datos y limitación de finalidad, y obligaciones, como la protección de datos desde el diseño y por defecto.

(10) Con el fin de fomentar la competitividad de las empresas de la Unión, los prestadores de servicios tanto en línea como fuera de línea deben poder contar con soluciones de identidad digital reconocidas en toda la Unión, independientemente del Estado miembro en el que se proporcionen, de tal manera que se beneficien de un enfoque armonizado de la Unión en lo que respecta a la confianza, la seguridad y la interoperabilidad. Tanto los usuarios como los prestadores de servicios deben poder beneficiarse de que se confiera el mismo valor jurídico a las declaraciones electrónicas de atributos en toda la Unión. El objetivo de un marco armonizado para una identidad digital es crear valor económico al facilitar el acceso a bienes y servicios y reducir considerablemente los costes de explotación asociados a los procedimientos de identificación y autenticación electrónicas, por ejemplo, durante la incorporación de nuevos clientes, así como las posibilidades de que se cometan ciberdelitos, como la usurpación de identidad, el robo de datos y el fraude en línea, y, así, propiciar una mayor eficiencia y una transformación digital segura de las pymes de la Unión.

(11) Las carteras europeas de identidad digital deben facilitar la aplicación del principio de «solo una vez» y, de esta manera, reducir la carga administrativa que recae sobre los ciudadanos de la Unión y los residentes en la Unión, así como sobre las empresas de toda la Unión, y apoyar su movilidad transfronteriza, además de fomentar el desarrollo de servicios de administración electrónica interoperables en toda la Unión.

(12) El Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (9) y la Directiva 2002/58/CE son aplicables al tratamiento de datos personales efectuado en aplicación del presente Reglamento. En consecuencia, el presente Reglamento debe establecer salvaguardas específicas para evitar que los proveedores de medios de identificación electrónica y declaraciones electrónicas de atributos combinen los datos personales obtenidos al prestar otros servicios con los datos personales tratados para prestar los servicios contemplados en el ámbito de aplicación del presente Reglamento. Se debe establecer una separación lógica entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos que obren en poder del proveedor de la cartera. El presente Reglamento no debe impedir a los proveedores de las carteras europeas de identidad digital aplicar medidas técnicas adicionales que contribuyan a la protección de los datos personales, como por ejemplo la separación física entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos en poder del proveedor. Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, el presente Reglamento especifica la aplicación de los principios de limitación de finalidad, minimización de datos y protección de datos desde el diseño y por defecto.

(13) La función de panel común debe integrarse en el diseño de las carteras europeas de identidad digital, a fin de garantizar un mayor grado de transparencia, privacidad y control por parte de los usuarios de sus datos personales. Dicha función debe ofrecer una interfaz fácil y de uso sencillo con una visión general de todas las partes usuarias con las que el usuario comparte datos, incluidos los atributos, y el tipo de datos compartidos con cada parte usuaria. Debe permitir al usuario efectuar un seguimiento de todas las transacciones ejecutadas a través de la cartera europea de identidad digital con al menos los siguientes datos: la hora y la fecha de la transacción, la identificación de la contraparte, los datos personales solicitados y los datos compartidos. Tal información debe almacenarse aun cuando la transacción no se haya concluido. No debe ser posible repudiar la autenticidad de la información contenida en el historial de transacciones. Tal función debe estar activada por defecto. Debe permitir al usuario solicitar fácilmente a una parte usuaria que suprima inmediatamente datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679 y denunciar fácilmente a una parte usuaria ante la autoridad nacional competente de protección de datos cuando se reciba una solicitud presuntamente ilícita o sospechosa de datos personales directamente a través de la cartera europea de identidad digital.

(14) Los Estados miembros deben integrar en la cartera europea de identidad digital distintas tecnologías de protección de la privacidad, como la prueba de conocimiento cero. Estos métodos criptográficos deben permitir que una parte usuaria valide si una declaración dada basada en los datos de identificación y la declaración de atributos de la persona es verdadera sin revelar ningún dato en que se base dicha declaración, preservando así la privacidad del usuario.

(15) El presente Reglamento define las condiciones armonizadas de cara al establecimiento de un marco para las carteras europeas de identidad digital que deben proporcionar los Estados miembros. Todos los ciudadanos de la Unión, y los residentes en la Unión tal como se definen en el Derecho nacional, deben estar facultados para solicitar, seleccionar, combinar, almacenar, eliminar, compartir y presentar datos relacionados con su identidad y solicitar la supresión de sus datos personales de una manera sencilla y cómoda que esté bajo el control exclusivo del usuario y permita al mismo tiempo la divulgación selectiva de datos personales. El presente Reglamento refleja los valores europeos comunes y respeta los derechos fundamentales, las garantías jurídicas y la responsabilidad y, para así proteger las sociedades democráticas, los ciudadanos de la Unión y los residentes en la Unión. Deben desarrollarse tecnologías que permitan lograr estos objetivos y que aspiren al máximo nivel de seguridad, privacidad, comodidad de uso y accesibilidad, garantizando asimismo una elevada facilidad de utilización y una interoperabilidad fluida. Los Estados miembros deben garantizar la igualdad de acceso a la identificación electrónica para todos sus ciudadanos y residentes. Los Estados miembros no deben limitar, directa o indirectamente, el acceso a los servicios públicos o privados a personas físicas o jurídicas que no opten por utilizar carteras europeas de identidad digital y deben facilitar otras soluciones adecuadas.

(16) Los Estados miembros deben aprovechar las posibilidades que ofrece el presente Reglamento para proporcionar, bajo su responsabilidad, carteras europeas de identidad digital, para su uso, a las personas físicas y jurídicas que residan en su territorio. A fin de ofrecer flexibilidad a los Estados miembros y aprovechar las tecnologías más avanzadas, el presente Reglamento debe permitir el suministro de carteras europeas de identidad digital directamente por un Estado miembro, en virtud de un mandato de un Estado miembro, o independientemente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.

(17) A efectos del registro, las partes usuarias deben facilitar la información necesaria para permitir su identificación y autenticación electrónicas en las carteras europeas de identidad digital. Al declarar el uso que pretenden hacer de la cartera europea de identidad digital, las partes usuarias deben facilitar información sobre los datos que solicitarán, en su caso, para prestar sus servicios, así como el motivo de la solicitud. El registro de las partes usuarias facilita las verificaciones por parte de los Estados miembros por lo que respecta a la legalidad de las actividades de las partes usuarias de conformidad con el Derecho de la Unión. La obligación de registro prevista en el presente Reglamento debe entenderse sin perjuicio de las obligaciones establecidas en el Derecho de la Unión o nacional, como la información que debe facilitarse a los interesados en virtud del Reglamento (UE) 2016/679. Las partes usuarias deben cumplir las garantías ofrecidas por los artículos 35 y 36 de dicho Reglamento, en particular realizando evaluaciones de impacto relativas a la protección de datos y consultando a las autoridades competentes en materia de protección de datos antes del tratamiento de datos en los casos en que las evaluaciones de impacto relativas a la protección de datos indiquen que el tratamiento daría lugar a un riesgo elevado. Dichas garantías deben apoyar el tratamiento lícito de datos personales por las partes usuarias, en particular por lo que respecta a las categorías especiales de datos personales, como los datos relativos a la salud. El registro de las partes usuarias tiene por objeto aumentar la transparencia y la confianza en el uso de las carteras europeas de identidad digital. El registro debe tener un coste razonable y proporcionado a los riesgos conexos, a fin de garantizar la aceptación por parte de los prestadores de servicios. En este contexto, el registro debe ofrecer la posibilidad de utilizar procedimientos automáticos, en particular de que los Estados miembros recurran a registros existentes y los utilicen, y no debe conllevar un proceso de autorización previa. El proceso de registro debe permitir diversos casos de uso que pueden presentar diferencias en cuanto al modo de operación, ya sea en línea o fuera de línea, o en lo que respecta al requisito de autenticar los dispositivos con el objetivo de interactuar con la cartera europea de identidad digital. El registro debe aplicarse exclusivamente a las partes usuarias que presten servicios mediante una interacción digital.

(18) A fin de que se confíe en las carteras europeas de identidad digital y de que estas carteras se adopten ampliamente, es muy importante proteger a los ciudadanos de la Unión y los residentes en la Unión frente al uso no autorizado o fraudulento de las carteras europeas de identidad digital. Debe ofrecerse a los usuarios una protección eficaz contra este uso indebido. En particular, cuando una autoridad judicial nacional establezca, en el contexto de otro procedimiento, hechos que constituyan la base de un uso fraudulento o ilegal de una cartera europea de identidad digital, los organismos de supervisión responsables de los emisores de carteras europeas de identidad digital deben adoptar, tras la notificación, las medidas necesarias para garantizar la retirada o la suspensión del registro de la parte usuaria y de la inclusión de las partes usuarias en el mecanismo de autenticación hasta que la autoridad notificante confirme que las irregularidades detectadas se han subsanado.

(19) Todas las carteras europeas de identidad digital deben permitir a los usuarios identificarse y autenticarse electrónicamente de forma transfronteriza, tanto en línea como en modo fuera de línea, para acceder a una amplia gama de servicios públicos y privados. Sin perjuicio de las prerrogativas de los Estados miembros en lo que respecta a la identificación de sus ciudadanos y residentes, las carteras europeas de identidad digital también pueden dar respuesta a las necesidades institucionales de las administraciones públicas, las organizaciones internacionales y las instituciones, órganos y organismos de la Unión. La autenticación en modo fuera de línea será importante en numerosos sectores, especialmente el sanitario, en el que los servicios se prestan a menudo mediante una interacción presencial, y las recetas electrónicas deben poder utilizar códigos QR o tecnologías similares para verificar su autenticidad. Basándose en el nivel de seguridad alto por lo que respecta a los sistemas de identificación electrónica, las carteras europeas de identidad digital deben beneficiarse del potencial que ofrecen las soluciones inalterables, como las medidas de protección, para cumplir los requisitos de seguridad previstos en el presente Reglamento. Asimismo, las carteras europeas de identidad digital deben permitir a los usuarios crear y utilizar firmas y sellos electrónicos cualificados que se acepten en toda la Unión. Una vez incorporadas a una cartera europea de identidad digital, las personas físicas deben poder utilizarla para firmar con firmas electrónicas cualificadas, por defecto y de forma gratuita, sin tener que seguir ningún otro procedimiento administrativo. Los usuarios deben poder firmar o sellar declaraciones personales o atributos autodeclarados. En aras de la simplificación y la reducción de costes en beneficio de las personas y empresas de toda la Unión, en particular mediante la posibilidad de otorgar poderes de representación y mandatos electrónicos, los Estados miembros deben proporcionar carteras europeas de identidad digital que utilicen normas y especificaciones técnicas comunes para garantizar una interoperabilidad fluida y elevar adecuadamente el nivel de seguridad informática, reforzar la solidez frente a los ciberataques y, de este modo, reducir considerablemente los riesgos que entraña la digitalización en curso para los ciudadanos de la Unión, los residentes en la Unión y las empresas. Las autoridades competentes de los Estados miembros son las únicas que pueden proporcionar un nivel de confianza alto en la determinación de la identidad de una persona y, por lo tanto, ofrecer garantías de que la persona que afirma o manifiesta poseer una determinada identidad es, de hecho, quien dice ser. Por lo tanto, para la provisión de carteras europeas de identidad digital, es necesario basarse en la identidad legal de los ciudadanos de la Unión, los residentes en la Unión o las personas jurídicas. La utilización de la identidad legal no debe impedir que los usuarios de carteras europeas de identidad digital accedan a servicios mediante un seudónimo cuando no exista una obligación jurídica de utilizar la identidad legal para la autenticación. La confianza en las carteras europeas de identidad digital aumentaría si se impusiera a las partes emisoras y gestoras el deber de introducir medidas técnicas y organizativas adecuadas para garantizar el nivel de seguridad más elevado que sea proporcional a los riesgos planteados para los derechos y libertades de las personas físicas, de conformidad con el Reglamento (UE) 2016/679.

(20) El uso de una firma electrónica cualificada debe ser gratuito para todas las personas físicas con fines no profesionales. Los Estados miembros deben tener la posibilidad de establecer medidas para impedir el uso gratuito de firmas electrónicas cualificadas con fines profesionales por parte de personas físicas, garantizando al mismo tiempo que tales medidas sean proporcionadas a los riesgos detectados y estén justificadas.

(21) Resulta beneficioso facilitar la implantación y la utilización de carteras europeas de identidad digital mediante su integración sin dificultades en el ecosistema de servicios públicos y privados ya vigente a escala nacional, local o regional. A fin de alcanzar este objetivo, los Estados miembros deben tener la posibilidad de establecer medidas jurídicas y organizativas que mejoren la flexibilidad para los proveedores de carteras europeas de identidad digital y que hagan posibles otras funcionalidades de las carteras europeas de identidad digital aparte de las establecidas en el presente Reglamento, en particular mediante un refuerzo de la interoperabilidad con los medios nacionales de identificación electrónica existentes. Tales funcionalidades adicionales no deben en ningún caso ir en detrimento de la prestación de las funciones esenciales de las carteras europeas de identidad digital establecidas en el presente Reglamento, ni promover soluciones nacionales existentes en lugar de las carteras europeas de identidad digital. Tales funcionalidades adicionales exceden el ámbito de aplicación del presente Reglamento, y por ello no se benefician de las disposiciones sobre el uso transfronterizo de las carteras europeas de identidad digital que figuran en el presente Reglamento.

(22) Las carteras europeas de identidad digital deben incluir una funcionalidad para generar seudónimos elegidos y gestionados por el usuario con fines de autenticación a la hora de acceder a servicios en línea.

(23) Para lograr un nivel de seguridad y fiabilidad alto, el presente Reglamento establece los requisitos que deben satisfacer las carteras europeas de identidad digital. La acreditación de la conformidad de las carteras europeas de identidad digital con estos requisitos corresponderá a organismos acreditados de evaluación de la conformidad designados por los Estados miembros.

(24) A fin de evitar enfoques divergentes y armonizar la aplicación de los requisitos establecidos en el presente Reglamento, la Comisión debe, a fin de certificar las carteras europeas de identidad digital, adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos con el fin de establecer especificaciones técnicas detalladas para dichos requisitos. En la medida en que la certificación de la conformidad de las carteras europeas de identidad digital con los requisitos de ciberseguridad pertinentes no está cubierta por los esquemas de certificación de la ciberseguridad existentes a que se refiere el presente Reglamento, y en lo que respecta a los requisitos no relacionados con la ciberseguridad pertinentes para las carteras europeas de identidad digital, los Estados miembros deben establecer esquemas nacionales de certificación con arreglo a los requisitos armonizados establecidos en el presente Reglamento y adoptados en virtud de este. Los Estados miembros deben transmitir sus proyectos de esquemas nacionales de certificación al Grupo de Cooperación sobre la Identidad Digital Europea, que debe estar facultado para emitir dictámenes y recomendaciones.

(25) La certificación de la conformidad con los requisitos de ciberseguridad establecidos en el presente Reglamento debe basarse, cuando estén disponibles, en los esquemas europeos de certificación de la ciberseguridad pertinentes establecidos en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (10), que establece un marco europeo voluntario de certificación de la ciberseguridad para los productos, procesos y servicios de TIC.

(26) Con el fin de evaluar y mitigar continuamente los riesgos relacionados con la seguridad, las carteras europeas de identidad digital certificadas deben ser objeto de evaluaciones periódicas de las vulnerabilidades encaminadas a detectar cualquier vulnerabilidad en los componentes relacionados con los productos, procesos y servicios certificados de la cartera europea de identidad digital.

(27) Al proteger a los usuarios y a las empresas de los riesgos de ciberseguridad, los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento también contribuyen a mejorar la protección de los datos personales y la privacidad de las personas. Deben tenerse en cuenta las sinergias tanto en materia de normalización como de certificación en los aspectos relativos a la ciberseguridad a través de la cooperación entre la Comisión, las organizaciones europeas de normalización, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el Comité Europeo de Protección de Datos creado por el Reglamento (UE) 2016/679 y las autoridades nacionales de supervisión de la protección de datos.

(28) Debe facilitarse la incorporación de los ciudadanos de la Unión y los residentes en la Unión a la cartera europea de identidad digital mediante la utilización de medios de identificación electrónica expedidos a un nivel de seguridad alto. Solo se debe recurrir a los medios de identificación electrónica expedidos a un nivel de seguridad sustancial cuando las especificaciones y procedimientos técnicos armonizados que empleen medios de identificación electrónica expedidos a un nivel de seguridad sustancial en combinación con medios complementarios de verificación de la identidad permitan el cumplimiento de los requisitos establecidos en el presente Reglamento en relación con el nivel de seguridad alto. Tales medios complementarios deben ser fiables y fáciles de utilizar, y se pueden desarrollar teniendo en cuenta la posibilidad de emplear procedimientos de incorporación a distancia, certificados cualificados sustentados en firmas electrónicas cualificadas, declaraciones electrónicas cualificadas de atributos o una combinación de estos. Para garantizar una implantación suficiente de las carteras europeas de identidad digital, deben establecerse, mediante actos de ejecución, especificaciones y procedimientos técnicos armonizados para la incorporación de los usuarios por medios de identificación electrónica, en particular aquellos expedidos a un nivel de seguridad sustancial.

(29) El objetivo del presente Reglamento consiste en proporcionar al usuario una cartera europea de identidad digital que sea completamente portátil, segura y fácil de utilizar. Como medida transitoria hasta que estén disponibles soluciones certificadas inalterables —por ejemplo, medidas de protección dentro de los dispositivos de los usuarios—, las carteras europeas de identidad digital deben poder emplear bien medidas de protección externas certificadas para proteger el material criptográfico y otros datos sensibles, bien medios de identificación electrónica notificados con un nivel de seguridad alto para demostrar el cumplimiento de los requisitos pertinentes del presente Reglamento en lo que respecta al nivel de seguridad de la cartera europea de identidad digital. El presente Reglamento se entiende sin perjuicio de las condiciones nacionales por lo que respecta a la expedición y utilización de una medida de protección externa certificada en caso de que esta medida transitoria las necesite.

(30) Las carteras europeas de identidad digital deben garantizar el máximo nivel de protección de datos y de seguridad a efectos de identificación y autenticación electrónicas para facilitar el acceso a los servicios públicos y privados, con independencia de que dichos datos se almacenen de forma local o mediante soluciones en la nube, teniendo debidamente en cuenta los diferentes niveles de riesgo.

(31) Las carteras europeas de identidad digital deben ser seguras desde el diseño y deben aplicar características de seguridad avanzadas para proteger contra la usurpación de identidad, el robo de datos, la denegación de servicio y cualquier otra ciberamenaza. Dichas medidas de seguridad deben incluir métodos de cifrado y almacenamiento de última generación que solo sean accesibles al usuario y descifrables por este, y basados en una comunicación cifrada de extremo a extremo con otras carteras europeas de identidad digital y las partes usuarias. Además, las carteras europeas de identidad digital deben requerir la confirmación segura, explícita y activa del usuario para las operaciones realizadas a través de dichas carteras.

(32) El uso gratuito de las carteras europeas de identidad digital no debe dar lugar a que el tratamiento de datos exceda lo necesario para la prestación de servicios de carteras europeas de identidad digital. El presente Reglamento no debe permitir el tratamiento de datos personales almacenados o que se deriven del uso de la cartera europea de identidad digital por el proveedor de esta con fines distintos a la prestación de servicios de cartera europea de identidad digital. Para garantizar la privacidad, los proveedores de carteras europeas de identidad digital deben garantizar la falta de observabilidad no recopilando datos y no pudiendo ver la información de las transacciones de los usuarios de la cartera europea de identidad digital. Dicha falta de observabilidad significa que los proveedores no pueden ver los detalles de las transacciones realizadas por el usuario. No obstante, en casos específicos, sobre la base del consentimiento explícito previo del usuario para cada uno de dichos casos específicos, y de plena conformidad con el Reglamento (UE) 2016/679, se puede conceder acceso a los proveedores de carteras europeas de identidad digital a la información necesaria para la prestación de un servicio concreto relacionado con las carteras europeas de identidad digital.

(33) La transparencia de las carteras europeas de identidad digital y la responsabilidad de sus proveedores son elementos clave para fomentar la confianza social y activar la aceptación del marco. Por tanto, el funcionamiento de las carteras europeas de identidad digital debe ser transparente y, en concreto, permitir un tratamiento verificable de los datos personales. Para lograrlo, los Estados miembros deben revelar el código fuente de los componentes de programas informáticos de las aplicaciones de usuario de las carteras europeas de identidad digital, incluidos los relacionados con el tratamiento de los datos personales y los datos de personas jurídicas. La publicación de este código fuente con una licencia de código abierto debe permitir a la sociedad, incluidos los usuarios y desarrolladores, comprender su funcionamiento y auditar y revisar el código. Esto aumentará la confianza de los usuarios en el ecosistema y contribuirá a la seguridad de las carteras europeas de identidad digital, al permitir que cualquier persona denuncie vulnerabilidades y errores en el código. En general, esto debe ser un incentivo para que los proveedores ofrezcan y mantengan un producto con un nivel de seguridad elevado. Sin embargo, en determinados casos, por razones debidamente justificadas, en especial con fines de seguridad pública, los Estados miembros pueden limitar la divulgación del código fuente de las librerías usadas, el canal de comunicación u otros elementos que no estén alojados en el dispositivo del usuario.

(34) El uso de las carteras europeas de identidad digital, así como la interrupción de su uso, debe ser un derecho y una opción exclusivos de los usuarios. Los Estados miembros deben desarrollar procedimientos sencillos y seguros para que los usuarios soliciten la revocación inmediata de la validez de las carteras europeas de identidad digital, también en el caso de pérdida o robo. En caso de fallecimiento del usuario o de cese de la actividad de una persona jurídica, debe establecerse un mecanismo que permita a la autoridad responsable de liquidar la sucesión de la persona física o los bienes de la persona jurídica solicitar la revocación inmediata de las carteras europeas de identidad digital.

(35) Con el fin de promover la adopción de las carteras europeas de identidad digital y un uso más extendido de las identidades digitales, los Estados miembros no solo deben promover los beneficios de los servicios pertinentes, sino también, en cooperación con el sector privado, los investigadores y el mundo académico, desarrollar programas de formación destinados a reforzar las capacidades digitales de sus ciudadanos y residentes, en particular en lo relativo a los grupos vulnerables, como las personas con discapacidad y las personas de edad avanzada. Los Estados miembros deben sensibilizar acerca de las ventajas y los riesgos de las carteras europeas de identidad digital mediante campañas de comunicación.

(36) Con el objetivo de garantizar que el marco europeo de identidad digital esté abierto a la innovación y al desarrollo tecnológico y ofrezca garantías ante el futuro, se alienta a los Estados miembros, conjuntamente, a que establezcan entornos de pruebas para experimentar con soluciones innovadoras en un entorno controlado y seguro, en particular para mejorar la funcionalidad, la protección de los datos personales, la seguridad y la interoperabilidad de las soluciones, así como para obtener información útil de cara a futuras actualizaciones de las referencias técnicas y los requisitos legales. Este entorno debe fomentar la inclusión de las pymes, las empresas emergentes y los innovadores e investigadores individuales, así como de las partes interesadas industriales pertinentes. Dichas iniciativas deben apoyar y reforzar el cumplimiento normativo y la solidez técnica de las carteras europeas de identidad digital que se proporcionará a los ciudadanos de la Unión y los residentes en la Unión, evitando así el desarrollo de soluciones que no cumplan el Derecho de la Unión en materia de protección de datos o que estén abiertas a vulnerabilidades de seguridad.

(37) El Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo (11) refuerza la seguridad de los documentos de identidad con la introducción de características de seguridad reforzadas a más tardar en agosto de 2021. Los Estados miembros deben analizar la viabilidad de notificar estos documentos en el marco de los sistemas de identificación electrónica para ampliar la disponibilidad transfronteriza de medios de identificación electrónica.

(38) Es necesario simplificar y agilizar el proceso de notificación de los sistemas de identificación electrónica para favorecer el acceso a soluciones de autenticación e identificación cómodas, seguras, innovadoras y de confianza y, cuando proceda, alentar a los proveedores de identidades privados a que ofrezcan sistemas de identificación electrónica a las autoridades de los Estados miembros con fines de notificación, como los sistemas nacionales de identificación electrónica contemplados en el Reglamento (UE) nº 910/2014.

(39) La racionalización de los procedimientos de notificación y revisión inter pares vigentes evitará la heterogeneidad de enfoques con respecto a la evaluación de los diversos sistemas de identificación electrónica notificados y facilitará la instauración de confianza entre los Estados miembros. Los mecanismos nuevos y más sencillos están destinados a estimular la cooperación de los Estados miembros en materia de seguridad e interoperabilidad de sus sistemas de identificación electrónica notificados.

(40) Los Estados miembros deben beneficiarse de la disponibilidad de herramientas nuevas y flexibles que garanticen el cumplimiento de los requisitos del presente Reglamento y de los actos de ejecución pertinentes adoptados en virtud de este. El presente Reglamento debe permitir que los Estados miembros utilicen los informes elaborados y las evaluaciones realizadas por los organismos de evaluación de la conformidad acreditados, según lo previsto en el contexto de los esquemas de certificación que deben establecerse a escala de la Unión en virtud del Reglamento (UE) 2019/881, para respaldar sus afirmaciones sobre la conformidad de dichos esquemas o de determinadas partes de ellos con el Reglamento (UE) nº 910/2014.

(41) Los prestadores de servicios públicos utilizan los datos de identificación de la persona proporcionados por los medios de identificación electrónica en virtud del Reglamento (UE) nº 910/2014 para determinar que la identidad electrónica de los usuarios procedentes de otros Estados miembros se corresponde con los datos de identificación de la persona facilitados a dichos usuarios en el Estado miembro que lleva a cabo el proceso transfronterizo de correspondencia de la identidad. No obstante, en muchos casos, a pesar del uso del conjunto mínimo de datos facilitado por los sistemas de identificación electrónica notificados, para garantizar una correspondencia precisa de la identidad cuando los Estados miembros actúan como partes usuarias se necesita información adicional sobre el usuario y que se lleven a cabo procedimientos específicos complementarios de identificación única a escala nacional. Para mejorar la facilidad de uso de los medios de identificación electrónica, prestar un mejor servicio público en línea y aumentar la seguridad jurídica respecto a la identidad electrónica de los usuarios, el Reglamento (UE) nº 910/2014 debe establecer que los Estados miembros adopten medidas específicas en línea para garantizar la correspondencia inequívoca de la identidad cuando los usuarios pretenden acceder a servicios públicos transfronterizos en línea.

(42) Al desarrollar las carteras europeas de identidad digital es esencial tener en cuenta las necesidades de los usuarios. Deben existir casos de uso significativos y servicios en línea que utilicen las carteras europeas de identidad digital disponibles. En aras de la comodidad de los usuarios y con el fin de garantizar la disponibilidad transfronteriza de dichos servicios, es importante emprender acciones para facilitar un enfoque similar en el diseño, el desarrollo y la aplicación de los servicios en línea en todos los Estados miembros. Las directrices no vinculantes sobre cómo diseñar, desarrollar y aplicar servicios en línea que utilicen las carteras europeas de identidad digital tienen el potencial de convertirse en una herramienta útil para alcanzar ese objetivo. Dichas directrices deben elaborarse teniendo en cuenta el marco de interoperabilidad de la Unión. Los Estados miembros deben desempeñar un papel de liderazgo a la hora de adoptarlas.

(43) En consonancia con la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (12), las personas con discapacidad deben poder utilizar las carteras europeas de identidad digital, los servicios de confianza y los productos destinados a los usuarios finales empleados en la prestación de dichos servicios, en igualdad de condiciones que el resto de los usuarios.

(44) A fin de garantizar el cumplimiento efectivo del presente Reglamento, se debe establecer un mínimo para el máximo de las multas administrativas para los prestadores de servicios de confianza, tanto los cualificados como los no cualificados. Los Estados miembros deben establecer sanciones efectivas, proporcionales y disuasorias. Al determinar las sanciones, se deben tener debidamente en cuenta el tamaño de las entidades afectadas, sus modelos de negocio y la gravedad de las infracciones.

(45) Los Estados miembros deben establecer normas sobre las sanciones aplicables a las infracciones, como las prácticas directas o indirectas que den lugar a confusión entre servicios de confianza no cualificados y cualificados o al uso abusivo de la etiqueta de confianza de la UE por parte de prestadores no cualificados de servicios de confianza. La etiqueta de confianza de la UE no debe utilizarse en condiciones que, directa o indirectamente, lleven a la percepción de que los servicios de confianza no cualificados ofrecidos por esos prestadores están cualificados.

(46) El presente Reglamento no debe regular los aspectos relacionados con la celebración y validez de los contratos u otras obligaciones legales cuando existan requisitos de índole formal establecidos por el Derecho de la Unión o nacional. Por otro lado, no debe afectar a los requisitos nacionales de índole formal correspondientes a los registros públicos, en particular los registros mercantiles y de la propiedad.

(47) La prestación y utilización de servicios de confianza y las ventajas que conllevan en términos de comodidad y seguridad jurídica en el contexto de las transacciones transfronterizas, en especial cuando se utilizan servicios de confianza cualificados, está adquiriendo una importancia creciente para el comercio y la cooperación internacionales. Los socios internacionales de la Unión están creando marcos de confianza inspirados en el Reglamento (UE) nº 910/2014. Para facilitar el reconocimiento de servicios de confianza cualificados y de sus prestadores, la Comisión podrá adoptar actos de ejecución en los que se establezcan las condiciones en las que los marcos de confianza de terceros países podrían considerarse equivalentes al marco de confianza para servicios de confianza cualificados y sus prestadores previsto en el presente Reglamento. Dicho enfoque debe complementar la posibilidad del reconocimiento mutuo de los servicios de confianza y sus prestadores establecidos en la Unión y en terceros países de conformidad con el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE). Al establecer las condiciones en las que los marcos de confianza de terceros países podrían considerarse equivalentes al marco de confianza previsto con arreglo al Reglamento (UE) nº 910/2014 para los servicios de confianza cualificados y sus prestadores, debe garantizarse el cumplimiento de las disposiciones pertinentes de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (13) y del Reglamento (UE) 2016/679, así como el uso de listas de confianza por ser elementos esenciales para generar confianza.

(48) El presente Reglamento debe fomentar la elección entre carteras europeas de identidad digital y la posibilidad de cambiarlas cuando el Estado miembro haya refrendado más de una solución de carteras europeas de identidad digital en su territorio. Con el fin de evitar efectos de bloqueo en tales situaciones, cuando sea técnicamente posible, los proveedores de carteras europeas de identidad digital deben garantizar la portabilidad efectiva de los datos a petición de los usuarios de las carteras europeas de identidad digital, y no se les debe permitir que utilicen barreras contractuales, económicas o técnicas para impedir o desalentar el cambio efectivo entre diferentes carteras europeas de identidad digital.

(49) Para garantizar el correcto funcionamiento de las carteras europeas de identidad digital, los proveedores de estas necesitan una interoperabilidad efectiva y condiciones justas, razonables y no discriminatorias para que las carteras europeas de identidad digital accedan a las características y de equipo y programa informático específicas de los dispositivos móviles. Dichos componentes pueden incluir, en particular, antenas de comunicación de campo próximo y medidas de protección, como tarjetas de circuito integrado universal, medidas de protección integradas, tarjetas microSD y Bluetooth de baja energía. El acceso a estos componentes podría estar bajo el control de los operadores de redes móviles y los fabricantes de equipos. Por tanto, cuando se necesiten para ofrecer los servicios de las carteras europeas de identidad digital, los fabricantes de los equipos originales de dispositivos móviles o los prestadores de servicios de comunicación electrónica no deben rechazar el acceso a dichos componentes. Asimismo, las empresas designadas como guardianes de acceso para los prestadores de servicios básicos en la lista publicada por la Comisión en virtud del Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (14) deben seguir sujetas a las disposiciones específicas de dicho Reglamento, sobre la base de su artículo 6, apartado 7.

(50) A fin de racionalizar las obligaciones impuestas a los prestadores de servicios de confianza en materia de ciberseguridad y de permitir a dichos prestadores y sus respectivas autoridades competentes beneficiarse del marco jurídico que se establece en la Directiva (UE) 2022/2555, los servicios de confianza deben adoptar medidas técnicas y organizativas adecuadas en virtud de dicha Directiva —como las dirigidas a corregir fallos del sistema, errores humanos, actos malintencionados o fenómenos naturales—, con objeto de gestionar los riesgos para la seguridad de las redes y los sistemas de información que emplean dichos prestadores en la prestación de sus servicios, y de notificar incidentes y ciberamenazas importantes de conformidad con dicha Directiva. Con respecto a la notificación de incidentes, los prestadores de servicios de confianza deben notificar cualquier incidente que tenga un efecto considerable en la prestación de sus servicios, especialmente los causados por el robo o extravío de dispositivos, el deterioro de los cables de red o incidentes que ocurran en el contexto de la identificación de personas. Los requisitos en materia de gestión de riesgos de la ciberseguridad y las obligaciones de notificación que contempla la Directiva (UE) 2022/2555 deben considerarse complementarios a los requisitos impuestos a los prestadores de servicios de confianza con arreglo al presente Reglamento. Cuando corresponda, las autoridades competentes designadas en virtud de la Directiva (UE) 2022/2555 deben seguir aplicando las prácticas u orientaciones nacionales establecidas en relación con la aplicación de los requisitos de seguridad y notificación y con la supervisión del cumplimiento de dichos requisitos en virtud del Reglamento (UE) nº 910/2014. El presente Reglamento no afecta a la obligación de notificar las violaciones de la seguridad de los datos personales en virtud del Reglamento (UE) 2016/679.

(51) Se debe prestar la debida atención para garantizar una cooperación eficaz entre los organismos de supervisión designados en virtud del artículo 46 ter del Reglamento (UE) nº 910/2014 y las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555. Cuando dicho organismo de supervisión sea distinto de dicha autoridad competente, deben cooperar estrechamente y de manera oportuna, intercambiando la información pertinente a fin de garantizar que se realiza una supervisión eficaz y que los prestadores de servicios de confianza cumplen los requisitos establecidos en el Reglamento (UE) nº 910/2014 y en la Directiva (UE) 2022/2555. En particular, los organismos de supervisión designados en virtud del Reglamento (UE) nº 910/2014 deben estar facultados para solicitar a la autoridad competente designada o establecida en virtud de la Directiva (UE) 2022/2555 que proporcione la información pertinente necesaria para otorgar la cualificación y que emprenda las acciones de supervisión requeridas para verificar que los prestadores de servicios de confianza cumplen los requisitos pertinentes de la Directiva (UE) 2022/2555 o exigir a estos que subsanen cualquier incumplimiento.

(52) Es esencial proporcionar un marco jurídico para facilitar el reconocimiento transfronterizo entre los ordenamientos jurídicos nacionales existentes relacionados con servicios de entrega electrónica certificada. Dicho marco puede abrir, además, nuevas oportunidades de mercado que permitan a los prestadores de servicios de confianza de la Unión ofrecer nuevos servicios de entrega electrónica certificada en toda la Unión. A fin de garantizar que los datos que utilizan un servicio cualificado de entrega electrónica certificada se entreguen al destinatario correcto, los servicios cualificados de entrega electrónica certificada deben garantizar con total certeza la identificación del destinatario, mientras que en lo que respecta a la identificación del remitente es suficiente un nivel de confianza alto. Los Estados miembros deben animar a los prestadores de servicios cualificados de entrega electrónica certificada a que sus servicios sean interoperables con los servicios cualificados de entrega electrónica certificada prestados por otros prestadores cualificados de servicios de confianza a fin de transferir fácilmente los datos electrónicos registrados entre dos o más prestadores cualificados de servicios de confianza y promover prácticas justas en el mercado interior.

(53) En la mayoría de los casos, los ciudadanos de la Unión y los residentes en la Unión no pueden intercambiar información digital relacionada con su identidad, como su dirección, su edad, sus cualificaciones profesionales, su permiso de conducción y otros permisos y datos de pago, a escala transfronteriza, de forma segura y con un nivel de protección de datos alto.

(54) Debe ser posible emitir y gestionar atributos electrónicos fiables, así como contribuir a reducir la carga administrativa, de modo que se faculte a los ciudadanos de la Unión y a los residentes en la Unión para utilizar estos atributos en sus transacciones públicas y privadas. Por ejemplo, los ciudadanos de la Unión y los residentes en la Unión han de poder demostrar la titularidad de un permiso de conducción válido expedido por una autoridad de un Estado miembro, susceptible de ser verificada y admitida por las autoridades competentes de otro Estado miembro, así como utilizar sus credenciales de seguridad social o los futuros documentos digitales de viaje en un contexto transfronterizo.

(55) Todo prestador de servicios que emita atributos declarados en formato electrónico —como diplomas, permisos, certificados de nacimiento o poderes y mandatos para representar a personas físicas o jurídicas o actuar en su nombre— debe considerarse un prestador de servicios de confianza de declaraciones electrónicas de atributos. No se deben denegar los efectos jurídicos de una declaración electrónica de atributos por el mero hecho de que esta haya sido emitida en formato electrónico o porque no cumpla todos los requisitos de la declaración electrónica cualificada de atributos. Deben establecerse requisitos generales para asegurar que una declaración electrónica cualificada de atributos tenga un efecto jurídico equivalente al de las declaraciones legalmente emitidas en papel. Sin embargo, tales requisitos deben aplicarse sin perjuicio de que el Derecho de la Unión o nacional defina requisitos de índole formal adicionales específicos del sector con efectos jurídicos subyacentes, y, en particular, el reconocimiento transfronterizo de la declaración electrónica cualificada de atributos, cuando corresponda.

(56) La amplia disponibilidad y facilidad de uso de las carteras europeas de identidad digital debe fomentar su aceptación y confianza tanto por los particulares como por los prestadores de servicios privados. Por consiguiente, las partes usuarias privadas que prestan servicios, por ejemplo, en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, las telecomunicaciones o la educación deben aceptar el uso de las carteras europeas de identidad digital para la prestación de servicios en los casos en los que el Derecho de la Unión, nacional o una obligación contractual requieran una autenticación reforzada de usuario para la identificación en línea. Toda solicitud formulada por una parte usuaria de información del usuario de una cartera europea de identificación digital debe ser necesaria y proporcionada al uso previsto en un caso determinado, debe seguir el principio de minimización de datos y debe garantizar la transparencia en lo que respecta a los datos que se comparten y sus fines. Para facilitar el uso y la aceptación de las carteras europeas de identidad digital, en su implantación deben tenerse en cuenta las normas y especificaciones industriales ampliamente aceptadas.

(57) Cuando las plataformas en línea de muy gran tamaño, en el sentido del artículo 33, apartado 1, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (15) exijan a los usuarios que están autenticados a fin de acceder a servicios en línea, debe requerirse a dichas plataformas que acepten el uso de carteras europeas de identidad digital si así lo solicita voluntariamente el usuario. Los usuarios no deben tener ninguna obligación de utilizar una cartera europea de identidad digital para acceder a servicios privados y su acceso a los servicios no debe verse restringido ni obstaculizado por no utilizar una cartera europea de identidad digital. No obstante, si los usuarios así lo desean, las plataformas en línea de muy gran tamaño deben aceptarlas a tal fin, respetando en todo momento el principio de minimización de datos y el derecho de los usuarios a utilizar seudónimos libremente elegidos. La obligación de aceptar carteras europeas de identidad digital es necesaria para incrementar la protección de los usuarios frente al fraude y garantizar un nivel de protección de datos alto, dada la importancia de las plataformas en línea de muy gran tamaño y debido a su alcance, en particular por lo que respecta al número de receptores del servicio y de transacciones económicas.

(58) Deben desarrollarse códigos de conducta a escala de la Unión para contribuir a una amplia disponibilidad y facilidad de uso de los medios de identificación electrónica (como las carteras europeas de identidad digital) contemplados en el ámbito de aplicación del presente Reglamento. Los códigos de conducta deben facilitar una aceptación amplia de los medios de identificación electrónica, incluidas las carteras europeas de identidad digital, por parte de los prestadores de servicios que no se ajusten a la definición de plataformas de muy gran tamaño y que recurran a servicios de identificación electrónica de terceros para autenticar a sus usuarios.

(59) La divulgación selectiva es un concepto que faculta al propietario de los datos para revelar solo determinadas partes de un conjunto de datos más amplio, a fin de que la entidad receptora obtenga únicamente la información que sea necesaria para la prestación de un servicio solicitado por el usuario. La cartera europea de identidad digital debe permitir técnicamente la divulgación selectiva de atributos a las partes usuarias. Debe ser técnicamente posible para el usuario divulgar esos atributos de manera selectiva, incluso a partir de varias declaraciones electrónicas distintas y combinarlos y presentarlos sin incidencias a las partes usuarias. Esta característica debe convertirse en una característica básica del diseño de las carteras europeas de identidad digital, reforzando así la comodidad y la protección de los datos personales, en especial la minimización de datos.

(60) A menos que haya normas específicas del Derecho de la Unión o nacional que exijan que los usuarios se identifiquen, no debe prohibirse el acceso a los servicios utilizando un seudónimo.

(61) Los atributos proporcionados por los prestadores cualificados de servicios de confianza como parte de la declaración cualificada de atributos deben ser cotejados con fuentes auténticas, ya sea directamente por el prestador cualificado de servicios de confianza o a través de intermediarios designados reconocidos a escala nacional, de conformidad con el Derecho de la Unión o nacional, a efectos de proteger el intercambio de atributos declarados entre los prestadores de servicios de identificación o de servicios de declaración de atributos y las partes usuarias. Los Estados miembros deben establecer mecanismos adecuados a escala nacional para garantizar que los prestadores cualificados de servicios de confianza que emitan declaraciones electrónicas cualificadas de atributos puedan, sobre la base del consentimiento de la persona a la que se expide la declaración, verificar la autenticidad de los atributos que dependen de fuentes auténticas. Debe ser posible que los mecanismos adecuados incluyan el recurso a intermediarios específicos o a soluciones técnicas de acuerdo con el Derecho nacional que permitan el acceso a fuentes auténticas. Garantizar la disponibilidad de un mecanismo que permita el cotejo de atributos con fuentes auténticas tiene por objeto facilitar que los prestadores cualificados de servicios de confianza de declaraciones electrónicas cualificadas de atributos cumplan las obligaciones que les impone el Reglamento (UE) nº 910/2014. Un nuevo anexo de dicho Reglamento debe contener una lista de categorías de atributos respecto de los cuales los Estados miembros deben velar por que se adopten medidas para que los prestadores cualificados de declaraciones electrónicas de atributos puedan cotejar su autenticidad con la fuente auténtica pertinente por medios electrónicos, a petición del usuario.

(62) La identificación electrónica segura y la provisión de declaraciones de atributos deben ofrecer flexibilidad y soluciones adicionales para el sector de los servicios financieros, con objeto de posibilitar la identificación de los clientes y el intercambio de los atributos específicos necesarios para cumplir, entre otros, los requisitos de debida diligencia con los clientes en virtud de un futuro Reglamento por el que se establezca la autoridad de lucha contra el blanqueo de capitales, [añádase la referencia una vez adoptada la propuesta], los requisitos de idoneidad que emanan del Derecho sobre la protección de los inversores, o para facilitar el cumplimiento de los requisitos de autenticación reforzada del cliente para la identificación en línea a efectos de la conexión a las cuentas o la realización de transacciones en el ámbito de los servicios de pago.

(63) No se han de impugnar los efectos jurídicos de una firma electrónica por el mero hecho de que se haya emitido en formato electrónico o porque no cumpla todos los requisitos de la firma electrónica cualificada. Sin embargo, corresponde al Derecho nacional determinar el efecto jurídico de la firma electrónica excepto los requisitos establecidos en el presente Reglamento conforme a los que el efecto jurídico de una firma electrónica se considera equivalente al de una firma manuscrita. Al determinar los efectos jurídicos de las firmas electrónicas, los Estados miembros deben tener en cuenta el principio de proporcionalidad entre el valor jurídico de un documento que debe firmarse y el nivel de seguridad y coste que exige una firma electrónica. Para aumentar la accesibilidad y el uso de las firmas electrónicas, se anima a los Estados miembros a considerar el uso de firmas electrónicas avanzadas en las transacciones diarias, para las que proporcionan un nivel suficiente de seguridad y confianza.

(64) A fin de garantizar la coherencia de las prácticas de certificación en toda la Unión, la Comisión debe emitir directrices sobre la certificación y la renovación de la certificación de los dispositivos cualificados de creación de firma electrónica y de los dispositivos cualificados de creación de sello electrónico, incluidas su validez y sus limitaciones temporales. El presente Reglamento no impide que los organismos públicos o privados que hayan certificado dispositivos cualificados de creación de firma electrónica recertifiquen temporalmente dicho producto durante un corto período de certificación, sobre la base del resultado del proceso de certificación anterior, cuando dicha recertificación no pueda realizarse dentro del plazo legalmente establecido por un motivo distinto de una infracción o incidente de seguridad, sin perjuicio de la obligación de llevar a cabo una evaluación de la vulnerabilidad y de la práctica de certificación aplicable.

(65) La expedición de certificados de autenticación de sitios web tiene la finalidad de proporcionar a los usuarios una certeza, con un nivel de confianza alto, sobre la identidad de la entidad que respalda la existencia del sitio web, independientemente de la plataforma utilizada para mostrar dicha identidad. Estos certificados deben contribuir a crear confianza en la realización de operaciones mercantiles en línea, dado que los usuarios confiarían en un sitio web que haya sido autenticado. El uso tales certificados por parte de los sitios web debe ser voluntario. Para que la autenticación de sitios web llegue a ser un medio a través del cual aumentar la confianza, proporcionar al usuario una experiencia mejor y fomentar el crecimiento en el mercado interior, el presente Reglamento establece un marco de confianza que incluye obligaciones mínimas de seguridad y responsabilidad para los proveedores de certificados cualificados de autenticación de sitios web y los requisitos para la expedición de dichos certificados. Las listas de confianza nacionales deben confirmar la cualificación de los servicios de autenticación de sitios web y de sus prestadores cualificados de servicios de confianza, incluido su pleno cumplimiento de los requisitos del presente Reglamento en lo que respecta a la expedición de certificados cualificados de autenticación de sitios web. El reconocimiento de certificados cualificados de autenticación de sitios web conlleva que los proveedores de navegadores web no deben denegar la autenticidad de los certificados cualificados de autenticación de sitios web a efectos de declarar el vínculo entre el nombre de dominio del sitio web y la persona física o jurídica a la que se expide el certificado o confirmar la identidad de dicha persona. Los proveedores de navegadores web deben mostrar los datos de identificación de la persona certificados y los demás atributos declarados al usuario final de manera fácil de usar en el entorno del navegador, mediante los medios técnicos de su elección. Con este fin, los proveedores de navegadores web deben garantizar la compatibilidad e interoperabilidad con los certificados cualificados para la autenticación de sitios web expedidos en pleno cumplimiento del presente Reglamento. La obligación de reconocimiento e interoperabilidad y apoyo de los certificados cualificados para la autenticación de sitios web no afecta a la libertad de los proveedores de navegadores web para garantizar la seguridad de la web, la autenticación de dominios y el cifrado del tráfico en la web de la manera y mediante la tecnología que consideren más adecuada. Con el fin de contribuir a la seguridad en línea de los usuarios finales, los proveedores de navegadores web deben poder —en circunstancias excepcionales— adoptar medidas cautelares necesarias y proporcionadas en respuesta a preocupaciones justificadas en relación con violaciones de la seguridad o pérdida de integridad de un certificado o conjunto de certificados identificados. Cuando adopten tales medidas cautelares, los proveedores de navegadores web deben notificar, sin demora indebida, a la Comisión, al organismo nacional de supervisión, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya emitido dicho certificado o conjunto de certificados, cualquier preocupación relacionada con una violación de la seguridad o pérdida de integridad de ese tipo, así como las medidas adoptadas en relación con el único certificado o conjunto de certificados. Dichas medidas deben entenderse sin perjuicio de la obligación de los proveedores de navegadores web de reconocer los certificados cualificados de autenticación de sitios web de conformidad con las listas de confianza nacionales. Para mejorar la protección de los ciudadanos de la Unión y los residentes en la Unión y promover el uso de certificados cualificados para la autenticación de sitios web, las autoridades públicas de los Estados miembros deben estudiar la posibilidad de incorporar dichos certificados en sus sitios web. Las medidas previstas en el presente Reglamento destinadas a aumentar la coherencia entre los enfoques y prácticas divergentes de los Estados miembros en relación con los procedimientos de supervisión tienen por objeto contribuir a mejorar la confianza en la seguridad, la calidad y la disponibilidad de los certificados cualificados para la autenticación de sitios web.

(66) Muchos Estados miembros han introducido requisitos nacionales aplicables a la prestación de servicios que proporcionen un archivo electrónico seguro y fiable con el objetivo de posibilitar la conservación a largo plazo de datos documentos electrónicos y de los servicios de confianza asociados a estos. A fin de garantizar la seguridad jurídica, la confianza y la armonización en todos los Estados miembros, debe establecerse un marco jurídico para los servicios cualificados de archivo electrónico, inspirado en el marco de los demás servicios de confianza establecidos en el presente Reglamento. El marco jurídico para los servicios cualificados de archivo electrónico debe ofrecer a los prestadores de servicios de confianza y a los usuarios un conjunto de herramientas eficiente que incluya requisitos funcionales aplicables al servicio de archivo electrónico, así como efectos jurídicos claros cuando se utilice un servicio cualificado de archivo electrónico. Dichas disposiciones deben aplicarse a los datos y documentos electrónicos creados en forma digital, así como a los documentos en papel escaneados y digitalizados. Cuando sea necesario, dichas disposiciones deben permitir la reproducción de los datos y documentos electrónicos conservados en diferentes soportes o formatos con el fin de ampliar su durabilidad y legibilidad después del período de validez tecnológica, evitando al mismo tiempo la pérdida y la alteración en la medida de lo posible. Cuando los datos y documentos electrónicos presentados al servicio de archivo electrónico contengan una o varias firmas electrónicas cualificadas o sellos electrónicos cualificados, el servicio debe utilizar procedimientos y tecnologías capaces de ampliar su fiabilidad durante el período de conservación de dichos datos, posiblemente basándose en el uso de otros servicios de confianza cualificados establecidos por el presente Reglamento. Con el fin de crear pruebas de conservación cuando se utilicen firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, deben utilizarse servicios de confianza cualificados. En la medida en que los servicios de archivo electrónico no están armonizados por el presente Reglamento, los Estados miembros deben poder mantener o introducir disposiciones nacionales, de conformidad con el Derecho de la Unión, relativas a dichos servicios, tales como disposiciones específicas para los servicios integrados en una organización y únicamente utilizados para los archivos internos de dicha organización. El presente Reglamento no debe distinguir entre datos y documentos electrónicos creados en forma digital y documentos físicos que han sido digitalizados.

(67) Las actividades de los archivos nacionales y las instituciones de la memoria, en su calidad de organizaciones dedicadas a la conservación del patrimonio documental en interés público, suelen estar reguladas por el Derecho nacional y no prestan necesariamente servicios de confianza en el sentido del presente Reglamento. En la medida en que dichas instituciones no presten tales servicios de confianza, el presente Reglamento se entiende sin perjuicio de su funcionamiento.

(68) Los libros mayores electrónicos son una secuencia de registros electrónicos de datos que deben garantizar su integridad y la exactitud de su orden cronológico. Los libros mayores electrónicos deben establecer una secuencia cronológica de registros de datos. Junto con otras tecnologías, deben contribuir a encontrar soluciones para unos servicios públicos más eficientes y con capacidad transformadora, como el voto electrónico, la cooperación transfronteriza de las autoridades aduaneras o de las instituciones académicas y la inscripción de la propiedad de bienes inmuebles en registros descentralizados de la propiedad inmobiliaria. Los libros mayores electrónicos cualificados deben establecer una presunción legal sobre el orden cronológico secuencial único y exacto y la integridad de los registros de datos del libro mayor. Habida cuenta de sus particularidades, como el orden cronológico secuencial de los registros de datos, los libros mayores electrónicos deben distinguirse de otros servicios de confianza, como los sellos de tiempo electrónicos y los servicios de entrega electrónica certificada. Para garantizar la seguridad jurídica y promover la innovación, debe establecerse un marco jurídico a escala de la Unión que prevea el reconocimiento transfronterizo de servicios de confianza para el registro de los datos en libros mayores electrónicos. Esto debe impedir suficientemente copiar y vender más de una vez el mismo activo digital a diferentes partes. El proceso de creación y actualización de un libro mayor electrónico depende del tipo de libro mayor utilizado; en particular, si es centralizado o distribuido. El presente Reglamento debe garantizar la neutralidad tecnológica; es decir, no favorecer ni discriminar a ninguna tecnología utilizada para implantar el nuevo servicio de confianza para libros mayores electrónicos. Además, la Comisión debe tener en cuenta los indicadores de sostenibilidad con respecto a cualquier repercusión negativa sobre el clima u otras repercusiones negativas relacionadas con el medio ambiente y utilizar métodos adecuados, a la hora de preparar los actos de ejecución que especifiquen los requisitos aplicables a los libros mayores electrónicos cualificados.

(69) El papel de los prestadores de servicios de confianza de los libros mayores electrónicos debe ser comprobar la actividad de registro secuencial de los datos en el libro mayor. El presente Reglamento se entiende sin perjuicio de las obligaciones jurídicas que tengan los usuarios de libros mayores electrónicos con arreglo al Derecho de la Unión o nacional. Por ejemplo, los casos de uso que conlleven el tratamiento de datos personales deben cumplir el Reglamento (UE) 2016/679 y los casos de uso que se relacionen con los servicios financieros deben cumplir con el Derecho pertinente de la Unión en materia de servicios financieros.

(70) Al objeto de evitar la fragmentación del mercado interior y los obstáculos en este, derivados de unas normas y unas restricciones técnicas divergentes, y de garantizar un proceso coordinado para impedir que se vea afectada la aplicación del futuro marco europeo de identidad digital, se necesita un proceso de cooperación estrecha y estructurada entre la Comisión, los Estados miembros, la sociedad civil, el mundo académico y el sector privado. Para lograr ese objetivo, los Estados miembros y la Comisión deben cooperar dentro del marco establecido en la Recomendación (UE) 2021/946 (16) de la Comisión para determinar un conjunto de instrumentos común de la Unión para el marco para una identidad digital europea. En este contexto, los Estados miembros deben ponerse de acuerdo sobre una arquitectura técnica y un marco de referencia detallados, un conjunto de normas y referencias técnicas comunes —incluidas las normas reconocidas existentes— y un conjunto de directrices y descripciones de las mejores prácticas que aborden, como mínimo, todas las funcionalidades y la interoperabilidad de las carteras europeas de identidad digital (incluidas las firmas electrónicas) y de los prestadores cualificados de servicios de confianza para la declaración electrónica de atributos, según lo dispuesto en el presente Reglamento. En este contexto, los Estados miembros deben alcanzar asimismo un acuerdo sobre los elementos comunes del modelo de negocio y la estructura de las tasas de las carteras europeas de identidad digital para facilitar su adopción, en particular por parte de las pequeñas y medianas empresas, en un contexto transfronterizo. El contenido del conjunto de herramientas debe reflejar los resultados del debate y del proceso de adopción del marco europeo de identidad digital, y evolucionar de forma paralela a dichos resultados.

(71) El presente Reglamento establece un nivel armonizado de calidad, fiabilidad y seguridad de los servicios de confianza cualificados, independientemente del lugar en el que se lleven a cabo las operaciones. Por lo tanto, un prestador cualificado de servicios de confianza debe estar autorizado a externalizar sus operaciones relacionadas con la prestación de un servicio de confianza cualificado en un tercer país, siempre que ese tercer país ofrezca garantías adecuadas de que las actividades de supervisión y las auditorías puedan ejecutarse como si estas se llevaran a cabo en la Unión. Cuando no pueda garantizarse plenamente el cumplimiento del presente Reglamento, los organismos de supervisión deben poder adoptar medidas proporcionadas y justificadas, incluida la retirada de la cualificación del servicio de confianza prestado.

(72) Para ofrecer seguridad jurídica en lo que respecta a la validez de las firmas electrónicas avanzadas basadas en certificados cualificados, es esencial que se especifique la evaluación por la parte usuaria que lleva a cabo la validación de dicha firma electrónica avanzada basada en certificados cualificados.

(73) Los prestadores de servicios de confianza deben utilizar métodos criptográficos que reflejen las mejores prácticas actuales y la ejecución fiable de los algoritmos a fin de garantizar la seguridad y fiabilidad de sus servicios de confianza.

(74) El presente Reglamento establece la obligación de que los prestadores cualificados de servicios de confianza verifiquen la identidad de una persona física o jurídica a la que se expida el certificado cualificado o la declaración electrónica cualificada de atributos conforme a diversos métodos armonizados en toda la Unión. Para garantizar que los certificados cualificados y las declaraciones electrónicas cualificadas de atributos se expidan a la persona a la que pertenecen y que atestigüen el conjunto de datos correcto y único que representa la identidad de dicha persona, los prestadores cualificados de servicios de confianza que expidan certificados cualificados o declaraciones electrónicas cualificadas de atributos deben, en el momento de la expedición de dichos certificados y declaraciones, garantizar con total certeza la identificación de dicha persona. Asimismo, además de la verificación obligatoria de la identidad de la persona, si procede para la expedición de los certificados cualificados y al expedir una declaración electrónica cualificada de atributos, los prestadores cualificados de servicios de confianza deben garantizar con total certeza la corrección y la exactitud de los atributos declarados de la persona a la que se expide el certificado cualificado o la declaración electrónica cualificada de atributos. Esas obligaciones de resultado y total certeza a la hora de verificar los datos declarados deben respaldarse a través de medios adecuados, en particular utilizando uno de los métodos concretos previstos en el presente Reglamento o, cuando sea necesario, una combinación de estos. Debe ser posible combinar dichos métodos a fin de proporcionar una base adecuada para la verificación de la identidad de la persona a la que se expide el certificado cualificado o una declaración electrónica cualificada de atributos. Dicha combinación debe poder incluir el recurso a medios de identificación electrónica que cumplan los requisitos del nivel de seguridad sustancial en combinación con otros medios de verificación de la identidad. Dicha identificación electrónica permitiría el cumplimiento de los requisitos armonizados establecidos en el presente Reglamento en lo que respecta al nivel de seguridad alto como parte de procedimientos a distancia armonizados adicionales que garanticen la identificación con un nivel de confianza alto. Dichos métodos deben incluir la posibilidad de que el prestador cualificado de servicios de confianza que expida una declaración electrónica cualificada de atributos coteje los atributos que deben declararse por medios electrónicos a petición del usuario, de conformidad con el Derecho de la Unión o nacional, también con fuentes auténticas.

(75) Para mantener el presente Reglamento en consonancia con la evolución mundial y seguir las mejores prácticas en el mercado interior, los actos delegados y de ejecución adoptados por la Comisión deben revisarse y, en caso necesario, actualizarse periódicamente. La evaluación de la necesidad de dichas actualizaciones debe tener en cuenta las nuevas tecnologías, prácticas, normas o especificaciones técnicas.

(76) Dado que los objetivos del presente Reglamento —a saber, el desarrollo del marco europeo de identidad digital a escala de la UE y de un marco de servicios de confianza— no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a sus dimensiones y efectos, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(77) Se ha consultado al Supervisor Europeo de Protección de Datos de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725.

(78) Por lo tanto, procede modificar el Reglamento (UE) nº 910/2014 en consecuencia.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1. Modificaciones al Reglamento (UE) nº 910/2014

El Reglamento (UE) nº 910/2014 se modifica como sigue:

1) El artículo 1 se sustituye por el texto siguiente:

«Artículo 1.Objeto

El presente Reglamento tiene por objeto garantizar el correcto funcionamiento del mercado interior y la existencia de un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza utilizados en toda la Unión, a fin de permitir y facilitar que las personas físicas y jurídicas ejerzan el derecho a participar en la sociedad digital de forma segura y a acceder a los servicios públicos y privados en línea en toda la Unión. A tales efectos, el presente Reglamento:

a) establece las condiciones en las cuales los Estados miembros reconocerán los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro y en las que proporcionarán y reconocerán las carteras europeas de identidad digital;

b) establece normas para los servicios de confianza, en particular para las transacciones electrónicas;

c) establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada, los servicios certificados para la autenticación de sitios web, el archivo electrónico, la declaración electrónica de atributos, los dispositivos de creación de firmas electrónicas y de sellos electrónicos, y los libros mayores electrónicos.».

2) El artículo 2 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1.   El presente Reglamento se aplica a los sistemas de identificación electrónica notificados por los Estados miembros, a las carteras europeas de identidad digital proporcionadas por los Estados miembros y a los prestadores de servicios de confianza establecidos en la Unión.»;

b) el apartado 3 se sustituye por el texto siguiente:

«3.   El presente Reglamento no afecta al Derecho de la Unión o nacional relacionado con la celebración y validez de los contratos, otras obligaciones jurídicas o de procedimiento de índole formal o requisitos sectoriales de índole formal.

4.   El presente Reglamento se entiende sin perjuicio del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (*1).

3) El artículo 3 se modifica como sigue:

a) los puntos 1 a 5 se sustituyen por el texto siguiente:

«1) “identificación electrónica”, proceso consistente en utilizar los datos de identificación de la persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a otra persona física o a una persona jurídica;

2) “medios de identificación electrónica”, unidad material yo inmaterial que contiene los datos de identificación de la persona y que se utiliza para la autenticación en servicios en línea o, cuando proceda, en servicios fuera de línea;

3) “datos de identificación de la persona”, conjunto de datos que se emite de conformidad con el Derecho de la Unión o nacional y permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a otra persona física o a una persona jurídica;

4) “sistema de identificación electrónica”, régimen para la identificación electrónica en virtud del cual se expiden medios de identificación electrónica a personas físicas o jurídicas o a personas físicas que representan a otras personas físicas o personas jurídicas;

5) “autenticación”, proceso electrónico que permite la confirmación de la identificación electrónica de una persona física o jurídica, o la confirmación del origen y la integridad de datos en formato electrónico;»;

b) se inserta el punto siguiente:

«5 bis)

“usuario”, persona física o jurídica, o persona física que representa a otra persona física o a una persona jurídica, que utiliza servicios de confianza o medios de identificación electrónica prestados de conformidad con el presente Reglamento;»;

c) el punto 6 se sustituye por el texto siguiente:

«6) “parte usuaria”, persona física o jurídica que confía en la identificación electrónica, las carteras europeas de identidad digital u otros medios de identificación electrónica, o en un servicio de confianza;»;

d) el punto 16 se sustituye por el texto siguiente:

«16) “servicio de confianza”, servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en cualquiera de las actividades siguientes:

a) la expedición de certificados de firma electrónica, certificados de sello electrónico, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza;

b) la validación de certificados de firma electrónica, certificados de sello electrónico, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza;

c) la creación de firmas electrónicas o sellos electrónicos;

d) la validación de firmas electrónicas o sellos electrónicos;

e) la conservación de firmas electrónicas, sellos electrónicos, certificados de firma electrónica o certificados de sello electrónico;

f) la gestión de dispositivos de creación de firma electrónica a distancia o dispositivos de creación de sello electrónico a distancia;

g) la expedición de declaraciones electrónicas de atributos;

h) la validación de declaraciones electrónicas de atributos;

i) la creación de sellos de tiempo electrónicos;

j) la validación de sellos de tiempo electrónicos;

k) la prestación de servicios de entrega electrónica certificada;

l) la validación de los datos transmitidos a través de servicios de entrega electrónica certificada y las pruebas correspondientes;

m) el archivo electrónico de datos y documentos electrónicos;

n) la actividad de registro de datos electrónicos en un libro mayor electrónico.»;

e) el punto 18 se sustituye por el texto siguiente:

«18) “organismo de evaluación de la conformidad”, organismo de evaluación de la conformidad definido en el artículo 2, punto 13, del Reglamento (CE) nº 765/2008, cuya competencia para realizar una evaluación de la conformidad de un prestador cualificado de servicios de confianza y de los servicios de confianza cualificados que este presta, o cuya competencia para certificar carteras europeas de identidad digital o medios de identificación electrónica, esté acreditada en virtud de dicho Reglamento;»;

f) el punto 21 se sustituye por el texto siguiente:

«21) “producto”, equipo o programa informático o sus componentes correspondientes, destinado a ser utilizado para la prestación de servicios de identificación electrónica y servicios de confianza;»;

g) se insertan los puntos siguientes:

«23 bis) “dispositivo cualificado de creación de firma electrónica a distancia”, dispositivo cualificado de creación de firmas electrónicas que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 29 bis, en nombre de un firmante;

23 ter) “dispositivo cualificado de creación de sello electrónico a distancia”, dispositivo cualificado de creación de sellos electrónicos que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 39 bis, en nombre de un creador de sellos;»;

h) el punto 38 se sustituyen por el texto siguiente:

«38) “certificado de autenticación de sitio web”, declaración electrónica que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a quien se ha expedido el certificado;»;

i) el punto 41 se sustituye por el texto siguiente:

«41) “validación”, proceso consistente en verificar y confirmar que los datos en formato electrónico son válidos de conformidad con el presente Reglamento;»;

j) se añaden los puntos siguientes:

«42) “cartera europea de identidad digital”, medio de identificación electrónica que permite al usuario almacenar, gestionar y validar de forma segura datos de identificación de la persona y declaraciones electrónicas de atributos con el fin de proporcionarlos a las partes usuarias y a otros usuarios de carteras europeas de identidad digital, así como firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados;

43) “atributo”, característica, cualidad, derecho o permiso de una persona física o jurídica o de un objeto;

44) “declaración electrónica de atributos”, declaración en formato electrónico que permite la autenticación de atributos;

45) “declaración electrónica cualificada de atributos”, declaración electrónica de atributos expedida por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo V;

46) “declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este”, declaración electrónica de atributos expedida por un organismo del sector público que sea responsable de una fuente auténtica o por un organismo del sector público que sea designado por el Estado miembro para expedir dichas declaraciones de atributos en nombre de los organismos del sector público responsables de las fuentes auténticas de conformidad con el artículo 45 septies y con el anexo VII;

47) “fuente auténtica”, repositorio o sistema, mantenido bajo la responsabilidad de un organismo del sector público o de una entidad privada, que contiene y proporciona atributos acerca de una persona física o jurídica, o de un objeto, y que se considera una fuente principal de dicha información, o que está reconocido como auténtico de conformidad con el Derecho de la Unión o nacional, incluidas las prácticas administrativas;

48) “archivo electrónico”, servicio que garantiza la recepción, el almacenamiento, la recuperación y la eliminación de datos electrónicos y documentos electrónicos para asegurar su durabilidad y legibilidad, así como para preservar su integridad, confidencialidad y prueba de origen durante todo el período de conservación;

49) “servicio cualificado de archivo electrónico”, servicio de archivo electrónico prestado por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 45 undecies;

50) “etiqueta de confianza de la UE para la cartera de identidad digital”, indicación verificable, sencilla y reconocible formulada de manera clara, de que la cartera europea de identidad digital de que se trate se ha proporcionado de conformidad con el presente Reglamento;

51) “autenticación reforzada de usuario”, autenticación basada en la utilización de al menos dos factores de identificación de diferentes categorías, ya sea conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) o inherencia (algo que es el usuario), que son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás—, y concebida de manera que se proteja la confidencialidad de los datos de autenticación;

52) “libro mayor electrónico”, secuencia de registros electrónicos de datos que garantiza la integridad de dichos registros y la exactitud de su orden cronológico;

53) “libro mayor electrónico cualificado”, libro mayor electrónico proporcionado por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 45 terdecies;

54) “datos personales”, toda información en el sentido del artículo 4, punto 1, del Reglamento (UE) 2016/679;

55) “correspondencia de la identidad”, proceso por el cual se establece una correspondencia o vínculo entre los datos o medios de identificación electrónica y una cuenta existente perteneciente a esa misma persona;

56) “registro de datos”, datos electrónicos registrados con metadatos relacionados que respaldan el tratamiento de los datos;

57) “modo fuera de línea”, en lo que respecta al uso de las carteras europeas de identidad digital, interacción entre un usuario y un tercero que tiene lugar en una ubicación física utilizando tecnologías de proximidad inmediata, sin necesidad de que la cartera europea de identidad digital acceda a sistemas a distancia a través de redes de comunicaciones electrónicas a efectos de la interacción.».

4) El artículo 5 se sustituye por el texto siguiente:

«Artículo 5. Seudónimos en transacciones electrónicas

Sin perjuicio de las normas específicas del Derecho de la Unión o nacional que exijan a los usuarios identificarse o de los efectos jurídicos que el Derecho nacional contemple para los seudónimos, no se prohibirá la utilización de seudónimos escogidos por los usuarios.».

5) En el capítulo II, se inserta la sección siguiente:

«SECCIÓN 1. CARTERA EUROPEA DE IDENTIDAD DIGITAL

Artículo 5 bis. Carteras europeas de identidad digital

1.   A los efectos de garantizar que todas las personas físicas y jurídicas dispongan de un acceso transfronterizo seguro, de confianza y sin incidencias a servicios públicos y privados en la Unión, manteniendo al mismo tiempo el pleno control sobre sus datos, cada Estado miembro proporcionará al menos una cartera europea de identidad digital en los veinticuatro meses siguientes a la entrada en vigor de los actos de ejecución a que se refieren el apartado 23 del presente artículo y el artículo 5 quater, apartado 6.

2.   Las carteras europeas de identidad digital se proporcionarán de una o varias de las maneras siguientes:

a) directamente por un Estado miembro;

b) con arreglo a un mandato de un Estado miembro;

c) de manera independiente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.

3.   El código fuente de los componentes de programas informáticos de las carteras europeas de identidad digital tendrá licencia de código abierto. Los Estados miembros podrán disponer que, por razones debidamente justificadas, no se divulgue el código fuente de componentes específicos distintos de los instalados en los dispositivos de los usuarios.

4.   Las carteras europeas de identidad digital permitirán al usuario, de manera intuitiva, transparente y rastreable por el usuario:

a) solicitar, obtener, seleccionar, combinar, almacenar, eliminar, compartir y presentar de forma segura, bajo el control exclusivo del usuario, datos de identificación de la persona y, cuando proceda, en combinación con declaraciones electrónicas de atributos, autenticarse ante partes usuarias en línea y, en su caso, en modo fuera de línea, con el fin de acceder a servicios públicos y privados, velando al mismo tiempo por que sea posible divulgar los datos selectivamente;

b) generar seudónimos y almacenarlos cifrados y localmente en la cartera europea de identidad digital;

c) autenticar de forma segura la cartera europea de identidad digital de otra persona, así como recibir y compartir datos de identificación de la persona y declaraciones electrónicas de atributos de manera segura entre las dos carteras europeas de identidad digital;

d) acceder a un registro de todas las transacciones realizadas a través de la cartera europea de identidad digital mediante un panel común que permita al usuario:

i) ver una lista actualizada de las partes usuarias con las que ha establecido una conexión y, en su caso, todos los datos intercambiados,

ii) solicitar fácilmente a una parte usuaria que suprima los datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679,

iii) notificar fácilmente una parte usuaria a la autoridad nacional de protección de datos en los casos en los que se reciba una solicitud de datos presuntamente ilícita o sospechosa;

e) firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados;

f) descargar, en la medida en que sea técnicamente viable, los datos, la declaración electrónica de atributos y las configuraciones del usuario;

g) ejercer los derechos del usuario a la portabilidad de los datos.

5.   En particular, las carteras europeas de identidad digital:

a) admitirán protocolos e interfaces comunes:

i) para expedir datos de identificación de la persona, declaraciones electrónicas cualificadas y no cualificadas de atributos o certificados cualificados y no cualificados para la cartera europea de identidad digital,

ii)para que las partes usuarias soliciten y validen datos de identificación de la persona y declaraciones electrónicas de atributos,

iii) para compartir con las partes usuarias, y presentarles, datos de identificación de la persona, una declaración electrónica de atributos o datos conexos divulgados selectivamente, en línea y, cuando proceda, en modo fuera de línea,

iv) para que el usuario permita la interacción con la cartera europea de identidad digital y muestre una etiqueta de confianza de la UE para la cartera de identidad digital,

v) para incorporar al usuario de manera segura utilizando un medio de identificación electrónica de conformidad con el artículo 5 bis, apartado 24,

vi) para permitir la interacción entre las carteras europeas de identidad digital de dos personas a fin de recibir, validar y compartir datos de identificación de la persona y declaraciones electrónicas de atributos de manera segura,

vii) para autenticar e identificar a partes usuarias aplicando mecanismos de autenticación de conformidad con el artículo 5 ter,

viii) para que las partes usuarias verifiquen la autenticidad y la validez de las carteras europeas de identidad digital,

ix) para solicitar a una parte usuaria que suprima los datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679,

x) para denunciar a una parte usuaria ante la autoridad nacional competente de protección de datos cuando se reciba una solicitud de datos presuntamente ilícita o sospechosa,

xi) para crear firmas electrónicas o sellos electrónicos cualificados mediante dispositivos cualificados de creación de firma electrónica o sello electrónico;

b) no facilitarán información alguna a los prestadores de servicios de confianza de declaraciones electrónicas de atributos sobre el uso de dichas declaraciones electrónicas;

c) garantizarán que la identidad de las partes usuarias pueda autenticarse e identificarse mediante la aplicación de mecanismos de autenticación de conformidad con el artículo 5 ter;

d) cumplirán los requisitos establecidos en el artículo 8 en lo referente al nivel de seguridad alto, en particular en lo que sea aplicable a los requisitos de acreditación y verificación de la identidad, así como a la gestión y autenticación de medios de identificación electrónica;

e) en el caso de las declaraciones electrónicas de atributos con políticas de divulgación incorporadas, aplicarán el mecanismo adecuado para informar al usuario de que la parte usuaria o el usuario de la cartera europea de identidad digital solicitante de la declaración electrónica de atributos tiene permiso para acceder a dicha declaración;

f) garantizarán que los datos de identificación personal disponibles a través del sistema de identificación electrónica en virtud del cual se proporciona la cartera europea de identidad digital correspondan de forma única, a la persona física, la persona jurídica o la persona física que representa a la persona física o jurídica y estén asociados con esa cartera europea de identidad digital;

g)  ofrecerán a todas las personas físicas la posibilidad de firmar, por defecto y de forma gratuita, mediante firmas electrónicas cualificadas.

No obstante lo dispuesto en el párrafo primero, letra g), los Estados miembros podrán establecer medidas proporcionadas para garantizar que el uso gratuito de las firmas electrónicas cualificadas por parte de las personas físicas se limite a fines no profesionales.

6.   Los Estados miembros informarán a los usuarios, sin demora, de toda violación de la seguridad que pueda haber comprometido total o parcialmente sus carteras europeas de identidad digital o su contenido, en particular si sus carteras europeas de identidad digital han sido suspendidas o revocadas en virtud del artículo 5 sexies;

7.   Sin perjuicio de lo dispuesto en el artículo 5 septies, los Estados miembros podrán contemplar, de conformidad con el Derecho nacional, funcionalidades adicionales de las carteras europeas de identidad digital, como la interoperabilidad con los medios nacionales de identificación electrónica existentes. Dichas funcionalidades adicionales cumplirán lo dispuesto en el presente artículo.

8.   Los Estados miembros proporcionarán mecanismos de validación gratuitos a fin de:

a) garantizar que se pueda verificar la autenticidad y validez de las carteras europeas de identidad digital;

b) permitir que los usuarios verifiquen la autenticidad y validez de la identidad de las partes usuarias registradas de conformidad con el artículo 5 ter.

9.   Los Estados miembros velarán por que la validez de la cartera europea de identidad digital pueda revocarse en las siguientes circunstancias:

a) a petición expresa del usuario;

b) cuando la seguridad de la cartera europea de identidad digital se haya visto comprometida;

c) en caso de fallecimiento del usuario o cese de actividad de la persona jurídica.

10.   Los proveedores de carteras europeas de identidad digital garantizarán que los usuarios puedan solicitar fácilmente apoyo técnico y notificar problemas técnicos o cualquier otro incidente que afecte negativamente al uso de las carteras europeas de identidad digital.

11.   Las carteras europeas de identidad digital se proporcionarán en el marco de un sistema de identificación electrónica con nivel de seguridad alto.

12.   Las carteras europeas de identidad digital respetarán el principio de seguridad desde el diseño.

13.   La expedición, el uso y la revocación de las carteras europeas de identidad digital serán gratuitos para todas las personas físicas.

14.   Los usuarios tendrán pleno control sobre el uso de su cartera europea de identidad digital y sobre los datos que consten en ella. El proveedor de la cartera europea de identidad digital no recopilará información sobre el uso de la cartera europea de identidad digital que no sea necesaria para la prestación de los servicios de esta, ni combinará datos de identificación de la persona u otros datos personales almacenados o relativos al uso de la cartera europea de identidad digital con datos personales obtenidos a través de otros servicios ofrecidos por dicho proveedor o a través de servicios de terceros que no sean necesarios para la prestación de los servicios de la cartera europea de identidad digital, a menos que el usuario haya solicitado expresamente lo contrario. Se establecerá una separación lógica entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos que obren en poder del proveedor de las carteras europeas de identidad digital. Si la cartera europea de identidad digital ha sido proporcionada por entidades privadas de conformidad con lo dispuesto en el apartado 2, letras b) y c), se aplicarán mutatis mutandis las disposiciones del artículo 45 nonies, apartado 3.

15.   La utilización de las carteras europeas de identidad digital será voluntaria. El acceso a los servicios públicos y privados, el acceso al mercado laboral y la libertad de empresa no se restringirán de ninguna manera ni perjudicarán a las personas físicas o jurídicas que no utilicen las carteras europeas de identidad digital. Seguirá siendo posible acceder a los servicios públicos y privados mediante los otros medios de identificación y autenticación existentes.

16.   El marco técnico de la cartera europea de identidad digital:

a) no permitirá que, tras la expedición de la declaración de atributos, los prestadores de declaraciones electrónicas de atributos o cualquier otra parte obtengan datos que permitan que se rastree, vincule o correlacione, u obtener de cualquier otra manera, conocimiento de las transacciones o del comportamiento del usuario a menos que este lo autorice explícitamente;

b) permitirá tecnologías de protección de la privacidad que garanticen la no vinculación, cuando la declaración de atributos no requiera la identificación del usuario.

17.   Todo tratamiento de datos personales realizado por los Estados miembros o en su nombre por organismos o partes responsables de la provisión de carteras europeas de identidad digital como medio de identificación electrónica se llevará a cabo de conformidad con medidas adecuadas y efectivas de protección de datos. Se demostrará que dicho tratamiento cumple el Reglamento (UE) 2016/679. Los Estados miembros podrán introducir disposiciones nacionales para especificar en más detalle la aplicación de dichas medidas.

18.   Sin dilación indebida, los Estados miembros comunicarán a la Comisión información sobre:

a) el organismo responsable de establecer y mantener la lista de partes usuarias registradas que utilizan las carteras europeas de identidad digital de conformidad con el artículo 5 ter, apartado 5, y la localización de dicha lista;

b) los organismos responsables de la provisión de carteras europeas de identidad digital de conformidad con el artículo 5 bis, apartado 1;

c) los organismos responsables de garantizar que los datos de identificación de la persona estén asociados a la cartera europea de identidad digital de conformidad con el artículo 5 bis, apartado 5, letra f);

d) el mecanismo que permite validar los datos de identificación de la persona a que se refiere el artículo 5 bis, apartado 5, letra f), y la identidad de las partes usuarias;

e) el mecanismo para validar la autenticidad y la validez de las carteras europeas de identidad digital.

La Comisión pondrá a disposición del público la información notificada en virtud del párrafo primero, a través de un canal seguro, la información a que se refiere el presente apartado en una forma firmada o sellada electrónicamente que sea apropiada para el tratamiento automático.

19.   Sin perjuicio del apartado 22 del presente artículo, el artículo 11 se aplicará mutatis mutandis a la cartera europea de identidad digital.

20.   El artículo 24, apartado 2, letras b) y d) a h), se aplicará mutatis mutandis a los proveedores de carteras europeas de identidad digital.

21.   Se garantizará la accesibilidad de las carteras europeas de identidad digital para las personas con discapacidad, en igualdad de condiciones que el resto de los usuarios, conforme a los requisitos de accesibilidad previstos en la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (*2).

22.   A efectos de la provisión de las carteras europeas de identidad digital, ni estas ni los sistemas de identificación electrónica con arreglo a los cuales se proporcionan estarán sujetos a los requisitos establecidos en los artículos 7, 9, 10, 12 y 12 bis.

23.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los requisitos a que se refieren los apartados 4, 5, 8 y 18 del presente artículo sobre la implantación de las carteras europeas de identidad digital. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

24.   La Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, cuando proceda, especificaciones y procedimientos, con el fin de facilitar la incorporación de los usuarios a la cartera europea de identidad digital utilizando bien medios de identificación electrónica conformes con el nivel de seguridad alto, bien medios de identificación electrónica conformes con el nivel de seguridad sustancial junto con procedimientos adicionales de incorporación a distancia, de modo que, en conjunto, cumplan los requisitos del nivel de seguridad alto. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 ter. Partes usuarias de las carteras europeas de identidad digital

1.   Cuando una parte usuaria tenga previsto utilizar carteras europeas de identidad digital para prestar servicios públicos o privados mediante una interacción digital, se registrará en el Estado miembro en el que esté establecida.

2.   El proceso de registro tendrá un coste razonable y proporcional al riesgo. La parte usuaria proporcionará, como mínimo:

a) la información necesaria para autenticarse en las carteras europeas de identidad digital, lo que como mínimo incluye:

i) el Estado miembro en el que la parte usuaria tiene su sede, y

ii) el nombre de la parte usuaria y, en su caso, su número de registro tal como figura en un registro oficial, junto con los datos de identificación de dicho registro oficial;

b) los datos de contacto de la parte usuaria;

c) el uso previsto de las carteras europeas de identidad digital, incluida una mención de los datos que la parte usuaria solicitará a los usuarios.

3.   Las partes usuarias no solicitarán a los usuarios datos distintos de los mencionados en virtud del apartado 2, letra c).

4.   Los apartados 1 y 2 se entenderán sin perjuicio del Derecho de la Unión o nacional aplicable a la prestación de servicios específicos.

5.   Los Estados miembros publicarán la información a que se refiere el apartado 2 en línea en una forma firmada o sellada electrónicamente que sea apropiada para el tratamiento automático.

6.   Las partes usuarias registradas de conformidad con el presente artículo informarán sin demora a los Estados miembros sobre cualquier cambio en la información facilitada en el registro en virtud del apartado 2.

7.   Los Estados miembros facilitarán un mecanismo común para permitir la identificación y autenticación de las partes usuarias, tal como prevé el artículo 5 bis, apartado 5, letra c).

8.   Cuando las partes usuarias tengan previsto utilizar carteras europeas de identidad digital, se identificarán respecto al usuario.

9.   Las partes usuarias serán responsables de llevar a cabo el procedimiento de autenticación y validación de los datos de identificación personal y de las declaraciones electrónicas de atributos solicitados por las carteras europeas de identidad digital. Las partes usuarias no rechazarán el uso de seudónimos, cuando el Derecho de la Unión o nacional no exija la identificación del usuario.

10.   Los intermediarios que actúen en nombre de las partes usuarias se considerarán partes usuarias y no almacenarán datos sobre el contenido de la transacción.

11.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá especificaciones técnicas y procedimientos para los requisitos mencionados en los apartados 2, 5 y 6 a 9 del presente artículo, mediante actos de ejecución relativos a la implantación de las carteras europeas de identidad digital, tal como prevé el artículo 5 bis, apartado 23. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 quater. Certificación de las carteras europeas de identidad digital

1.   La conformidad de las carteras europeas de identidad digital y el sistema de identificación electrónica con arreglo al cual se proporcionan los requisitos establecidos en el artículo 5 bis, apartados 4, 5 y 8, el requisito de separación lógica establecido en el artículo 5 bis, apartado 14, y, cuando proceda, con las normas y especificaciones técnicas previstas en el artículo 5 bis, apartado 24, será certificada por organismos de evaluación de la conformidad designados por los Estados miembros.

2.   La certificación de conformidad de las carteras europeas de identidad digital con los requisitos pertinentes de ciberseguridad previstos en el apartado 1 del presente artículo, o partes de ellos, que sean pertinentes para la ciberseguridad, será realizada de conformidad con los esquemas de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (*3) e indicados en los actos de ejecución mencionados en el apartado 6 del presente artículo.

3.   Para los requisitos a que se refiere el apartado 1 del presente artículo que no sean pertinentes para la ciberseguridad y para los requisitos a que se refiere el apartado 1 del presente artículo que sean pertinentes para la ciberseguridad, en la medida en que los esquemas de certificación de la ciberseguridad a que se refiere el apartado 2 del presente artículo no incluyan los requisitos de ciberseguridad pertinentes, o solo lo hagan parcialmente, los Estados miembros establecerán también para dichos requisitos esquemas nacionales de certificación con arreglo a los requisitos establecidos en los actos de ejecución a los que se refiere el apartado 6 del presente artículo. Los Estados miembros transmitirán sus proyectos de esquemas nacionales de certificación al Grupo de Cooperación sobre la Identidad Digital Europea establecido en virtud del artículo 46 sexies, apartado 1, (en lo sucesivo, “Grupo de Cooperación”). El Grupo de Cooperación podrá emitir dictámenes y recomendaciones.

4.   La certificación en virtud del apartado 1 tendrá una validez máxima de cinco años, siempre que se realice una evaluación de la vulnerabilidad cada dos años. Cuando se detecte una vulnerabilidad y no se subsane oportunamente, se cancelará la certificación.

5.   El cumplimiento de los requisitos establecidos en el artículo 5 bis del presente Reglamento para las operaciones de tratamiento de datos personales podrá ser certificado con arreglo al Reglamento (UE) 2016/679.

6.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la certificación de las carteras europeas de identidad digital a que se refieren los apartados 1, 2 y 3 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

7.   Los Estados miembros comunicarán a la Comisión los nombres y direcciones de los organismos de evaluación de la conformidad a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de todos los Estados miembros.

8.   La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 47 por los que se establezcan los criterios específicos que deben satisfacer los organismos de evaluación de la conformidad designados a que se refiere el apartado 1 del presente artículo.

Artículo 5 quinquies. Publicación de una lista de carteras europeas de identidad digital certificadas

1.   Los Estados miembros informarán a la Comisión y al Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, sin dilación indebida, de las carteras europeas de identidad digital que se hayan proporcionado de conformidad con el artículo 5 bis y que hayan sido certificadas por los organismos de evaluación de la conformidad a que se refiere el artículo 5 quater, apartado 1. Informarán a la Comisión y al Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, sin dilación indebida cuando se cancele alguna certificación y expondrán los motivos de la cancelación.

2.   Sin perjuicio de lo dispuesto en el artículo 5 bis, apartado 18, la información facilitada por los Estados miembros mencionada en el apartado 1 del presente artículo incluirá, como mínimo:

a) el certificado y el informe de evaluación de la certificación de la cartera europea de identidad digital certificada;

b) una descripción del sistema de identificación electrónica en virtud del cual se proporciona la cartera europea de identidad digital;

c) el régimen de supervisión aplicable y la información sobre el régimen de responsabilidades respecto de la parte que proporciona la cartera europea de identidad digital;

d) la autoridad o autoridades responsables del sistema de identificación electrónica;

e) disposiciones relativas a la suspensión o revocación del sistema de identificación electrónica de la autenticación o de las partes afectadas.

3.   A tenor de la información recibida en virtud del apartado 1, la Comisión establecerá, publicará en el Diario Oficial de la Unión Europea y mantendrá en un formato legible por máquina una lista de carteras europeas de identidad digital certificadas.

4.   Todo Estado miembro podrá presentar a la Comisión una solicitud de suprimir de la lista a la que se refiere el apartado 3 una cartera europea de identidad digital y el sistema de identificación electrónica en virtud del cual se proporciona.

5.   Cuando se produzcan cambios en la información facilitada en virtud del apartado 1, el Estado miembro facilitará a la Comisión información actualizada.

6.   La Comisión mantendrá actualizada la lista a que se refiere el apartado 3 mediante la publicación en el Diario Oficial de la Unión Europea de las modificaciones correspondientes de la lista en el plazo de un mes a partir de la recepción de una solicitud con arreglo al apartado 4 o de información actualizada con arreglo al apartado 5.

7.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá los formatos y procedimientos aplicables a efectos de los apartados 1, 4 y 5 del presente artículo, mediante actos de ejecución relativos a la implantación de las carteras europeas de identidad digital, tal como prevé el artículo 5 bis, apartado 23. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 sexies. Violación de la seguridad de las carteras europeas de identidad digital

1.   Cuando se viole o quede parcialmente comprometida la seguridad de las carteras europeas de identidad digital proporcionadas en virtud del artículo 5 bis, de los mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, o del sistema de identificación electrónica en virtud del cual se proporcionan las carteras europeas de identidad digital de un modo que afecte a su fiabilidad o a la de otras carteras europeas de identidad digital, el Estado miembro que haya proporcionado las carteras europeas de identidad digital suspenderá, sin dilación indebida, la provisión y el uso de dichas carteras.

Cuando la gravedad de la violación o el compromiso de seguridad a que se refiere párrafo primero lo justifique, el Estado miembro retirará sin dilación indebida las carteras europeas de identidad digital.

El Estado miembro informará de ello a los usuarios afectados, a los puntos de contacto únicos designados con arreglo al artículo 46 quater, apartado 1, a las partes usuarias y a la Comisión.

2.   Si la violación o el compromiso de seguridad a que se refiere el apartado 1, párrafo primero, del presente artículo no se subsana en un plazo de tres meses desde la suspensión, el Estado miembro que haya proporcionado las carteras europeas de identidad digital las retirará y revocará su validez. El Estado miembro informará, en consecuencia, de la retirada a los usuarios afectados, a los puntos de contacto únicos designados en virtud del artículo 46 quater, apartado 1, a las partes usuarias y a la Comisión.

3.   Cuando se haya subsanado la violación o el compromiso de seguridad a que se refiere el apartado 1, párrafo primero, del presente artículo, el Estado miembro proveedor restablecerá la provisión y el uso de las carteras europeas de identidad digital e informará sin dilación indebida a los usuarios y partes usuarias afectados, a los puntos únicos de contacto designados en virtud del artículo 46 quater, apartado 1, y a la Comisión.

4.   La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 5 quinquies, sin dilación indebida.

5.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos relativos a las medidas a que se refieren los apartados 1, 2 y 3 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 septies. Uso transfronterizo de las carteras europeas de identidad digital

1.   Cuando los Estados miembros exijan una identificación y una autenticación electrónicas para acceder a un servicio en línea prestado por un organismo del sector público, también aceptarán las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

2.   Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión (*4)— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

3.   Cuando los prestadores de plataformas en línea de muy gran tamaño a que se refiere el artículo 33 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (*5) exijan la autenticación del usuario para acceder a servicios en línea, también aceptarán y facilitarán el uso de las carteras europeas de identidad digital proporcionadas con arreglo al presente Reglamento para la autenticación del usuario, únicamente a petición voluntaria del usuario y en lo que respecta a los datos mínimos necesarios para el servicio en línea específico para el que se solicita la autenticación.

4.   En cooperación con los Estados miembros, la Comisión facilitará la elaboración de códigos de conducta en estrecha colaboración con todas las partes interesadas pertinentes, en particular la sociedad civil, para contribuir a la amplia disponibilidad y la facilidad de uso de las carteras europeas de identidad digital contempladas en el ámbito de aplicación del presente Reglamento y alentar a los prestadores de servicios a ultimar la elaboración de códigos de conducta.

5.   En un plazo de veinticuatro meses a partir de la implantación de las carteras europeas de identidad digital, la Comisión evaluará la demanda, disponibilidad y facilidad de uso de las carteras europeas de identidad digital, teniendo en cuenta criterios como la adopción por los usuarios, la presencia transfronteriza de prestadores de servicios, el desarrollo tecnológico, la evolución de los patrones de uso y la demanda de los usuarios.

6) Antes del artículo 6 se inserta el título siguiente:

«SECCIÓN 2. SISTEMAS DE IDENTIFICACIÓN ELECTRÓNICA».

7) En el artículo 7, la letra g) se sustituye por el texto siguiente:

«g) al menos seis meses antes de la notificación a la que se refiere el artículo 9, apartado 1, el Estado miembro que efectúa la notificación presentará a los demás Estados miembros, a efectos del artículo 12, apartado 5, una descripción de este sistema, de conformidad con las modalidades de procedimiento establecidas en los actos de ejecución adoptados en virtud del artículo 12, apartado 6;».

8) En el artículo 8, apartado 3, el párrafo primero se sustituye por el texto siguiente:

«3.   A más tardar el 18 de septiembre de 2015, teniendo en cuenta las normas internacionales pertinentes, y en los términos del apartado 2, la Comisión establecerá, mediante actos de ejecución, las especificaciones técnicas mínimas, las normas y los procedimientos con referencia a los cuales se especificarán los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica.».

9) En el artículo 9, los apartados 2 y 3 se sustituyen por el texto siguiente:

«2.   La Comisión publicará en el Diario Oficial de la Unión Europea, sin dilación indebida, la lista de los sistemas de identificación electrónica notificados de conformidad con el apartado 1 junto con información básica sobre dichos sistemas.

3.   La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones de la lista a que se hace referencia en el apartado 2 en el plazo de un mes desde la fecha en que se reciba la citada notificación.».

10) El título del artículo 10 se sustituye por el texto siguiente:

«Violación de la seguridad de los sistemas de identificación electrónica».

11) Se inserta el artículo siguiente:

«Artículo 11 bis. Correspondencia transfronteriza de la identidad

1.   Cuando actúen como partes usuarias de servicios transfronterizos, los Estados miembros garantizarán una correspondencia inequívoca de la identidad para las personas físicas que utilicen medios de identificación electrónica notificados o carteras europeas de identidad digital.

2.   Los Estados miembros establecerán medidas técnicas y organizativas para garantizar un elevado nivel de protección de los datos personales utilizados para la correspondencia de la identidad y para evitar la elaboración de perfiles de usuarios.

3.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos relativos a los requisitos a que se refiere el apartado 1 del presente artículo por medio de actos de ejecución. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 48, apartado 2.».

12) El artículo 12 se modifica como sigue:

a) El título se sustituye por el texto siguiente:

«Interoperabilidad»;

b) el apartado 3 se modifica como sigue:

i) la letra c) se sustituye por el texto siguiente:

«c) facilitarla aplicación de la privacidad y la seguridad desde el diseño.»,

ii) se suprime la letra d);

c) en el apartado 4, la letra d) se sustituye por el texto siguiente:

«d) una referencia a un conjunto mínimo de datos de identificación de la persona necesarios para representar de manera única a una persona física o jurídica o a una persona física que representa a otra persona física o a una persona jurídica y que está disponible en los sistemas de identificación electrónica;»;

d) los apartados 5 y 6 se sustituyen por el texto siguiente:

«5.   Los Estados miembros llevarán a cabo revisiones inter pares de los sistemas de identificación electrónica incluidos en el ámbito de aplicación del presente Reglamento y que habrán de notificarse en virtud del artículo 9, apartado 1, letra a).

6.   A más tardar el 18 de marzo de 2025, la Comisión fijará, mediante actos de ejecución, las modalidades de procedimiento necesarias para las revisiones inter pares mencionadas en el apartado 5 del presente artículo, con vistas a fomentar un alto grado de confianza y seguridad que corresponda al nivel de riesgo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»;

e) se suprime el apartado 7;

f) el apartado 8 se sustituye por el texto siguiente:

«8.   A más tardar el 18 de septiembre de 2025, a efectos de establecer condiciones uniformes para la ejecución de los requisitos del apartado 1 del presente artículo, la Comisión, sin perjuicio de los criterios establecidos en el apartado 3 del presente artículo y teniendo en cuenta los resultados de la cooperación entre Estados miembros, adoptará actos de ejecución sobre el marco de interoperabilidad tal como se establece en el apartado 4 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

13) En el capítulo II se insertan los artículos siguientes:

«Artículo 12 bis. Certificación de los sistemas de identificación electrónica

1.   La certificación de la conformidad de los sistemas de identificación electrónica que vayan a notificarse con los requisitos de ciberseguridad establecidos en el presente Reglamento, incluida la conformidad con los requisitos pertinentes en materia de ciberseguridad establecidos en el artículo 8, apartado 2, en relación con los niveles de seguridad de los sistemas de identificación electrónica, correrá a cargo de organismos de evaluación de la conformidad designados por los Estados miembros.

2.   La certificación en virtud del apartado 1 del presente artículo se realizará con arreglo a un esquema de certificación de la ciberseguridad en virtud del Reglamento (UE) 2019/881 o partes de dicho esquema, en la medida en que el certificado de ciberseguridad o partes de este abarquen dichos requisitos de ciberseguridad.

3.   La certificación en virtud del apartado 1 tendrá una validez de hasta cinco años, siempre que se realice una evaluación de la vulnerabilidad cada dos años. Cuando se detecte una vulnerabilidad y no se subsane en un plazo de tres meses desde dicha detección, se cancelará la certificación.

4.   No obstante lo dispuesto en el apartado 2, los Estados miembros podrán solicitar, de conformidad con dicho apartado, información adicional al Estado miembro que efectúa la notificación sobre los sistemas de identificación electrónica, o parte de ellos, certificados.

5.   La revisión inter pares de los sistemas de identificación electrónica a que se refiere el artículo 12, apartado 5, no se aplicará a sistemas de identificación electrónica, ni a partes de ellos, certificados de conformidad con el apartado 1 del presente artículo. Los Estados miembros podrán utilizar un certificado o una declaración de conformidad, expedida con arreglo a un esquema de certificación pertinente o partes de dichos esquemas, con los requisitos que no estén relacionados con la ciberseguridad establecidos en el artículo 8, apartado 2, en relación con el nivel de seguridad de los sistemas de identificación electrónica.

6.   Los Estados miembros comunicarán a la Comisión los nombres y direcciones de los organismos de evaluación de la conformidad a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de todos los Estados miembros.

Artículo 12 ter. Acceso a características de equipo y programa informático

Cuando los proveedores de carteras europeas de identidad digital y los emisores de los medios de identificación electrónica notificados que actúen a título comercial o profesional y utilicen servicios básicos de plataforma según se definen en el artículo 2, punto 2, del Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (*6), con el fin de ofrecer servicios de cartera europea de identidad digital y medios de identificación electrónica a usuarios finales, o en el marco de tal prestación, sean usuarios profesionales según se define en el artículo 2, apartado 21, de dicho Reglamento, los guardianes de acceso les permitirán, en particular, la interoperabilidad efectiva con las mismas características de sistema operativo, de equipo y o programa informático, así como el acceso a dichas características a efectos de interoperabilidad. La interoperabilidad efectiva y el acceso se permitirán de forma gratuita y con independencia de que las características de equipo y programa informático formen parte del sistema operativo, a las que puede acceder o que utiliza el guardián de acceso cuando presta tales servicios, en el sentido del artículo 6, apartado 7, del Reglamento (UE) 2022/1925. El presente artículo se entenderá sin perjuicio de lo dispuesto en el artículo 5 bis, apartado 14, del presente Reglamento.

14) En el artículo 13, el apartado 1 se sustituye por el texto siguiente:

«1.   No obstante lo dispuesto en el apartado 2 del presente artículo y sin perjuicio del Reglamento (UE) 2016/679, los prestadores de servicios de confianza serán responsables de los perjuicios causados de forma intencional o por negligencia a cualquier persona física o jurídica debido al incumplimiento de las obligaciones establecidas en el presente Reglamento. Toda persona física o jurídica que haya sufrido perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento por parte de un prestador de servicios de confianza tendrá derecho a solicitar una indemnización de conformidad con el Derecho de la Unión y nacional.

La carga de la prueba de la intencionalidad o la negligencia de un prestador no cualificado de servicios de confianza corresponderá a la persona física o jurídica que alegue los perjuicios a que se refiere el párrafo primero.

Se presumirá la intencionalidad o la negligencia de un prestador cualificado de servicios de confianza salvo cuando ese prestador cualificado de servicios de confianza demuestre que los perjuicios a que se refiere el párrafo primero se produjeron sin intencionalidad ni negligencia por su parte.».

15) Los artículos 14, 15 y 16 se sustituyen por el texto siguiente:

«Artículo 14. Aspectos internacionales

1.   Los servicios de confianza prestados por prestadores de servicios de confianza establecidos en un tercer país o por una organización internacional serán reconocidos como legalmente equivalentes a los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión si los servicios de confianza originarios del tercer país o los de la organización internacional son reconocidos mediante actos de ejecución o un acuerdo celebrado entre la Unión y el tercer país o la organización internacional en virtud del artículo 218 del TFUE.

Los actos de ejecución a que se refiere el párrafo primero se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

2.   Los actos de ejecución y los acuerdos a que se refiere el apartado 1 garantizarán que los prestadores de servicios de confianza del tercer país de que se trate o las organizaciones internacionales y los servicios de confianza que prestan cumplen los requisitos aplicables a los prestadores cualificados de servicios de confianza establecidos en la Unión y a los servicios de confianza cualificados que prestan. En particular, los terceros países y las organizaciones internacionales establecerán, mantendrán y publicarán una lista de confianza de los prestadores reconocidos de servicios de confianza.

3.   Los acuerdos a que se refiere el apartado 1 garantizarán que los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión sean reconocidos como legalmente equivalentes a los servicios de confianza prestados por prestadores de servicios en el tercer país o por la organización internacional con los que se celebra el acuerdo.

Artículo 15. Accesibilidad para las personas con discapacidad y necesidades especiales

La provisión de medios de identificación electrónica, así como la prestación de servicios de confianza y los productos destinados a los usuarios finales empleados en la prestación de dichos servicios, deberán estar disponibles en un lenguaje claro y comprensible, de conformidad con la Convención de las Naciones Unidas sobre los Derechos de las Personas con Discapacidad y con los requisitos de accesibilidad de la Directiva (UE) 2019/882, beneficiando así también a las personas que experimentan limitaciones funcionales, como las personas de edad avanzada y las personas con un acceso limitado a las tecnologías digitales.

Artículo 16. Sanciones

1.   Sin perjuicio de lo dispuesto en el artículo 31 de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (*7), los Estados miembros establecerán el régimen de sanciones aplicables a las infracciones del presente Reglamento. Dichas sanciones serán efectivas, proporcionadas y disuasorias.

2.   Los Estados miembros garantizarán que el incumplimiento del presente Reglamento por parte de prestadores cualificados y no cualificados de servicios de confianza se sancione con multas administrativas de un máximo de, al menos:

a) 5 000 000 EUR cuando el prestador de servicios de confianza sea una persona física, o

b) 5 000 000 EUR o una cuantía equivalente al 1 % del volumen de negocios anual total a nivel mundial de la empresa a la que perteneciera el prestador de servicios de confianza durante el ejercicio financiero anterior al año en que se haya producido el incumplimiento, optándose por la de mayor cuantía, cuando el prestador de servicios de confianza sea una persona jurídica.

3.   En función del ordenamiento jurídico de los Estados miembros, las normas relativas a las multas administrativas podrán aplicarse de tal modo que la incoación de la multa corresponda al organismo de supervisión competente, y su imposición a los órganos jurisdiccionales nacionales competentes. La aplicación de tales normas en estos Estados miembros garantizará que estas vías de recurso sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas directamente por las autoridades de control.

16) En el capítulo III, sección 2, el título se sustituye por el texto siguiente:

«Servicios de confianza no cualificados».

17) Se suprimen los artículos 17 y 18.

18) En el capítulo III, sección 2, se inserta el artículo siguiente:

«Artículo 19 bis. Requisitos aplicables a los prestadores no cualificados de servicios de confianza

1.   Los prestadores no cualificados de servicios de confianza que prestan servicios de confianza no cualificados:

a) contarán con políticas adecuadas y adoptarán las medidas que procedan para gestionar los riesgos jurídicos, empresariales, operativos y otros riesgos directos o indirectos para la prestación del servicio de confianza no cualificado que, no obstante lo dispuesto en el artículo 21de la Directiva (UE) 2022/2555, deberá incluir, como mínimo, las medidas relacionadas con:

i) procedimientos de registro para un servicio de confianza e incorporación a este,

ii) controles administrativos o de procedimiento necesarios para prestar servicios de confianza,

iii) gestión e implantación de servicios de confianza;

b) notificarán al organismo de supervisión, a las personas afectadas identificables, al público si es de interés público y, cuando proceda, a otras autoridades competentes pertinentes cualquier violación de la seguridad o interrupción en la prestación del servicio o en la aplicación de las medidas a que se refiere la letra a), incisos i), ii) o iii), que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales mantenidos en él, sin dilación indebida y, en cualquier caso, a más tardar a las veinticuatro horas de haber tenido conocimiento de cualquier violación de la seguridad o interrupción.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para el apartado 1, letra a), del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente artículo cuando se observen dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

19) El artículo 20 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1.   Los prestadores cualificados de servicios de confianza serán auditados al menos cada veinticuatro meses, corriendo con los gastos que ello genere, por un organismo de evaluación de la conformidad. La auditoría confirmará que tanto los prestadores cualificados de servicios de confianza como los servicios de confianza cualificados que prestan cumplen los requisitos establecidos en el presente Reglamento y en el artículo 21 de la Directiva (UE) 2022/2555. Los prestadores cualificados de servicios de confianza enviarán el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.»;

b) Se insertan los apartados siguientes:

«1 bis.   Los prestadores cualificados de servicios de confianza informarán al organismo de supervisión al menos un mes antes de cualquier auditoría prevista y permitirán la participación del organismo de supervisión en calidad de observador.

1 ter.   Los Estados miembros notificarán a la Comisión, sin dilación indebida, los nombres, direcciones y datos de acreditación de los organismos de evaluación de la conformidad a que se refiere el apartado 1, así como cualquier modificación posterior de los mismos. La Comisión pondrá dicha información a disposición de todos los Estados miembros.»;

c) los apartados 2, 3 y 4 se sustituyen por el texto siguiente:

«2.   Sin perjuicio de lo dispuesto en el apartado 1, el organismo de supervisión podrá en cualquier momento auditar o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, con cargo a dichos prestadores cualificados de servicios de confianza, para confirmar que estos y los servicios de confianza cualificados prestados cumplen los requisitos establecidos en el presente Reglamento. En caso de posible vulneración de las normas sobre protección de datos personales, el organismo de supervisión informará, sin dilación indebida, a las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679.

3.   Cuando el prestador cualificado de servicios de confianza incumpla cualquiera de los requisitos que se establecen en el presente Reglamento, el organismo de supervisión le exigirá subsanar dicho incumplimiento dentro de un plazo determinado, si procede.

Si el prestador no subsanase el incumplimiento, en su caso, dentro del plazo fijado por el organismo de supervisión, este, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 bis.   Cuando las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 informen al organismo de supervisión de que el prestador cualificado de servicios de confianza incumple alguno de los requisitos establecidos en el artículo 21 de dicha Directiva, el organismo de supervisión, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 ter.   Cuando las autoridades de control establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679 informen al organismo de supervisión de que el prestador cualificado de servicios de confianza incumple alguno de los requisitos establecidos en dicho Reglamento, el organismo de supervisión, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 quater.   El organismo de supervisión comunicará al prestador cualificado de servicios de confianza la retirada de su cualificación o de la cualificación del servicio de que se trate. El organismo de supervisión informará al organismo notificado con arreglo al artículo 22, apartado 3, del presente Reglamento a efectos de actualizar las listas de confianza a que se refiere el apartado 1 de dicho artículo y a la autoridad competente designada o establecida en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555.

4.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, especificaciones y procedimientos para lo siguiente:

a) la acreditación de los organismos de evaluación de la conformidad y el informe de evaluación de la conformidad a que se refiere el apartado 1;

b) los requisitos de auditoría con arreglo a los cuales los organismos de evaluación de la conformidad realizarán la evaluación de la conformidad, incluida la evaluación compuesta, de los prestadores cualificados de servicios de confianza a que se refiere el apartado 1;

c) los sistemas de evaluación de la conformidad que utilizarán los organismos de evaluación de la conformidad para evaluar la conformidad de los prestadores cualificados de servicios de confianza y para proporcionar el informe a que se refiere el apartado 1.

Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

20) El artículo 21 se modifica como sigue:

a) los apartados 1 y 2 se sustituyen por el texto siguiente:

«1.   Cuando los prestadores de servicios de confianza tengan intención de iniciar la prestación de un servicio de confianza cualificado, notificarán al organismo de supervisión su intención junto con un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad que confirme el cumplimiento de los requisitos establecidos en el presente Reglamento y en el artículo 21 de la Directiva (UE) 2022/2555.

2.   El organismo de supervisión verificará si el prestador de servicios de confianza y los servicios de confianza que presta cumplen los requisitos establecidos en el presente Reglamento, y en particular, los requisitos aplicables a los prestadores cualificados de servicios de confianza y a los servicios de confianza cualificados que estos prestan.

Con el fin de verificar que el prestador de servicios de confianza cumple los requisitos establecidos en el artículo 21 de la Directiva (UE) 2022/2555, el organismo de supervisión solicitará a las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de dicha Directiva que emprendan acciones de supervisión en ese sentido y que proporcionen información sobre los resultados de dichas acciones sin dilación indebida y en cualquier caso en el plazo de dos meses desde la recepción de dicha solicitud. Si la verificación no ha concluido en el plazo de dos meses desde la notificación, dichas autoridades competentes informarán al organismo de supervisión especificando los motivos de la dilación y el plazo previsto para concluir la verificación.

Si el organismo de supervisión concluye que el prestador de servicios de confianza y los servicios de confianza que este presta cumplen los requisitos establecidos en el presente Reglamento, el organismo de supervisión concederá la cualificación al prestador de servicios de confianza y a los servicios de confianza que este presta y lo comunicará al organismo a que se refiere el artículo 22, apartado 3, a efectos de actualizar las listas de confianza previstas en el artículo 22, apartado 1, a más tardar tres meses después de la notificación efectuada de conformidad con el apartado 1 del presente artículo.

Si la verificación no ha concluido en el plazo de tres meses desde la notificación, el organismo de supervisión informará al prestador de servicios de confianza especificando los motivos de la dilación y el plazo previsto para concluir la verificación.»;

b) el apartado 4 se sustituye por el texto siguiente:

«4.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los formatos y procedimientos de la notificación y la verificación a efectos de lo dispuesto en los apartados 1 y 2 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

21) El artículo 24 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1.   Al expedir un certificado cualificado o una declaración electrónica cualificada de atributos, el prestador cualificado de servicios de confianza verificará la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expida el certificado cualificado o la declaración electrónica cualificada de atributos.

1 bis.   La verificación de la identidad a que se refiere el apartado 1 se llevará a cabo por los medios adecuados, por el prestador cualificado de servicios de confianza, bien directamente o bien por medio de un tercero, sobre la base de uno de los siguientes métodos o de una combinación de los mismos cuando sea necesario de conformidad con los actos de ejecución a que se refiere el apartado 1 quater:

a) a través de la cartera europea de identidad digital o de un medio de identificación electrónica notificado que satisfaga los requisitos establecidos en el artículo 8 con respecto al nivel de seguridad alto;

b) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a), c) o d);

c) utilizando otros métodos de identificación que garanticen la identificación de la persona con un nivel alto de confianza, cuya conformidad será confirmada por un organismo de evaluación de la conformidad;

d) a través de la presencia física de la persona física o de un representante autorizado de la persona jurídica, mediante pruebas y procedimientos adecuados, de conformidad con el Derecho nacional.

1 ter.   La verificación de los atributos a que se refiere el apartado 1 se llevará a cabo, por los medios adecuados, por el prestador cualificado de servicios de confianza, bien directamente o bien por medio de un tercero, sobre la base de uno de los siguientes métodos o, cuando sea necesario, de una combinación de estos, de conformidad con los actos de ejecución a que se refiere el apartado 1 quater:

a) a través de la cartera europea de identidad digital o de un medio de identificación electrónica notificado que satisfaga los requisitos establecidos en el artículo 8 con respecto al nivel de seguridad alto;

b) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con el apartado 1 bis, letra a), c) o d);

c) por medio de una declaración electrónica cualificada de atributos;

d) utilizando otros métodos que garanticen la verificación de los atributos con un nivel alto de confianza, cuya conformidad será confirmada por un organismo de evaluación de la conformidad;

e) mediante la presencia física de la persona física o de un representante autorizado de la persona jurídica, mediante pruebas y procedimientos adecuados, de conformidad con el Derecho nacional.»;

«1 quater.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la verificación de la identidad y los atributos de conformidad con los apartados 1, 1 bis y 1 ter del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.»;

b) el apartado 2 se modifica como sigue:

i) la letra a) se sustituye por el texto siguiente:

«a) informarán al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados al menos un mes antes de llevarlo a cabo, y con una antelación de al menos tres meses en caso de que tengan intención de cesar tales actividades;»;

ii) las letras d) y e) se sustituyen por el texto siguiente:

«d) antes de entrar en una relación contractual, informarán, de manera clara, comprensible y fácilmente accesible, en un espacio públicamente accesible y de forma individual, a cualquier persona que desee utilizar un servicio de confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio, incluidas las limitaciones de su utilización;

e) utilizarán sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustenten, en particular utilizando técnicas criptográficas adecuadas;»,

iii) se insertan los puntos siguientes:

«f bis) No obstante lo dispuesto en el artículo 21 de la Directiva (UE) 2022/2555, contarán con políticas adecuadas y adoptarán las medidas que procedan para gestionar los riesgos jurídicos, empresariales, operativos y otros riesgos directos o indirectos para la prestación del servicio de confianza cualificado, en particular al menos medidas relacionadas con lo siguiente:

i) procedimientos de registro en un servicio e incorporación a este,

ii) controles administrativos o de procedimiento,

iii) gestión e implantación de servicios;

f ter) notificarán al organismo de supervisión, a las personas afectadas identificables, a otros organismos competentes pertinentes cuando proceda y, a solicitud del organismo de supervisión, al público si es de interés público, cualquier violación de la seguridad o interrupción en la prestación del servicio o en la aplicación de las medidas a que se refiere la letra f bis), incisos i), ii) o iii), que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales mantenidos en él, sin dilación indebida y, en cualquier caso, a más tardar veinticuatro horas después de haberse producido el incidente;»,

iv) las letras g), h) e i) se sustituyen por el texto siguiente:

«g) adoptarán medidas adecuadas contra la falsificación, el robo o la apropiación indebida de datos o contra la eliminación, alteración o bloqueo de dichos datos sin tener derecho a ello;

h) registrarán y mantendrán accesible, durante el tiempo que sea necesario cuando hayan cesado las actividades del prestador cualificado de servicios de confianza, toda la información pertinente referente a los datos expedidos y recibidos por el prestador cualificado de servicios de confianza, al objeto de que sirvan de prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios electrónicos;

i) contarán con un plan de cese actualizado para garantizar la continuidad del servicio de conformidad con las disposiciones que sean verificadas por el organismo de supervisión en virtud del artículo 46 ter, apartado 4, letra i);»,

v) se suprime la letra j),

vi) se añade el párrafo siguiente:

«El organismo de supervisión podrá solicitar información adicional a la información notificada en virtud del párrafo primero, letra a), o el resultado de una evaluación de la conformidad y podrá condicionar la concesión de la autorización para aplicar los cambios previstos a los servicios de confianza cualificados. Si la verificación no ha concluido en el plazo de tres meses desde la notificación, el organismo de supervisión informará al prestador de servicios de confianza especificando los motivos de la dilación y el plazo previsto para concluir la verificación.»;

c) el apartado 5 se sustituye por el texto siguiente:

«4 bis.   Los apartados 3 y 4 se aplicarán, en consecuencia, a la revocación de declaraciones electrónicas cualificadas de atributos.

4 ter.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 47 por el que se establecen las medidas adicionales mencionadas en el apartado 2, punto f bis) del presente artículo.

5.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos aplicables a los requisitos a que se refiere el apartado 2, del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente apartado cuando se observen dichas normas, especificaciones y procedimientos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

22)  En el capítulo III, sección 3, se añade el artículo siguiente:

«Artículo 24 bis. Reconocimiento de servicios de confianza cualificados

1.   Las firmas electrónicas cualificadas basadas en un certificado cualificado expedido en un Estado miembro y los sellos electrónicos cualificados basados en un certificado cualificado expedido en un Estado miembro serán reconocidos, respectivamente, como firmas electrónicas cualificadas y sellos electrónicos cualificados en todos los demás Estados miembros.

2.   Los dispositivos cualificados de creación de firma electrónica y los dispositivos cualificados de creación de sello electrónico certificados en un Estado miembro serán reconocidos, respectivamente, como dispositivos cualificados de creación de firma electrónica y dispositivos cualificados de creación de sello electrónico en todos los demás Estados miembros.

3.   Un certificado cualificado de firma electrónica, un certificado cualificado de sello electrónico, un servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y un servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia proporcionados en un Estado miembro serán reconocidos, respectivamente, como certificado cualificado de firma electrónica, certificado cualificado de sello electrónico, servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia en todos los demás Estados miembros.

4.   Un servicio de validación cualificado de firmas electrónicas cualificadas y un servicio de validación cualificado de sellos electrónicos cualificados prestado en un Estado miembro serán reconocidos, respectivamente, como servicio de validación cualificado de firmas electrónicas cualificadas y servicio de validación cualificado de sellos electrónicos cualificados en todos los demás Estados miembros.

5.   Un servicio cualificado de conservación de firmas electrónicas cualificadas y un servicio cualificado de conservación de sellos electrónicos cualificados prestados en un Estado miembro serán reconocidos, respectivamente, como servicio cualificado de conservación de firmas electrónicas cualificadas y servicio cualificado de conservación de sellos electrónicos cualificados en todos los demás Estados miembros.

6.   Un sello cualificado de tiempo electrónico proporcionado en un Estado miembro será reconocido como sello cualificado de tiempo electrónico en todos los demás Estados miembros.

7.   Un certificado cualificado de autenticación de sitio web expedido en un Estado miembro será reconocido como certificado cualificado de autenticación de sitio web en cualquier otro Estado miembro.

8.   Un servicio cualificado de entrega electrónica certificada proporcionado en un Estado miembro será reconocido como servicio cualificado de entrega electrónica certificada en todos los demás Estados miembros.

9.   Una declaración electrónica cualificada de atributos expedida en un Estado miembro será reconocida como declaración electrónica cualificada de atributos en todos los demás Estados miembros.

10.   Un servicio cualificado de archivo electrónico prestado en un Estado miembro será reconocido como servicio cualificado de archivo electrónico en todos los demás Estados miembros.

11.   Un libro mayor electrónico cualificado proporcionado en un Estado miembro será reconocido como libro mayor electrónico cualificado en todos los demás Estados miembros.».

23) En el artículo 25, se suprime el apartado 3.

24) El artículo 26 se modifica como sigue:

a) el párrafo primero pasa a ser apartado 1;

b) se añade el apartado siguiente:

«2.   A más tardar el 21 de mayo de 2026, la Comisión evaluará sobre si es necesario adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, establecer especificaciones y procedimientos para firmas electrónicas avanzadas. Sobre la base de dicha evaluación, la Comisión puede adoptar tales actos de ejecución. Se presumirá el cumplimiento de los requisitos aplicables a las firmas electrónicas avanzadas cuando la firma electrónica avanzada sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

25) En el artículo 27, se suprime el apartado 4.

26) En el artículo 28, el apartado 6 se sustituye por el texto siguiente:

«6.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los certificados cualificados de firma electrónica. Se presumirá el cumplimiento de los requisitos establecidos en el anexo I cuando el certificado cualificado de firma electrónica sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

27) En el artículo 29, se inserta el apartado siguiente:

«1 bis.   La creación o la gestión de datos de creación de firma electrónica o la duplicación de estos datos de creación de firma con fines de copia de seguridad se llevará a cabo únicamente en nombre del firmante, a solicitud de este, y por un prestador cualificado de servicios de confianza que preste un servicio de confianza cualificado para la gestión de un dispositivo cualificado de creación de firma electrónica a distancia.».

28) Se inserta el artículo siguiente:

«Artículo 29 bis. Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia

1.   La gestión de dispositivos cualificados de creación de firma electrónica a distancia como servicio cualificado se llevará a cabo únicamente por un prestador cualificado de servicios de confianza que:

a) cree o gestione datos de creación de firmas electrónicas en nombre del signatario;

b) no obstante lo dispuesto en el punto 1, letra d), del anexo II, duplique los datos de creación de firmas electrónicas exclusivamente con fines de copia de seguridad, siempre y cuando se cumplan los requisitos siguientes:

i) la seguridad de los conjuntos de datos duplicados debe ser del mismo nivel que el previsto para los conjuntos de datos originales,

ii) el número de conjuntos de datos duplicados no debe superar el mínimo necesario para garantizar la continuidad del servicio;

c) cumpla todos los requisitos definidos en el informe de certificación del dispositivo cualificado específico de creación de firmas electrónicas a distancia expedido en virtud del artículo 30.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos a los efectos del apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

29) En el artículo 30, se inserta el apartado siguiente:

«3 bis.   La certificación a que se refiere el apartado 1 tendrá una validez máxima de cinco años, siempre que se lleve a cabo una evaluación de las vulnerabilidades cada dos años. Cuando se detecten vulnerabilidades y no se subsanen, se cancelará la certificación.».

30) En el artículo 31, el apartado 3 se sustituye por el texto siguiente:

«3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, por medio de actos de ejecución, los formatos y procedimientos aplicables a efectos de lo dispuesto en el apartado 1 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

31) El artículo 32 se modifica como sigue:

a) en el apartado 1 se añade el párrafo siguiente:

«Se presumirá el cumplimiento de los requisitos establecidos en el párrafo primero del presente apartado cuando la validación de firmas electrónicas cualificadas sea conforme a las normas, las especificaciones y los procedimientos a que se refiere el apartado 3.»;

b) el apartado 3 se sustituye por el texto siguiente:

«3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la validación de firmas electrónicas cualificadas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

32) Se inserta el artículo siguiente:

«Artículo 32 bis. Requisitos aplicables a la validación de las firmas electrónicas avanzadas basadas en certificados cualificados

1.   El proceso de validación de una firma electrónica avanzada basada en un certificado cualificado confirmará la validez de dicha firma siempre que:

a) el certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al anexo I;

b) el certificado cualificado fuera expedido por un prestador cualificado de servicios de confianza y fuera válido en el momento de la firma;

c) los datos de validación de la firma correspondan a los datos proporcionados a la parte usuaria;

d) el conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria;

e) en caso de que se utilice un seudónimo, la utilización de este se indique claramente a la parte usuaria en el momento de la firma;

f) la integridad de los datos firmados no se haya visto comprometida;

g) se hayan cumplido los requisitos previstos en el artículo 26 en el momento de la firma.

2.   El sistema utilizado para validar la firma electrónica avanzada basada en un certificado cualificado ofrecerá a la parte usuaria el resultado correcto del proceso de validación y le permitirá detectar cualquier problema que afecte a la seguridad.

3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la validación de firmas electrónicas avanzadas basadas en certificados cualificados. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo cuando la validación de firmas electrónicas avanzadas basadas en certificados cualificados sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

33) En el artículo 33, el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos aplicables al servicio de validación cualificado a que se refiere el apartado 1 del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo cuando el servicio de validación cualificado para firmas electrónicas cualificadas sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

34) El artículo 34 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas sean conformes a los procedimientos, las especificaciones y las normas a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.».

35) En el artículo 35, se suprime el apartado 3.

36) El artículo 36 se modifica como sigue:

a) el párrafo primero pasa a ser apartado 1;

b) se añade el apartado siguiente:

«2.   A más tardar el 21 de mayo de 2026, la Comisión realizará una evaluación sobre si es necesario adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, establecer especificaciones y procedimientos para sellos electrónicos avanzados. Sobre la base de dicha evaluación, la Comisión puede adoptar dichos actos de ejecución. Se presumirá el cumplimiento de los requisitos aplicables a los sellos electrónicos avanzados cuando el sello electrónico avanzado sea conforme a dichos procedimientos, especificaciones y normas. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

37) En el artículo 37, se suprime el apartado 4.

38) En el artículo 38, el apartado 6 se sustituye por el texto siguiente:

«6.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los certificados cualificados de sello electrónico. Se presumirá el cumplimiento de los requisitos establecidos en el anexo III cuando el certificado cualificado de sello electrónico sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

39) Se inserta el artículo siguiente:

«Artículo 39 bis. Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia

El artículo 29 bis se aplicará mutatis mutandis a los servicios cualificados para la gestión de dispositivos cualificados de creación de sello electrónico a distancia.».

40) En el capítulo III, sección 5 se inserta el artículo siguiente:

«Artículo 40 bis. Requisitos aplicables a la validación de los sellos electrónicos avanzados basados en certificados cualificados

El artículo 32 bis se aplicará mutatis mutandis a la validación de los sellos electrónicos avanzados basados en certificados cualificados.».

41) En el artículo 41, se suprime el apartado 3.

42) El artículo 42 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la vinculación de la fecha y hora con los datos y exactitud de la fuente de información temporal sea conforme a las normas, las especificaciones y procedimientos a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la vinculación de la fecha y hora con los datos y para el establecimiento de la exactitud de las fuentes de información temporal. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

43) El artículo 44 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los procesos de envío y recepción de datos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»;

c) se insertan los apartados siguientes:

«2 bis.   Los prestadores de servicios cualificados de entrega electrónica certificada podrán acordar la interoperabilidad entre los servicios cualificados de entrega electrónica certificada que presten. Dicho marco de interoperabilidad cumplirá los requisitos establecidos en el apartado 1 y dicho cumplimiento será confirmado por un organismo de evaluación de la conformidad.

2 ter.   La Comisión podrá establecer, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables al marco de interoperabilidad a que se refiere el apartado 2 bis del presente artículo. Las especificaciones técnicas y el contenido de las normas serán rentables y proporcionados. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

44)El artículo 45 se sustituye por el texto siguiente:

«Artículo 45. Requisitos aplicables a los certificados cualificados de autenticación de sitios web

1.   Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. La evaluación del cumplimiento de dichos requisitos se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 2 del presente artículo.

1 bis.   Los proveedores de navegadores web reconocerán los certificados cualificados de autenticación de sitios web expedidos de conformidad con el apartado 1 del presente artículo. Los proveedores de navegadores web garantizarán que los datos de identificación de la persona declarados en el certificado y los atributos declarados adicionales se muestren al usuario de un modo fácil de consultar. Los proveedores de navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo, con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE durante sus primeros cinco años de actividad como prestadores de servicios de navegación web.

1 ter.   Los certificados cualificados de autenticación de sitios web no estarán sometidos a ningún requisito obligatorio que no sean los requisitos establecidos en el apartado 1.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

45) Se inserta al artículo siguiente:

«Artículo 45 bis. Medidas cautelares en materia de ciberseguridad

1.   Los proveedores de navegadores web no adoptarán ninguna medida contraria a sus obligaciones establecidas en el artículo 45, en particular los requisitos de reconocer los certificados cualificados de autenticación de sitios web y de mostrar los datos de identificación de la persona proporcionados de un modo que sea fácil de consultar.

2.   No obstante lo dispuesto en el apartado 1 y solo en caso de preocupaciones justificadas relacionadas con violaciones de la seguridad o la pérdida de integridad de un certificado o conjunto de certificados identificados, los proveedores de navegadores web podrán adoptar medidas cautelares en relación con dicho certificado o conjunto de certificados.

3.   Cuando se adopten medidas, los proveedores de navegadores web notificarán, en virtud del apartado 2, sus preocupaciones por escrito, sin demora indebida, junto con una descripción de las medidas adoptadas para mitigarlas, a la Comisión, al organismo de supervisión competente, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya expedido dicho certificado o conjunto de certificados. Tras la recepción de dicha notificación, el organismo de supervisión competente expedirá un acuse de recibo al proveedor del navegador web en cuestión.

4.   El organismo de supervisión competente investigará las cuestiones planteadas en la notificación, de conformidad con el artículo 46 ter, apartado 4, letra k). Cuando el resultado de la investigación no implique la retirada de la cualificación del certificado, el organismo de supervisión informará de ello al proveedor del navegador web y solicitará que ese proveedor ponga fin a las medidas cautelares a que se refiere el apartado 2 del presente artículo.».

46) En el capítulo III se insertan las secciones siguientes:

«SECCIÓN 9. DECLARACIÓN ELECTRÓNICA DE ATRIBUTOS

Artículo 45 ter. Efectos jurídicos de la declaración electrónica de atributos

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una declaración electrónica de atributos por el mero hecho de estar en formato electrónico o de no cumplir los requisitos aplicables a las declaraciones electrónicas cualificadas de atributos.

2.   Las declaraciones electrónicas cualificadas de atributos y las declaraciones de atributos expedidas por, o en nombre de, un organismo del sector público responsable de una fuente auténtica tendrán los mismos efectos jurídicos que las declaraciones lícitamente expedidas en papel.

3.   Una declaración de atributos expedida por, o en nombre de, un organismo del sector público responsable de una fuente auténtica en un Estado miembro será reconocida en todos los Estados miembros como declaración de atributos expedida por, o en nombre de, un organismo del sector público responsable de una fuente auténtica.

Artículo 45 quater. Declaración electrónica de atributos en servicios públicos

Cuando el Derecho nacional exija una identificación electrónica en la que se utilice un medio de identificación electrónica y una autenticación para acceder a un servicio en línea prestado por un organismo del sector público, los datos de identificación de la persona contenidos en la declaración electrónica de atributos no sustituirán a la identificación electrónica en la que se utilice un medio de identificación electrónica y una autenticación para la identificación electrónica a menos que el Estado miembro lo autorice expresamente. En tal caso, también se aceptarán las declaraciones electrónicas cualificadas de atributos procedentes de otros Estados miembros.

Artículo 45 quinquies. Requisitos aplicables a la declaración electrónica cualificada de atributos

1.   La declaración electrónica cualificada de atributos cumplirá los requisitos establecidos en el anexo V.

2.   La evaluación del cumplimiento de los requisitos establecidos en el anexo V se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 5 del presente artículo.

3.   Las declaraciones electrónicas cualificadas de atributos no estarán sometidas a ningún requisito obligatorio además de los requisitos establecidos en el anexo V.

4.   Si una declaración electrónica cualificada de atributos ha sido revocada después de su emisión inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado.

5.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para las declaraciones electrónicas cualificadas de atributos. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

Artículo 45 sexies. Cotejo de atributos con fuentes auténticas

1.   En un plazo de veinticuatro meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, los Estados miembros garantizarán que, al menos para los atributos que se enumeran en el anexo VI, cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público, se adopten medidas para permitir que los prestadores cualificados de servicios de confianza de declaraciones electrónicas de atributos verifiquen dichos atributos por medios electrónicos, a petición del usuario, de conformidad con el Derecho de la Unión o nacional.

2.   A más tardar el 21 de noviembre de 2024, la Comisión, teniendo en cuenta las normas internacionales aplicables, mediante actos de ejecución, establecerá una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos en lo que respecta al catálogo de atributos, así como a los sistemas de declaración de atributos y a los procedimientos de verificación de declaraciones electrónicas cualificadas de atributos a los efectos del apartado 1 del presente artículo. Dichos actos de ejecución serán coherentes con el acto de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

Artículo 45 septies. Requisitos aplicables a la declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este

1.   Las declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en su nombre cumplirán los requisitos siguientes:

a) los establecidos en el anexo VII;

b) el certificado cualificado que respalde la firma electrónica cualificada o el sello electrónico cualificado del organismo del sector público a que se refiere el artículo 3, punto 46, identificado como el emisor a que se refiere el anexo VII, letra b), contendrá un conjunto específico de atributos certificados en un formato adecuado para el tratamiento automático que:

i) indicará que el organismo emisor está establecido de conformidad con el Derecho de la Unión o nacional, bien como responsable de la fuente auténtica con arreglo a la cual se expide la declaración electrónica de atributos, bien como el organismo designado para actuar en su nombre,

ii) proporcionará un conjunto de datos que representen inequívocamente la fuente auténtica a que se refiere el inciso i), y

iii) determinará el Derecho de la Unión o nacional a que se refiere el inciso i).

2.   El Estado miembro en el que estén establecidos los organismos del sector público a que se refiere el artículo 3, punto 46, velará por que los organismos del sector público que expidan declaraciones electrónicas de atributos cumplan un nivel de fiabilidad equivalente al de los prestadores cualificados de servicios de confianza de conformidad con el artículo 24.

3.   Los Estados miembros notificarán a la Comisión los organismos del sector público a que se refiere el artículo 3, punto 46. Dicha notificación incluirá un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad que confirme que se cumplen los requisitos establecidos en los apartados 1, 2 y 6 del presente artículo. La Comisión pondrá a disposición del público, a través de un canal seguro, la información de los organismos del sector público a que se refiere el artículo 3, punto 46, en una forma firmada o sellada electrónicamente adecuada para el tratamiento automático.

4.   Si una declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este ha sido revocada después de su emisión inicial, perderá su validez desde el momento de su revocación y su estado será irreversible.

5.   Se considerará que una declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este cumple los requisitos establecidos en el apartado 1 del presente artículo cuando sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 6.

6.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica o en nombre de este. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

7.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para el apartado 3 del presente artículo. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

8.   Los organismos del sector público a que se refiere el artículo 3, punto 46, que expidan declaraciones electrónicas de atributos facilitarán una interfaz con las carteras europeas de identidad digital que se proporcionen de conformidad con el artículo 5 bis.

Artículo 45 octies. Emisión de declaraciones electrónicas de atributos a las carteras europeas de identidad digital

1.   Los prestadores de declaraciones electrónicas de atributos brindarán a los usuarios de carteras europeas de identidad digital la posibilidad de solicitar, obtener, almacenar y gestionar la declaración electrónica de atributos independientemente del Estado miembro en el que se proporcione la cartera europea de identidad digital.

2.   Los prestadores de declaraciones electrónicas cualificadas de atributos facilitarán una interfaz con las carteras europeas de identidad digital que se proporcionen con arreglo al artículo 5 bis.

Artículo 45 nonies. Normas adicionales para la prestación de servicios de declaración electrónica de atributos

1.   Los prestadores de servicios cualificados y no cualificados de declaración electrónica de atributos se abstendrán de combinar datos personales relacionados con la prestación de dichos servicios con datos personales obtenidos a través de otros servicios que ofrezcan ellos o sus socios comerciales.

2.   Se establecerá una separación lógica entre los datos personales relacionados con la prestación de servicios de declaración electrónica de atributos y otros datos que obren en poder del prestador de declaraciones electrónicas de atributos.

3.   Los prestadores de servicios de declaraciones electrónicas cualificadas de atributos llevarán a cabo la prestación de dichos servicios de confianza cualificados de manera funcionalmente separada de otros servicios que presten.

SECCIÓN 10. SERVICIOS DE ARCHIVO ELECTRÓNICO

Artículo 45 decies

Efecto jurídico de los servicios de archivo electrónico

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a los datos electrónicos ni a los documentos electrónicos conservados mediante un servicio de archivo electrónico por el mero hecho de que estén en formato electrónico o no estén conservados mediante un servicio cualificado de archivo electrónico.

2.   Los datos electrónicos y documentos electrónicos conservados mediante un servicio cualificado de archivo electrónico gozarán de la presunción de su integridad y origen durante el período de conservación por el prestador cualificado de servicios de confianza.

Artículo 45 undecies. Requisitos aplicables a los servicios cualificados de archivo electrónico

1.   Los servicios cualificados de archivo electrónico cumplirán los requisitos siguientes:

a) ser prestados por prestadores cualificados de servicios de confianza;

b) utilizar procedimientos y tecnologías capaces de asegurar la durabilidad y legibilidad de los datos y documentos electrónicos más allá del período de validez tecnológica y, al menos, durante el período de conservación legal o contractual, manteniendo al mismo tiempo su integridad y la exactitud de su origen;

c) garantizar que dichos datos y documentos electrónicos se conserven de tal manera que queden protegidos contra su pérdida o alteración, excepto en el caso de los cambios relativos a su soporte o formato electrónico;

d) permitir que las partes usuarias autorizadas reciban de forma automatizada un informe que confirme que los datos o documentos electrónicos recuperados de un archivo electrónico cualificado gozan de la presunción de integridad desde el inicio del período de conservación hasta el momento de su recuperación.

El informe a que se refiere el párrafo primero, letra d), se proporcionará de manera fiable y eficiente e incluirá la firma electrónica cualificada o el sello electrónico cualificado del prestador del servicio cualificado de archivo electrónico.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los servicios cualificados de archivo electrónico. Se presumirá el cumplimiento de los requisitos aplicables a los servicios cualificados de archivo electrónico cuando un servicio cualificado de archivo electrónico sea conforme a dichas normas, especificaciones y procedimientos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 11. LIBROS MAYORES ELECTRÓNICOS

Artículo 45 duodecies. Efectos jurídicos de los libros mayores electrónicos

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un libro mayor electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos aplicables a los libros mayores electrónicos cualificados.

2.   Los registros de datos contenidos en un libro mayor electrónico cualificado gozarán de la presunción de unicidad y exactitud de su orden cronológico secuencial y de su integridad.

Artículo 45 terdecies. Requisitos aplicables a los libros mayores electrónicos cualificados

1.   Un libro mayor electrónico cualificado cumplirá los requisitos siguientes:

a) estar creado y gestionado por uno o más prestadores cualificados de servicios de confianza;

b) establecer el origen de los registros de datos en el libro mayor;

c) garantizar la unicidad del orden cronológico secuencial de los registros de datos en el libro mayor;

d) grabar datos de modo que sea posible detectar de forma inmediata cualquier modificación posterior de estos, garantizando su integridad a lo largo del tiempo.

2.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando un libro mayor electrónico sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 3.

3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los requisitos a que se refiere el apartado 1 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

47) Se inserta el capítulo siguiente:

«CAPÍTULO IV bis. MARCO DE GOBERNANZA

Artículo 46 bis. Supervisión del marco de la cartera europea de identidad digital

1.   Los Estados miembros designarán uno o más organismos de supervisión establecidos en su territorio.

Los organismos de supervisión designados en virtud del párrafo primero disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones de forma eficaz, eficiente e independiente.

2.   Los Estados miembros notificarán a la Comisión los nombres y direcciones de los organismos de supervisión designados en virtud del apartado 1, así como cualquier modificación posterior de los mismos. La Comisión publicará una lista de los organismos de supervisión notificados.

3.   Las funciones de los organismos de supervisión designados en virtud del apartado 1 serán las siguientes:

a) supervisar a los proveedores de carteras europeas de identidad digital establecidos en el Estado miembro que lo designa y garantizar, mediante actividades de supervisión previas y posteriores, que dichos proveedores y las carteras europeas de identidad digital que proporcionan cumplen los requisitos establecidos en el presente Reglamento;

b) adoptar medidas, en caso necesario, en relación con los proveedores de carteras europeas de identidad digital establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando se les haya informado de que los proveedores o las carteras europeas de identidad digital que proporcionan infringen el presente Reglamento.

4.   Las tareas de los organismos de supervisión designados s en virtud del apartado 1 incluirán, en concreto, las siguientes:

a) cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con los artículos 46 quater y 46 sexies;

b) solicitar la información necesaria para controlar el cumplimiento del presente Reglamento;

c) informar a las autoridades competentes pertinentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 de los Estados miembros de que se trate de cualquier violación significativa de la seguridad o la pérdida de integridad de la que tengan conocimiento en el desempeño de sus funciones y, en caso de violación significativa de la seguridad o la pérdida de integridad que afecte a otros Estados miembros, informar al punto de contacto único designado con arreglo al artículo 8, apartado 3, de la Directiva (UE) 2022/2555 del Estado miembro de que se trate y a los puntos de contacto únicos designados de conformidad con el artículo 46 quater, apartado 1, del presente Reglamento en los demás Estados miembros de que se trate, e informar al público o exigir a los proveedores de carteras europeas de identidad digital que lo hagan en caso de que el organismo de supervisión determine que la divulgación de la violación de la seguridad o la pérdida de integridad reviste interés público;

d) emprender inspecciones in situ y actividades de supervisión externa;

e) requerir que los proveedores de carteras europeas de identidad digital corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento;

f) suspender o cancelar el registro y la inclusión de las partes usuarias en el mecanismo a que se refiere el artículo 5 ter, apartado 7, en caso de uso ilegal o fraudulento de la cartera europea de identidad digital;

g) cooperar con las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679, en particular, informándolas sin dilación indebida en caso de posible vulneración de las normas de protección de datos personales, así como sobre violaciones de la seguridad que parezcan constituir violaciones de la seguridad de los datos personales;

5.   Cuando el organismo de supervisión designado en virtud del apartado 1 exija al proveedor de una cartera europea de identidad digital que subsane cualquier incumplimiento de los requisitos establecidos en el presente Reglamento de conformidad con el apartado 4, letra e), y dicho proveedor no actúe en consecuencia y, si procede, dentro del plazo fijado por dicho organismo de supervisión, el organismo de supervisión designado en virtud del apartado 1, teniendo en cuenta, en particular, el alcance, la duración y las consecuencias de dicho incumplimiento, podrá ordenar al proveedor que suspenda o cese la provisión de la cartera europea de identidad digital. El organismo de supervisión informará a los organismos de supervisión de otros Estados miembros, a la Comisión, a las partes usuarias y a los usuarios de la cartera europea de identidad digital, sin demora indebida, de la decisión de exigir la suspensión o el cese de la provisión de la cartera europea de identidad digital.

6.   A más tardar el 31 de marzo de cada año, cada organismo de supervisión designado en virtud del apartado 1 presentará a la Comisión un informe sobre las principales actividades que haya llevado a cabo en el año natural anterior. La Comisión pondrá dichos informes anuales a disposición del Parlamento Europeo y del Consejo.

7.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los formatos y procedimientos para el informe a que se refiere el apartado 6 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 46 ter. Supervisión de los servicios de confianza

1.   Los Estados miembros designarán un organismo de supervisión establecido en su territorio o designarán, previo acuerdo mutuo con otro Estado miembro, un organismo de supervisión establecido en ese otro Estado miembro. Dicho organismo de supervisión será responsable de las funciones de supervisión en el Estado miembro que efectúa la designación en lo que respecta a los servicios de confianza.

Los organismos de supervisión designados en virtud del párrafo primero disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones.

2.   Los Estados miembros notificarán a la Comisión los nombres y direcciones de sus organismos de supervisión, designados en virtud del apartado 1, así como cualquier modificación posterior a este respecto. La Comisión publicará una lista de los organismos de supervisión notificados.

3.   La función de los organismos de supervisión designados en virtud del apartado 1 será la siguiente:

a) supervisar a los prestadores cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa y garantizar, mediante actividades de supervisión previas y posteriores, que dichos prestadores cualificados de servicios de confianza, y los servicios de confianza cualificados prestados por ellos, cumplen los requisitos establecidos en el presente Reglamento;

b) adoptar medidas, en caso necesario, en relación con los prestadores no cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando se le informe de que dichos prestadores no cualificados de servicios de confianza, o los servicios de confianza prestados por ellos incumplen presuntamente los requisitos establecidos en el presente Reglamento.

4.   Las funciones del organismo de supervisión designado en virtud del apartado 1 incluirán, en particular, las siguientes:

a) informar a las autoridades competentes pertinentes de los Estados miembros de que trate designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 de cualquier violación significativa de la seguridad o pérdida de integridad de las que tenga conocimiento en el desempeño de sus funciones y, en caso de una violación significativa de la seguridad o pérdida de integridad que afecte a otros Estados miembros, informar al punto de contacto único del Estado miembro de que se trate designado o establecido en virtud del artículo 8, apartado 3, de la Directiva (UE) 2022/2555 y a los puntos de contacto únicos de los demás Estados miembros de que se trate designados en virtud del artículo 46 quater, apartado 1, del presente Reglamento, e informar al público —o exigir al prestador de servicios de confianza que lo haga— en caso de que el organismo de supervisión considere que la divulgación de la violación de la seguridad o pérdida de integridad revistiera interés público;

b) cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con los artículos 46 quater y 46 sexies;

c) analizar los informes de evaluación de la conformidad a que se refieren el artículo 20, apartado 1, y el artículo 21, apartado 1;

d) informar a la Comisión de sus actividades principales de conformidad con el apartado 6 del presente artículo;

e) realizar auditorías o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, de conformidad con el artículo 20, apartado 2;

f) cooperar con las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679, en particular, informándolas, sin dilación indebida, en caso de posible vulneración de las normas de protección de datos personales, así como sobre violaciones de la seguridad que parezcan constituir violaciones de la seguridad de los datos personales;

g) conceder la cualificación a los prestadores de servicios de confianza y a los servicios de confianza que prestan, y retirar dicha cualificación, de conformidad con los artículos 20 y 21;

h) comunicar al organismo responsable de la lista de confianza a que se refiere el artículo 22, apartado 3, de su decisión de conceder o retirar la cualificación, salvo si dicho organismo es también el organismo de supervisión designado en virtud del apartado 1 del presente artículo;

i) verificar la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese cuando los prestadores cualificados de servicios de confianza cesen sus actividades, con inclusión de la forma en que se hace accesible la información, de conformidad con el artículo 24, apartado 2, letra h);

j) requerir que los prestadores de servicios de confianza corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento;

k) investigar las denuncias de los proveedores de navegadores web en virtud del artículo 45 bis y tomar medidas en caso necesario.

5.   Los Estados miembros podrán disponer que el organismo de supervisión designado en virtud del apartado 1 establezca, mantenga y actualice una infraestructura de confianza de conformidad con el Derecho nacional.

6.   A más tardar el 31 de marzo de cada año, cada organismo de supervisión designado en virtud del apartado 1 presentará a la Comisión un informe sobre las principales actividades que haya llevado a cabo en el año natural anterior. La Comisión pondrá dichos informes anuales a disposición del Parlamento Europeo y del Consejo.

7.   A más tardar el 21 de mayo de 2025, la Comisión adoptará directrices sobre el ejercicio, por los organismos de supervisión designado en virtud del apartado 1 del presente artículo, de las funciones a que se refiere el apartado 4 del presente artículo y, mediante actos de ejecución, definirá los formatos y procedimientos del informe previsto en el apartado 6 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 46 quater. Puntos de contacto únicos

1.   Cada Estado miembro designará un punto de contacto único para los servicios de confianza, las carteras europeas de identidad digital y los sistemas de identificación electrónica notificados.

2.   Cada punto de contacto único ejercerá una función de enlace para facilitar la cooperación transfronteriza entre los organismos de supervisión de los prestadores de servicios de confianza y entre los organismos de supervisión de los proveedores de carteras europeas de identidad digital y, cuando proceda, con la Comisión y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y con otras autoridades competentes de su Estado miembro.

3.   Cada Estado miembro hará públicos y, sin demora indebida, notificará a la Comisión los nombres y direcciones del punto de contacto único designado en virtud del apartado 1, así como cualquier modificación posterior a este respecto.

4.   La Comisión publicará una lista de los puntos de contacto únicos notificados en virtud del apartado 3.

Artículo 46 quinquies. Asistencia mutua

1.   A fin de facilitar la supervisión y el cumplimiento de las obligaciones establecidas en virtud del presente Reglamento, los organismos de supervisión designados en virtud del artículo 46 bis, apartado 1, y del artículo 46 ter, apartado 1, podrán solicitar —también a través del Grupo de Cooperación establecido de conformidad con el artículo 46 sexies, apartado 1— asistencia mutua de organismos de supervisión de otro Estado miembro en el que el prestador de la cartera europea de identidad digital o el prestador de servicios de confianza esté establecido, o en el que se encuentren sus redes y sistemas de información o se presten sus servicios.

2.   La asistencia mutua implicará, como mínimo, lo siguiente:

a) el organismo de supervisión que aplique medidas de supervisión y ejecución en un Estado miembro informará y consultará al organismo de supervisión del otro Estado miembro afectado;

b) un organismo de supervisión podrá solicitar al organismo de supervisión de otro Estado miembro afectado que adopte medidas de supervisión o ejecución, entre las que se podrá contar, por ejemplo, cursar solicitudes de inspección en relación con los informes de evaluación de la conformidad contemplados en los artículos 20 y 21 en lo referente a la prestación de servicios de confianza;

c) cuando proceda, los organismos de supervisión podrán llevar a cabo investigaciones conjuntas con los organismos de supervisión de otros Estados miembros.

Los acuerdos y procedimientos para las acciones conjuntas con arreglo al párrafo primero serán aprobados y establecidos por los Estados miembros de que se trate de conformidad con su Derecho nacional.

3.   El organismo de supervisión al que se haya dirigido una solicitud de asistencia podrá denegar dicha solicitud por alguno de los motivos siguientes:

a) la asistencia solicitada no guarda proporción con las actividades de supervisión del organismo de supervisión realizadas de conformidad con los artículos 46 bis y 46 ter;

b) el organismo de supervisión no es competente para prestar la asistencia solicitada;

c) la prestación de la asistencia solicitada sería incompatible con el presente Reglamento.

4.   A más tardar el 21 de mayo de 2025, y posteriormente cada dos años, el Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, formulará orientaciones sobre los aspectos organizativos y los procedimientos para la asistencia mutua a que se refieren los apartados 1 y 2 del presente artículo.

Artículo 46 sexies. El Grupo de Cooperación sobre la Identidad Digital Europea

1.   Con el fin de apoyar y facilitar la cooperación transfronteriza de los Estados miembros y el intercambio de información sobre los servicios de confianza, las carteras europeas de identidad digital y los sistemas de identificación electrónica notificados, la Comisión creará el Grupo de Cooperación sobre la Identidad Digital Europea.

2.   El Grupo de Cooperación estará formado por representantes nombrados por los Estados miembros y la Comisión. El Grupo de Cooperación estará presidido por la Comisión. La Comisión asumirá la secretaría del Grupo de Cooperación.

3.   Podrá invitarse a representantes de las partes interesadas pertinentes a asistir a las reuniones del Grupo de Cooperación y a participar en sus trabajos en calidad de observadores ad hoc.

4.   Se invitará a la ENISA a participar en calidad de observadora en los trabajos del Grupo de Cooperación cuando este intercambie puntos de vista, mejores prácticas e información sobre aspectos pertinentes en materia de ciberseguridad, como la notificación de violaciones de la seguridad, y cuando se trate del uso de certificados o las normas sobre ciberseguridad.

5.   El Grupo de Cooperación desempeñará las siguientes funciones:

a) intercambiar recomendaciones y cooperar con la Comisión en las iniciativas políticas emergentes en el ámbito de las carteras de identidad digital, los medios de identificación electrónica y los servicios de confianza;

b) asesorar a la Comisión, según proceda, en la preparación temprana de los proyectos de actos delegados y de ejecución que deban adoptarse en virtud del presente Reglamento;

c) con el fin de apoyar a los organismos de supervisión en la aplicación de las disposiciones del presente Reglamento:

i) intercambiar las mejores prácticas e información sobre la aplicación de las disposiciones del presente Reglamento,

ii) evaluar los avances pertinentes en el ámbito de los sectores de la cartera de identidad digital, la identificación electrónica y los servicios de confianza,

iii) organizar reuniones conjuntas con las partes interesadas pertinentes de toda la Unión para tratar las actividades realizadas por el Grupo de Cooperación y recabar apreciaciones sobre los desafíos políticos emergentes,

iv) con el apoyo de la ENISA, intercambiar opiniones, mejores prácticas e información sobre los aspectos de ciberseguridad pertinentes relativos a las carteras europeas de identidad digital, los sistemas de identificación electrónica y los servicios de confianza,

v) intercambiar mejores prácticas en relación con el desarrollo y la ejecución de políticas sobre la notificación de violaciones de la seguridad y las medidas comunes a que se refieren los artículos 5 sexies y 10,

vi) organizar reuniones conjuntas con el Grupo de Cooperación SRI establecido en virtud del artículo 14, apartado 1, de la Directiva (UE) 2022/2555 para intercambiar la información pertinente referente a ciberamenazas, incidencias, vulnerabilidades, iniciativas de sensibilización, formación, ejercicios y destrezas, desarrollo de capacidades, capacidad relativa a las normas y especificaciones técnicas y las propias normas y especificaciones técnicas en relación con los servicios de confianza y la identificación electrónica,

vii) debatir, a petición de un organismo de supervisión, las solicitudes concretas de asistencia mutua a que se refiere el artículo 46 quinquies,

viii) facilitar el intercambio de información entre los organismos de supervisión, orientando sobre los aspectos organizativos y los procedimientos de la asistencia mutua a que se refiere el artículo 46 quinquies;

d) organizar revisiones inter pares de los sistemas de identificación electrónica que vayan a notificarse con arreglo al presente Reglamento.

6.   Los Estados miembros garantizarán una cooperación efectiva y eficiente de sus representantes designados en el Grupo de cooperación.

7.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los mecanismos de procedimiento necesarios para facilitar la cooperación entre los Estados miembros a que se refiere el apartado 5, letra d), del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 48, apartado 2.».

48) El artículo 47 se modifica como sigue:

a)  los apartados 2 y 3 se sustituyen por el texto siguiente:

«2.   Los poderes para adoptar actos delegados mencionados en el artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, se otorgan a la Comisión por un período de tiempo indefinido a partir del 17 de septiembre de 2014.

3.   La delegación de poderes mencionada en el artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.»;

b) el apartado 5 se sustituye por el texto siguiente:

«5.   Los actos delegados adoptados en virtud del artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, entrarán en vigor únicamente si, en un plazo de dos meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.».

49) En el capítulo VI se inserta el artículo siguiente:

«Artículo 48 bis. Requisitos de información

1.   Los Estados miembros garantizarán la recopilación de estadísticas relativas al funcionamiento de las carteras europeas de identidad digital y los servicios de confianza cualificados prestados en su territorio.

2.   Las estadísticas recopiladas de conformidad con el apartado 1 incluirán los siguientes elementos:

a) el número de personas físicas y jurídicas poseedoras de una cartera europea de identidad digital válida;

b) el tipo y cantidad de servicios que aceptan el uso de la cartera europea de identidad digital;

c) la cantidad de reclamaciones de usuarios e incidencias de protección de los consumidores o de protección de datos relacionadas con las partes usuarias y los servicios de confianza cualificados;

d) un informe resumido que incluya datos sobre las incidencias que impidan utilizar la cartera europea de identidad digital;

e) un resumen de las incidencias de seguridad importantes, de las violaciones de la seguridad de los datos y de los usuarios de carteras europeas de identidad digital o de servicios de confianza cualificados que hayan resultado afectados.

3.   Las estadísticas a que se refiere el apartado 2 se harán públicas en un formato abierto, de uso común y legible por máquina.

4.   Cada año, a más tardar el 31 de marzo, los Estados miembros presentarán a la Comisión un informe sobre las estadísticas recopiladas de conformidad con el apartado 2.».

50) El artículo 49 se sustituye por el texto siguiente:

«Artículo 49. Revisión

1.   La Comisión revisará la aplicación del presente Reglamento y, a más tardar el 21 de mayo de 2026, informará al Parlamento Europeo y al Consejo. En dicho informe, la Comisión evaluará, en particular, si es apropiado modificar el ámbito de aplicación del presente Reglamento o sus disposiciones específicas, incluidas, en concreto, las disposiciones que figuran en el artículo 5 quater, apartado 5, teniendo en cuenta la experiencia adquirida en la aplicación del presente Reglamento, así como la evolución tecnológica, del mercado y jurídica. Si fuera necesario, dicho informe irá acompañado de una propuesta de modificación del presente Reglamento.

2.   El informe a que se refiere el apartado 1 incluirá una evaluación de la disponibilidad, seguridad y facilidad de uso de los medios de identificación electrónica notificados y las carteras europeas de identidad digital que entran dentro del ámbito de aplicación del presente Reglamento y evaluarán si debe requerirse a todos los prestadores de servicios privados en línea que se apoyan en servicios de identificación electrónica de terceros con fines de autenticación de los usuarios que acepten el uso de los medios de identificación electrónicos notificados y la cartera europea de identidad digital.

3.   A más tardar el 21 de mayo de 2030, la Comisión presentará un informe al Parlamento Europeo y al Consejo sobre la marcha hacia el logro de los objetivos del presente Reglamento.».

51) El artículo 51 se sustituye por el texto siguiente:

«Artículo 51. Disposiciones transitorias

1.   Los dispositivos de creación de firma segura cuya conformidad se haya determinado con arreglo al artículo 3, apartado 4, de la Directiva 1999/93/CE continuarán considerándose dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento hasta el 21 de mayo de 2027.

2.   Los certificados cualificados expedidos a personas físicas con arreglo a la Directiva 1999/93/CE seguirán considerándose certificados cualificados de firma electrónica en virtud del presente Reglamento hasta el 21 de mayo de 2026.

3.   Los prestadores cualificados de servicios de confianza distintos de aquellos que presten servicios cualificados de confianza para la gestión de dispositivos cualificados de creación de firma y sello electrónicos a distancia de conformidad con los artículos 29 bis y 39 bis podrán seguir llevando a cabo la gestión de certificados cualificados de firma electrónica sin la necesidad de obtener la cualificación para la prestación de dichos servicios de gestión hasta el 21 de mayo de 2026.

4.   Los prestadores cualificados de servicios de confianza a los que se haya concedido su cualificación en virtud del presente Reglamento antes del 20 de mayo de 2024 presentarán al organismo de supervisión un informe de evaluación de la conformidad que demuestre el cumplimiento del artículo 24, apartados 1, 1 bis y 1 ter, tan pronto como sea posible y, en cualquier caso, antes del 21 de mayo de 2026.».

52) Los anexos I a IV se modifican, respectivamente, de conformidad con lo dispuesto en los anexos I a IV del presente Reglamento.

53) Se añaden los nuevos anexos V, VI y VII, tal como figuran en los anexos V, VI y VII del presente Reglamento.

Artículo 2. Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 11 de abril de 2024.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, La Presidenta, H. LAHBIB

(*1)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).».»

(*2)  Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).»

(*3)  Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 (“Reglamento sobre la Ciberseguridad”) (DO L 151 de 7.6.2019, p. 15).»

(*4)  Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).»

(*5)  Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).».»

(*6)  Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).».»

(*7)  Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).».»

——————————————

(1)   DO C 105 de 4.3.2022, p. 81.

(2)   DO C 61 de 4.2.2022, p. 42.

(3)  Posición del Parlamento Europeo de 29 de febrero de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 26 de marzo de 2024.

(4)  Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).

(5)  Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, por la que se establece el programa estratégico de la Década Digital para 2030 (DO L 323 de 19.12.2022, p. 4).

(6)   DO C 23 de 23.1.2023, p. 1.

(7)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO L 119 de 4.5.2016, p. 1).

(8)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(9)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(10)  Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(11)  Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de los documentos de residencia expedidos a ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación (DO L 188 de 12.7.2019, p. 67).

(12)  Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).

(13)  Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).

(14)  Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).

(15)  Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).

(16)  Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea (DO L 210 de 14.6.2021, p. 51).

—————————————————————-

ANEXO I. En el anexo I del Reglamento (UE) nº 910/2014, la letra i) se sustituye por el texto siguiente:

«i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;».

ANEXO II. En el anexo II del Reglamento (UE) nº 910/2014, se suprimen los puntos 3 y 4.

ANEXO III. En el anexo III del Reglamento (UE) nº 910/2014, la letra i) se sustituye por el texto siguiente:

«i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;».

ANEXO IV. El anexo IV del Reglamento (UE) nº 910/2014 se modifica como sigue:

1) La letra c) se sustituye por el texto siguiente:

«c) para las personas físicas: al menos el nombre de la persona a la que se expida el certificado, o un seudónimo; y, cuando se use un seudónimo, una indicación clara en este sentido;

c bis) para las personas jurídicas: un conjunto único de datos que represente inequívocamente a la persona jurídica a la que se expide el certificado, con al menos el nombre de la persona jurídica a la que se expide el certificado y, en su caso, el número de registro tal como figura en los registros oficiales;».

2) La letra j) se sustituye por el texto siguiente:

«j) la información o la localización de los servicios de estado de validez del certificado que pueden utilizarse para consultar el estado de validez del certificado cualificado.».

ANEXO V.

«ANEXO V. REQUISITOS APLICABLES A LA DECLARACIÓN ELECTRÓNICA CUALIFICADA DE ATRIBUTOS

La declaración electrónica cualificada de atributos contendrá:

a) una indicación, al menos en una forma adecuada para el tratamiento automático, de que la declaración ha sido expedida como declaración electrónica cualificada de atributos;

b) un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide la declaración electrónica cualificada de atributos, que ha de incluir, como mínimo, el Estado miembro en el que dicho prestador está establecido, y:

i) para personas jurídicas, el nombre y, cuando proceda, el número de registro según consten en los registros oficiales,

ii) para personas físicas, el nombre de la persona;

c) un conjunto de datos que represente inequívocamente a la entidad a que se refieren los atributos declarados; y, cuando se use un seudónimo, una indicación clara en este sentido;

d) el atributo o atributos declarados, incluida, cuando proceda, la información necesaria para identificar el alcance de dichos atributos;

e) los datos relativos al inicio y final del período de validez de la declaración;

f) el código de identidad de la declaración, que debe ser único para el prestador cualificado de servicios de confianza y, si procede, la indicación del régimen de declaraciones al que pertenece la declaración de atributos;

g) la firma electrónica cualificada o el sello electrónico cualificado del prestador cualificado de servicios de confianza expedidor;

h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica cualificada o el sello electrónico cualificado a que se refiere la letra g);

i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez de la declaración cualificada.».

ANEXO VI

«ANEXO VI. LISTA MÍNIMA DE ATRIBUTOS

En virtud de lo dispuesto en el artículo 45 sexies, los Estados miembros garantizarán la adopción de medidas que permitan a los prestadores cualificados de servicios de confianza de declaraciones electrónicas de atributos verificar por medios electrónicos, a petición del usuario, la autenticidad de los atributos siguientes, cotejándolos con las fuentes auténticas pertinentes a escala nacional o a través de intermediarios designados reconocidos a escala nacional, de conformidad con el Derecho de la Unión o nacional y cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público:

1. dirección,

2. edad,

3. sexo,

4. estado civil,

5. composición familiar,

6. nacionalidad o ciudadanía,

7. cualificaciones, títulos y licencias académicos,

8. cualificaciones, títulos y licencias profesionales,

9. facultades y mandatos para representar a personas físicas o jurídicas,

10. permisos y licencias públicos,

11. en el caso de las personas jurídicas, datos financieros y sociales.».

ANEXO VII.

«ANEXO VII. REQUISITOS APLICABLES A LA DECLARACIÓN ELECTRÓNICA DE ATRIBUTOS EXPEDIDA POR UN ORGANISMO PÚBLICO RESPONSABLE DE UNA FUENTE AUTÉNTICA O EN NOMBRE DE ESTE

Las declaraciones electrónicas de atributos expedidas por un organismo público responsable de una fuente auténtica, o en nombre de este, contendrán:

a) una indicación, al menos en una forma adecuada para el tratamiento automático, de que la declaración ha sido expedida como declaración electrónica de atributos por un organismo público responsable de una fuente auténtica, o en nombre de este;

b) un conjunto de datos que represente inequívocamente al organismo público que expide la declaración electrónica de atributos, que ha de incluir, como mínimo, el Estado miembro en el que dicho organismo público tiene su sede y su nombre y, en su caso, su número de registro tal como figura en los registros oficiales;

c) un conjunto de datos que represente inequívocamente a la entidad a que se refieren los atributos declarados; y, cuando se use un seudónimo, una indicación clara en este sentido;

d) el atributo o atributos declarados, incluida, cuando proceda, la información necesaria para identificar el alcance de dichos atributos;

e) los datos relativos al inicio y final del período de validez de la declaración;

f) el código de identidad de la declaración, que debe ser único para el organismo público expedidor y, si procede, una indicación del régimen de declaraciones al que pertenece la declaración de atributos;

g) la firma electrónica cualificada o el sello electrónico cualificado del organismo expedidor;

h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica cualificada o el sello electrónico cualificado a que se refiere la letra g);

i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez de la declaración.».

31Ene/24

Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022

Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (Diario Oficial de la Unión Europea) de 27.10.2022)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Visto el dictamen del Comité de las Regiones (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1) Los servicios de la sociedad de la información y especialmente los servicios intermediarios se han convertido en una parte importante de la economía de la Unión y de la vida cotidiana de sus ciudadanos. Veinte años después de la adopción del marco jurídico vigente aplicable a dichos servicios establecido en la Directiva 2000/31/CE del Parlamento Europeo y del Consejo (4), han aparecido nuevos e innovadores modelos de negocio y servicios, como las redes sociales y las plataformas en línea que permiten a los consumidores celebrar contratos a distancia con comerciantes, que han permitido a los usuarios profesionales y a los consumidores comunicar información y acceder a ella, y efectuar transacciones de formas novedosas. La mayoría de los ciudadanos de la Unión utiliza ahora este tipo de servicios a diario. Sin embargo, la transformación digital y el creciente uso de esos servicios también entraña nuevos riesgos y desafíos para los destinatarios individuales de los correspondientes servicios, las empresas y la sociedad en su conjunto.

(2) Los Estados miembros están adoptando, o considerando adoptar, un número creciente de normas de Derecho nacional sobre las materias que regula el presente Reglamento, imponiendo, en particular, requisitos de diligencia a los prestadores de servicios intermediarios por lo que se refiere al modo en que deben hacer frente a los contenidos ilícitos, la desinformación y otros riesgos para la sociedad. Habida cuenta del carácter intrínsecamente transfronterizo de internet, que es el medio utilizado en general para la prestación de dichos servicios, las divergencias entre esas normas de Derecho nacional afectan negativamente al mercado interior, el cual, en virtud del artículo 26 del Tratado de Funcionamiento de la Unión Europea (TFUE), implica un espacio sin fronteras interiores, en el que la libre circulación de mercancías y servicios y la libertad de establecimiento están garantizadas. Deben armonizarse las condiciones para la prestación de servicios intermediarios en el mercado interior, a fin de que las empresas tengan acceso a nuevos mercados y puedan aprovechar las ventajas del mercado interior, al tiempo que se permite a los consumidores y otros destinatarios de los servicios disfrutar de una mayor oferta. Se considera que tanto los usuarios profesionales como los consumidores y otros usuarios son «destinatarios de los servicios» a efectos del presente Reglamento.

(3) Es esencial que los prestadores de servicios intermediarios se comporten de modo responsable y diligente para crear un entorno en línea seguro, predecible y digno de confianza, y para que los ciudadanos de la Unión y otras personas puedan ejercer los derechos garantizados por la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), en particular la libertad de expresión y de información, la libertad de empresa, el derecho a la no discriminación y la garantía de un nivel elevado de protección de los consumidores.

(4) Por tanto, a fin de salvaguardar y mejorar el funcionamiento del mercado interior, debe adoptarse un conjunto específico de normas uniformes, eficaces y proporcionadas de obligado cumplimiento en el ámbito de la Unión. En el presente Reglamento se establecen las condiciones para que en el mercado interior surjan y se desarrollen servicios digitales innovadores. Es necesario aproximar en el ámbito de la Unión las disposiciones reguladoras nacionales referidas a los requisitos aplicables a los prestadores de servicios intermediarios a fin de evitar y eliminar la fragmentación del mercado interior y garantizar la seguridad jurídica, de modo que se reduzca la incertidumbre para los desarrolladores y se fomente la interoperabilidad. Si se aplican requisitos tecnológicamente neutros, la innovación no debería verse obstaculizada sino estimulada.

(5) El presente Reglamento debe aplicarse a los prestadores de determinados servicios de la sociedad de la información definidos en la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (5), es decir, cualquier servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición de un destinatario a título individual. En concreto, el presente Reglamento debe aplicarse a los prestadores de servicios intermediarios, en particular los servicios intermediarios consistentes en servicios conocidos como de «mera transmisión», de «memoria caché» y de «alojamiento de datos», dado que el crecimiento exponencial del uso de dichos servicios, principalmente para todo tipo de fines legítimos y beneficiosos para la sociedad, también ha incrementado su importancia en la intermediación y propagación de información y actividades ilícitas o de otras que también resultan nocivas.

(6) En la práctica, algunos prestadores de servicios intermediarios sirven de intermediarios en servicios que pueden prestarse o no por vía electrónica, como servicios de tecnologías de la información a distancia o servicios de transporte, de hospedaje o de reparto. El presente Reglamento solo debe aplicarse a los servicios intermediarios y no afectar a los requisitos impuestos por el Derecho de la Unión o nacional en relación con productos o servicios intermediados a través de servicios intermediarios, incluidas las situaciones en las que el servicio intermediario constituye una parte integrante de otro servicio que no es un servicio intermediario como se reconoce en la jurisprudencia del Tribunal de Justicia de la Unión Europea.

(7) A fin de garantizar la eficacia de las normas establecidas en el presente Reglamento y la igualdad de condiciones de competencia en el mercado interior, dichas normas deben aplicarse a los prestadores de servicios intermediarios con independencia de su lugar de establecimiento o ubicación, en la medida en que ofrezcan servicios en la Unión, lo que se pone de manifiesto por medio de una conexión sustancial con la Unión.

(8) Debe considerarse que existe tal conexión sustancial con la Unión cuando el prestador de servicios tenga un establecimiento en la Unión o, a falta de dicho establecimiento, cuando el número de destinatarios del servicio en uno o varios Estados miembros sea significativo en relación con su población, o cuando se orienten actividades hacia uno o más Estados miembros. La orientación de las actividades hacia uno o más Estados miembros puede determinarse en función de todas las circunstancias pertinentes, incluidos factores como el uso de una lengua o una moneda utilizada generalmente en ese Estado miembro, o la posibilidad de encargar productos o servicios, o el uso de un dominio de primer nivel pertinente. La orientación de las actividades hacia un Estado miembro también puede derivarse de la disponibilidad de una aplicación en la tienda de aplicaciones nacional correspondiente, de la existencia de publicidad local o publicidad en una lengua utilizada en dicho Estado miembro, o de una gestión de las relaciones con los clientes que incluya, por ejemplo, la prestación de servicios a los clientes en una lengua comúnmente utilizada en ese Estado miembro. También debe presumirse una conexión sustancial cuando el prestador de servicios dirija sus actividades hacia uno o más Estados miembros, en el sentido del artículo 17, apartado 1, letra c), del Reglamento (UE) nº1215/2012 del Parlamento Europeo y del Consejo (6). Por el contrario, no cabe considerar que la mera accesibilidad técnica de un sitio web desde la Unión demuestre, por ese único motivo, la existencia de una conexión sustancial con la Unión.

(9) El presente Reglamento armoniza plenamente las normas aplicables a los servicios intermediarios en el mercado interior con el objetivo de garantizar un entorno en línea seguro, predecible y digno de confianza y aborda la difusión de contenidos ilícitos en línea y los riesgos para la sociedad que puede generar la difusión de desinformación u otros contenidos, dentro del cual se protegen eficazmente los derechos fundamentales reconocidos en la Carta y se facilita la innovación. De este modo, los Estados miembros no deben adoptar ni mantener otros requisitos nacionales relativos a las materias comprendidas en el ámbito de aplicación del presente Reglamento, a menos que este prevea expresamente tal posibilidad, ya que ello afectaría a la aplicación directa y uniforme de las normas plenamente armonizadas aplicables a los prestadores de servicios intermediarios de conformidad con los objetivos del presente Reglamento. Lo anterior no debe excluir la posibilidad de aplicar otras normas de Derecho nacional aplicables a los prestadores de servicios intermediarios, en cumplimiento del Derecho de la Unión, incluida la Directiva 2000/31/CE, en particular su artículo 3, cuando las disposiciones del Derecho nacional persigan otros objetivos legítimos de interés público distintos de los perseguidos por el presente Reglamento.

(10) El presente Reglamento ha de entenderse sin perjuicio de otros actos del Derecho de la Unión que regulan la prestación de servicios de la sociedad de la información en general, que regulan otros aspectos de la prestación de servicios intermediarios en el mercado interior o que precisan y complementan las normas armonizadas establecidas en el presente Reglamento, como la Directiva 2010/13/UE del Parlamento Europeo y del Consejo (7) incluidas las disposiciones establecidas en ella por lo que se refiere a las plataformas de distribución de vídeos, los Reglamentos (UE) 2019/1148 (8), (UE) 2019/1150 (9), (UE) 2021/784 (10) y (UE) 2021/1232 (11) del Parlamento Europeo y del Consejo y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (12) y las disposiciones de Derecho de la Unión establecidas en un Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal y en una Directiva por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales.

Análogamente, por motivos de claridad, el presente Reglamento ha de entenderse sin perjuicio del Derecho de la Unión en materia de protección de los consumidores, en particular los Reglamentos (UE) 2017/2394 (13) y (UE) 2019/1020 (14) del Parlamento Europeo y del Consejo, las Directivas 2001/95/CE (15), 2005/29/CE (16), 2011/83/UE (17) y 2013/11/UE (18) del Parlamento Europeo y del Consejo, y la Directiva 93/13/CEE del Consejo (19), y en materia de protección de los datos personales, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (20).

El presente Reglamento también ha de entenderse sin perjuicio de las normas de la Unión en el ámbito del Derecho internacional privado, en particular las relativas a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil, como el Reglamento (UE) nº1215/2012, y a la ley aplicable a las obligaciones contractuales y extracontractuales. La protección de las personas físicas con respecto al tratamiento de los datos personales se rige exclusivamente por las disposiciones del Derecho de la Unión sobre esa materia, en particular el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. El presente Reglamento ha de entenderse, además, sin perjuicio del Derecho de la Unión en materia de condiciones laborales y del Derecho de la Unión en el ámbito de la cooperación judicial en materia civil y penal. No obstante, en la medida en que dichos actos jurídicos de la Unión persiguen los mismos objetivos que los establecidos en el presente Reglamento, las normas del presente Reglamento se deben aplicar a cuestiones que esos otros actos jurídicos no resuelven, o no resuelven por completo, así como a problemas para los que esos otros actos jurídicos dejan abierta la posibilidad de que los Estados miembros adopten determinadas medidas de ámbito nacional.

(11) Conviene aclarar que el presente Reglamento ha de entenderse sin perjuicio del Derecho de la Unión en materia de derechos de autor y derechos conexos, incluidas las Directivas 2001/29/CE (21), 2004/48/CE (22) y (UE) 2019/790 (23) del Parlamento Europeo y del Consejo, que establecen normas y procedimientos específicos que no deben verse afectados.

(12) A fin de alcanzar el objetivo de garantizar un entorno en línea seguro, predecible y digno de confianza, para los efectos del presente Reglamento, el concepto de «contenido ilícito» debe reflejar a grandes rasgos las normas vigentes en el entorno fuera de línea. Concretamente, el concepto de «contenido ilícito» debe definirse de manera amplia para abarcar la información relacionada con contenidos, productos, servicios y actividades de carácter ilícito. En particular, debe entenderse que dicho concepto se refiere a información, sea cual sea su forma, que sea de por sí ilícita en virtud del Derecho aplicable, como los delitos de incitación al odio o los contenidos terroristas y los contenidos discriminatorios ilícitos, o que las normas aplicables consideren ilícita por estar relacionada con actividades ilícitas. Ejemplos de ello son el intercambio de imágenes que representen abusos sexuales de menores, el intercambio ilícito no consentido de imágenes privadas, el acoso en línea, la venta de productos no conformes o falsificados, la venta de productos o la prestación de servicios que infrinjan el Derecho en materia de protección de los consumidores, el uso no autorizado de material protegido por derechos de autor, la oferta ilegal de servicios de alojamiento o la venta ilegal de animales vivos. En cambio, el vídeo de un testigo presencial de un posible delito no debe considerarse contenido ilícito por el mero hecho de que muestre un acto ilícito, cuando la grabación o difusión pública de dicho vídeo no sea ilícita con arreglo al Derecho nacional o de la Unión. En este sentido, es irrelevante tanto que el carácter ilícito de la información o actividad se derive del Derecho de la Unión o del Derecho nacional que sea conforme con el Derecho de la Unión, como la naturaleza o materia precisa del Derecho aplicable.

(13) Habida cuenta de las características concretas de los servicios considerados y la correspondiente necesidad de someter a sus prestadores a determinadas obligaciones específicas, es preciso distinguir, dentro de la categoría general de prestadores de servicios de alojamiento de datos que se define en el presente Reglamento, la subcategoría de las plataformas en línea. Cabe definir a las plataformas en línea, como las redes sociales o las plataformas en línea que permiten a los consumidores celebrar contratos a distancia con comerciantes, como prestadores de servicios de alojamiento de datos que no solo almacenan información proporcionada por los destinatarios del servicio a petición de estos, sino que además difunden dicha información al público a petición de los destinatarios del servicio. Sin embargo, a fin de evitar la imposición de obligaciones excesivamente generales, los prestadores de servicios de alojamiento de datos no deben ser considerados plataformas en línea cuando la difusión al público sea tan solo una característica menor o meramente accesoria que esté inextricablemente unida a otro servicio o una funcionalidad menor del servicio principal, y dicha característica o funcionalidad no pueda utilizarse, por razones técnicas objetivas, sin ese otro servicio o servicio principal, y la integración de dicha característica o funcionalidad no sea un medio para eludir la aplicabilidad de las disposiciones del presente Reglamento aplicables a las plataformas en línea. Por ejemplo, la sección de comentarios de un periódico en línea podría ser una característica de esta índole, cuando no quepa duda de que es auxiliar al servicio principal constituido por la publicación de noticias bajo la responsabilidad editorial del editor. En cambio, el almacenamiento de comentarios en una red social debe ser considerado un servicio de plataforma en línea cuando quede claro que no es una característica menor del servicio ofrecido, aunque sea accesorio a la publicación de las entradas de los destinatarios del servicio. A efectos del presente Reglamento, los servicios de computación en nube o de alojamiento web no deben ser considerados plataformas en línea cuando la difusión al público de información específica constituya una característica menor y auxiliar o una funcionalidad menor de dichos servicios.

Además, los servicios de computación en nube y de alojamiento web que sirven como infraestructura, como los servicios infraestructurales de almacenamiento y computación para una aplicación basada en internet, un sitio web o una plataforma en línea, no deben ser considerados en sí mismos servicios de difusión al público de la información almacenada o tratada a petición de un destinatario de la aplicación, el sitio web o la plataforma que alojen.

(14) El concepto de «difusión al público», tal como se utiliza en el presente Reglamento, debe implicar que la información se ponga a disposición de un número potencialmente ilimitado de personas, es decir, hacer que la información sea fácilmente accesible para los destinatarios del servicio en general, sin necesidad de que el destinatario del servicio que proporciona la información haga nada más, con independencia de si dichas personas acceden efectivamente a la información en cuestión. Por consiguiente, cuando el acceso a la información requiera la inscripción o la admisión en un grupo de destinatarios del servicio, solo debe considerarse que dicha información ha sido difundida al público cuando los destinatarios del servicio que deseen acceder a la información se inscriban o sean admitidos automáticamente sin que un ser humano decida o escoja a quién se concede el acceso. Los servicios de comunicaciones interpersonales definidos en la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo (24), como los correos electrónicos o los servicios de mensajería privada, quedan fuera del ámbito de la definición de plataformas en línea, ya que se utilizan para la comunicación interpersonal entre un número finito de personas determinado por el remitente de la comunicación. No obstante, las obligaciones establecidas en el presente Reglamento para los prestadores de plataformas en línea pueden aplicarse a los servicios que permitan poner información a disposición de un número potencialmente ilimitado de destinatarios, no determinado por el remitente de la comunicación, por ejemplo a través de grupos públicos o canales abiertos. La información solo debe considerarse difundida al público en el sentido del presente Reglamento cuando dicha difusión ocurra a petición directa del destinatario del servicio que ha proporcionado la información.

(15) Cuando algunos de los servicios prestados por un prestador estén sujetos al presente Reglamento y otros no, o cuando los servicios prestados por un prestador estén sujetos a diferentes secciones del presente Reglamento, las disposiciones pertinentes del Reglamento solo deben aplicarse a los servicios que entren en su ámbito de aplicación.

(16) La seguridad jurídica que proporciona el marco horizontal de exenciones condicionales de la responsabilidad de los prestadores de servicios intermediarios, establecido en la Directiva 2000/31/CE, ha hecho posible que en el mercado interior surjan y se desarrollen muchos servicios novedosos. Por consiguiente, dicho marco debe conservarse. Sin embargo, en vista de las divergencias en la transposición y aplicación de las normas pertinentes en el ámbito nacional, y por motivos de claridad y coherencia, dicho marco debe incorporarse al presente Reglamento. También es necesario precisar determinados elementos de ese marco teniendo en cuenta de la jurisprudencia del Tribunal de Justicia de la Unión Europea.

(17) Las normas de responsabilidad de los prestadores de servicios intermediarios establecidas en el presente Reglamento solo deben determinar cuándo no se pueden exigir responsabilidades al prestador de servicios intermediarios de que se trate en relación con contenidos ilícitos proporcionados por los destinatarios del servicio. No cabe entender que esas disposiciones sienten una base positiva para establecer cuándo se pueden exigir responsabilidades a un prestador, lo que corresponde determinar a las normas aplicables del Derecho de la Unión o nacional. Asimismo, las exenciones de responsabilidad establecidas en el presente Reglamento deben aplicarse a cualquier tipo de responsabilidad respecto de cualquier tipo de contenido ilícito, sea cual sea la materia o naturaleza precisa de dichas normas.

(18) Las exenciones de responsabilidad establecidas en el presente Reglamento no deben aplicarse cuando, en lugar de limitarse a la prestación neutra de los servicios mediante un tratamiento meramente técnico y automático de la información proporcionada por el destinatario del servicio, el prestador de servicios intermediarios desempeñe un papel activo de tal índole que le confiera conocimiento de dicha información o control sobre ella. En consecuencia, no cabe acogerse a dichas exenciones cuando las responsabilidades se deriven de información no proporcionada por el destinatario del servicio, sino por el propio prestador del servicio intermediario, incluido el caso en que la información se haya elaborado bajo la responsabilidad editorial de dicho prestador.

(19) En vista de la distinta naturaleza de las actividades de «mera transmisión», «memoria caché» y «alojamiento de datos» y la diferente posición y capacidad de los prestadores de los servicios de que se trate, es necesario diferenciar las normas aplicables a dichas actividades, en la medida en que, en virtud del presente Reglamento, estén sujetas a distintos requisitos y condiciones y su ámbito de aplicación sea diferente, a la luz de la interpretación del Tribunal de Justicia de la Unión Europea.

(20) Cuando un prestador de servicios intermediarios colabore deliberadamente con un destinatario del servicio a fin de llevar a cabo actividades ilícitas, se ha de considerar que el servicio no se ha prestado de forma neutra y, por tanto, el prestador no debe poder acogerse a las exenciones de responsabilidad establecidas en el presente Reglamento. Así debe ser, por ejemplo, cuando el prestador ofrece sus servicios con el propósito principal de facilitar actividades ilícitas, por ejemplo, manifestando expresamente que su propósito es el de facilitar actividades ilícitas o que sus servicios son adecuados a tal fin. El mero hecho de que un servicio ofrezca transmisiones cifradas o cualquier otro sistema que impida la identificación del usuario no debe considerarse en sí mismo que facilite actividades ilícitas.

(21) Un prestador debe poder acogerse a las exenciones de responsabilidad en el caso de servicios de «mera transmisión» y «memoria caché» cuando no tenga nada que ver con la información que se ha transmitido o a la que se accede. Esto requiere, entre otras cosas, que el prestador no modifique la información que transmite o a la que da acceso. Sin embargo, no cabe entender que este requisito se aplique a manipulaciones de carácter técnico que tengan lugar durante la transmisión o el acceso, siempre que dichas manipulaciones no alteren la integridad de la información que se transmite o a la que se da acceso.

(22) Para poder acogerse a la exención de responsabilidad de los servicios de alojamiento de datos, el prestador debe, en el momento en que tenga conocimiento efectivo o consciencia de actividades o contenidos ilícitos, actuar de manera diligente para retirar dichos contenidos o bloquear el acceso a ellos. La retirada o bloqueo del acceso debe llevarse a cabo respetando los derechos fundamentales de los destinatarios del servicio, incluido el derecho a la libertad de expresión y de información. El prestador puede obtener dicho conocimiento efectivo o consciencia del carácter ilícito de los contenidos, entre otras vías, a través de investigaciones realizadas por iniciativa propia o de notificaciones recibidas de personas físicas o entidades de conformidad con el presente Reglamento en la medida en que dichas notificaciones sean suficientemente precisas y estén adecuadamente fundamentadas para que un operador económico diligente, de manera razonable, pueda detectar y evaluar el contenido presuntamente ilícito y, en su caso, actuar contra él. Sin embargo, no cabe considerar que dicho conocimiento efectivo o consciencia se obtenga por el mero hecho de que el prestador sea consciente, de manera general, de que su servicio también se utiliza para almacenar contenidos ilícitos. Además, el hecho de que el prestador indexe automáticamente la información cargada en su servicio, tenga una función de búsqueda y recomiende información basándose en los perfiles o preferencias de los destinatarios del servicio no es motivo suficiente para considerar que dicho prestador tenga un conocimiento «específico» de las actividades ilegales llevadas a cabo en esa plataforma o de los contenidos ilícitos almacenados en ella.

(23) La exención de responsabilidad no debe aplicarse cuando el destinatario del servicio actúe bajo la autoridad o el control del prestador de un servicio de alojamiento de datos. Por ejemplo, cuando el prestador de una plataforma en línea que permite a los consumidores celebrar contratos a distancia con comerciantes determine el precio de los productos o servicios ofertados por el comerciante, se podría considerar que el comerciante actúa bajo la autoridad o el control de dicha plataforma en línea.

(24) A fin de garantizar la protección efectiva de los consumidores que efectúan transacciones comerciales intermediadas en línea, determinados prestadores de servicios de alojamiento de datos, en concreto, las plataformas en línea que permiten a los consumidores celebrar contratos a distancia con comerciantes, no deben poder acogerse a la exención de responsabilidad aplicable a los prestadores de servicios de alojamiento de datos establecida en el presente Reglamento, en la medida en que dichas plataformas en línea presenten la información pertinente relativa a las transacciones en cuestión de manera que induzca a los consumidores a creer que dicha información ha sido facilitada por las propias plataformas en línea o por comerciantes que actúan bajo su autoridad o control, y que dichas plataformas en línea tienen por tanto conocimiento de la información o control sobre ella, aunque puede que en realidad no sea así. Entre los ejemplos de estas prácticas encontramos el de una plataforma en línea que no muestre claramente la identidad del comerciante como exige el presente Reglamento, el de una plataforma en línea que no revele la identidad o los datos de contacto del comerciante hasta después de la formalización del contrato celebrado entre el comerciante y el consumidor, o el de una plataforma en línea cuando comercialice el producto o servicio en su propio nombre en lugar de en nombre del comerciante que suministrará el producto o servicio. A este respecto, debe determinarse de manera objetiva, teniendo en cuenta todas las circunstancias pertinentes, si la presentación podría inducir a un consumidor medio a creer que la información en cuestión ha sido proporcionada por la propia plataforma en línea o por comerciantes que actúen bajo su autoridad o control.

(25) Las exenciones de responsabilidad establecidas en el presente Reglamento no deben afectar a la posibilidad de que se dicten requerimientos de distinta índole contra los prestadores de servicios intermediarios, aunque cumplan las condiciones establecidas como parte de tales exenciones. Dichos requerimientos podrían consistir, en particular, en órdenes de órganos jurisdiccionales o autoridades administrativas, dictadas en cumplimiento del Derecho de la Unión, por las que se exija poner fin a una infracción o impedirla, por ejemplo, mediante la retirada de los contenidos ilícitos especificados en dichas órdenes, o el bloqueo del acceso a esos contenidos.

(26) A fin de crear seguridad jurídica y no desincentivar las actividades destinadas a detectar e identificar contenidos ilícitos y actuar contra ellos que los prestadores de todas las categorías de servicios intermediarios llevan a cabo de forma voluntaria, conviene aclarar que el mero hecho de que los prestadores realicen esa clase de actividades no supone que ya no puedan acogerse a las exenciones de responsabilidad establecidas en el presente Reglamento, siempre que esas actividades se lleven a cabo de buena fe y con diligencia. La condición de actuar de buena fe y con diligencia debe implicar actuar de manera objetiva, no discriminatoria y proporcionada, teniendo debidamente en cuenta los derechos e intereses legítimos de todas las partes implicadas, y proporcionar las garantías necesarias contra la retirada injustificada de contenidos lícitos, de conformidad con el objetivo y los requisitos del presente Reglamento. A tal fin, los prestadores de que se trate deben, por ejemplo, adoptar medidas razonables para garantizar que, cuando se utilicen herramientas automatizadas para llevar a cabo tales actividades, la tecnología de que se trate tenga la fiabilidad suficiente para limitar en la mayor medida posible el porcentaje de errores. Además, conviene aclarar que el mero hecho de que los prestadores adopten medidas, de buena fe, para cumplir los requisitos del Derecho de la Unión, incluidos los establecidos en el presente Reglamento en lo que respecta a la aplicación de sus condiciones generales, no debe excluir la posibilidad de que se acojan a las exenciones de responsabilidad establecidas en el presente Reglamento. Por consiguiente, las actividades y medidas que un determinado prestador pueda haber adoptado no deben tenerse en cuenta a la hora de determinar si el prestador puede acogerse a una exención de responsabilidad, en particular en lo que se refiere a si presta su servicio de forma neutra y, por tanto, puede quedar sujeto al ámbito de aplicación de la disposición pertinente, sin que este criterio implique, no obstante, que el prestador pueda necesariamente acogerse a ella. Las acciones voluntarias no deben utilizarse para eludir las obligaciones de los prestadores de servicios intermediarios en virtud del presente Reglamento.

(27) Si bien las normas de responsabilidad de los prestadores de servicios intermediarios establecidas en el presente Reglamento se concentran en la exención de responsabilidad de los prestadores de servicios intermediarios, es importante recordar que, pese al importante papel que, por lo general, desempeñan dichos prestadores, el problema de los contenidos y las actividades ilícitos en línea no debe abordarse poniendo el foco únicamente en sus responsabilidades. En la medida de lo posible, los terceros afectados por contenidos ilícitos transmitidos o almacenados en línea deben intentar resolver los conflictos relativos a dichos contenidos sin implicar a los prestadores de servicios intermediarios de que se trate. Los destinatarios del servicio deben responder, cuando así lo dispongan las normas aplicables del Derecho de la Unión y nacional que determinen tales responsabilidades, de los contenidos ilícitos que proporcionen y puedan difundir al público a través de servicios intermediarios. En su caso, otros actores, por ejemplo, los moderadores de grupos en entornos en línea cerrados, especialmente grandes grupos, también deben contribuir a evitar la propagación de contenidos ilícitos en línea, de conformidad con el Derecho aplicable. Además, cuando sea necesario implicar a los prestadores de servicios de la sociedad de la información, incluidos los prestadores de servicios intermediarios, cualquier solicitud u orden de implicarlos debe dirigirse, por regla general, al prestador específico que posea la capacidad técnica y operativa para actuar contra elementos de contenido ilícito concretos, a fin de prevenir y minimizar los posibles efectos negativos para la disponibilidad y accesibilidad de información que no constituya contenido ilícito.

(28) Desde el año 2000, han aparecido nuevas tecnologías que mejoran la disponibilidad, eficiencia, velocidad, fiabilidad, capacidad y seguridad de los sistemas de transmisión, localización y almacenamiento de datos en línea, de forma que se ha creado un ecosistema en línea cada vez más complejo. En este sentido, conviene recordar que los prestadores de servicios que establecen y facilitan la arquitectura lógica subyacente y el correcto funcionamiento de internet, incluidas las funciones técnicas accesorias, también pueden acogerse a las exenciones de responsabilidad establecidas en el presente Reglamento, en la medida en que sus servicios cumplan los requisitos para considerarse de «mera transmisión», «memoria caché» o «alojamiento de datos». Dichos servicios pueden incluir, según el caso, redes de área local inalámbricas, sistemas de nombres de dominio (DNS), registros de nombres de dominio de primer nivel, registradores, autoridades de certificación que expiden certificados digitales, redes virtuales privadas, motores de búsqueda en línea, servicios de infraestructura en nube o redes de suministro de contenidos, que habiliten, localicen o mejoren las funciones de otros prestadores de servicios intermediarios. Del mismo modo, los servicios utilizados con fines de comunicación también han evolucionado de forma considerable, así como los medios técnicos para su prestación, dando lugar a servicios en línea como la transmisión de voz por internet, los servicios de mensajería y los servicios de correo electrónico vía web, que envían las comunicaciones a través de un servicio de acceso a internet. También esos servicios pueden acogerse a las exenciones de responsabilidad, en la medida en que cumplan los requisitos para ser considerados de «mera transmisión», «memoria caché» o «alojamiento de datos».

(29) Los servicios intermediarios abarcan una gran variedad de actividades económicas que tienen lugar en línea y que se desarrollan continuamente para ofrecer una transmisión de información rápida, segura y protegida, y para garantizar la comodidad de todos los participantes del ecosistema en línea. Por ejemplo, los servicios intermediarios de «mera transmisión» incluyen categorías genéricas de servicios como los puntos de intercambio de internet, los puntos de acceso inalámbrico, las redes privadas virtuales, los servicios de DNS y traductores DNS, los registros de nombres de dominio de primer nivel, los registradores, las autoridades de certificación que expiden certificados digitales, la transmisión de voz por internet y otros servicios de comunicación interpersonal, mientras que entre los ejemplos genéricos de servicios intermediarios de «memoria caché» se incluyen el suministro únicamente de redes de distribución de contenidos, los proxies inversos o los proxies de adaptación de contenidos. Estos servicios son cruciales para garantizar una transmisión fluida y eficiente de la información suministrada en internet. Entre los ejemplos de «servicios de alojamiento de datos» se incluyen categorías de servicios como la computación en nube, el alojamiento web, los servicios remunerados de referenciación o los servicios que permiten compartir información y contenidos en línea, incluido el almacenamiento y el intercambio de archivos. Los servicios intermediarios pueden prestarse de forma aislada, como parte de otro tipo de servicio intermediario, o al mismo tiempo que otros servicios intermediarios. La cuestión de si un servicio específico constituye un servicio de «mera transmisión», de «memoria caché» o de «alojamiento de datos» depende únicamente de sus funcionalidades técnicas, que pueden evolucionar con el tiempo, y debe dilucidarse caso por caso.

(30) Los prestadores de servicios intermediarios no deben estar sujetos, ni de iure ni de facto, a una obligación de monitorización con respecto a obligaciones de carácter general. Ello no afecta a las obligaciones de monitorización en un caso específico y, en particular, no afecta a las órdenes de las autoridades nacionales de conformidad con el Derecho nacional, en cumplimiento del Derecho de la Unión, conforme a la interpretación del Tribunal de Justicia de la Unión Europea y de conformidad con las condiciones establecidas en el presente Reglamento. Nada de lo dispuesto en el presente Reglamento debe interpretarse como la imposición de una obligación general de monitorización o de una búsqueda activa de hechos general, o una obligación general de que los prestadores adopten medidas proactivas en relación con contenidos ilícitos.

(31) En función del ordenamiento jurídico de cada Estado miembro y de la rama del Derecho de que se trate, las autoridades nacionales judiciales o administrativas, incluidas las autoridades policiales, pueden ordenar a los prestadores de servicios intermediarios que actúen contra uno o más elementos de contenido ilícito concretos o que proporcionen determinada información concreta. El Derecho nacional que sirve de base para dictar tales órdenes presenta diferencias considerables y las órdenes se han de aplicar cada vez más en situaciones transfronterizas. A fin de garantizar que esas órdenes puedan cumplirse de manera efectiva y eficiente, en particular en un contexto transfronterizo, de modo que las autoridades públicas afectadas puedan desempeñar su cometido y los prestadores no se vean sometidos a cargas desproporcionadas, sin afectar indebidamente a los derechos e intereses legítimos de terceros, es necesario someter tales órdenes a determinadas condiciones y establecer ciertos requisitos complementarios relativos a su tramitación. Por consiguiente, el presente Reglamento solo debe armonizar determinadas condiciones mínimas específicas que dichas órdenes deben cumplir para que se genere la obligación de los prestadores de servicios intermediarios de informar a las autoridades pertinentes sobre el curso dado a dichas órdenes. El presente Reglamento no proporciona, por tanto, un fundamento jurídico para la emisión de tales órdenes ni regula su ámbito de aplicación territorial o su ejecución transfronteriza.

(32) El Derecho de la Unión o nacional aplicable sobre la base del cual se dicten dichas órdenes puede exigir más condiciones y también debe servir de base para la ejecución de las órdenes respectivas. En caso de incumplimiento de tales órdenes, el Estado miembro emisor debe poder ejecutarlas de conformidad con su Derecho nacional. El Derecho nacional aplicable debe cumplir el Derecho de la Unión, incluidas la Carta y las disposiciones del TFUE relativas a la libertad de establecimiento y a la libre prestación de servicios dentro de la Unión, en particular por lo que respecta a los servicios de apuestas y juego en línea. De modo análogo, la aplicación de dicho Derecho nacional para la ejecución de las órdenes respectivas se entiende sin perjuicio de los actos jurídicos aplicables de la Unión o de los acuerdos internacionales celebrados por la Unión o por los Estados miembros en relación con el reconocimiento, la aplicación y la ejecución transfronterizos de dichas órdenes, en particular en materia civil y penal. Por otra parte, la ejecución de la obligación de informar a las autoridades pertinentes sobre el curso dado a esas órdenes, a diferencia de la ejecución de las propias órdenes, debe estar sujeta a las normas establecidas en el presente Reglamento.

(33) El prestador de servicios intermediarios debe informar a la autoridad emisora del curso dado a dichas órdenes sin dilación indebida, observando los plazos establecidos en el Derecho o de la Unión o nacional pertinente.

(34) Las autoridades nacionales pertinentes deben poder dictar tales órdenes contra contenidos considerados ilícitos u órdenes de entrega de información sobre la base del Derecho de la Unión o del Derecho nacional en cumplimiento del Derecho de la Unión, en particular la Carta, y dirigirlas a los prestadores de servicios intermediarios, incluidos los establecidos en otro Estado miembro. No obstante, el presente Reglamento debe entenderse sin perjuicio del Derecho de la Unión en el ámbito de la cooperación judicial en materia civil o penal, incluidos el Reglamento (UE) nº1215/2012 y un Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, y del Derecho procesal penal o civil nacional. Por consiguiente, cuando dicho Derecho nacional establezca, en el contexto de procedimientos penales o civiles, condiciones adicionales o incompatibles con las establecidas en el presente Reglamento en relación con las órdenes de actuación contra contenidos ilícitos o de entrega de información, las condiciones establecidas en el presente Reglamento pueden no aplicarse o adaptarse. En particular, la obligación del coordinador de servicios digitales del Estado miembro de la autoridad emisora de transmitir una copia de las órdenes a todos los demás coordinadores de servicios digitales puede no aplicarse en el contexto de un proceso penal o puede adaptarse, cuando así lo disponga el Derecho procesal penal nacional que sea aplicable.

Además, la obligación de que las órdenes contengan una motivación que explique los motivos por los que la información es ilícita debe adaptarse, en caso necesario, con arreglo al Derecho procesal penal nacional aplicable para la prevención, investigación, detección y enjuiciamiento de infracciones penales. Por último, la obligación de los prestadores de servicios intermediarios de informar al destinatario del servicio puede retrasarse de conformidad con el Derecho de la Unión o nacional aplicable, en particular en el contexto de un proceso penal, civil o administrativo. Además, las órdenes deben dictarse de conformidad con el Reglamento (UE) 2016/679, y con la prohibición establecida en el presente Reglamento de imponer obligaciones generales de supervisar información o de buscar activamente hechos o circunstancias que indiquen actividades ilícitas. Las condiciones y requisitos establecidos en el presente Reglamento que se aplican a las órdenes de actuación contra contenidos ilícitos han de entenderse sin perjuicio de otros actos de la Unión que establecen sistemas similares de actuación contra determinados tipos de contenidos ilícitos, como el Reglamento (UE) 2021/784, el Reglamento (UE) 2019/1020 o el Reglamento (UE) 2017/2394, que confiere competencias específicas para ordenar la entrega de información a las autoridades de los Estados miembros encargadas de la aplicación del Derecho de protección de los consumidores, mientras que las condiciones y requisitos que se aplican a las órdenes de entrega de información han de entenderse sin perjuicio de otros actos de la Unión que establecen disposiciones pertinentes análogas en sectores concretos. Dichos requisitos y condiciones han de entenderse sin perjuicio de las normas de retención y conservación establecidas en el Derecho nacional aplicable, en cumplimiento del Derecho de la Unión, y las solicitudes de confidencialidad efectuadas por las autoridades policiales en relación con la no revelación de información. Esas condiciones y requisitos aplicables no deben afectar a la posibilidad de que los Estados miembros exijan a un prestador de servicios intermediarios que impida una infracción, en cumplimiento del Derecho de la Unión, incluido el presente Reglamento, y en particular con la prohibición de la obligación general de monitorización.

(35) Las condiciones y requisitos establecidos en el presente Reglamento deben cumplirse a más tardar en el momento de transmisión de la orden al prestador de que se trate. Por consiguiente, la orden puede dictarse en una de las lenguas oficiales de la autoridad emisora del Estado miembro de que se trate. Ahora bien, cuando dicha lengua sea distinta de la declarada por el prestador de servicios intermediarios, o de otra lengua oficial de los Estados miembros, acordada entre la autoridad que dicte la orden y el prestador de servicios intermediarios, la transmisión de la orden debe ir acompañada de una traducción de, al menos, los elementos de la orden que se establecen en el presente Reglamento. Cuando un prestador de servicios intermediarios haya acordado con las autoridades de un Estado miembro utilizar una determinada lengua, se le debe exhortar a que acepte las órdenes en la misma lengua dictadas por autoridades de otros Estados miembros. Las órdenes deben incluir elementos que permitan al destinatario saber cuál es la autoridad emisora, incluidos, en su caso, los datos de contacto de un punto de contacto de dicha autoridad, y verificar la autenticidad de la orden.

(36) El ámbito territorial de las órdenes de actuación contra contenidos ilícitos debe establecerse con claridad sobre la base del Derecho de la Unión o nacional aplicable que permita dictarlas y no debe exceder de lo estrictamente necesario para el cumplimiento de sus objetivos. En ese sentido, la autoridad judicial o administrativa nacional, como podrían ser las autoridades policiales, que dicte la orden debe buscar un equilibrio entre el objetivo que la orden pretenda alcanzar, de acuerdo con el fundamento jurídico que haya permitido dictarla, y los derechos e intereses legítimos de todos los terceros que puedan verse afectados por dicha orden, en particular sus derechos fundamentales amparados por la Carta. En particular en los contextos transfronterizos, el efecto de la orden debe limitarse, en principio, al territorio del Estado miembro emisor, a menos que el carácter ilícito del contenido se derive directamente del Derecho de la Unión o la autoridad emisora considere que los derechos en cuestión requieren un ámbito territorial más amplio, de conformidad con el Derecho de la Unión y el Derecho internacional, teniendo en cuenta al mismo tiempo los intereses de la cortesía internacional.

(37) Las órdenes de entrega de información reguladas por el presente Reglamento afectan al suministro de información específica acerca de destinatarios individuales del servicio intermediario de que se trate, que estén identificados en dichas órdenes con el fin de determinar si los destinatarios del servicio cumplen con las normas de la Unión o nacionales aplicables. Dichas órdenes deben solicitar información al objeto de permitir la identificación de los destinatarios del servicio de que se trate. Por consiguiente, las órdenes relativas a información sobre un grupo de destinatarios del servicio que no estén identificados específicamente, incluidas las órdenes de entrega de información agregada necesaria para fines estadísticos o para la formulación de políticas basadas en datos contrastados, no están cubiertas por las obligaciones del presente Reglamento relativas a la entrega de información.

(38) Las órdenes de actuación contra contenidos ilícitos y de entrega de información están sujetas a las normas que salvaguardan la competencia del Estado miembro de establecimiento del prestador de servicios al que se dirigen y a las normas que establecen posibles excepciones a dicha competencia en determinados casos, contemplados en el artículo 3 de la Directiva 2000/31/CE, únicamente si se cumplen las condiciones de dicho artículo. Dado que las órdenes en cuestión se refieren, respectivamente, a elementos de contenido e información concretos de carácter ilícito, cuando se dirigen a prestadores de servicios intermediarios establecidos en otro Estado miembro, no limitan, en principio, la libertad de dichos prestadores de prestar sus servicios a través de las fronteras. Por consiguiente, no se aplican con respecto a esas órdenes las normas del artículo 3 de la Directiva 2000/31/CE, incluidas las que se refieren a la necesidad de justificar medidas de excepción a la competencia del Estado miembro de establecimiento del prestador de servicios por determinados motivos que se especifican y las que se refieren a la notificación de dichas medidas.

(39) Entre las obligaciones de informar sobre los mecanismos de recurso a disposición del prestador del servicio intermediario y del destinatario del servicio que haya suministrado el contenido está la de informar sobre los mecanismos administrativos de gestión de reclamaciones y los recursos judiciales, incluidos los recursos contra las órdenes dictadas por las autoridades judiciales. Además, los coordinadores de servicios digitales podrían desarrollar herramientas y orientaciones nacionales en relación con los mecanismos de reclamación y recurso aplicables en sus respectivos territorios, a fin de facilitar el acceso de los destinatarios del servicio a dichos mecanismos. Por último, al aplicar el presente Reglamento, los Estados miembros deben respetar el derecho fundamental a la tutela judicial efectiva y a un juez imparcial, tal como se establece en el artículo 47 de la Carta. Por tanto, el presente Reglamento no debe impedir a las autoridades judiciales o administrativas nacionales pertinentes dictar, sobre la base del Derecho de la Unión o nacional aplicable, una orden para restablecer contenidos cuando dichos contenidos cumplían las condiciones generales del prestador de servicios intermediarios, pero dicho prestador los hubiera considerado ilícitos erróneamente y se hubiesen retirado.

(40) A fin de cumplir los objetivos del presente Reglamento, y en particular de mejorar el funcionamiento del mercado interior y garantizar un entorno en línea seguro y transparente, es necesario establecer un conjunto claro, eficaz, predecible y equilibrado de obligaciones armonizadas de diligencia debida para los prestadores de servicios intermediarios. Esas obligaciones deben aspirar en particular a garantizar diferentes objetivos de interés público, como la seguridad y confianza de los destinatarios del servicio, incluidos los consumidores, los menores y los usuarios especialmente vulnerables al riesgo de ser víctimas de discursos de odio, acoso sexual u otras conductas discriminatorias, la protección de los derechos fundamentales pertinentes amparados por la Carta, la rendición de cuentas significativa por parte de dichos prestadores y el empoderamiento de los destinatarios y otros afectados, facilitando al mismo tiempo la necesaria vigilancia por parte de las autoridades competentes.

(41) En ese sentido, es importante que las obligaciones de diligencia debida se adapten al tipo, el tamaño y la naturaleza del servicio intermediario de que se trate. Por tanto, el presente Reglamento establece obligaciones básicas aplicables a todos los prestadores de servicios intermediarios, así como obligaciones adicionales para los prestadores de servicios de alojamiento de datos y, más concretamente, los prestadores de plataformas en línea, de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño. En la medida en que los prestadores de servicios intermediarios pertenezcan a varias de las diferentes categorías en función de la naturaleza de sus servicios y de su tamaño, deben cumplir con todas las obligaciones correspondientes del presente Reglamento en relación con dichos servicios. Esas obligaciones armonizadas de diligencia debida, que deben ser razonables y no arbitrarias, son necesarias para afrontar los objetivos de interés público identificados, como la salvaguardia de los intereses legítimos de los destinatarios del servicio, la lucha contra las prácticas ilícitas y la protección de los derechos fundamentales amparados por la Carta. Las obligaciones de diligencia debida son independientes de la cuestión de la responsabilidad de los prestadores de servicios intermediarios y, por tanto, deben apreciarse por separado.

(42) A fin de facilitar la fluidez y la eficiencia de las comunicaciones en ambos sentidos relativas a las materias reguladas por el presente Reglamento —también, en su caso, acusando recibo de dichas comunicaciones—, los prestadores de servicios intermediarios deben estar obligados a designar un punto único de contacto electrónico y a publicar y mantener actualizada información pertinente relativa a dicho punto de contacto, incluidas las lenguas que deban utilizarse en tales comunicaciones. El punto de contacto electrónico también puede ser utilizado por los alertadores fiables y por entidades profesionales que mantengan una relación específica con el prestador de servicios intermediarios. A diferencia del representante legal, el punto de contacto electrónico debe cumplir fines operativos y no se le debe exigir una localización física. Los prestadores de servicios intermediarios pueden establecer el mismo punto único de contacto para cumplir los requisitos del presente Reglamento y las finalidades de otros actos de Derecho de la Unión. Al especificar las lenguas de comunicación, se alienta a los prestadores de servicios intermediarios a que garanticen que las lenguas escogidas no constituyan, de por sí, un obstáculo a la comunicación. En caso necesario, debe ser posible que los prestadores de servicios intermediarios y las autoridades de los Estados miembros alcancen un acuerdo por separado acerca de la lengua de comunicación, o que busquen medios alternativos para superar la barrera lingüística, incluida la utilización de todos los medios tecnológicos disponibles o recursos humanos internos y externos.

(43) También se debe exigir a los prestadores de servicios intermediarios que designen un punto único de contacto para los destinatarios del servicio que posibilite una comunicación rápida, directa y eficiente, en particular por medios de fácil acceso, como un número de teléfono, direcciones de correo electrónico, formularios electrónicos de contacto, chatbots o la mensajería instantánea. Cuando un destinatario del servicio se esté comunicando con un chatbot, esta circunstancia debe indicarse expresamente. Los prestadores de servicios intermediarios deben permitir a los destinatarios del servicio elegir medios de comunicación directa y eficiente que no dependan únicamente de herramientas automatizadas. Los prestadores de servicios intermediarios deben hacer todos los esfuerzos que resulten razonables para garantizar que se destinan recursos humanos y financieros suficientes para que esta comunicación tenga lugar de manera rápida y eficiente.

(44) Los prestadores de servicios intermediarios establecidos en un tercer país y que ofrezcan servicios en la Unión deben designar a un representante legal en la Unión suficientemente habilitado y proporcionar información a las autoridades pertinentes relativa a sus representantes legales y hacerla pública. A fin de cumplir con dicha obligación, dichos prestadores de servicios intermediarios deben garantizar que el representante legal designado disponga de los poderes y recursos necesarios para cooperar con las autoridades pertinentes. Así podría ocurrir, por ejemplo, cuando un prestador de servicios intermediarios designe a una empresa filial del mismo grupo del prestador o a su empresa matriz, si dicha empresa filial o matriz está establecida en la Unión. No obstante, podría no ser el caso, por ejemplo, cuando el representante legal esté sujeto a procedimientos de reestructuración de deuda, quiebra o insolvencia personal o empresarial. Dicha obligación debe permitir la supervisión efectiva y, en caso necesario, la exigencia de cumplimiento del presente Reglamento a dichos prestadores. Debe existir la posibilidad de que un representante legal sea mandatado, de conformidad con el Derecho nacional, por más de un prestador de servicios intermediarios. También debe ser posible que el representante legal funcione como un punto de contacto, siempre que se cumplan los requisitos correspondientes del presente Reglamento.

(45) Aunque en principio debe respetarse la libertad contractual de los prestadores de servicios intermediarios, es oportuno establecer determinadas normas sobre el contenido, la aplicación y la ejecución de las condiciones generales de dichos prestadores por motivos de transparencia y protección de los destinatarios del servicio y para evitar resultados injustos o arbitrarios. Los prestadores de servicios intermediarios deben indicar con claridad y actualizar en sus condiciones generales la información relativa a los motivos por los que pueden restringir la prestación de sus servicios. En particular, deben incluir información sobre cualesquiera políticas, procedimientos, medidas y herramientas empleadas para moderar los contenidos, incluidas la toma de decisiones mediante algoritmos y la revisión humana, así como las normas de procedimiento de su sistema interno de gestión de reclamaciones. También deben facilitar información de fácil acceso sobre el derecho a poner fin al uso del servicio. Los prestadores de servicios intermediarios pueden utilizar elementos gráficos en sus condiciones generales de servicio, como iconos o imágenes, para ilustrar los principales elementos de las obligaciones de información establecidas en el presente Reglamento. Los prestadores deben informar a los destinatarios del servicio a través de medios adecuados de los cambios significativos realizados en sus condiciones generales, por ejemplo, cuando modifiquen las normas sobre la información permitida en su servicio, u otros cambios que puedan afectar directamente a la capacidad de los destinatarios de hacer uso del servicio.

(46) Los prestadores de servicios intermediarios que estén dirigidos principalmente a menores, habida cuenta, por ejemplo, del diseño o la comercialización del servicio, o que sean utilizados predominantemente por menores, deben realizar un esfuerzo especial para que la explicación de sus condiciones generales pueda ser comprendida con facilidad por los menores.

(47) Al definir, aplicar y hacer cumplir esas restricciones, los prestadores de servicios intermediarios deben actuar de manera no arbitraria y no discriminatoria y tener en cuenta los derechos e intereses legítimos de los destinatarios del servicio, incluidos los derechos fundamentales amparados por la Carta. Por ejemplo, es preciso que los prestadores de plataformas en línea de muy gran tamaño, en particular, tomen debidamente en consideración la libertad de expresión y de información, incluida la libertad y el pluralismo de los medios de comunicación. Todos los prestadores de servicios intermediarios también deben tener debidamente en cuenta las normas internacionales pertinentes para la protección de los derechos humanos, como los Principios Rectores de las Naciones Unidas sobre las Empresas y los Derechos Humanos.

(48) Dado su particular papel y alcance, conviene imponer a las plataformas en línea de muy gran tamaño y a los motores de búsqueda en línea de muy gran tamaño obligaciones adicionales en materia de información y transparencia de sus condiciones generales. Por consiguiente, los prestadores de plataformas en línea de muy gran tamaño y motores de búsqueda en línea de muy gran tamaño deben facilitar sus condiciones generales en las lenguas oficiales de todos los Estados miembros en los que ofrezcan sus servicios y también deben facilitar a los destinatarios de los servicios un resumen conciso y de fácil lectura de los principales elementos de las condiciones generales. En dichos resúmenes se deben indicar los principales elementos de las obligaciones de información, incluida la posibilidad de excluir fácilmente las cláusulas opcionales.

(49) Para garantizar un nivel adecuado de transparencia y rendición de cuentas, los prestadores de servicios intermediarios deben hacer público un informe anual en un formato legible por máquina, de conformidad con los requisitos armonizados recogidos en el presente Reglamento, sobre la moderación de contenidos que lleven a cabo, incluidas las medidas adoptadas como consecuencia de la aplicación y ejecución de sus condiciones generales. Sin embargo, a fin de evitar cargas desproporcionadas, esas obligaciones de transparencia informativa no deben aplicarse a los prestadores que sean microempresas o pequeñas empresas, tal como estas se definen en la Recomendación 2003/361/CE de la Comisión (25), y que no sean plataformas en línea de muy gran tamaño en el sentido del presente Reglamento.

(50) Los prestadores de servicios de alojamiento de datos desempeñan un papel especialmente importante para hacer frente a los contenidos ilícitos en línea, ya que almacenan información proporcionada por los destinatarios del servicio y a petición de estos, y normalmente facilitan el acceso de otros destinatarios a dicha información, a veces a gran escala. Es importante que todos los prestadores de servicios de alojamiento de datos, sea cual sea su tamaño, establezcan mecanismos de notificación y acción de fácil acceso y uso que faciliten la notificación, al prestador de los servicios de alojamiento de datos de que se trate, de elementos de información concretos que la parte notificante considere contenidos ilícitos (en lo sucesivo, «notificación»), en virtud de la cual el prestador pueda decidir si está o no de acuerdo con esa valoración y si desea retirar o bloquear el acceso a dicho contenido (en lo sucesivo, «acción»). Estos mecanismos deben ser claramente identificables, estar situados cerca de la información en cuestión y ser tan fáciles de encontrar y utilizar, al menos, como los mecanismos de notificación de contenidos que infrinjan las condiciones generales del prestador de servicios de alojamiento de datos. Siempre que se cumplan los requisitos sobre las notificaciones, debe ser posible que las personas físicas o entidades notifiquen múltiples elementos de contenido concretos presuntamente ilícitos por medio de una única notificación, con el fin de garantizar el funcionamiento eficaz de los mecanismos de notificación y acción. El mecanismo de notificación debe permitir, pero no exigir, la identificación de la persona física o entidad que envíe la notificación. En el caso de algunos tipos de elementos de información objeto de una notificación, la identidad de la persona física o entidad que envíe la notificación podría ser necesaria para determinar si la información en cuestión supone un contenido ilícito, como se alega. La obligación de establecer mecanismos de notificación y acción debe aplicarse, por ejemplo, a los servicios de almacenamiento e intercambio de archivos, los servicios de alojamiento web, los servidores de publicidad y los pastebins (aplicaciones para compartir código fuente en internet), en la medida en que cumplan los requisitos para ser considerados servicios de alojamiento de datos sujetos al presente Reglamento.

(51) Dada la necesidad de tener debidamente en cuenta los derechos fundamentales garantizados por la Carta de todas las partes afectadas, toda acción emprendida por un prestador de servicios de alojamiento de datos a raíz de la recepción de una notificación debe estar estrictamente orientada, es decir, debe servir para retirar los elementos de información concretos que se consideren contenidos ilícitos o para bloquear el acceso a ellos, sin afectar indebidamente a la libertad de expresión y de información de los destinatarios del servicio. Por lo tanto, las notificaciones deben dirigirse, por regla general, a los prestadores de servicios de alojamiento de datos de los que razonablemente quepa esperar que disponen de la capacidad técnica y operativa para actuar contra dichos elementos concretos. Los prestadores de servicios de alojamiento de datos que reciban una notificación y que, por razones técnicas u operativas, no puedan retirar el elemento de información concreto deben informar a la persona física o entidad que haya enviado la notificación.

(52) Las normas que regulen estos mecanismos de notificación y acción deben armonizarse a escala de la Unión, para facilitar el tratamiento oportuno, diligente y no arbitrario de las notificaciones conforme a unas normas uniformes, transparentes y claras que establezcan unas sólidas salvaguardas para proteger los derechos e intereses legítimos de todos los afectados, en particular los derechos fundamentales que les garantiza la Carta, sea cual sea el Estado miembro de establecimiento o residencia de dichos afectados y la rama del Derecho de que se trate. Dichos derechos fundamentales incluyen, entre otros: en el caso de los destinatarios del servicio, el derecho a la libertad de expresión e información, el derecho al respeto de la vida privada y familiar, el derecho a la protección de los datos personales, el derecho a la no discriminación y el derecho a la tutela judicial efectiva; en el caso de los prestadores de servicios, la libertad de empresa, incluida la libertad contractual; en el caso de las partes afectadas por contenidos ilícitos, el derecho a la dignidad humana, los derechos del niño, el derecho a la protección de la propiedad, incluida la propiedad intelectual, y el derecho a la no discriminación. Los prestadores de servicios de alojamiento de datos deben actuar ante una notificación con la debida rapidez, en particular teniendo en cuenta el tipo de contenido ilícito que se notifica y la urgencia de tomar medidas. Por ejemplo, cabe esperar que dichos prestadores actúen sin dilación cuando se notifiquen contenidos presuntamente ilícitos que supongan una amenaza para la vida o la seguridad de las personas. El prestador de servicios de alojamiento de datos debe informar a la persona física o entidad que notifica el contenido específico sin dilación indebida tras tomar la decisión de actuar o no en respuesta a la notificación.

(53) Los mecanismos de notificación y acción deben permitir el envío de notificaciones con la suficiente precisión y la fundamentación adecuada para que el prestador de servicios de alojamiento de datos de que se trate pueda adoptar una decisión informada y diligente, compatible con la libertad de expresión y de información, en relación con el contenido al que se refiere la notificación, en particular para decidir si dicho contenido debe considerarse ilícito y debe retirarse o debe bloquearse el acceso a él. Estos mecanismos deben estar configurados de modo que faciliten la comunicación de notificaciones que expliquen las razones por las que la persona física o entidad que envía la notificación considera que el contenido es ilícito y una indicación clara de la localización del contenido. Cuando una notificación contenga información suficiente para permitir a un prestador diligente de servicios de alojamiento de datos determinar, sin un examen jurídico detallado, que el contenido es manifiestamente ilícito, debe considerarse que la notificación da lugar a un conocimiento efectivo o consciencia del carácter ilícito. Salvo en el caso del envío de notificaciones relativas a los delitos a que se refieren los artículos 3 a 7 de la Directiva 2011/93/UE del Parlamento Europeo y del Consejo (26), dichos mecanismos deben pedir a la persona física o entidad que envía la notificación que revele su identidad a fin de evitar abusos.

(54) Cuando, por considerar que la información proporcionada por los destinatarios constituye contenido ilícito o es incompatible con sus condiciones generales, un prestador de servicios de alojamiento de datos decida retirar la información proporcionada por un destinatario del servicio, o bloquear el acceso a ella, o restringir de otro modo su visibilidad o monetización, por ejemplo después de recibir una notificación o de actuar por propia iniciativa, también cuando lo haga exclusivamente mediante herramientas automatizadas, dicho prestador debe comunicar al destinatario, de forma clara y fácilmente compresible, su decisión, los motivos de su decisión y las vías de recurso para impugnar la decisión, en vista de las consecuencias negativas que tales decisiones puedan tener para el destinatario, por ejemplo, en lo que se refiere al ejercicio de su derecho fundamental a la libertad de expresión. Esa obligación debe aplicarse con independencia de los motivos de la decisión, en particular si se ha actuado porque se considera que la información notificada es un contenido ilícito o porque se considera incompatible con las condiciones generales aplicables. Cuando la decisión se haya adoptado tras la recepción de una notificación, el prestador de servicios de alojamiento de datos solo debe revelar al destinatario del servicio la identidad de la persona física o entidad que haya enviado la notificación cuando esta información sea necesaria para identificar el carácter ilícito del contenido, por ejemplo en casos de vulneración de los derechos de propiedad intelectual.

(55) La restricción de la visibilidad puede consistir en una relegación en las clasificaciones o en los sistemas de recomendación, así como en limitar la accesibilidad por parte de uno o más destinatarios del servicio o en bloquear al usuario de una comunidad en línea sin que este sea consciente de ello («exclusión oculta»). La monetización a través de ingresos publicitarios de información proporcionada por el destinatario del servicio puede restringirse mediante la suspensión o el cese de los pagos monetarios o de los ingresos asociados a dicha información. No obstante, la obligación de proporcionar una declaración de motivos no debe aplicarse con respecto a los contenidos comerciales engañosos de gran volumen difundidos a través de la manipulación intencionada del servicio, en particular el uso no auténtico del servicio, como el uso de bots o cuentas falsas u otros usos engañosos del servicio. Con independencia de otras posibilidades de impugnar la decisión del prestador de servicios de alojamiento de datos, el destinatario del servicio siempre debe conservar el derecho a la tutela judicial efectiva de un órgano jurisdiccional de conformidad con el Derecho nacional.

(56) En algunos casos, un prestador de servicios de alojamiento de datos puede tener conocimiento, por ejemplo a raíz de la notificación de una parte notificante o a través de sus propias medidas voluntarias, de información relativa a una determinada actividad de un destinatario del servicio, como el suministro de determinados tipos de contenidos ilícitos, que, habida cuenta de todas las circunstancias pertinentes de las que dicho prestador de servicios de alojamiento de datos sea consciente, funde razonablemente la sospecha de que dicho destinatario pueda haber cometido, pueda estar cometiendo o pueda cometer probablemente un delito que amenace la vida o la seguridad de una o varias personas, como los delitos especificados en la Directiva 2011/36/UE del Parlamento Europeo y del Consejo (27), en la Directiva 2011/93/UE o en la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo (28). Por ejemplo, determinados elementos de contenido podrían dar lugar a la sospecha de una amenaza para el público, como la incitación al terrorismo en el sentido del artículo 21 de la Directiva (UE) 2017/541. En tales casos, el prestador de servicios de alojamiento de datos debe informar sin dilación a las autoridades policiales competentes de dicha sospecha. El prestador de servicios de alojamiento de datos debe facilitar toda la información pertinente de que disponga, incluidos, en su caso, los contenidos en cuestión y, si están disponibles, el momento en que se publicó el contenido, incluido el huso horario designado, una explicación de su sospecha y la información necesaria para localizar e identificar al destinatario pertinente del servicio. El presente Reglamento no sienta el fundamento jurídico para elaborar perfiles de los destinatarios de los servicios con miras a la posible detección de delitos cometidos por los prestadores de servicios de alojamiento de datos. Los prestadores de servicios de alojamiento de datos también deben respetar otras normas aplicables del Derecho de la Unión o nacional en materia de protección de los derechos y las libertades de las personas físicas cuando informen a las autoridades policiales.

(57) A fin de evitar cargas desproporcionadas, las obligaciones adicionales impuestas en virtud del presente Reglamento a los prestadores de plataformas en línea, incluidas las plataformas que permiten a los consumidores celebrar contratos a distancia con comerciantes, no deben aplicarse a los prestadores que sean microempresas o pequeñas empresas, tal como se definen en la Recomendación 2003/361/CE. Por la misma razón, esas obligaciones adicionales tampoco deben aplicarse a los prestadores de plataformas en línea que previamente cumpliesen los requisitos para ser considerados microempresas o pequeñas empresas durante el período de doce meses siguientes a la pérdida esa condición. Dichos prestadores no deben quedar excluidos de la obligación de facilitar información sobre el promedio mensual de destinatarios del servicio activos a petición del coordinador de servicios digitales de establecimiento o de la Comisión. No obstante, teniendo en cuenta que las plataformas en línea de muy gran tamaño o los motores de búsqueda en línea de muy gran tamaño tienen un alcance más amplio y un mayor impacto a la hora de influir en la forma en que los destinatarios del servicio obtienen información y se comunican en línea, dichos prestadores no deben acogerse a dicha exclusión, independientemente de que cumplan los requisitos para ser considerados microempresas o pequeñas empresas o los hayan cumplido recientemente. Las normas de consolidación establecidas en la Recomendación 2003/361/CE contribuyen a evitar que se puedan eludir dichas obligaciones adicionales. Nada de lo dispuesto en el presente Reglamento impide a los prestadores de plataformas en línea a los que se aplica dicha exclusión establecer, con carácter voluntario, un sistema que cumpla una o varias de esas obligaciones.

(58) Los destinatarios del servicio deben poder impugnar de manera fácil y efectiva determinadas decisiones de los prestadores de plataformas en línea que se refieran al carácter ilícito de los contenidos o su incompatibilidad con las condiciones generales y que les afecten negativamente. Por consiguiente, los prestadores de plataformas en línea deben estar obligados a establecer sistemas internos de gestión de reclamaciones que cumplan determinadas condiciones al objeto de garantizar que los sistemas sean fácilmente accesibles y produzcan resultados rápidos, no discriminatorios, no arbitrarios y justos, y que estén sujetos a revisión humana cuando se usen medios automáticos. Estos sistemas deben permitir a todos los destinatarios del servicio presentar una reclamación y no deben establecer requisitos formales, como la remisión a las correspondientes disposiciones jurídicas concretas o a explicaciones jurídicas complejas. Los destinatarios del servicio que hayan enviado una notificación a través del mecanismo de notificación y acción previsto en el presente Reglamento o a través del mecanismo de notificación de contenidos que infrinjan las condiciones generales del prestador de plataformas en línea deben tener derecho a utilizar el mecanismo de reclamación para impugnar la decisión del prestador de plataformas en línea sobre sus notificaciones, también en el caso de que consideren que la acción emprendida por dicho prestador no fue adecuada. La posibilidad de presentar una reclamación para que se revoquen de las decisiones impugnadas debe estar disponible durante al menos seis meses, contados a partir del momento en que el prestador de plataformas en línea informe de la decisión al destinatario del servicio.

(59) Además, debe contemplarse la posibilidad de buscar, de buena fe, la resolución extrajudicial de este tipo de litigios, incluidos los que no puedan resolverse de una manera satisfactoria a través de los sistemas internos de gestión de reclamaciones, por organismos certificados que posean la independencia, los medios y los conocimientos necesarios para desarrollar sus actividades con equidad, rapidez y eficacia en términos de costes. La independencia de los órganos de resolución extrajudicial de litigios debe garantizarse también respecto de las personas físicas encargadas de resolver los litigios, en particular mediante normas sobre conflictos de intereses. Los honorarios cobrados por los órganos de resolución extrajudicial de litigios deben ser razonables, accesibles, atractivos, poco costosos para los consumidores y proporcionados, y deben valorarse caso por caso. Cuando un órgano de resolución extrajudicial de litigios esté certificado por el coordinador de servicios digitales competente, dicha certificación debe tener validez en todos los Estados miembros. Los prestadores de plataformas en línea deben poder negarse a iniciar procedimientos de resolución extrajudicial de litigios en virtud del presente Reglamento cuando el mismo litigio, en particular en lo que se refiere a la información de que se trate y a los motivos para adoptar la decisión impugnada, a los efectos de la decisión y a los motivos alegados para impugnar la decisión, ya haya sido dirimido por el órgano jurisdiccional competente o por otro órgano de resolución extrajudicial de litigios o ya sea objeto de un procedimiento en curso ante el órgano jurisdiccional competente o ante otro órgano de resolución extrajudicial de litigios competente. Los destinatarios del servicio deben poder elegir entre el mecanismo interno de reclamación, la resolución extrajudicial de litigios y la posibilidad de iniciar, en cualquier momento, un procedimiento judicial. Dado que el resultado del procedimiento de resolución extrajudicial de litigios no es vinculante, no debe impedirse a las partes que inicien un procedimiento judicial en relación con el mismo litigio. Las posibilidades de impugnar las decisiones de los prestadores de plataformas en línea creadas de este modo no deben afectar en ningún aspecto la posibilidad de interponer un recurso judicial de conformidad con el Derecho del Estado miembro de que se trate ni debe afectar, por tanto, al ejercicio del derecho a la tutela judicial efectiva, tal como se establece en el artículo 47 de la Carta. Las disposiciones del presente Reglamento relativas a la resolución extrajudicial de litigios no deben exigir a los Estados miembros que establezcan tales órganos de resolución extrajudicial.

(60) En relación con los litigios contractuales entre consumidores y empresas con respecto a la adquisición de productos o servicios, la Directiva 2013/11/UE garantiza que los consumidores y las empresas de la Unión tengan acceso a entidades de resolución alternativa de litigios de calidad homologada. En este sentido, conviene aclarar que las normas del presente Reglamento sobre la resolución extrajudicial de litigios han de entenderse sin perjuicio de la mencionada Directiva, incluido el derecho que esta confiere a los consumidores de retirarse del procedimiento en cualquier momento si no están satisfechos con el funcionamiento o la tramitación del procedimiento.

(61) Se puede actuar de manera más rápida y fiable contra los contenidos ilícitos cuando los prestadores de plataformas en línea adoptan las medidas necesarias para asegurarse de que las notificaciones enviadas por los alertadores fiables, dentro de su ámbito de especialidad señalado, a través de los mecanismos de notificación y acción exigidos por el presente Reglamento se traten de forma prioritaria, sin perjuicio de la obligación de tratar todas las notificaciones recibidas a través de dichos mecanismos, y tomar decisiones al respecto, de manera oportuna, diligente y no arbitraria. La condición de alertador fiable debe ser otorgada por el coordinador de servicios digitales del Estado miembro donde el solicitante esté establecido y debe ser reconocida por todos los prestadores de plataformas en línea incluidos en el ámbito de aplicación del presente Reglamento. Esta condición de alertador fiable solo debe otorgarse a entidades, y no personas físicas, que hayan demostrado, entre otras cosas, que poseen conocimientos y competencias específicos para hacer frente a los contenidos ilícitos y que trabajan de manera diligente, precisa y objetiva. Estas entidades pueden ser de carácter público, como por ejemplo, en el caso de los contenidos terroristas, las unidades de notificación de contenidos de internet de las autoridades policiales nacionales o de la Agencia de la Unión Europea para la Cooperación Policial («Europol») o pueden ser organizaciones no gubernamentales y organismos privados o semipúblicos, como las organizaciones que forman parte de la red INHOPE de líneas directas para denunciar materiales relacionados con abusos sexuales a menores y organizaciones comprometidas con la notificación de manifestaciones racistas y xenófobas ilegales en línea. Para que el valor añadido de este mecanismo no se reduzca, debe limitarse el número total de alertadores fiables designados de conformidad con el presente Reglamento. En particular, se alienta a las asociaciones del sector que representen los intereses de sus miembros a solicitar la condición de alertadores fiables, sin perjuicio del derecho de las entidades privadas o las personas físicas a celebrar acuerdos bilaterales con los prestadores de plataformas en línea.

(62) Los alertadores fiables deben publicar informes fácilmente comprensibles y detallados sobre las notificaciones enviadas de conformidad con el presente Reglamento. Dichos informes deben contener información como el número de notificaciones categorizadas por el prestador de servicios de alojamiento de datos, el tipo de contenido y las medidas adoptadas por el prestador. Dado que los alertadores fiables han demostrado sus conocimientos y competencia, cabe esperar que el tratamiento de notificaciones de los alertadores fiables sea menos gravosa y, por tanto, más rápida que el tratamiento de notificaciones presentadas por otros destinatarios del servicio. Sin embargo, el tiempo medio de tratamiento puede variar en función de factores como el tipo de contenido ilícito, la calidad de las notificaciones o los procedimientos técnicos efectivamente establecidos para el envío de dichas notificaciones.

Por ejemplo, mientras que el Código de conducta para la lucha contra la incitación ilegal al odio en internet de 2016 establece un criterio de referencia para las empresas participantes con respecto al tiempo necesario para tratar notificaciones válidas para la eliminación de la incitación ilícita al odio, otros tipos de contenidos ilícitos pueden llevar plazos de tratamiento considerablemente diferentes, dependiendo de los hechos y circunstancias concretos y de los tipos de contenidos ilícitos de que se trate. A fin de evitar abusos de la condición de alertador fiable, debe ser posible suspender esta condición cuando un coordinador de servicios digitales de establecimiento inicie una investigación por motivos legítimos. No cabe entender que las normas del presente Reglamento relativas a los alertadores fiables impidan a los prestadores de plataformas en línea dar un tratamiento análogo a las notificaciones enviadas por entidades o personas físicas a las que no se haya otorgado la condición de alertadores fiables con arreglo al presente Reglamento, o colaborar de otra manera con otras entidades, de conformidad con el Derecho aplicable, incluido el presente Reglamento y el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (29). Las normas del presente Reglamento no deben impedir que los prestadores de plataformas en línea recurran a tales alertadores fiables o a mecanismos similares para actuar de forma rápida y fiable contra contenidos incompatibles con sus condiciones generales, en particular contra los contenidos perjudiciales para los destinatarios vulnerables del servicio, como los menores.

(63) El uso indebido de las plataformas en línea mediante la publicación frecuente de contenidos manifiestamente ilícitos o mediante el envío frecuente de notificaciones o reclamaciones manifiestamente infundados a través de los mecanismos y sistemas, respectivamente, establecidos en virtud del presente Reglamento merma la confianza y perjudica los derechos e intereses legítimos de las partes afectadas. Por lo tanto, es necesario establecer salvaguardias apropiadas, proporcionadas y eficaces contra dicho uso indebido, que deben respetar los derechos e intereses legítimos de todas las partes implicadas, incluidos los derechos y libertades fundamentales aplicables amparados por la Carta, en particular la libertad de expresión. Una información debe tener la consideración de contenido manifiestamente ilícito y las notificaciones o reclamaciones deben tener la consideración de manifiestamente infundados cuando sea evidente para una persona lega en la materia, sin un análisis de fondo, que dicho contenido es ilícito o que las notificaciones o reclamaciones son infundados.

(64) En determinadas condiciones, los prestadores de plataformas en línea deben suspender temporalmente sus actividades pertinentes respecto de la persona que muestre comportamientos abusivos. Lo anterior debe entenderse sin perjuicio de la libertad que tienen los prestadores de plataformas en línea para determinar sus condiciones generales y establecer medidas más rigurosas para el caso de contenidos manifiestamente ilícitos relacionados con delitos graves, como los materiales relacionados con abusos sexuales a menores. Por razones de transparencia, esta posibilidad debe quedar establecida, de forma clara y suficientemente detallada, en las condiciones generales de las plataformas en línea. Siempre deben existir vías de recurso contra las decisiones adoptadas en este sentido por los prestadores de plataformas en línea y estas deben estar sujetas a la supervisión del coordinador de servicios digitales competente. Los prestadores de plataformas en línea deben enviar una advertencia previa antes de decidir sobre la suspensión, advertencia que debe incluir los motivos de la posible suspensión y las vías de recurso contra la decisión de los prestadores de la plataforma en línea. Cuando decidan sobre la suspensión, los prestadores de plataformas en línea deben remitir una declaración de motivos de conformidad con las normas establecidas en el presente Reglamento. Las normas del presente Reglamento relativas al uso indebido no deben impedir a los prestadores de plataformas en línea adoptar otras medidas para combatir la publicación de contenidos ilícitos por los destinatarios de su servicio u otros usos indebidos de sus servicios, incluidos los que impliquen la infracción de sus condiciones generales, de conformidad con el Derecho de la Unión y nacional aplicable. Dichas normas han de entenderse sin perjuicio de las posibilidades de exigir responsabilidades a las personas que efectúen el uso indebido, incluso por daños y perjuicios, que estén establecidas en el Derecho de la Unión y nacional aplicable.

(65) En vista de sus responsabilidades y obligaciones específicas, los prestadores de plataformas en línea deben estar sujetos a obligaciones de transparencia informativa que se apliquen acumulativamente con las obligaciones de transparencia informativa aplicables a todos los prestadores de servicios intermediarios en virtud del presente Reglamento. A fin de determinar si las plataformas en línea y los motores de búsqueda en línea pueden ser plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño, respectivamente, que están sujetos a determinadas obligaciones adicionales en virtud del presente Reglamento, las obligaciones de transparencia informativa de las plataformas en línea y los motores de búsqueda en línea deben incluir determinadas obligaciones relativas a la publicación y comunicación de información sobre el promedio mensual de destinatarios del servicio activos en la Unión.

(66) Al objeto de garantizar la transparencia y permitir el control de las decisiones de moderación de contenidos de los prestadores de plataformas en línea y el seguimiento de la difusión de contenidos ilícitos en línea, la Comisión debe mantener y hacer pública una base de datos que contenga las decisiones y declaraciones de motivos que los prestadores de plataformas en línea elaboran cuando retiran información o restringen de otro modo la disponibilidad de dicha información y el acceso a ella. A fin de mantener la base de datos actualizada permanentemente, los prestadores de plataformas en línea deben transmitir, en un formato normalizado, las decisiones y la declaración de motivos sin dilación indebida tras haber adoptado una decisión, de modo que se puedan llevar a cabo actualizaciones en tiempo real cuando sea técnicamente posible y proporcionado a los medios de la plataforma en línea en cuestión. La base de datos estructurada debe permitir el acceso a la información pertinente, así como su consulta, en particular en lo que se refiere al tipo de contenido presuntamente ilícito.

(67) Las interfaces engañosas de las plataformas en línea son prácticas que distorsionan o merman sustancialmente, de forma deliberada o efectiva, la capacidad de los destinatarios del servicio de tomar decisiones autónomas y con conocimiento de causa. Estas prácticas pueden utilizarse para persuadir a los destinatarios del servicio de que adopten comportamientos no deseados o decisiones no deseadas que tienen consecuencias negativas para ellos. Por esta razón, debe prohibirse a los prestadores de plataformas en línea engañar o empujar en esta dirección a los destinatarios del servicio y distorsionar u obstaculizar la autonomía, la toma de decisiones o la capacidad de elección de los destinatarios del servicio a través de la estructura, el diseño o las funcionalidades de una interfaz en línea o una parte de esta. Entre estas prácticas se han de incluir, entre otras, las opciones de diseño abusivas que dirigen al destinatario hacia acciones que benefician al prestador de plataformas en línea, pero que pueden no favorecer los intereses de los destinatarios, al presentar opciones de una manera que no es neutra, por ejemplo, dando más protagonismo a determinadas opciones mediante componentes visuales, auditivos o de otro tipo, cuando se le pide al destinatario del servicio que tome una decisión.

Otras prácticas que también deben estar incluidas son solicitar repetidamente al destinatario del servicio que tome una decisión cuando esa decisión ya ha sido tomada, hacer que el procedimiento de anulación de un servicio sea considerablemente más engorroso que la suscripción a dicho servicio, hacer que determinadas opciones sean más difíciles o lleven más tiempo que otras, dificultar excesivamente la interrupción de las compras o la desconexión de una plataforma en línea determinada que permite a los consumidores celebrar contratos a distancia con comerciantes, y engañar a los destinatarios del servicio empujándoles a tomar decisiones sobre transacciones o mediante ajustes por defecto que sean muy difíciles de cambiar, dirigiendo de forma injustificada la toma de decisiones del destinatario del servicio, de manera que se distorsione y merme su autonomía, su toma de decisiones y su capacidad de elección. Sin embargo, las normas contra las interfaces engañosas no deben entenderse en el sentido de que impidan a los prestadores interactuar directamente con los destinatarios del servicio y ofrecerles servicios nuevos o adicionales. Las prácticas legítimas, como las publicitarias, que sean conformes con el Derecho de la Unión no deben considerarse en sí mismas interfaces engañosas. Dichas normas sobre interfaces engañosas deben interpretarse en el sentido de que se aplican a las prácticas prohibidas que entran en el ámbito de aplicación del presente Reglamento en la medida en que no estén ya cubiertas por la Directiva 2005/29/CE o el Reglamento (UE) 2016/679.

(68) La publicidad en línea desempeña un papel importante en el entorno en línea, también en relación con la prestación de plataformas en línea, cuando en ocasiones la prestación del servicio se remunera total o parcialmente, directa o indirectamente, a través de ingresos publicitarios. La publicidad en línea puede contribuir a la generación de riesgos significativos, desde anuncios publicitarios que sean en sí mismos contenidos ilícitos hasta contribuir a incentivar económicamente la publicación o amplificación de contenidos y actividades en línea que sean ilícitos o de otro modo nocivos, o la presentación discriminatoria de anuncios que afecten a la igualdad de trato y oportunidades de los ciudadanos. Además de los requisitos derivados del artículo 6 de la Directiva 2000/31/CE, los prestadores de plataformas en línea, por tanto, deben estar obligados a velar por que los destinatarios del servicio posean determinada información individualizada que les sea necesaria para saber cuándo y en nombre de quién se presenta el anuncio. Deben garantizar que esta información esté destacada, también por medio de marcas visuales o sonoras normalizadas, sea claramente identificable e inequívoca para el destinatario medio del servicio y se adapte a la naturaleza de la interfaz en línea de cada servicio. Además, los destinatarios del servicio deben poder acceder directamente, desde la interfaz en línea en la que se presente el anuncio publicitario, a información sobre los principales parámetros utilizados para determinar que se les presente un anuncio publicitario específico, ofreciendo explicaciones útiles de la lógica utilizada con ese fin, también cuando se base en la elaboración de perfiles.

Dichas explicaciones deben incluir información sobre el método utilizado para presentar el anuncio publicitario, por ejemplo, si se trata de publicidad contextual o de otro tipo, y, en su caso, los principales criterios utilizados para la elaboración de perfiles. También deben informar al destinatario de cualquier medio de que este disponga para modificar dichos criterios. Los requisitos del presente Reglamento sobre la facilitación de información relativa a publicidad han de entenderse sin perjuicio de la aplicación de las disposiciones pertinentes del Reglamento (UE) 2016/679, en particular las relativas al derecho de oposición, las decisiones individuales automatizadas, incluida la elaboración de perfiles, y en concreto la necesidad de obtener el consentimiento del interesado antes del tratamiento de los datos personales para producir publicidad personalizada. Del mismo modo, han de entenderse sin perjuicio de las disposiciones de la Directiva 2002/58/CE, en particular las relativas al almacenamiento de información en equipos terminales y al acceso a la información en ellos almacenada. Por último, el presente Reglamento complementa la aplicación de la Directiva 2010/13/UE, que impone medidas para que los usuarios declaren comunicaciones comerciales audiovisuales en vídeos generados por los usuarios. También complementa las obligaciones de los comerciantes relativas a la divulgación de comunicaciones comerciales derivadas de la Directiva 2005/29/CE.

(69) Cuando se presentan a los destinatarios del servicio anuncios basados en técnicas de segmentación optimizadas para responder a sus intereses y apelar potencialmente a sus vulnerabilidades, los efectos negativos pueden ser especialmente graves. En algunos casos, las técnicas de manipulación pueden afectar negativamente a grupos enteros y amplificar perjuicios sociales, por ejemplo, contribuyendo a campañas de desinformación o discriminando a determinados grupos. Las plataformas en línea son entornos especialmente delicados para tales prácticas y plantean un riesgo mayor para la sociedad. Por consiguiente, los prestadores de plataformas en línea no deben presentar anuncios basados en la elaboración de perfiles como se definen en el artículo 4, punto 4, del Reglamento (UE) 2016/679, utilizando las categorías especiales de datos personales a que se refiere el artículo 9, apartado 1, de dicho Reglamento, ni utilizando categorías de elaboración de perfiles basadas en dichas categorías especiales. Esta prohibición se entiende sin perjuicio de las obligaciones aplicables a los prestadores de plataformas en línea o a cualquier otro prestador de servicios o anunciante que participen en la difusión de los anuncios en virtud del Derecho de la Unión en materia de protección de datos personales.

(70) Una parte fundamental del negocio de una plataforma en línea es la manera en que prioriza y presenta la información en su interfaz en línea para facilitar y optimizar el acceso a ella por los destinatarios del servicio. Esto se hace, por ejemplo, mediante la recomendación, clasificación y priorización algorítmica de la información, la distinción de texto u otras representaciones visuales, o la organización de manera diferente de la información facilitada por los destinatarios. Estos sistemas de recomendación pueden tener un impacto significativo en la capacidad de los destinatarios de recuperar información en línea e interactuar con ella, en particular a la hora de facilitar la búsqueda de información pertinente para los destinatarios del servicio y contribuir a mejorar la experiencia de los usuarios. También desempeñan un papel importante en la amplificación de determinados mensajes, la difusión viral de información y la promoción de comportamientos en línea. En consecuencia, las plataformas en línea deben asegurarse de un modo coherente de que los destinatarios de su servicio estén adecuadamente informados sobre cómo los sistemas de recomendación afectan a la forma en que se muestra la información y pueden influir en la manera en que la información se les presenta. Deben presentar con claridad los parámetros de dichos sistemas de recomendación de manera fácilmente comprensible con el fin de asegurarse de que los destinatarios del servicio entienden cómo se prioriza la información para ellos. Dichos parámetros deben incluir, como mínimo, los criterios más importantes a la hora de determinar la información sugerida al destinatario del servicio y las razones de su importancia respectiva, también cuando se dé prioridad a la información basada en la elaboración de perfiles y en su comportamiento en línea.

(71) La protección de los menores es un objetivo político importante de la Unión. Puede considerarse que una plataforma en línea es accesible para los menores cuando sus condiciones generales permiten a los menores utilizar el servicio, cuando su servicio está dirigido a menores o es utilizado predominantemente por ellos, o cuando el prestador es consciente de que algunos de los destinatarios de su servicio son menores, por ejemplo, porque ya trata para otros fines datos personales de los destinatarios de su servicio que revelan su edad. Los prestadores de plataformas en línea utilizadas por menores deben adoptar medidas adecuadas y proporcionadas para proteger a los menores, por ejemplo, diseñando sus interfaces en línea o partes de estas con el máximo nivel de privacidad, seguridad y protección de los menores por defecto, cuando proceda, o adoptando normas para la protección de los menores, o participando en códigos de conducta para la protección de los menores. Deben tener en cuenta las mejores prácticas y las orientaciones disponibles, como las que ofrece la Comunicación de la Comisión titulada «Una década digital para los niños y los jóvenes: la nueva estrategia europea para una internet mejor para los niños (BIK+)». Los prestadores de plataformas en línea no deben presentar anuncios basados en la elaboración de perfiles mediante la utilización de datos personales del destinatario del servicio cuando sean conscientes con una seguridad razonable de que el destinatario del servicio es un menor. De conformidad con el Reglamento (UE) 2016/679, en particular el principio de minimización de datos previsto en su artículo 5, apartado 1, letra c), esta prohibición no debe llevar al prestador de la plataforma en línea a mantener, obtener o tratar más datos personales de los que ya dispone para evaluar si el destinatario del servicio es un menor. Por lo tanto, esta obligación no debe incentivar a los prestadores de plataformas en línea a capturar la edad del destinatario del servicio antes de su uso. Esto debe aplicarse sin perjuicio del Derecho de la Unión en materia de protección de datos personales.

(72) A fin de contribuir a la creación de un entorno en línea seguro, fiable y transparente para los consumidores, así como para otros interesados tales como comerciantes competidores y titulares de derechos de propiedad intelectual, y para disuadir a los comerciantes de vender productos o servicios que infrinjan las normas aplicables, las plataformas en línea que permitan a los consumidores celebrar contratos a distancia con los comerciantes deben asegurarse de que dichos comerciantes puedan ser objeto de trazabilidad. Por consiguiente, debe exigirse al comerciante que facilite determinada información esencial a los prestadores de la plataforma en línea que permita a los consumidores celebrar contratos a distancia con los comerciantes, incluso para promocionar mensajes o realizar ofertas sobre productos. Dicho requisito también debe aplicarse a los comerciantes que promocionen mensajes sobre productos o servicios en nombre de las marcas, en virtud de acuerdos subyacentes. Dichos prestadores de plataformas en línea deben almacenar toda la información de manera segura durante la vigencia de su relación contractual con el comerciante, así como durante los seis meses posteriores, a fin de posibilitar la presentación de reclamaciones contra el comerciante o la ejecución de órdenes relacionadas con el comerciante.

Esta obligación es necesaria y proporcionada, de modo que las autoridades públicas y los particulares que tengan un interés legítimo puedan acceder a la información de conformidad con el Derecho aplicable, incluido el relativo a la protección de los datos personales, también a través de las órdenes de entrega de información a que se refiere el presente Reglamento. Esta obligación no afecta a otras posibles obligaciones de conservar determinados contenidos durante períodos más largos, sobre la base de otras normas de Derecho de la Unión o nacional, en cumplimiento del Derecho de la Unión. Sin perjuicio de la definición que figura en el presente Reglamento, cualquier comerciante, con independencia de que sea una persona física o jurídica, identificado sobre la base del artículo 6 bis, apartado 1, letra b), de la Directiva 2011/83/UE y del artículo 7, apartado 4, letra f), de la Directiva 2005/29/CE, debe poder ser objeto de trazabilidad cuando ofrezca un producto o servicio a través de una plataforma en línea. La Directiva 2000/31/CE obliga a todos los prestadores de servicios de la sociedad de la información a que permitan a los destinatarios del servicio y a las autoridades competentes acceder con facilidad y de forma directa y permanente a determinada información que permita la identificación de todos los prestadores. Los requisitos de trazabilidad para los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con los comerciantes establecidos en el presente Reglamento no afectan a la aplicación de la Directiva (UE) 2021/514 del Consejo (30), que persigue otros objetivos legítimos de interés público.

(73) A fin de garantizar una aplicación eficiente y adecuada de esa obligación, sin imponer cargas desproporcionadas, los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes deben hacer todo lo posible por evaluar la fiabilidad de la información proporcionada por los comerciantes afectados, en particular mediante el uso de bases de datos en línea e interfaces en línea oficiales de libre disponibilidad, como los registros mercantiles nacionales y el sistema de intercambio de información sobre el IVA, o solicitar a los comerciantes afectados que proporcionen documentos justificativos fiables, como copias de documentos de identidad, estados bancarios certificados de cuentas de pago, certificados empresariales y certificados del registro mercantil. También pueden recurrir a otras fuentes, disponibles para su uso a distancia, que ofrezcan un grado análogo de fiabilidad al efecto de cumplir con esta obligación. Sin embargo, los prestadores de plataformas en línea de que se trate no deben estar obligados a realizar actividades excesivas o costosas de búsqueda de hechos ni a realizar comprobaciones sobre el terreno desproporcionadas. Tampoco cabe entender que esos prestadores que hayan hecho todo lo posible, como exige el presente Reglamento, garanticen la fiabilidad de la información al consumidor u otros interesados.

(74) Los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes deben diseñar y organizar su interfaz en línea de manera que permita a los comerciantes cumplir con sus obligaciones en virtud del Derecho de la Unión aplicable, en particular los requisitos establecidos en los artículos 6 y 8 de la Directiva 2011/83/UE, el artículo 7 de la Directiva 2005/29/CE, los artículos 5 y 6 de la Directiva 2000/31/CE, y el artículo 3 de la Directiva 98/6/CE del Parlamento Europeo y del Consejo (31). A tal fin, los prestadores de plataformas en línea de que se trate deben hacer todo lo posible por evaluar si los comerciantes que utilizan sus servicios han cargado la información completa en sus interfaces en línea, de conformidad con el Derecho de la Unión aplicable. Los prestadores de plataformas en línea deben garantizar que no se ofrezcan productos o servicios en tanto que dicha información no esté completa. Esto no debe equivaler a una obligación para los prestadores de plataformas en línea de que se trate de monitorizar en general los productos o servicios ofrecidos por los comerciantes a través de sus servicios ni como una obligación general de comprobar los datos, en particular de comprobar la exactitud de la información facilitada por los comerciantes. Las interfaces en línea deben ser fáciles de usar y accesibles para los comerciantes y los consumidores. Además, y después de permitir la oferta del producto o servicio por parte del comerciante, los prestadores de plataformas en línea de que se trate deben hacer todos los esfuerzos que resulten razonables para comprobar aleatoriamente si los productos o servicios ofrecidos han sido identificados como ilícitos en cualquier base de datos en línea o interfaz en línea oficial, de libre acceso y legible por máquina disponible en un Estado miembro o en la Unión. La Comisión también debe fomentar la trazabilidad de los productos a través de soluciones tecnológicas, como códigos de respuesta rápida firmados digitalmente (o «códigos QR») o fichas no fungibles. La Comisión debe promover el desarrollo de normas y, a falta de ellas, soluciones basadas en el mercado que puedan ser aceptables para las partes afectadas.

(75) Dada la importancia que por su alcance tienen las plataformas en línea de muy gran tamaño, en particular como se refleja en el número de destinatarios del servicio, para facilitar el debate público, las transacciones económicas y la difusión al público de información, opiniones e ideas y para influir en la forma en que los destinatarios obtienen y comunican información en línea, es necesario imponer obligaciones específicas a los prestadores de esas plataformas, además de las obligaciones aplicables a todas las plataformas en línea. Debido a su papel fundamental a la hora de localizar y hacer que la información pueda obtenerse en línea, también es necesario imponer esas obligaciones, en la medida en que sean aplicables, a los prestadores de motores de búsqueda en línea de muy gran tamaño. Dichas obligaciones adicionales para los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño son necesarias para abordar esos objetivos de interés público, no existiendo medidas alternativas y menos restrictivas que puedan alcanzar el mismo resultado de manera efectiva.

(76) Las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño pueden entrañar riesgos para la sociedad, de distinto alcance y repercusión que los generados por plataformas más pequeñas. Los prestadores de dichas plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño han de cumplir, por tanto, las obligaciones de diligencia debida más exigentes, proporcionadas en relación con su impacto social. Una vez que el número de destinatarios activos de una plataforma o de destinatarios activos de un motor de búsqueda en línea, calculado como un promedio durante un período de seis meses, asciende a un porcentaje importante de la población de la Unión, los riesgos sistémicos que la plataforma en línea o el motor de búsqueda en línea entraña pueden tener un impacto desproporcionado en la Unión. Debe considerarse que existe un alcance tan significativo cuando dicho número exceda de un umbral operativo fijado en cuarenta y cinco millones, es decir, una cifra equivalente al 10 % de la población de la Unión. Este umbral operativo debe mantenerse actualizado por lo que la Comisión debe estar facultada para completar las disposiciones del presente Reglamento mediante la adopción de actos delegados, cuando sea necesario.

(77) A fin de determinar el alcance de una determinada plataforma en línea o motor de búsqueda en línea, es necesario establecer el promedio de destinatarios activos de cada servicio individualmente. En consecuencia, el número medio mensual de destinatarios activos de una plataforma en línea debe reflejar todos los destinatarios que realmente participan en el servicio al menos una vez en un período de tiempo determinado estando expuestos a información difundida en la interfaz en línea de la plataforma en línea, por ejemplo, al verlos o escucharlos, o facilitando información, como los comerciantes en plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes.

A efectos del presente Reglamento, la participación no se limita a interactuar con información pulsando, comentando, enlazando, compartiendo, comprando o realizando transacciones en una plataforma en línea. Por consiguiente, el concepto de destinatario activo del servicio no coincide necesariamente con el de usuario registrado de un servicio. Por lo que se refiere a los motores de búsqueda en línea, el concepto de destinatarios activos del servicio debe comprender a quienes visualizan información en su interfaz en línea, pero no, por ejemplo, a los propietarios de los sitios web indexados por el motor de búsqueda en línea, ya que no participan activamente en el servicio. El número de destinatarios activos de un servicio debe incluir a todos los destinatarios únicos del servicio que participan en el servicio en cuestión. A tal fin, un destinatario del servicio que utilice diferentes interfaces en línea, como sitios web o aplicaciones, incluso cuando se acceda a los servicios a través de diferentes localizadores uniformes de recursos (URL) o nombres de dominio, debe contarse, en la medida de lo posible, una sola vez. Sin embargo, el concepto de destinatario activo del servicio no debe incluir el uso incidental del servicio por parte de destinatarios de otros prestadores de servicios intermediarios que pongan a disposición indirectamente información alojada por los prestadores de plataformas en línea a través de enlaces o indexaciones por parte de un prestador de motores de búsqueda en línea. Además, el presente Reglamento no exige que los prestadores de plataformas en línea o de motores de búsqueda en línea realicen un seguimiento específico de las personas en línea. Cuando dichos prestadores sean capaces de descontar los usuarios automatizados, como los bots o los extractores de información, sin necesidad de tratamiento adicional de los datos personales ni seguimiento, podrán hacerlo. La determinación del número de destinatarios activos del servicio puede verse afectada por los avances técnicos y del mercado, por lo que la Comisión debe estar facultada para completar las disposiciones del presente Reglamento mediante la adopción de actos delegados que establezcan la metodología para determinar los destinatarios activos de una plataforma en línea o de un motor de búsqueda en línea, cuando sea necesario, que reflejen la naturaleza del servicio y la forma en que los destinatarios del servicio interactúan con él.

(78) En vista de los efectos de red que caracterizan a la economía de plataformas, la base de usuarios de una plataforma en línea o de un motor de búsqueda en línea puede aumentar rápidamente y alcanzar la dimensión de una plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño, con la consiguiente repercusión para el mercado interior. Tal puede ser el caso cuando experimente un crecimiento exponencial en un corto período de tiempo, o cuando su gran presencia mundial y volumen de negocios permitan a la plataforma en línea o al motor de búsqueda en línea explotar al máximo los efectos de red y las economías de escala y de alcance. En particular, un elevado volumen de negocios anual o capitalización del mercado puede indicar una rápida escalabilidad en términos de alcance de usuarios. En esos casos, el coordinador de servicios digitales de establecimiento o la Comisión deben poder solicitar al prestador de la plataforma en línea o del motor de búsqueda en línea que aporte con más frecuencia información sobre el número de destinatarios activos de su servicio a fin de poder determinar oportunamente el momento en que dicha plataforma o dicho motor de búsqueda deba considerarse una plataforma en línea de muy gran tamaño o un motor de búsqueda en línea de muy gran tamaño, respectivamente, para los fines del presente Reglamento.

(79) Las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño pueden usarse de modo que influyan en gran medida en la seguridad en línea, en la opinión y el discurso públicos, así como en el comercio en línea. El diseño de sus servicios se optimiza en general para beneficio de sus modelos de negocio, a menudo basados en la publicidad, y pueden causar inquietudes en la sociedad. Son necesarias una regulación y una ejecución efectivas para detectar y reducir eficazmente los riesgos y los perjuicios sociales y económicos que puedan surgir. Por tanto, de acuerdo con el presente Reglamento, los prestadores de plataformas en línea de muy gran tamaño y motores de búsqueda en línea de muy gran tamaño deben evaluar los riesgos sistémicos que entraña el diseño, funcionamiento y uso de sus servicios, así como los posibles usos indebidos por parte de los destinatarios de estos servicios, y deben adoptar medidas de reducción de riesgos apropiadas respetando los derechos fundamentales. Al determinar la importancia de los posibles efectos e impactos negativos, los prestadores deben tener en cuenta la gravedad del impacto potencial y la probabilidad de todos esos riesgos sistémicos. Por ejemplo, podrían evaluar si el potencial impacto negativo puede afectar a un gran número de personas, su posible irreversibilidad o la dificultad de subsanarlo y restablecer la situación existente antes del impacto potencial.

(80) Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben evaluar en profundidad cuatro categorías de riesgos sistémicos. La primera categoría se refiere a los riesgos asociados a la difusión de contenidos ilícitos, como la difusión de materiales de abuso sexual de menores o delitos de incitación al odio, u otros tipos de usos indebidos de sus servicios para cometer delitos, y la realización de actividades ilícitas como la venta de productos o servicios prohibidos por el Derecho de la Unión o nacional, incluidos los productos peligrosos o falsificados o el comercio ilegal de animales. Por ejemplo, esa difusión o esas actividades pueden constituir un riesgo sistémico significativo cuando el acceso a contenidos ilícitos pueda propagarse rápida y ampliamente a través de cuentas con un alcance especialmente amplio o de otros medios de amplificación. Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben evaluar el riesgo de difusión de contenidos ilícitos, con independencia de que la información sea o no además incompatible con sus condiciones generales. Esta evaluación se entiende sin perjuicio de la responsabilidad personal del destinatario del servicio de plataformas en línea de muy gran tamaño o de los propietarios de sitios web indexados por motores de búsqueda en línea de muy gran tamaño ante la posible ilegalidad de su actividad con arreglo al Derecho aplicable.

(81) Una segunda categoría se refiere a los efectos reales o previsibles del servicio para el ejercicio de los derechos fundamentales, tal como los protege la Carta, entre ellos, la dignidad humana, la libertad de expresión y de información, incluidos la libertad de los medios de comunicación y su pluralismo, el derecho a la vida privada, el derecho a la protección de datos, el derecho a la no discriminación, los derechos del niño y la protección de los consumidores. Estos riesgos pueden derivarse, por ejemplo, del diseño de los sistemas algorítmicos utilizados por la plataforma en línea de muy gran tamaño o el motor de búsqueda en línea de muy gran tamaño o por el uso indebido de su servicio mediante el envío de notificaciones abusivas u otros métodos destinados a limitar la expresión u obstaculizar la competencia. Al evaluar los riesgos para los derechos del niño, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben tener en cuenta, por ejemplo, cuan fácil les resulta a los menores comprender el diseño y el funcionamiento del servicio, así como la manera en que los menores pueden verse expuestos, a través de su servicio, a contenidos que puedan perjudicar su salud y su desarrollo físico, mental y moral. Tales riesgos pueden surgir, por ejemplo, con interfaces en línea que estén diseñadas de manera que exploten intencionada o involuntariamente las debilidades y la inexperiencia de los menores o que puedan generar un comportamiento adictivo.

(82) Una tercera categoría de riesgos se refiere a los efectos negativos reales o previsibles sobre los procesos democráticos, el discurso cívico y los procesos electorales, así como sobre la seguridad pública.

(83) Una cuarta categoría de riesgos se deriva de preocupaciones similares relacionadas con el diseño, el funcionamiento o la utilización, también mediante la manipulación, de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño, con un efecto negativo real o previsible en la protección de la salud pública, los menores y graves consecuencias negativas para el bienestar físico y mental de una persona, o en la violencia de género. Estos riesgos también pueden derivarse de campañas coordinadas de desinformación relacionadas con la salud pública, o del diseño de interfaces en línea que puedan estimular adicciones comportamentales de los destinatarios del servicio.

(84) Al evaluar dichos riesgos sistémicos, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben centrarse en los sistemas u otros elementos que puedan contribuir a los riesgos, incluidos todos los sistemas algorítmicos que puedan ser pertinentes, en particular sus sistemas de recomendación y de publicidad, dedicando atención a las prácticas conexas de recogida y uso de datos. También deben evaluar si sus condiciones generales y su cumplimiento son adecuados, así como sus procesos de moderación de contenidos, herramientas técnicas y recursos asignados. Al evaluar los riesgos sistémicos identificados en el presente Reglamento, dichos prestadores también deben centrarse en la información que no sea ilícita, pero que contribuya a los riesgos sistémicos identificados en el presente Reglamento. Por consiguiente, dichos prestadores deben dedicar especial atención a cómo se utilizan sus servicios para difundir o amplificar contenidos incorrectos o engañosos, incluida la desinformación. Cuando la amplificación algorítmica de la información contribuya a los riesgos sistémicos, dichos prestadores deben reflejarlo debidamente en sus evaluaciones de riesgos. Cuando los riesgos estén localizados o existan diferencias lingüísticas, dichos prestadores también deben tenerlo en cuenta en sus evaluaciones de riesgos. Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben evaluar, en particular, cómo contribuyen a tales riesgos el diseño y el funcionamiento de su servicio, así como la manipulación intencionada y, a menudo, coordinada y el uso de sus servicios, o la infracción sistémica de sus condiciones generales de servicio. Estos riesgos pueden derivarse, por ejemplo, del uso no auténtico del servicio, como la creación de cuentas falsas, el uso de bots o el uso engañoso de un servicio, y otros comportamientos total o parcialmente automatizados, que pueden dar lugar a la difusión rápida y extendida de información al público que sea un contenido ilícito o incompatible con las condiciones generales de una plataforma en línea o un motor de búsqueda en línea y que contribuya a campañas de desinformación.

(85) Con el fin de hacer posible que las evaluaciones de riesgos posteriores se completen mutuamente y muestren la evolución de los riesgos detectados, así como para facilitar las investigaciones y las medidas de ejecución, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben conservar todos los documentos justificativos relativos a las evaluaciones de riesgos que hayan llevado a cabo, como la información relativa a su preparación, los datos subyacentes y los datos sobre la realización de pruebas de sus sistemas algorítmicos.

(86) Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben desplegar los medios necesarios para reducir diligentemente los riesgos sistémicos determinados en las evaluaciones de riesgos, respetando los derechos fundamentales. Cualquier medida que se adopte debe respetar los requisitos de diligencia debida del presente Reglamento y ser eficaz y apropiada para reducir los riesgos sistémicos específicos detectados. Deben ser proporcionadas a la luz de la capacidad económica del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño y de la necesidad de evitar restricciones innecesarias al uso de su servicio, teniendo debidamente en cuenta los posibles efectos negativos en dichos derechos fundamentales. Dichos prestadores deben dedicar especial atención al impacto en la libertad de expresión.

(87) Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben considerar, entre esas medidas de mitigación, por ejemplo, la adaptación de cualquier diseño, característica o funcionamiento necesario de su servicio, como el diseño de la interfaz en línea. Deben adaptar y aplicar sus condiciones generales, según sea necesario y de conformidad con las normas del presente Reglamento relativas a las condiciones generales. Otras medidas adecuadas podrían incluir la adaptación de sus sistemas de moderación de contenidos y procesos internos o la adaptación de sus procesos y recursos de toma de decisiones, incluido el personal de moderación de contenidos, su formación y su experiencia local. Esto afecta, en particular, a la rapidez y la calidad del tratamiento de las notificaciones. A este respecto, por ejemplo, el Código de conducta para la lucha contra la incitación ilegal al odio en internet de 2016 establece un punto de referencia para tratar notificaciones válidas para la eliminación de la incitación ilegal al odio en menos de 24 horas. Los prestadores de plataformas en línea de muy gran tamaño, en particular las utilizadas principalmente para la difusión al público de contenidos pornográficos, deben cumplir con diligencia todas sus obligaciones en virtud del presente Reglamento en lo que respecta a los contenidos ilícitos que constituyen ciberviolencia, incluidos los contenidos pornográficos ilícitos, especialmente en lo que se refiere a garantizar que las víctimas puedan ejercer eficazmente sus derechos en relación con contenidos que representen el intercambio no consensuado de material íntimo o manipulado mediante el tratamiento rápido de notificaciones y la retirada de dichos contenidos sin dilación indebida. Otros tipos de contenidos ilícitos pueden requerir plazos más largos o más cortos para el tratamiento de las notificaciones, que dependerán de los hechos, las circunstancias y los tipos de contenidos ilícitos de que se trate. Dichos prestadores también pueden iniciar o aumentar la cooperación con alertadores fiables y organizar sesiones de formación e intercambios con organizaciones de alertadores fiables.

(88) Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño también deben ser diligentes en las medidas que adopten para probar y, en caso necesario, adaptar sus sistemas algorítmicos, en particular sus sistemas de recomendación. Pueden tener que mitigar los efectos negativos de las recomendaciones personalizadas y corregir los criterios utilizados en sus recomendaciones. Los sistemas publicitarios utilizados por los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño pueden ser, asimismo, un catalizador de riesgos sistémicos. Dichos prestadores deben también sopesar medidas correctoras, como suspender la recaudación de ingresos por publicidad de información específica, u otro tipo de medidas, como mejorar la visibilidad de fuentes autorizadas de información, o de forma más estructural adaptar sus sistemas publicitarios. Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño pueden tener que reforzar sus procesos internos o la supervisión de cualquiera de sus actividades, en particular en lo que respecta a la detección de riesgos sistémicos, y llevar a cabo evaluaciones de riesgos más frecuentes o específicas relacionadas con nuevas funciones. En particular, cuando los riesgos se compartan entre plataformas en línea o motores de búsqueda en línea diferentes, deben colaborar con otros prestadores de servicios, por ejemplo, mediante la adopción de nuevos códigos de conducta o la suscripción a los ya existentes, u otras medidas de autorregulación. También deben sopesar medidas de concienciación, en especial cuando los riesgos estén relacionados con campañas de desinformación.

(89) Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben tener en cuenta el interés superior de los menores a la hora de adoptar medidas como adaptar el diseño de su servicio y su interfaz en línea, en especial cuando sus servicios se dirijan principalmente a menores o sean utilizados predominantemente por ellos. Deben velar por que sus servicios se organicen de manera que permitan a los menores acceder fácilmente a los mecanismos previstos en el presente Reglamento, cuando proceda, incluidos los mecanismos de notificación, acción y reclamación. También deben adoptar medidas a fin de proteger a los menores de contenidos que puedan perjudicar su desarrollo físico, mental o moral y proporcionar herramientas que permitan el acceso condicional a dicha información. Al seleccionar las medidas de mitigación adecuadas, los prestadores pueden tener en cuenta, cuando proceda, las mejores prácticas del sector, en particular las establecidas mediante la cooperación en materia de autorregulación, como los códigos de conducta, y deben tener en cuenta las directrices de la Comisión.

(90) Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben garantizar que su enfoque de la evaluación y reducción de riesgos se basa en la mejor información disponible y los mejores conocimientos científicos, y que prueban sus hipótesis con los grupos más afectados por los riesgos y las medidas que adopten. A tal efecto, deben realizar sus evaluaciones de riesgos y diseñar sus medidas de reducción del riesgo contando con la participación de representantes de los destinatarios del servicio, representantes de grupos potencialmente afectados por sus servicios, expertos independientes y organizaciones de la sociedad civil. Deben tratar de integrar dichas consultas en sus metodologías de evaluación de riesgos y de diseño de medidas de reducción, incluidas, en su caso, encuestas, grupos de discusión, mesas redondas y otros métodos de consulta y diseño. Al evaluar si una medida es razonable, proporcionada y efectiva, debe prestarse especial atención al derecho a la libertad de expresión.

(91) En tiempos de crisis puede ser necesario que los prestadores de plataformas en línea de muy gran tamaño adopten con urgencia determinadas medidas específicas, además de las medidas que adoptarían en vista de sus otras obligaciones en virtud del presente Reglamento. A este respecto, debe considerarse que se produce una crisis cuando se producen circunstancias extraordinarias que pueden dar lugar a una amenaza grave para la seguridad pública o la salud pública en la Unión o en partes significativas de la Unión. Estas crisis podrían derivarse de conflictos armados o actos de terrorismo, incluidos los conflictos o actos de terrorismo emergentes, las catástrofes naturales como terremotos y huracanes, así como las pandemias y otras amenazas transfronterizas graves para la salud pública. La Comisión debe poder exigir a los prestadores de plataformas en línea de muy gran tamaño y a los prestadores de motores de búsqueda en línea de muy gran tamaño, previa recomendación de la Junta Europea de Servicios Digitales (en lo sucesivo, «Junta»), que inicien urgentemente una respuesta a la crisis. Las medidas que dichos prestadores pueden determinar y considerar aplicar pueden incluir, por ejemplo, la adaptación de los procesos de moderación de contenidos y el aumento de los recursos dedicados a la moderación de contenidos, la adaptación de las condiciones generales, los sistemas algorítmicos pertinentes y los sistemas publicitarios, la intensificación de la cooperación con los alertadores fiables, la adopción de medidas de concienciación y la promoción de información fiable y la adaptación del diseño de sus interfaces en línea. Deben establecerse los requisitos necesarios al objeto de garantizar que dichas medidas se adopten en un plazo muy breve y que el mecanismo de respuesta a las crisis solo se utilice cuando y en la medida en que sea estrictamente necesario y que cualquier medida adoptada en el marco de este mecanismo sea eficaz y proporcionada, teniendo debidamente en cuenta los derechos e intereses legítimos de todas las partes afectadas. El uso del mecanismo debe entenderse sin perjuicio de las demás disposiciones del presente Reglamento, como las relativas a las evaluaciones de riesgos y las medidas de reducción y su aplicación, así como las relativas a los protocolos de crisis.

(92) Dada la necesidad de garantizar la comprobación por expertos independientes, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben rendir cuentas, mediante auditorías independientes, del cumplimiento de las obligaciones establecidas en el presente Reglamento y, cuando sea pertinente, de cualquier compromiso complementario adquirido de conformidad con códigos de conducta y protocolos de crisis. A fin de garantizar que las auditorías se lleven a cabo de manera eficaz, eficiente y en tiempo oportuno, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben facilitar la cooperación y la asistencia necesarias a las organizaciones que llevan a cabo las auditorías, en particular dando acceso al auditor a todos los datos y locales pertinentes necesarios para realizar la auditoría debidamente, incluidos, cuando proceda, los datos relacionados con los sistemas algorítmicos, y respondiendo a preguntas orales o escritas. Los auditores también deben poder recurrir a otras fuentes de información objetiva, como estudios de investigadores autorizados. Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño no deben dificultar la realización de la auditoría. Las auditorías deben llevarse a cabo con arreglo a las mejores prácticas del sector y a una ética y objetividad profesionales elevadas, teniendo debidamente en cuenta, según proceda, las normas y los códigos de prácticas de auditoría. Los auditores deben garantizar la confidencialidad, seguridad e integridad de la información, como secretos comerciales, que obtengan en el desempeño de sus funciones. Esta garantía no debe servir para eludir la aplicabilidad de las obligaciones de auditoría del presente Reglamento. Los auditores deben tener los conocimientos necesarios en materia de gestión de riesgos y competencia técnica para auditar algoritmos. Deben ser independientes, para poder realizar sus funciones de manera adecuada y fiable. Deben cumplir los requisitos básicos de independencia para la prohibición de los servicios ajenos a la auditoría, la rotación de sociedades y los honorarios no contingentes. Si su independencia y competencia técnica no están fuera de toda duda, deben dimitir o abstenerse de participar en la auditoría.

(93) El informe de auditoría debe estar fundamentado, de modo que ofrezca un relato coherente de las actividades realizadas y las conclusiones alcanzadas. Debe contribuir a informar y, en su caso, inspirar mejoras de las medidas adoptadas por los prestadores de la plataforma en línea de muy gran tamaño y del motor de búsqueda en línea de muy gran tamaño para cumplir con sus obligaciones en virtud del presente Reglamento. Tras la recepción del informe de auditoría, este debe transmitirse al coordinador de servicios digitales de establecimiento, a la Comisión y a la Junta. Los prestadores también deben transmitir cuando se hayan completado sin dilación indebida cada uno de los informes sobre la evaluación de riesgos y las medidas de reducción del riesgo, así como el informe de aplicación de la auditoría del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño que muestre cómo han abordado las recomendaciones de la auditoría. El informe de auditoría debe incluir un dictamen de auditoría basado en las conclusiones extraídas a partir de los datos fehacientes obtenidos en la auditoría. Debe dictarse un «dictamen favorable» cuando todos los datos demuestren que el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño cumple con las obligaciones establecidas en el presente Reglamento o bien, en su caso, cualquier compromiso que haya adquirido de conformidad con un código de conducta o un protocolo de crisis, en particular mediante la determinación, la evaluación y la reducción de los riesgos sistémicos generados por su sistema y sus servicios. Un «dictamen favorable» debe ir acompañado de observaciones cuando el auditor desee incluir comentarios que no tengan efectos importantes sobre el resultado de la auditoría. Debe dictarse un «dictamen negativo» cuando el auditor considere que el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño no cumple con el presente Reglamento o con los compromisos adquiridos. Cuando el dictamen de auditoría no haya podido llegar a una conclusión sobre elementos concretos comprendidos dentro del ámbito de la auditoría, debe incluirse en dicho dictamen una explicación de los motivos por los que no se llegó a una conclusión. En su caso, el informe debe incluir una descripción de los elementos concretos que no pudieron auditarse, y una explicación de por qué fue así.

(94) Las obligaciones en materia de evaluación y reducción de riesgos deben desencadenar, en función de cada caso, la necesidad de que los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño evalúen y, en caso necesario, adapten el diseño de sus sistemas de recomendación, por ejemplo adoptando medidas para evitar o minimizar los sesgos que den lugar a la discriminación de personas en situaciones vulnerables, en particular cuando dicha adaptación sea conforme con el Derecho en materia de protección de datos y cuando la información esté personalizada sobre la base de categorías especiales de datos personales a que se refiere el artículo 9 del Reglamento (UE) 2016/679. Además, y como complemento de las obligaciones de transparencia aplicables a las plataformas en línea en lo que respecta a sus sistemas de recomendación, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben garantizar sistemáticamente que los destinatarios de su servicio disfruten de opciones alternativas que no se basen en la elaboración de perfiles, en el sentido del Reglamento (UE) 2016/679, para los parámetros principales de sus sistemas de recomendación. Estas opciones deben ser directamente accesibles desde la interfaz en línea en la que se presentan las recomendaciones.

(95) Los sistemas publicitarios utilizados por las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño entrañan especiales riesgos y requieren supervisión pública y reguladora adicional debido a su escala y capacidad para dirigirse y llegar a los destinatarios del servicio en función de su comportamiento dentro y fuera de la interfaz en línea de dicha plataforma o motor de búsqueda. Las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño deben garantizar el acceso público a los repositorios de anuncios publicitarios presentados en sus interfaces en línea para facilitar la supervisión y la investigación de los riesgos emergentes generados por la distribución de publicidad en línea, por ejemplo en relación con anuncios ilícitos o técnicas manipulativas y desinformación con efectos negativos reales y previsibles para la salud pública, la seguridad pública, el discurso civil, la participación política y la igualdad. Los repositorios deben incluir el contenido de los anuncios publicitarios, incluido el nombre del producto, servicio o marca y el contenido del anuncio, y datos conexos sobre el anunciante y, si fuera diferente, la persona física o jurídica que pagó el anuncio, y sobre la difusión del anuncio, especialmente en lo que respecta a la publicidad personalizada. Esta información debe contener tanto información sobre los criterios de personalización como sobre los criterios de difusión, en particular cuando los anuncios estén dirigidos a personas en situaciones vulnerables, como los menores.

(96) A fin de vigilar y evaluar debidamente el cumplimiento por parte de las plataformas en línea de muy gran tamaño y de los motores de búsqueda en línea de muy gran tamaño de las obligaciones establecidas en el presente Reglamento, el coordinador de servicios digitales de establecimiento o la Comisión pueden requerir acceso o informes relativos a datos específicos, incluidos los datos relacionados con algoritmos. Este requerimiento puede incluir, por ejemplo, los datos necesarios para evaluar los riesgos y posibles perjuicios generados por los sistemas de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño, datos sobre la precisión, el funcionamiento y la realización de pruebas de los sistemas algorítmicos de moderación de contenidos, sistemas de recomendación o sistemas publicitarios, en particular, cuando corresponda, datos de entrenamiento y algoritmos, o datos sobre procesos y resultados de moderación de contenidos o de los sistemas internos de gestión de reclamaciones en el sentido del presente Reglamento. Dichas solicitudes de acceso a los datos no deben incluir las solicitudes que piden información específica sobre los destinatarios individuales del servicio a efectos de determinar si dichos destinatarios cumplen otras normas de Derecho de la Unión o nacional aplicable. Las investigaciones sobre la evolución y la gravedad de los riesgos sistémicos en línea son especialmente importantes para compensar asimetrías de información y establecer un sistema resiliente de reducción de riesgos, con información para los prestadores de plataformas en línea, los prestadores de motores de búsqueda en línea, los coordinadores de servicios digitales, otras autoridades competentes, la Comisión y el público.

(97) Por consiguiente, el presente Reglamento establece un marco para exigir a las plataformas en línea de muy gran tamaño y a los motores de búsqueda en línea de muy gran tamaño que faciliten el acceso a los datos a los investigadores autorizados afiliados a un organismo de investigación tal como se define en el artículo 2 de la Directiva (UE) 2019/790, que puede incluir, a efectos del presente Reglamento, a organizaciones de la sociedad civil que estén llevando a cabo investigaciones científicas con el objetivo principal de apoyar su misión de interés público. Todos los requisitos relativos al acceso a los datos en virtud de dicho marco deben ser proporcionados y proteger debidamente los derechos e intereses legítimos, como la protección de los datos personales, los secretos comerciales y otra información confidencial, de la plataforma en línea de muy gran tamaño o el motor de búsqueda en línea de muy gran tamaño y de cualquier otra parte afectada, incluidos los destinatarios del servicio. No obstante, para garantizar la consecución del objetivo del presente Reglamento, la consideración de los intereses comerciales de los prestadores no debe dar lugar a una denegación de acceso a los datos necesarios para el objetivo específico de investigación con arreglo a una solicitud en virtud del presente Reglamento. A este respecto, sin perjuicio de lo dispuesto en la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo (32), los prestadores deben garantizar un acceso adecuado a los investigadores, también, cuando sea necesario, adoptando protecciones técnicas, por ejemplo, a través de espacios de datos. Las solicitudes de acceso a los datos podrían comprender, por ejemplo, el número de visualizaciones o, en su caso, otros tipos de acceso a contenidos por parte de los destinatarios del servicio antes de su retirada por el prestador de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño.

(98) Además, cuando los datos sean de acceso público, dichos prestadores no deben impedir que los investigadores que cumplan un subconjunto de criterios apropiado hagan uso de estos datos con fines de investigación que contribuyan a la detección, determinación y comprensión de los riesgos sistémicos. Deben proporcionar acceso a dichos investigadores, incluso, cuando sea técnicamente posible, en tiempo real, a los datos de acceso público, por ejemplo, sobre interacciones agregadas con contenidos procedentes de páginas públicas, grupos públicos o personalidades públicas, incluidos datos sobre impresión e interacción, como el número de reacciones, de veces que se ha compartido y de comentarios de los destinatarios del servicio. Debe alentarse a los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño a cooperar con los investigadores y a facilitar un acceso más amplio a los datos para hacer un seguimiento de las preocupaciones de la sociedad a través de esfuerzos voluntarios, en particular mediante compromisos y procedimientos acordados en el marco de códigos de conducta o protocolos de crisis. Esos prestadores y los investigadores han de dedicar especial atención a la protección de los datos personales y velar por que todo tratamiento de datos personales cumpla lo dispuesto en el Reglamento (UE) 2016/679. Los prestadores deben anonimizar o seudonimizar los datos personales, excepto en aquellos casos que hagan imposible el objetivo de investigación que se persigue.

(99) Dada la complejidad del funcionamiento de los sistemas desplegados y los riesgos sistémicos que entrañan para la sociedad, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben establecer una función de cumplimiento, que debe ser independiente de las funciones operativas de esos prestadores. El jefe de la función de cumplimiento debe informar directamente a la dirección de esos prestadores, también en lo que respecta a las dudas relativas al incumplimiento del presente Reglamento. Los encargados del cumplimiento que formen parte de la función de cumplimiento deben poseer la cualificación, la experiencia, la capacidad y los conocimientos necesarios para poner en práctica medidas y vigilar el cumplimiento del presente Reglamento en la organización de los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño. Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben asegurarse de que la función de cumplimiento está integrada, de manera apropiada y oportuna, en todas las cuestiones que se refieren al presente Reglamento, en particular en la evaluación de riesgos, en la estrategia de reducción y en las medidas específicas, y en la evaluación del cumplimiento, en su caso, de los compromisos que hayan contraído esos prestadores en virtud de los códigos de conducta y protocolos de crisis a los que se hayan adherido.

(100) En vista de los riesgos adicionales relacionados con sus actividades y sus obligaciones adicionales en virtud del presente Reglamento, deben aplicarse requisitos de transparencia adicionales específicamente a las plataformas en línea de muy gran tamaño y a los motores de búsqueda en línea de muy gran tamaño, en especial para informar de forma exhaustiva sobre las evaluaciones de riesgos realizadas y las medidas consiguientes adoptadas según lo establecido en el presente Reglamento.

(101) La Comisión debe disponer de todos los recursos necesarios en cuanto a personal, competencia y medios financieros para el cumplimiento de sus misiones en virtud del presente Reglamento. A fin de garantizar la disponibilidad de los recursos necesarios para una supervisión adecuada a escala de la Unión en virtud del presente Reglamento, y teniendo en cuenta que los Estados miembros deben estar facultados para cobrar a los prestadores establecidos en su territorio una tasa de supervisión en relación con las funciones de supervisión y ejecución ejercidas por sus autoridades, la Comisión debe cobrar una tasa de supervisión, cuyo nivel debe establecerse anualmente, a las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño. El importe global de la tasa anual de supervisión cobrada debe establecerse sobre la base del importe global de los costes en que incurra la Comisión para ejercer sus funciones de supervisión en virtud del presente Reglamento, según una estimación previa razonable. Dicho importe debe comprender los costes relacionados con el ejercicio de las competencias y tareas específicas de supervisión, investigación, ejecución y seguimiento respecto de los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño, incluidos los costes relacionados con la designación de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño o con la creación, el mantenimiento y el funcionamiento de las bases de datos previstas en el presente Reglamento.

También debe incluir los costes relacionados con la creación, el mantenimiento y el funcionamiento de la infraestructura de información e institucional básica para la cooperación entre los coordinadores de servicios digitales, la Junta y la Comisión, teniendo en cuenta que, dado su tamaño y su alcance, las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño tienen un impacto significativo en los recursos necesarios para apoyar dicha infraestructura. La estimación de los costes globales debe tener en cuenta los costes de supervisión soportados el año anterior, incluidos, en su caso, los costes que superen las tasas anuales de supervisión individuales cobradas en el año anterior. Los ingresos afectados externos resultantes de las tasas anuales de supervisión podrían utilizarse para financiar recursos humanos adicionales, como agentes contractuales y expertos nacionales en comisión de servicios, y otros gastos relacionados con el desempeño de las tareas encomendadas a la Comisión por el presente Reglamento. La tasa anual de supervisión que debe cobrarse a los prestadores de plataformas en línea de muy gran tamaño y motores de búsqueda en línea de muy gran tamaño ha de ser proporcional al tamaño del servicio, reflejado en el número de destinatarios del servicio activos en la Unión. Además, la tasa anual de supervisión individual no debe superar un límite máximo global para cada prestador de plataformas en línea de muy gran tamaño o de motor de búsqueda en línea de muy gran tamaño, teniendo en cuenta la capacidad económica del prestador de los correspondientes servicios.

(102) Para facilitar la aplicación efectiva y coherente de las obligaciones establecidas en el presente Reglamento que pueda precisar su ejecución por medios tecnológicos, es importante promover normas voluntarias que comprendan determinados procedimientos técnicos, de modo que la industria pueda colaborar al desarrollo de medios normalizados para apoyar a los prestadores de servicios intermediarios en el cumplimiento del presente Reglamento, como permitir el envío de notificaciones, por ejemplo a través de interfaces de programación de aplicaciones, normas relacionadas con las condiciones generales o normas relacionadas con las auditorías, o normas relacionadas con la interoperabilidad de los repositorios de anuncios publicitarios. Además, dichas normas podrían incluir normas relativas a la publicidad en línea, los sistemas de recomendación, la accesibilidad y la protección de los menores en línea. Los prestadores de servicios intermediarios tienen libertad para adoptar las normas, pero su adopción no presupone el cumplimiento del presente Reglamento. Al mismo tiempo, al establecer las mejores prácticas, dichas normas podrían ser especialmente útiles para los prestadores de servicios intermediarios relativamente pequeños. Las normas podrían distinguir entre distintos tipos de contenidos ilícitos o distintos tipos de servicios intermediarios, según corresponda.

(103) La Comisión y la Junta deben fomentar la elaboración de códigos de conducta voluntarios, así como la aplicación de las disposiciones de esos códigos, a fin de contribuir a la aplicación del presente Reglamento. La Comisión y la Junta deben procurar que los códigos de conducta definan claramente la naturaleza de los objetivos de interés público que se persiguen, que contengan mecanismos para la evaluación independiente de la consecución de estos objetivos, y que presenten una definición clara de la función de las autoridades competentes. Debe prestarse especial atención a evitar efectos negativos en la seguridad, la protección de la privacidad y los datos personales, así como a la prohibición de imponer obligaciones generales de monitorización. Aunque la aplicación de los códigos de conducta debe ser medible y estar sujeta a supervisión pública, ello no debe afectar al carácter voluntario de dichos códigos y a la libertad de los interesados para decidir si desean participar. En determinadas circunstancias, es importante que las plataformas en línea de muy gran tamaño cooperen en la elaboración de códigos de conducta específicos y se adhieran a ellos. Nada de lo dispuesto en el presente Reglamento impide que otros prestadores de servicios se adhieran a las mismas normas de diligencia debida, adopten buenas prácticas y se beneficien de las directrices proporcionadas por la Comisión y la Junta, mediante su participación en los mismos códigos de conducta.

(104) Es apropiado que el presente Reglamento señale determinados aspectos para que se tomen en consideración en dichos códigos de conducta. En particular, deben explorarse medidas de reducción de riesgos relativas a tipos concretos de contenidos ilícitos a través de acuerdos de autorregulación y corregulación. Otro aspecto que debe tomarse en consideración son las posibles repercusiones negativas de los riesgos sistémicos para la sociedad y la democracia, como la desinformación o las actividades manipulativas y abusivas, o cualquier efecto adverso para los menores. Esto incluye operaciones coordinadas dirigidas a amplificar información, incluida la desinformación, como el uso de bots y cuentas falsas para generar información deliberadamente incorrecta o engañosa, a veces con el fin de obtener un beneficio económico, que son especialmente nocivas para destinatarios del servicio vulnerables, como los menores. En relación con estos aspectos, la adhesión de una plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño a un determinado código de conducta y su cumplimiento puede considerarse una medida apropiada de reducción de riesgos. La negativa de un prestador de una plataforma en línea o de un motor de búsqueda en línea a participar en la aplicación de un código de conducta de esta índole a invitación de la Comisión, sin explicaciones adecuadas, podría tenerse en cuenta, cuando sea pertinente, a la hora de determinar si la plataforma en línea o el motor de búsqueda en línea ha incumplido las obligaciones establecidas en el presente Reglamento. El mero hecho de participar en un código de conducta determinado y aplicarlo no debe presuponer por sí mismo el cumplimiento del presente Reglamento.

(105) Los códigos de conducta deben facilitar la accesibilidad de las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño, de conformidad con el Derecho de la Unión y nacional, a fin de facilitar su uso previsible por las personas con discapacidad. En particular, los códigos de conducta podrían garantizar que la información se presente de forma perceptible, funcional, comprensible y sólida y que los formularios y las medidas facilitados en virtud del presente Reglamento estén disponibles de manera fácil de localizar y accesible para las personas con discapacidad.

(106) Las disposiciones del presente Reglamento relativas a los códigos de conducta podrían servir de base para iniciativas de autorregulación ya establecidas a escala de la Unión, como el compromiso de seguridad con los productos, el memorando de entendimiento sobre la venta de productos falsificados a través de internet, el Código de conducta para la lucha contra la incitación ilegal al odio en internet, y el Código de buenas prácticas en materia de desinformación. En particular en relación con este último, a raíz de las orientaciones de la Comisión, el Código de buenas prácticas en materia de desinformación ha sido reforzado como se anunció en el Plan de Acción para la Democracia Europea.

(107) En la publicidad en línea generalmente intervienen varios actores, incluidos los servicios intermediarios que conectan a los publicistas con los anunciantes. Los códigos de conducta deben apoyar y complementar las obligaciones de transparencia relativas a la publicidad para los prestadores de plataformas en línea, de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño establecidas en el presente Reglamento a fin de establecer unos mecanismos flexibles y eficaces para facilitar y potenciar el cumplimiento de dichas obligaciones, en particular en lo que se refiere a las modalidades de transmisión de la información pertinente. Esto debe incluir facilitar la transmisión de la información sobre el anunciante que paga el anuncio publicitario cuando difiere de la persona física o jurídica en cuyo nombre se presenta el anuncio en la interfaz en línea de una plataforma en línea. Los códigos de conducta también deben incluir medidas para garantizar que la información significativa sobre la monetización de los datos se comparta adecuadamente a lo largo de toda la cadena de valor. La participación de una gran variedad de partes interesadas debe garantizar que dichos códigos de conducta cuenten con un amplio apoyo, sean técnicamente sólidos y eficaces, y ofrezcan niveles máximos de facilidad en el manejo para garantizar que las obligaciones de transparencia cumplan sus objetivos. A fin de garantizar la eficacia de los códigos de conducta, la Comisión debe incluir mecanismos de evaluación en la elaboración de los códigos de conducta. Cuando sea conveniente, la Comisión puede invitar a la Agencia de los Derechos Fundamentales o al Supervisor Europeo de Protección de Datos a expresar sus opiniones sobre el código de conducta correspondiente.

(108) Además del mecanismo de respuesta a las crisis para las plataformas en línea de muy gran tamaño y motores de búsqueda en línea de muy gran tamaño, la Comisión puede iniciar la elaboración de protocolos de crisis voluntarios para coordinar una respuesta rápida, colectiva y transfronteriza en el entorno en línea. Este puede ser el caso, por ejemplo, cuando las plataformas en línea se utilizan de forma indebida para propagar rápidamente contenidos ilícitos o desinformación, o bien cuando surja la necesidad de difundir rápidamente información fiable. En vista del importante papel que desempeñan las plataformas en línea de muy gran tamaño en la difusión de información en nuestras sociedades y a través de las fronteras, debe animarse a los prestadores de dichas plataformas a elaborar y aplicar protocolos de crisis específicos. Dichos protocolos de crisis solo deben activarse durante un período limitado y las medidas adoptadas también deben limitarse a lo estrictamente necesario para hacer frente a la circunstancia extraordinaria. Esas medidas deben ser coherentes con el presente Reglamento, y no deben suponer una obligación general para los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño participantes de monitorizar la información que transmiten o almacenan, ni de buscar activamente hechos o circunstancias que indiquen contenidos ilícitos.

(109) A fin de garantizar una supervisión y ejecución adecuadas de las obligaciones establecidas en el presente Reglamento, los Estados miembros deben designar al menos a una autoridad que se encargue de supervisar su aplicación y ejecutar el presente Reglamento, sin perjuicio de la posibilidad de designar a una autoridad ya existente ni de su forma jurídica de acuerdo con el Derecho nacional. No obstante, los Estados miembros deben poder encomendar a más de una autoridad competente el desempeño de determinadas funciones y competencias de supervisión o ejecución relativas a la aplicación del presente Reglamento, por ejemplo para sectores concretos en los que pueda asimismo facultarse a autoridades ya existentes, como los reguladores de comunicaciones electrónicas, los reguladores de medios de comunicación o las autoridades de protección de los consumidores, que reflejen su estructura constitucional, organizativa y administrativa nacional. En el ejercicio de sus funciones, todas las autoridades competentes deben contribuir a la consecución de los objetivos del presente Reglamento, a saber, el correcto funcionamiento del mercado interior de servicios intermediarios en el que las normas armonizadas para un entorno en línea seguro, predecible y fiable establecidas que facilite la innovación, y en particular, las obligaciones de diligencia debida aplicables a las diferentes categorías de prestadores de servicios intermediarios, se supervisen y apliquen realmente con el fin de garantizar la protección efectiva de los derechos fundamentales amparados por la Carta, incluido el principio de protección de los consumidores. El presente Reglamento no exige a los Estados miembros que confieran a las autoridades competentes la tarea de pronunciarse sobre la legalidad de elementos específicos del contenido.

(110) Dada la naturaleza transfronteriza de los servicios en cuestión y la horizontalidad de las obligaciones que introduce el presente Reglamento, una autoridad encargada de supervisar la aplicación y, en su caso, ejecución del presente Reglamento debe identificarse como coordinador de servicios digitales en cada Estado miembro. Cuando se designe a más de una autoridad competente para supervisar la aplicación y ejecutar el presente Reglamento, solo una autoridad de dicho Estado miembro debe ser designada como coordinador de servicios digitales. El coordinador de servicios digitales debe actuar como punto único de contacto con respecto a todos los asuntos relacionados con la aplicación del presente Reglamento para la Comisión, la Junta, los coordinadores de servicios digitales de otros Estados miembros y otras autoridades competentes del Estado miembro de que se trate. En particular, cuando se encomiende a varias autoridades competentes el desempeño de funciones establecidas en el presente Reglamento en un determinado Estado miembro, el coordinador de servicios digitales debe coordinarse y cooperar con esas autoridades de conformidad con el Derecho nacional que establezca sus funciones respectivas, y sin perjuicio de la evaluación independiente de las otras autoridades competentes. El coordinador de servicios digitales debe garantizar la participación efectiva de todas las autoridades competentes pertinentes e informar a su debido tiempo sobre su evaluación en el contexto de la cooperación en materia de supervisión y garantía del cumplimiento a escala de la Unión, sin que ello implique una superioridad jerárquica sobre otras autoridades competentes en el ejercicio de sus funciones. Asimismo, además de los mecanismos específicos previstos en el presente Reglamento en lo que respecta a la cooperación a escala de la Unión, los Estados miembros también deben garantizar la cooperación entre el coordinador de servicios digitales y otras autoridades competentes designadas a nivel nacional, en su caso, a través de instrumentos adecuados, como la puesta en común de recursos, grupos de trabajo conjuntos, investigaciones conjuntas y mecanismos de asistencia mutua.

(111) El coordinador de servicios digitales, así como otras autoridades competentes designadas en virtud del presente Reglamento, desempeñan un papel crucial para garantizar la efectividad de los derechos y obligaciones establecidos en el presente Reglamento y el cumplimiento de sus objetivos. En consecuencia, es necesario garantizar que dichas autoridades dispongan de los medios necesarios, incluidos los recursos financieros y humanos, para supervisar a todos los prestadores de servicios intermediarios que estén bajo su competencia, en interés de todos los ciudadanos de la Unión. Dada la variedad de prestadores de servicios intermediarios y el uso que hacen de tecnologías avanzadas a la hora de prestar sus servicios, también es esencial que el coordinador de servicios digitales y las autoridades competentes cuenten con el volumen necesario de personal y expertos con competencias especializadas y medios técnicos avanzados y que gestionen de forma autónoma los recursos financieros para desempeñar sus tareas. Además, el nivel de recursos debe tener en cuenta el tamaño, la complejidad y el posible impacto social de los prestadores de servicios intermediarios que estén bajo su competencia, así como el alcance de sus servicios en toda la Unión. El presente Reglamento se entiende sin perjuicio de la posibilidad de que los Estados miembros establezcan mecanismos de financiación basados en una tasa de supervisión cobrada a los prestadores de servicios intermediarios en virtud del Derecho nacional en cumplimiento del Derecho de la Unión, en la medida en que se imponga a los prestadores de servicios intermediarios que tengan su establecimiento principal en el Estado miembro de que se trate, que se limite estrictamente a lo necesario y proporcionado para cubrir los costes del desempeño de las funciones atribuidas a las autoridades competentes en virtud del presente Reglamento, con exclusión de las tareas atribuidas a la Comisión, y que se garantice una transparencia adecuada en lo que respecta a la percepción y el uso de dicha tasa de supervisión.

(112) Dichas autoridades competentes designadas en virtud del presente Reglamento también deben actuar con completa independencia de organismos públicos y privados, sin obligación o posibilidad de solicitar o recibir instrucciones, ni siquiera del Gobierno, y sin perjuicio de los deberes específicos de cooperación con otras autoridades competentes, con los coordinadores de servicios digitales, con la Junta y con la Comisión. Por otra parte, la independencia de estas autoridades no debe suponer que no puedan someterse, de conformidad con las constituciones nacionales y sin poner en peligro el cumplimiento de los objetivos del presente Reglamento, a mecanismos proporcionados de rendición de cuentas en lo que respecta a las actividades generales del coordinador de servicios digitales, como su gasto financiero o la presentación de información a los Parlamentos nacionales. El requisito de independencia tampoco debe impedir el ejercicio del control judicial o la posibilidad de consultar a otras autoridades nacionales o de intercambiar puntos de vista periódicamente con ellas, incluidas las autoridades policiales, de gestión de crisis o de protección de los consumidores, en su caso, al objeto de intercambiar información sobre investigaciones en curso, sin que ello afecte al ejercicio de sus competencias respectivas.

(113) Los Estados miembros pueden designar a una autoridad nacional ya existente que desempeñe la función de coordinador de servicios digitales, o que tenga funciones específicas para supervisar la aplicación y ejecutar el presente Reglamento, siempre que dicha autoridad designada cumpla los requisitos establecidos en el presente Reglamento, por ejemplo, en lo que respecta a su independencia. Además, nada impide a los Estados miembros combinar funciones en una autoridad existente, de conformidad con el Derecho de la Unión. Las medidas que se adopten a tal efecto pueden incluir, entre otras cosas, la imposibilidad de cesar al presidente o a un miembro de la dirección de un órgano colegiado de una autoridad existente antes de que finalice su mandato, por el único motivo de que se haya realizado una reforma institucional que implique la combinación de diferentes funciones en una sola autoridad, a falta de normas que garanticen que esta clase de ceses no pongan en peligro la independencia e imparcialidad de tales miembros.

(114) Los Estados miembros deben proporcionar al coordinador de servicios digitales, y a cualquier otra autoridad competente designada en virtud del presente Reglamento, competencias y medios suficientes para garantizar una investigación y ejecución eficaces, de conformidad con las tareas que se les encomienden. Esto incluye la facultad de las autoridades competentes de adoptar medidas cautelares de conformidad con el Derecho nacional en caso de riesgo de perjuicios graves. Tales medidas cautelares, que pueden incluir órdenes de poner fin a una presunta infracción o de subsanarla, no deben ir más allá de lo necesario para garantizar que se evita el perjuicio grave a la espera de la decisión definitiva. En particular, los coordinadores de servicios digitales deben poder buscar y obtener información localizada en su territorio, también en el contexto de investigaciones conjuntas, con la debida consideración del hecho de que las medidas de supervisión y ejecución relativas a un prestador dentro del ámbito de competencia de otro Estado miembro o de la Comisión deben adoptarse por el coordinador de servicios digitales de ese otro Estado miembro, cuando sea pertinente de conformidad con los procedimientos relativos a la cooperación transfronteriza, o, en su caso, por la Comisión.

(115) Los Estados miembros deben establecer en su Derecho nacional, de conformidad con el Derecho de la Unión y, en particular, con el presente Reglamento y la Carta, condiciones y límites detallados para el ejercicio de las competencias de investigación y ejecución de sus coordinadores de servicios digitales, y otras autoridades competentes cuando sea pertinente, en virtud del presente Reglamento.

(116) En el ejercicio de esas competencias, las autoridades competentes deben cumplir las normas nacionales aplicables en relación con procedimientos y materias tales como la necesidad de una autorización judicial previa para acceder a determinadas instalaciones y la prerrogativa de secreto profesional en la relación cliente-abogado. Esas disposiciones deben garantizar, en particular, el respeto de los derechos fundamentales a la tutela judicial efectiva y a un juez imparcial, incluidos los derechos de la defensa y el derecho al respeto de la vida privada. En este sentido, las garantías establecidas en relación con los procedimientos de la Comisión de conformidad con el presente Reglamento podrían ser un punto de referencia apropiado. Debe garantizarse un procedimiento previo justo e imparcial antes de adoptar una decisión definitiva, que incluya los derechos de las personas afectadas a ser oídas y a acceder al expediente que les concierna, respetando al mismo tiempo la confidencialidad y el secreto profesional y empresarial, así como la obligación de motivar debidamente las decisiones. Sin embargo, esto no debe impedir que se adopten medidas en casos de urgencia debidamente fundamentados y siempre que se cumplan condiciones y trámites procesales adecuados. El ejercicio de las competencias también debe ser proporcionado, entre otras cosas, en relación con la naturaleza y el perjuicio general real o potencial causado por la infracción o la presunta infracción. Las autoridades competentes deben tener en cuenta todos los hechos y circunstancias pertinentes del caso, incluida la información recabada por las autoridades competentes en otros Estados miembros.

(117) Los Estados miembros deben asegurarse de que los incumplimientos de las obligaciones establecidas en el presente Reglamento puedan sancionarse de manera efectiva, proporcionada y disuasoria, teniendo en cuenta la naturaleza, gravedad, recurrencia y duración del incumplimiento, en vista del interés público perseguido, el alcance y la clase de actividades realizadas, así como la capacidad económica del infractor. En particular, las sanciones deben tener en cuenta si el prestador de servicios intermediarios afectado incumple de forma sistemática o recurrente sus obligaciones en virtud del presente Reglamento, así como, cuando sea pertinente, el número de destinatarios del servicio afectados, el carácter intencionado o negligente de la infracción y si el prestador mantiene actividad en varios Estados miembros. Cuando el presente Reglamento establezca un importe máximo de multas sancionadoras o multas coercitivas, este importe máximo debe aplicarse por infracción del presente Reglamento y sin perjuicio de la modulación de las multas sancionadoras o multas coercitivas por infracciones específicas. Los Estados miembros deben garantizar que la imposición de multas sancionadoras o multas coercitivas relacionadas con infracciones sean en cada caso particular efectivas, proporcionadas y disuasorias estableciendo normas y procedimientos nacionales de conformidad con el presente Reglamento, teniendo en cuenta todos los criterios relativos a las condiciones generales para la imposición de multas sancionadoras o multas coercitivas.

(118) A fin de garantizar la ejecución efectiva de las obligaciones establecidas en el presente Reglamento, las personas físicas o las organizaciones representativas deben poder presentar reclamaciones relacionadas con el incumplimiento de dichas obligaciones al coordinador de servicios digitales del territorio donde hayan recibido el servicio, sin perjuicio de lo dispuesto en el presente Reglamento en materia de reparto de competencias y en las normas aplicables relativas a la tramitación de reclamaciones de conformidad con los principios nacionales de buena administración. Las reclamaciones podrían ofrecer una exposición fiel de las inquietudes relacionadas con el cumplimiento de un determinado prestador de servicios intermediarios y también podrían informar al coordinador de servicios digitales de cualquier otra cuestión transversal. El coordinador de servicios digitales debe implicar a otras autoridades competentes nacionales, así como al coordinador de servicios digitales de otro Estado miembro, y en particular al del Estado miembro en el que el prestador de servicios intermediarios afectado esté establecido, si el problema requiere cooperación transfronteriza.

(119) Los Estados miembros deben asegurarse de que los coordinadores de servicios digitales puedan adoptar medidas eficaces y proporcionadas para corregir determinadas infracciones particularmente graves y persistentes del presente Reglamento. Especialmente cuando esas medidas puedan afectar a los derechos e intereses de terceros, como puede ser el caso en particular cuando se limite el acceso a interfaces en línea, es adecuado exigir que las medidas estén sujetas a salvaguardias adicionales. En particular, los terceros potencialmente afectados deben tener la oportunidad de ser oídos y dichas órdenes deben dictarse únicamente cuando no se disponga razonablemente de competencias para adoptar ese tipo de medidas según lo dispuesto en otros actos del Derecho de la Unión o en el Derecho nacional, por ejemplo para proteger los intereses colectivos de los consumidores, para garantizar la retirada inmediata de páginas web que contengan o difundan pornografía infantil, o para bloquear el acceso a servicios que estén siendo utilizados por un tercero para infringir un derecho de propiedad intelectual.

(120) Este tipo de órdenes de limitación del acceso no deben exceder de lo necesario para alcanzar su objetivo. Con ese fin, deben ser temporales y dirigirse en principio a un prestador de servicios intermediarios, como el prestador del servicio de alojamiento de datos pertinente, el prestador del servicio de internet, el registro de nombres de dominio o el registrador, que esté en una posición razonable para alcanzar ese objetivo sin limitar indebidamente el acceso a información lícita.

(121) Sin perjuicio de las disposiciones relativas a la exención de responsabilidad previstas en el presente Reglamento en relación con la información transmitida o almacenada a petición de un destinatario del servicio, un prestador de servicios intermediarios debe ser responsable por los perjuicios sufridos por destinatarios del servicio causados por un incumplimiento de las obligaciones establecidas en el presente Reglamento por dicho prestador. Dicha compensación debe ajustarse a las normas y procedimientos establecidos en el Derecho nacional aplicable y sin perjuicio de otras vías de recurso disponibles en virtud de las normas de protección de los consumidores.

(122) El coordinador de servicios digitales debe publicar periódicamente, por ejemplo, en su sitio web, un informe sobre las actividades realizadas de conformidad con el presente Reglamento. En particular, el informe debe publicarse en un formato legible por máquina e incluir una exposición general de las reclamaciones recibidas y de su seguimiento, como el número total de reclamaciones recibidas y el número de reclamaciones que dieron lugar a la apertura de una investigación formal o que se transmitieron a otros coordinadores de servicios digitales, sin hacer referencia a ningún dato personal. Dado que el coordinador de servicios digitales también tiene conocimiento de las órdenes de actuación contra contenidos ilícitos o de entrega de información reguladas por el presente Reglamento a través del sistema de intercambio de información, el coordinador de servicios digitales debe incluir en su informe anual el número y categoría de dichas órdenes dirigidas a prestadores de servicios intermediarios por las autoridades judiciales y administrativas de su Estado miembro.

(123) En aras de la claridad, simplicidad y efectividad, la competencia para supervisar y hacer cumplir las obligaciones en virtud del presente Reglamento ha de conferirse a las autoridades competentes del Estado miembro en el que se sitúe el establecimiento principal del prestador de servicios intermediarios, es decir, en el que el prestador tenga su sede central o domicilio social en el que ejerza las principales funciones financieras y el control de sus operaciones. Con respecto a los prestadores que no estén establecidos en la Unión pero que ofrezcan sus servicios en ella y, por tanto, se incluyan en el ámbito de aplicación del presente Reglamento, la competencia debe corresponder al Estado miembro en el que dichos prestadores hayan designado a su representante legal, teniendo en cuenta la función que desempeñan los representantes legales en virtud del presente Reglamento. No obstante, en aras de la aplicación efectiva del presente Reglamento, todos los Estados miembros o la Comisión, en su caso, deben tener competencia sobre los prestadores que no hayan designado un representante legal. Esta competencia puede ser ejercida por cualquiera de las autoridades competentes o por la Comisión, siempre que el prestador no esté sujeto a procedimientos de ejecución por los mismos hechos ante otra autoridad competente o la Comisión. A fin de garantizar el respeto del principio non bis in idem y, en particular, de evitar que el mismo incumplimiento de las obligaciones establecidas en el presente Reglamento se sancione más de una vez, cada Estado miembro que tenga la intención de ejercer su competencia con respecto a dichos prestadores debe informar sin dilación indebida a todas las demás autoridades, incluida la Comisión, a través del sistema de intercambio de información establecido a efectos del presente Reglamento.

(124) Habida cuenta de su impacto potencial y de los retos que plantea su supervisión efectiva, se necesitan normas especiales en lo que se refiere a la supervisión y la garantía del cumplimiento en relación con los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño. La Comisión debe ser responsable, con el apoyo de las autoridades nacionales competentes cuando sea pertinente, de la supervisión y la ejecución pública de las cuestiones sistémicas, como las que tienen un gran impacto en los intereses colectivos de los destinatarios del servicio. Por consiguiente, la Comisión debe tener competencias exclusivas de supervisión y garantía del cumplimiento de las obligaciones adicionales de gestión de los riesgos sistémicos impuestas a los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño en el presente Reglamento. Las competencias exclusivas de la Comisión deben entenderse sin perjuicio de determinadas tareas administrativas asignadas en el presente Reglamento a las autoridades competentes del Estado miembro de establecimiento, como la autorización de investigadores.

(125) La Comisión y las autoridades nacionales competentes deben compartir las competencias de supervisión y garantía del cumplimiento de las obligaciones de diligencia debida distintas de las obligaciones adicionales de gestión de los riesgos sistémicos impuestas a los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño en el presente Reglamento. Por una parte, la Comisión podría estar en muchos casos en mejores condiciones para hacer frente a las infracciones sistémicas cometidas por dichos prestadores, como las que afecten a varios Estados miembros o las infracciones reiteradas graves o las relativas a la falta de establecimiento de los mecanismos eficaces exigidos por el presente Reglamento. Por otra, las autoridades competentes del Estado miembro en el que se encuentra el establecimiento principal de un prestador de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño podrían estar en mejor situación para hacer frente a infracciones individuales cometidas por dichos prestadores que no planteen problemas sistémicos o transfronterizos. En aras de la eficiencia, para evitar duplicidades y a fin de garantizar el cumplimiento del principio non bis in idem, debe corresponder a la Comisión evaluar si considera adecuado ejercer esas competencias compartidas en un caso determinado y, una vez que haya iniciado el procedimiento, los Estados miembros no deben tener ya esa capacidad. Los Estados miembros deben cooperar estrechamente entre sí y con la Comisión, y la Comisión debe cooperar estrechamente con los Estados miembros, de modo que se asegure el buen y eficaz funcionamiento del sistema de supervisión y garantía del cumplimiento establecido en virtud del presente Reglamento.

(126) Las normas del presente Reglamento sobre el reparto de competencias deben entenderse sin perjuicio de las disposiciones del Derecho de la Unión y de las normas nacionales de Derecho internacional privado relativas a la competencia judicial y a la ley aplicable en materia civil y mercantil, como las acciones emprendidas por consumidores ante los órganos jurisdiccionales del Estado miembro en el que estén domiciliados de conformidad con las disposiciones pertinentes del Derecho de la Unión. En lo que respecta a las obligaciones impuestas por el presente Reglamento a los prestadores de servicios intermediarios de informar a la autoridad emisora sobre el curso dado a las órdenes de actuación contra contenidos ilícitos y órdenes de suministro de información, las normas sobre el reparto de competencias solo deben aplicarse a la supervisión del cumplimiento de dichas obligaciones, pero no a otras cuestiones relacionadas con la orden, como la competencia para dictar la orden.

(127) Dada la importancia transfronteriza e intersectorial de los servicios intermediarios, es necesario un alto nivel de cooperación para garantizar la aplicación coherente del presente Reglamento y la disponibilidad de información pertinente para el ejercicio de las tareas de ejecución a través del sistema de intercambio de información. La cooperación puede adoptar diversas formas en función de las cuestiones de que se trate, sin perjuicio de ejercicios específicos de investigación conjunta. En cualquier caso, es necesario que el coordinador de servicios digitales de establecimiento de un prestador de servicios intermediarios informe a los otros coordinadores de servicios digitales sobre las cuestiones, investigaciones y acciones que se vayan a emprender con respecto a dicho prestador. Además, cuando una autoridad competente de un Estado miembro posea información pertinente para una investigación llevada a cabo por las autoridades competentes del Estado miembro de establecimiento, o pueda recabar en su territorio información a la que las autoridades competentes del Estado miembro de establecimiento no tengan acceso, el coordinador de servicios digitales de destino debe asistir en tiempo oportuno al coordinador de servicios digitales de establecimiento, en particular ejerciendo sus competencias de investigación de conformidad con los procedimientos nacionales aplicables y la Carta. El destinatario de dichas medidas de investigación debe cumplirlas y hacerse responsable en caso de incumplimiento, y las autoridades competentes del Estado miembro de establecimiento deben poder basarse en la información recogida mediante asistencia mutua, a fin de garantizar el cumplimiento del presente Reglamento.

(128) El coordinador de servicios digitales de destino, en particular a partir de las reclamaciones recibidas o de las aportaciones de otras autoridades nacionales competentes cuando proceda, o la Junta en caso de problemas que afecten a más de tres Estados miembros, debe poder pedir al coordinador de servicios digitales de establecimiento que adopte medidas de investigación o ejecución con respecto a un prestador que esté bajo su competencia. Dichas solicitudes de intervención deben basarse en pruebas bien fundamentadas que demuestren la existencia de una presunta infracción que afecte negativamente a los intereses colectivos de los destinatarios del servicio en su Estado miembro o tenga un impacto social negativo. El coordinador de servicios digitales de establecimiento debe poder recurrir a la asistencia mutua o invitar al coordinador de servicios digitales solicitante a una investigación conjunta en caso de que se necesite más información para tomar una decisión, sin perjuicio de la posibilidad de solicitar a la Comisión que evalúe el asunto si tiene motivos para sospechar que puede estar en juego una infracción sistémica por parte de una plataforma en línea de muy gran tamaño o un motor de búsqueda en línea de muy gran tamaño.

(129) La Junta debe poder remitir el asunto a la Comisión en caso de que existan discrepancias sobre las evaluaciones o las medidas adoptadas o propuestas o de que no se adopten medidas de conformidad con el presente Reglamento a raíz de una solicitud de cooperación transfronteriza o de una investigación conjunta. Cuando la Comisión, sobre la base de la información facilitada por las autoridades afectadas, considere que las medidas propuestas, incluido el nivel propuesto de las multas, no pueden garantizar el cumplimiento efectivo de las obligaciones establecidas en el presente Reglamento, debe poder expresar sus serias dudas y solicitar en consecuencia al coordinador de servicios digitales competente que revalúe el asunto y adopte las medidas necesarias para garantizar el cumplimiento del presente Reglamento en un período determinado. Esta posibilidad ha de entenderse sin perjuicio del deber general de la Comisión de supervisar la aplicación del Derecho de la Unión, y en caso necesario exigir su cumplimiento, bajo el control del Tribunal de Justicia de la Unión Europea de conformidad con los Tratados.

(130) A fin de facilitar la supervisión transfronteriza e investigaciones de las obligaciones establecidas en el presente Reglamento que afecten a varios Estados miembros, los coordinadores de servicios digitales de establecimiento deben poder invitar, a través del sistema de intercambio de información, a otros coordinadores de servicios digitales a realizar una investigación conjunta sobre una presunta infracción del presente Reglamento. Otros coordinadores de servicios digitales y otras autoridades competentes, cuando sea conveniente, deben poder unirse a la investigación propuesta por el coordinador de servicios digitales de establecimiento, a menos que este considere que un número excesivo de autoridades participantes puede afectar a la eficacia de la investigación teniendo en cuenta las características de la presunta infracción y la ausencia de efectos directos en los destinatarios del servicio en esos Estados miembros. Las actividades de una investigación conjunta pueden incluir un conjunto de acciones que debe coordinar el coordinador de servicios digitales de establecimiento de conformidad con la disponibilidad de las autoridades participantes, como ejercicios coordinados para recabar datos, puesta en común de recursos, grupos de trabajo, solicitudes de información coordinadas o inspecciones comunes de instalaciones. Todas las autoridades competentes que participen en una investigación conjunta deben cooperar con el coordinador de servicios digitales de establecimiento, en particular ejerciendo sus facultades de investigación en su territorio, de conformidad con los procedimientos nacionales aplicables. La investigación conjunta debe concluirse en un plazo determinado con un informe final que tenga en cuenta la contribución de todas las autoridades competentes participantes. Asimismo, la Junta, cuando así lo soliciten al menos tres coordinadores de servicios digitales de destino, puede recomendar a un coordinador de servicios digitales de establecimiento que ponga en marcha dicha investigación conjunta y dé indicaciones sobre su organización. A fin de evitar bloqueos, la Junta debe poder remitir el asunto a la Comisión en casos específicos, en particular cuando el coordinador de servicios digitales de establecimiento se niegue a poner en marcha la investigación y la Junta no esté de acuerdo con la justificación aportada.

(131) A fin de velar por que el presente Reglamento se aplique de manera coherente, es necesario crear un grupo consultivo independiente a escala de la Unión, una Junta Europea de Servicios Digitales, que debe prestar apoyo a la Comisión y ayudar a coordinar las acciones de los coordinadores de servicios digitales. Esa Junta debe estar integrada por los coordinadores de servicios digitales, allí donde hayan sido nombrados, sin perjuicio de la posibilidad de que estos inviten a sus reuniones o designen a delegados ad hoc de otras autoridades competentes que tengan funciones específicas encomendadas en virtud del presente Reglamento, cuando eso sea necesario de conformidad con su reparto nacional de funciones y competencias. En el caso de que haya varios participantes de un mismo Estado miembro, el derecho de voto debe permanecer limitado a un representante por Estado miembro.

(132) La Junta debe contribuir a alcanzar una perspectiva común de la Unión sobre la aplicación coherente del presente Reglamento y a la cooperación entre autoridades competentes, por ejemplo, asesorando a la Comisión y a los coordinadores de servicios digitales en relación con medidas apropiadas de investigación y ejecución, en particular con respecto a los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño, y teniendo en cuenta, en particular, la libertad de los prestadores de servicios intermediarios para proporcionar servicios en toda la Unión. La Junta también debe colaborar en la preparación de unos modelos y códigos de conducta pertinentes y en el análisis de las tendencias generales emergentes en el desarrollo de servicios digitales en la Unión, incluida la emisión de dictámenes o recomendaciones sobre asuntos relacionados con las normas.

(133) Para tal fin, la Junta debe poder emitir dictámenes y formular solicitudes y recomendaciones dirigidos a los coordinadores de servicios digitales u otras autoridades competentes nacionales. Aunque no sean legalmente vinculantes, la decisión de apartarse de ellos debe explicarse debidamente y puede ser tenida en cuenta por la Comisión para evaluar el cumplimiento del presente Reglamento por el Estado miembro de que se trate.

(134) La Junta debe reunir a los representantes de los coordinadores de servicios digitales y otras posibles autoridades competentes bajo la presidencia de la Comisión, con miras a garantizar que los asuntos que se le presenten se evalúen desde un punto de vista plenamente europeo. En vista de posibles elementos transversales que puedan ser pertinentes para otros marcos reguladores a escala de la Unión, la Junta debe estar autorizada a cooperar con otros organismos, oficinas, agencias y grupos consultivos de la Unión con responsabilidades en materias tales como la igualdad, incluida la igualdad de género, y la no discriminación, la protección de datos, las comunicaciones electrónicas, los servicios audiovisuales, la detección e investigación de fraudes contra el presupuesto de la Unión en relación con aranceles de aduanas, la protección de los consumidores, o el Derecho sobre competencia, según sea necesario para el desempeño de sus funciones.

(135) La Comisión, a través del presidente, debe participar en la Junta sin derechos de voto. A través del presidente, la Comisión debe velar por que el orden del día de las reuniones se establezca de conformidad con lo solicitado por los miembros de la Junta según lo dispuesto en su reglamento interno y en cumplimiento de los deberes de la Junta establecidos en el presente Reglamento.

(136) En vista de la necesidad de garantizar el apoyo a las actividades de la Junta, esta debe poder utilizar los conocimientos y recursos humanos de la Comisión y de las autoridades competentes nacionales. Los mecanismos específicos de funcionamiento interno de la Junta deben especificarse con mayor concreción en el reglamento interno de la Junta.

(137) Dada la importancia de las plataformas en línea de muy gran tamaño o los motores de búsqueda de muy gran tamaño, en vista de su alcance y repercusión, el incumplimiento por su parte de las obligaciones específicas que les son aplicables puede afectar a un número importante de destinatarios de los servicios de diferentes Estados miembros y puede causar grandes perjuicios sociales, mientras que dichos incumplimientos pueden ser además especialmente difíciles de detectar y corregir. Por este motivo, la Comisión, en cooperación con los coordinadores de servicios digitales y la Junta, debe desarrollar los conocimientos especializados y las capacidades de la Unión en lo que respecta a la supervisión de las plataformas en línea de muy gran tamaño o los motores de búsqueda de muy gran tamaño. Por consiguiente, la Comisión debe poder coordinar y confiar en los conocimientos especializados y los recursos de dichas autoridades, por ejemplo analizando, de forma permanente o temporal, las tendencias o problemas específicos que surjan en relación con una o más plataformas en línea de muy gran tamaño o con motores de búsqueda de muy gran tamaño. Los Estados miembros deben cooperar con la Comisión en el desarrollo de dichas capacidades, en particular mediante el envío de personal en comisión de servicios, cuando sea adecuado, y en la contribución a la creación de una capacidad común de supervisión de la Unión. A fin de desarrollar los conocimientos especializados y las capacidades de la Unión, la Comisión también puede basarse en los conocimientos especializados y las capacidades del Observatorio de la Economía de las Plataformas en Línea, creado en virtud de la Decisión de la Comisión de 26 de abril de 2018 que establece un grupo de expertos para el Observatorio de la Economía de las Plataformas Electrónicas, los organismos de expertos pertinentes y los centros de excelencia. La Comisión puede invitar a expertos con conocimientos especializados específicos, por ejemplo a investigadores autorizados, representantes de agencias y organismos de la Unión, representantes de la industria, asociaciones que representen a usuarios o a la sociedad civil, organizaciones internacionales, expertos del sector privado y otras partes interesadas.

(138) La Comisión debe poder investigar las infracciones por iniciativa propia, de conformidad con las competencias previstas en el presente Reglamento, en particular solicitando el acceso a los datos y a la información o realizando inspecciones, y debe poder contar con el apoyo de los coordinadores de servicios digitales. Cuando la supervisión por parte de las autoridades nacionales competentes de presuntas infracciones de prestadores de plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño apunte a problemas sistémicos, como problemas con una amplia repercusión en los intereses colectivos de los destinatarios del servicio, los coordinadores de servicios digitales deben poder, sobre la base de una solicitud debidamente motivada, remitir dichas cuestiones a la Comisión. Dicha solicitud debe contener, como mínimo, todos los hechos y circunstancias necesarios que expliquen la presunta infracción y su carácter sistémico. En función del resultado de su propia evaluación, la Comisión debe poder adoptar las medidas de investigación y ejecución necesarias con arreglo al presente Reglamento, incluida, cuando proceda, la apertura de una investigación o la adopción de medidas cautelares.

(139) A fin de desempeñar eficazmente sus tareas, la Comisión debe mantener un margen de discreción en cuanto a la decisión de iniciar procedimientos contra prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda de muy gran tamaño. Una vez iniciado el procedimiento por la Comisión, debe excluirse la posibilidad de que los coordinadores de servicios digitales de establecimiento afectados ejerzan sus competencias de investigación y ejecución respecto de la conducta en cuestión del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda de muy gran tamaño, a fin de evitar duplicidades, incoherencias y riesgos desde el punto de vista del principio non bis in idem. La Comisión, no obstante, debe poder solicitar la contribución individual o conjunta a la investigación de los coordinadores de servicios digitales. De conformidad con el deber de cooperación leal, el coordinador de servicios digitales debe hacer todo lo posible por atender las solicitudes justificadas y proporcionadas de la Comisión en el contexto de una investigación. Además, el coordinador de servicios digitales de establecimiento, así como la Junta y cualquier otro coordinador de servicios digitales cuando sea pertinente, deben facilitar a la Comisión toda la información y la asistencia necesarias para que esta pueda ejercer sus funciones de manera efectiva, incluida la información recopilada en el contexto de ejercicios de recopilación de datos o de acceso a los datos, en la medida en que el fundamento jurídico en virtud del cual se ha recopilado la información no se oponga a ello. A la inversa, la Comisión debe mantener informados al coordinador de los servicios digitales de establecimiento y a la Junta sobre el ejercicio de sus competencias y, en particular, cuando se proponga iniciar el procedimiento y ejercer sus competencias de investigación. Además, cuando la Comisión comunique sus conclusiones preliminares, incluido cualquier asunto respecto del cual formule objeciones, los prestadores de que se trate de plataformas en línea de muy gran tamaño o de motores de búsqueda de muy gran tamaño, la Comisión también debe comunicarlas a la Junta. La Junta debe aportar su punto de vista sobre las objeciones y la evaluación realizadas por la Comisión, que debe ser tenido en cuenta en el razonamiento en que se base la decisión definitiva de la Comisión.

(140) En vista de los problemas concretos que puedan surgir para asegurar el cumplimiento por parte de los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda de muy gran tamaño y de la importancia de hacerlo de manera efectiva, tomando en consideración su dimensión e impacto y los perjuicios que pueden causar, la Comisión debe poseer amplios poderes de investigación y ejecución que le permitan investigar, hacer cumplir y vigilar el cumplimiento de las normas establecidas en el presente Reglamento, respetando plenamente el derecho fundamental a ser oído y a tener acceso al expediente en el contexto de los procedimientos de ejecución, el principio de proporcionalidad y los derechos e intereses de los afectados.

(141) La Comisión debe poder solicitar la información necesaria para garantizar la aplicación efectiva y el cumplimiento de las obligaciones establecidas en el presente Reglamento en toda la Unión. En particular, la Comisión debe tener acceso a cualquier documentación, datos e información pertinentes y necesarios para iniciar y llevar a cabo investigaciones, y para vigilar el cumplimiento de las obligaciones pertinentes establecidas en el presente Reglamento, con independencia de quién sea el poseedor de la documentación, datos e información en cuestión, y sea cual sea su forma o formato, su medio de almacenamiento, o el lugar preciso en el que se conserven. La Comisión debe poder exigir directamente, mediante una solicitud de información debidamente justificada, que el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda de muy gran tamaño de que se trate, así como cualquier otra persona física o jurídica que actúe con fines relacionados con su actividad comercial, negocio, oficio o profesión que pueda tener un conocimiento razonable de la información relativa a la presunta infracción o a la infracción, según corresponda, aporte pruebas, datos o informaciones pertinentes. Asimismo, la Comisión debe poder solicitar cualquier información pertinente a cualquier autoridad, organismo o agencia públicos del Estado miembro para los fines del presente Reglamento. La Comisión debe poder exigir acceso, mediante el ejercicio de sus competencias de investigación, como las solicitudes de información o las entrevistas, a documentos, datos, información, bases de datos y los algoritmos de las personas pertinentes, y explicaciones en relación con los mismos, y para entrevistar, con su consentimiento, a cualquier persona física o jurídica que pueda estar en posesión de información útil y registrar las declaraciones efectuadas por cualquier medio técnico. La Comisión también debe estar facultada para llevar a cabo las inspecciones que sean necesarias para hacer cumplir las disposiciones pertinentes del presente Reglamento. Dichas competencias de investigación tienen por objeto complementar la posibilidad que tiene la Comisión de solicitar asistencia a los coordinadores de servicios digitales y a las autoridades de otros Estados miembros, por ejemplo, facilitando información o en el ejercicio de tales competencias.

(142) Las medidas cautelares pueden ser una herramienta importante para garantizar que, mientras esté en curso una investigación, la infracción investigada no ocasione un riesgo de perjuicios graves para los destinatarios del servicio. Este instrumento es importante para evitar cambios que sería muy difícil deshacer mediante una decisión adoptada por la Comisión al final del procedimiento. Por consiguiente, la Comisión debe tener competencias para imponer medidas cautelares mediante una decisión en el contexto de un procedimiento incoado con vistas a la posible adopción de una decisión de incumplimiento. Esta facultad debe aplicarse en los casos en que la Comisión haya constatado prima facie el incumplimiento de las obligaciones en virtud del presente Reglamento por parte del prestador de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño. Una decisión por la que se impongan medidas cautelares solo debe aplicarse durante un período determinado, bien hasta la conclusión del procedimiento por la Comisión, bien por un plazo determinado que puede renovarse siempre que sea necesario y adecuado.

(143) La Comisión debe poder adoptar las medidas necesarias para hacer el seguimiento de la aplicación efectiva y el cumplimiento de las obligaciones establecidas en el presente Reglamento. Estas medidas deben incluir la capacidad para nombrar a expertos externos independientes, así como a auditores para ayudar a la Comisión en este proceso, incluidas, en su caso, de autoridades competentes de los Estados miembros, como las autoridades de protección de datos o de los consumidores. Por lo que respecta al nombramiento de los auditores, la Comisión debe garantizar una rotación suficiente.

(144) El cumplimiento de las obligaciones pertinentes impuestas en virtud del presente Reglamento debe garantizarse mediante multas sancionadoras y multas coercitivas. A tal fin, también deben establecerse niveles adecuados para las multas sancionadoras y las multas coercitivas por incumplimiento de las obligaciones e infracción de las normas de procedimiento, que queden sujetas a unos plazos de prescripción adecuados de conformidad con los principios de proporcionalidad y non bis in idem. La Comisión y las autoridades nacionales pertinentes deben coordinar sus esfuerzos en materia de ejecución para garantizar el respeto de dichos principios. En particular, la Comisión debe tener en cuenta todas las multas sancionadoras y multas coercitivas impuestas a la misma persona jurídica por los mismos hechos mediante una decisión definitiva en el marco de procedimientos relativos a una infracción de otras normas nacionales o de la Unión, a fin de garantizar que el total de las multas sancionadoras y las multas coercitivas impuestas sea proporcionado y corresponda a la gravedad de las infracciones cometidas. Todas las decisiones adoptadas por la Comisión en virtud del presente Reglamento están sujetas al control del Tribunal de Justicia de la Unión Europea de conformidad con el TFUE. El Tribunal de Justicia de la Unión Europea debe tener competencia jurisdiccional plena en materia de multas sancionadoras y multas coercitivas, de conformidad con el artículo 261 del TFUE.

(145) Dados los posibles efectos sociales significativos de una infracción de las obligaciones adicionales de gestión de los riesgos sistémicos que se aplican únicamente a las plataformas en línea de muy gran tamaño y a los motores de búsqueda de muy gran tamaño, y con el fin de abordar estos objetivos de interés público, es necesario establecer un sistema de supervisión reforzada de cualquier acción emprendida para poner fin de manera efectiva a las infracciones del presente Reglamento y subsanarlas. Por lo tanto, una vez que se haya constatado una infracción de una de las disposiciones del presente Reglamento que se aplican únicamente a las plataformas en línea de muy gran tamaño o a los motores de búsqueda en línea de muy gran tamaño y, cuando sea necesario, se sancione, la Comisión debe pedir al prestador de dicha plataforma o de dicho motor de búsqueda que elabore un plan de acción detallado para subsanar cualquier efecto de la infracción en el futuro y que comunique dicho plan de acción, en un plazo señalado por la Comisión, a los coordinadores de servicios digitales, a la Comisión y a la Junta. La Comisión, teniendo en cuenta el dictamen de la Junta, debe determinar si las medidas incluidas en el plan de acción son suficientes para hacer frente a la infracción, teniendo también en cuenta si la adhesión al código de conducta pertinente está incluida entre las medidas propuestas. La Comisión también debe hacer el seguimiento de cualquier medida posterior adoptada por el prestador de una plataforma en línea de muy gran tamaño o de un motor de búsqueda de muy gran tamaño de que se trate, según lo establecido en su plan de acción, teniendo también en cuenta una auditoría independiente del prestador. Si después de la ejecución del plan de acción, la Comisión sigue considerando que la infracción no ha sido totalmente subsanada, o si el plan de acción no ha sido comunicado o no se considera adecuado, esta debe poder hacer uso de las facultades de investigación o ejecución previstas en el presente Reglamento, incluidas las facultades para imponer multas coercitivas y la incoación del procedimiento para bloquear el acceso al servicio infractor.

(146) El prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda de muy gran tamaño afectado y otras personas sujetas al ejercicio de las competencias de la Comisión cuyos intereses puedan verse afectados por una decisión deben tener la oportunidad de presentar sus observaciones de antemano, y las decisiones adoptadas deben ser objeto de una amplia publicidad. Al tiempo que se garantizan los derechos de defensa de las partes afectadas, y en particular el derecho de acceso al expediente, es esencial que se proteja la información confidencial. Además, siempre respetando la confidencialidad de la información, la Comisión debe asegurarse de que cualquier información en la que se base para adoptar su decisión se revele en la medida suficiente para que el destinatario de la decisión pueda entender los hechos y consideraciones que han llevado a adoptar la decisión.

(147) Con objeto de proteger la aplicación y ejecución armonizadas del presente Reglamento, resulta importante garantizar que las autoridades nacionales, en particular los órganos jurisdiccionales nacionales, dispongan de toda la información necesaria para asegurarse de que sus decisiones no sean contrarias a una decisión adoptada por la Comisión con arreglo al presente Reglamento. Ello se entiende sin perjuicio de lo dispuesto en el artículo 267 del TFUE.

(148) La aplicación y el seguimiento efectivos del presente Reglamento requieren un intercambio ininterrumpido y en tiempo real de información entre los coordinadores de servicios digitales, la Junta y la Comisión, sobre la base de los flujos de información y los procedimientos establecidos en el presente Reglamento. También pueden justificar el acceso a este sistema por parte de otras autoridades competentes, cuando sea conveniente. Al mismo tiempo, dado que la información intercambiada puede ser confidencial o incluir datos personales, debe seguir estando protegida contra el acceso no autorizado, de conformidad con los fines para los que se ha recopilado la información. Por este motivo, todas las comunicaciones entre dichas autoridades deben efectuarse mediante un sistema de intercambio de información fiable y seguro, cuyos detalles deben establecerse en un acto de ejecución. El sistema de intercambio de información puede basarse en herramientas del mercado interior existentes, siempre que puedan cumplir los objetivos del presente Reglamento de manera eficaz en términos de costes.

(149) Sin perjuicio del derecho de los destinatarios de los servicios a dirigirse a un representante de conformidad con la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo (33) o a cualquier otro tipo de representación en virtud del Derecho nacional, los destinatarios de los servicios también deben tener derecho a dar mandato a una persona jurídica o a un organismo público para que ejerza los derechos que les confiere el presente Reglamento. Tales derechos pueden incluir los derechos en relación con el envío de notificaciones, la impugnación de las decisiones adoptadas por los prestadores de servicios intermediarios y la presentación de reclamaciones contra los prestadores por infringir el presente Reglamento. Determinados organismos, organizaciones y asociaciones tienen conocimientos y competencias particulares para detectar y señalar decisiones de moderación de contenidos erróneas o injustificadas, y sus reclamaciones en nombre de los destinatarios del servicio pueden tener repercusiones positivas en la libertad de expresión y de información en general, por lo que los prestadores de plataformas en línea deben gestionar estas reclamaciones sin dilación indebida.

(150) Por razones de eficacia y eficiencia, la Comisión debe llevar a cabo una evaluación general del presente Reglamento. En particular, dicha evaluación general debe abordar, entre otros, el alcance de los servicios a los que se aplica el presente Reglamento, la interacción con otros actos jurídicos, el impacto del presente Reglamento en el funcionamiento del mercado interior, en particular en lo que respecta a los servicios digitales, la aplicación de los códigos de conducta, la obligación de designar un representante legal con establecimiento en la Unión, las consecuencias de las obligaciones para las pequeñas empresas y las microempresas, la eficacia del mecanismo de supervisión y garantía del cumplimiento y las repercusiones en el derecho a la libertad de expresión y de información. Además, para evitar cargas desproporcionadas y garantizar la continuidad de la eficacia del presente Reglamento, la Comisión debe llevar a cabo una evaluación del impacto de las obligaciones establecidas en el presente Reglamento para las pequeñas y medianas empresas en un plazo de tres años a partir del comienzo de su aplicación y una evaluación del alcance de los servicios a los que se aplica el presente Reglamento, en particular en el caso de las plataformas en línea de muy gran tamaño y de los motores de búsqueda en línea de muy gran tamaño, y una evaluación de la interacción con otros actos jurídicos en un plazo de tres años a partir de su entrada en vigor.

(151) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución para establecer modelos relativos a la forma, el contenido y otros detalles de los informes sobre moderación de contenidos, para fijar el importe de la tasa de supervisión anual cobrada a prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño, para establecer las modalidades prácticas para los procedimientos, las audiencias y la revelación negociada de información llevados a cabo en el marco de la supervisión, investigación, ejecución y seguimiento respecto de los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño, así como para establecer modalidades prácticas y operativas para el funcionamiento del sistema de intercambio de información y su interoperabilidad con otros sistemas pertinentes. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº182/2011 del Parlamento Europeo y del Consejo (34).

(152) A fin de cumplir los objetivos del presente Reglamento, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE para completar el presente Reglamento por lo que respecta a los criterios de identificación de las plataformas en línea de muy gran tamaño y de motores de búsqueda de muy gran tamaño, de las fases del procedimiento, las metodologías y los modelos de presentación de informes para las auditorías, las especificaciones técnicas para las solicitudes de acceso y la metodología y procedimientos detallados para establecer la tasa de supervisión. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (35). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

(153) El presente Reglamento respeta los derechos fundamentales reconocidos en la Carta y los derechos fundamentales que constituyen principios generales del Derecho de la Unión. En consecuencia, el presente Reglamento ha de interpretarse y aplicarse de conformidad con tales derechos fundamentales, incluida la libertad de expresión e información, y la libertad y el pluralismo de los medios de comunicación. En el ejercicio de las competencias establecidas en el presente Reglamento, todas las autoridades públicas implicadas deben alcanzar, en situaciones en las que los derechos fundamentales pertinentes entren en conflicto, un equilibrio justo entre los derechos afectados, de conformidad con el principio de proporcionalidad.

(154) Habida cuenta del ámbito de aplicación y del impacto de los riesgos para la sociedad que pueden entrañar las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño, de la necesidad de abordar dichos riesgos de manera prioritaria y de la capacidad para adoptar las medidas necesarias, está justificado limitar el período a partir del cual el presente Reglamento comienza a aplicarse a los prestadores de dichos servicios.

(155) Dado que los objetivos del presente Reglamento, a saber, contribuir al correcto funcionamiento del mercado interior y garantizar un entorno en línea seguro, predecible y fiable en el que los derechos fundamentales amparados por la Carta estén debidamente protegidos, no pueden ser alcanzados de manera suficiente por los Estados miembros porque no pueden conseguir la armonización y cooperación necesarias actuando por sí solos, sino que, debido a su ámbito de aplicación territorial y personal, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(156) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (36), emitió su dictamen el 10 de febrero de 2021 (37).

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I. DISPOSICIONES GENERALES

Artículo 1. Objeto

1.   El objetivo del presente Reglamento es contribuir al correcto funcionamiento del mercado interior de servicios intermediarios estableciendo normas armonizadas para crear un entorno en línea seguro, predecible y fiable que facilite la innovación y en el que se protejan efectivamente los derechos fundamentales amparados por la Carta, incluido el principio de protección de los consumidores.

2.   El presente Reglamento establece normas armonizadas sobre la prestación de servicios intermediarios en el mercado interior. En particular, establece:

a) un marco para la exención condicionada de responsabilidad de los prestadores de servicios intermediarios;

b) normas sobre obligaciones específicas de diligencia debida adaptadas a determinadas categorías específicas de prestadores de servicios intermediarios;

c) normas sobre aplicación y ejecución del presente Reglamento, por ejemplo, en relación con la cooperación y coordinación entre autoridades competentes.

Artículo 2. Ámbito de aplicación

1.   El presente Reglamento se aplicará a los servicios intermediarios ofrecidos a destinatarios del servicio que tengan su lugar de establecimiento o estén situados en la Unión, con independencia de donde los prestadores de dichos servicios intermediarios tengan su lugar de establecimiento.

2.   El presente Reglamento no se aplicará a ningún servicio que no sea un servicio intermediario ni a ningún requisito que se imponga respecto de un servicio de esa índole, con independencia de si el servicio se presta mediante el uso de un servicio intermediario.

3.   El presente Reglamento no afectará a la aplicación de la Directiva 2000/31/CE.

4.   El presente Reglamento se entenderá sin perjuicio de las normas establecidas por otros actos jurídicos de la Unión que regulen otros aspectos de la prestación de servicios intermediarios en el mercado interior o que especifiquen y completen el presente Reglamento, en particular los siguientes:

a) la Directiva 2010/13/UE;

b) el Derecho de la Unión en materia de derechos de autor y derechos afines;

c) el Reglamento (UE) 2021/784;

d) el Reglamento (UE) 2019/1148;

e) el Reglamento (UE) 2019/1150;

f) el Derecho de la Unión en materia de protección de los consumidores y seguridad de los productos, incluidos los Reglamentos (UE) 2017/2394 y (UE) 2019/1020 y las Directivas 2001/95/CE y 2013/11/UE;

g) el Derecho de la Unión en materia de protección de datos personales, en particular el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE;

h) el Derecho de la Unión en el ámbito de la cooperación judicial en materia civil, en particular el Reglamento (UE) nº1215/2012, o cualquier acto jurídico de la Unión por el que se establecen las normas sobre la ley aplicable a las obligaciones contractuales y extracontractuales;

i) el Derecho de la Unión en el ámbito de la cooperación judicial en materia penal, en particular un Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal;

j) una Directiva por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales.

Artículo 3. Definiciones

A efectos del presente Reglamento, se entenderá por:

a) «servicio de la sociedad de la información»: un servicio tal como se define en el artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535;

b) «destinatario del servicio»: toda persona física o jurídica que utilice un servicio intermediario, en particular para buscar información o para hacerla accesible;

c) «consumidor»: toda persona física que actúe con fines ajenos a su actividad comercial, negocio, oficio o profesión;

d) «ofrecer servicios en la Unión»: hacer posible que las personas físicas o jurídicas de uno o varios Estados miembros utilicen los servicios de un prestador de servicios intermediarios que tenga una conexión sustancial con la Unión;

e) «conexión sustancial con la Unión»: la conexión de un prestador de servicios intermediarios con la Unión resultante bien de su establecimiento en la Unión, bien de criterios fácticos específicos, tales como:

— un número significativo de destinatarios del servicio en uno o varios Estados miembros en relación con su población, o

— que se dirijan actividades hacia uno o varios Estados miembros;

f) «comerciante»: toda persona física o jurídica, ya sea privada o pública, que actúe, incluso a través de otra persona que actúe en su nombre o en su representación, con fines relacionados con su actividad comercial, negocio, oficio o profesión;

g) «servicio intermediario»: uno de los siguientes servicios de la sociedad de la información:

i) un servicio de «mera transmisión», consistente en transmitir, en una red de comunicaciones, información facilitada por el destinatario del servicio o en facilitar acceso a una red de comunicaciones,

ii) un servicio de «memoria caché», consistente en transmitir por una red de comunicaciones información facilitada por el destinatario del servicio, que conlleve el almacenamiento automático, provisional y temporal de esta información, prestado con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio, a petición de estos,

iii) un servicio de «alojamiento de datos», consistente en almacenar datos facilitados por el destinatario del servicio y a petición de este;

h) «contenido ilícito»: toda información que, por sí sola o en relación con una actividad, incluida la venta de productos o la prestación de servicios, incumpla el Derecho de la Unión o el Derecho de cualquier Estado miembro que cumpla el Derecho de la Unión, sea cual sea el objeto o carácter concreto de ese Derecho;

i) «plataforma en línea»: un servicio de alojamiento de datos que, a petición de un destinatario del servicio, almacena y difunde información al público, salvo que esa actividad sea una característica menor y puramente auxiliar de otro servicio o una funcionalidad menor del servicio principal y que no pueda utilizarse sin ese otro servicio por razones objetivas y técnicas, y que la integración de la característica o funcionalidad en el otro servicio no sea un medio para eludir la aplicabilidad del presente Reglamento;

j) «motor de búsqueda en línea»: un servicio intermediario que permite a los usuarios introducir consultas para hacer búsquedas de, en principio, todos los sitios web, o de sitios web en un idioma concreto, mediante una consulta sobre un tema cualquiera en forma de palabra clave, consulta de voz, frase u otro tipo de entrada, y que en respuesta muestra resultados en cualquier formato en los que puede encontrarse información relacionada con el contenido que es objeto de la consulta;

k) «difusión al público»: poner información a disposición de un número potencialmente ilimitado de terceros a petición del destinatario del servicio que ha facilitado dicha información;

l) «contrato a distancia»: «contrato a distancia» tal como se define en el artículo 2, punto 7, de la Directiva 2011/83/UE;

m) «interfaz en línea»: todo programa informático, incluidos los sitios web o partes de sitios web, y las aplicaciones, incluidas las aplicaciones móviles;

n) «coordinador de servicios digitales del establecimiento»: el coordinador de servicios digitales del Estado miembro en el que el establecimiento principal del prestador de un servicio intermediario esté ubicado o su representante legal resida o esté establecido;

o) «coordinador de servicios digitales de destino»: el coordinador de servicios digitales de un Estado miembro en el que se preste el servicio intermediario;

p) «destinatario activo de una plataforma en línea»: un destinatario del servicio que haya utilizado una plataforma en línea, bien solicitando a la plataforma que aloje información, bien exponiéndose a la información alojada en la plataforma en línea y difundida a través de su interfaz en línea;

q) «destinatario activo de un motor de búsqueda en línea»: el destinatario del servicio que haya introducido una consulta en un motor de búsqueda en línea y al que se le expone la información indexada y presentada en su interfaz en línea;

r) «publicidad»: la información diseñada para promocionar el mensaje de una persona física o jurídica, con independencia de si trata de alcanzar fines comerciales o no comerciales, y presentada por una plataforma en línea en su interfaz en línea a cambio de una remuneración específica por la promoción de esa información;

s) «sistema de recomendación»: un sistema total o parcialmente automatizado y utilizado por una plataforma en línea para proponer en su interfaz en línea información específica para los destinatarios del servicio o priorizar dicha información, también como consecuencia de una búsqueda iniciada por el destinatario del servicio, o que determine de otro modo el orden relativo o la relevancia de la información presentada;

t) «moderación de contenidos»: las actividades, estén o no automatizadas, realizadas por los prestadores de servicios intermediarios, que estén destinadas, en particular, a detectar, identificar y actuar contra contenidos ilícitos o información incompatible con sus condiciones generales, que los destinatarios del servicio hayan proporcionado, por ejemplo la adopción de medidas que afecten a la disponibilidad, visibilidad, y accesibilidad de dicho contenido ilícito o de dicha información, como la relegación, la desmonetización de la información, el bloqueo de esta o su supresión, o que afecten a la capacidad de los destinatarios del servicio de proporcionar dicha información, como la supresión o suspensión de la cuenta de un destinatario del servicio;

u) «condiciones generales»: todas las cláusulas, sea cual sea su nombre y forma, que rijan la relación contractual entre el prestador de servicios intermediarios y los destinatarios del servicio;

v) «personas con discapacidad»: aquellas personas con discapacidad tal como se definen en el artículo 3, punto 1, de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (38);

w) «comunicación comercial»: una «comunicación comercial» tal como se define en el artículo 2, letra f), de la Directiva 2000/31/CE;

x) «volumen de negocios»: el importe obtenido por una empresa en el sentido del artículo 5, apartado 1, del Reglamento (CE) nº139/2004 del Consejo (39).

CAPÍTULO II. RESPONSABILIDAD DE LOS PRESTADORES DE SERVICIOS INTERMEDIARIOS

Artículo 4. Mera transmisión

1.   Cuando se preste un servicio de la sociedad de la información que consista en transmitir, en una red de comunicaciones, información facilitada por el destinatario del servicio o en conceder acceso a una red de comunicaciones, no se podrá considerar responsable al prestador del servicio de la información que se haya transmitido o a la que se haya accedido, a condición de que el prestador del servicio:

a) no haya originado él mismo la transmisión;

b) no seleccione al receptor de la transmisión, y

c) no seleccione ni modifique la información contenida en la transmisión.

2.   Las actividades de transmisión y de concesión de acceso a que se refiere el apartado 1 incluirán el almacenamiento automático, provisional y transitorio de la información transmitida, en la medida en que dicho almacenamiento se realice con la única finalidad de ejecutar la transmisión en la red de comunicaciones y que su duración no supere el tiempo razonablemente necesario para dicha transmisión.

3.   El presente artículo no afectará a la posibilidad de que una autoridad judicial o administrativa, de conformidad con el ordenamiento jurídico de un Estado miembro, exija al prestador de servicios que ponga fin a una infracción o que la impida.

Artículo 5. Memoria caché

1.   Cuando se preste un servicio de la sociedad de la información consistente en transmitir por una red de comunicaciones información facilitada por un destinatario del servicio, el prestador del servicio no podrá ser considerado responsable del almacenamiento automático, provisional y temporal de esta información, realizado con la única finalidad de hacer más eficaz o más segura la transmisión ulterior de la información a otros destinatarios del servicio, a petición de estos, a condición de que el prestador de servicios:

a) no modifique la información;

b) cumpla las condiciones de acceso a la información;

c) cumpla las normas relativas a la actualización de la información, especificadas de una manera ampliamente reconocida y utilizada por el sector;

d) no interfiera en la utilización lícita de tecnología, ampliamente reconocida y utilizada por el sector, con el fin de obtener datos sobre la utilización de la información, y

e) actúe con prontitud para retirar la información que haya almacenado, o bloquear el acceso a ella, en cuanto tenga conocimiento efectivo del hecho de que la información contenida en la fuente inicial de la transmisión ha sido retirada de la red, de que se ha bloqueado el acceso a dicha información o de que una autoridad judicial o administrativa ha ordenado retirarla o bloquear el acceso a ella.

2.   El presente artículo no afectará a la posibilidad de que una autoridad judicial o administrativa, de conformidad con el ordenamiento jurídico de un Estado miembro, exija al prestador de servicios que ponga fin a una infracción o que la impida.

Artículo 6. Alojamiento de datos

1.   Cuando se preste un servicio de la sociedad de la información consistente en almacenar información facilitada por un destinatario del servicio, el prestador de servicios no podrá ser considerado responsable de la información almacenada a petición del destinatario, a condición de que el prestador de servicios:

a) no tenga conocimiento efectivo de una actividad ilícita o de un contenido ilícito y, en lo que se refiere a solicitudes de indemnización por daños y perjuicios, no sea consciente de hechos o circunstancias que pongan de manifiesto la actividad ilícita o el contenido ilícito, o

b) en cuanto tenga conocimiento o sea consciente de ello, el prestador de servicios actúe con prontitud para retirar el contenido ilícito o bloquear el acceso a este.

2.   El apartado 1 no se aplicará cuando el destinatario del servicio actúe bajo la autoridad o el control del prestador de servicios.

3.   El apartado 1 no se aplicará con respecto a la responsabilidad, en virtud del Derecho en materia de protección de los consumidores, de las plataformas en línea que permitan que los consumidores celebren contratos a distancia con comerciantes, cuando dicha plataforma en línea presente el elemento de información concreto, o haga posible de otro modo la transacción concreta de que se trate, de manera que pueda inducir a un consumidor medio a creer que esa información, o el producto o servicio que sea el objeto de la transacción, se proporcione por la propia plataforma en línea o por un destinatario del servicio que actúe bajo su autoridad o control.

4.   El presente artículo no afectará a la posibilidad de que una autoridad judicial o administrativa, de conformidad con el ordenamiento jurídico de un Estado miembro, exija al prestador de servicios que ponga fin a una infracción o que la impida.

Artículo 7. Investigaciones voluntarias por iniciativa propia y cumplimiento del Derecho

No se considerará que los prestadores de servicios intermediarios no reúnen las condiciones para acogerse a las exenciones de responsabilidad a que se refieren los artículos 4, 5 y 6 por la única razón de que realicen, de buena fe y de modo diligente, investigaciones por iniciativa propia de forma voluntaria, o adopten medidas con el fin de detectar, identificar y retirar contenidos ilícitos, o bloquear el acceso a estos, o adoptar las medidas necesarias para cumplir los requisitos del Derecho de la Unión y del Derecho nacional en cumplimiento del Derecho de la Unión, incluidos los requisitos establecidos en el presente Reglamento.

Artículo 8. Inexistencia de obligación general de monitorización o de búsqueda activa de hechos

No se impondrá a los prestadores de servicios intermediarios ninguna obligación general de monitorizar la información que transmitan o almacenen, ni de buscar activamente hechos o circunstancias que indiquen la existencia de actividades ilícitas.

Artículo 9. Órdenes de actuación contra contenidos ilícitos

1.   Cuando reciban una orden de actuación contra uno o varios elementos concretos de contenido ilícito, dictada por las autoridades judiciales o administrativas nacionales pertinentes, sobre la base del Derecho de la Unión aplicable o del Derecho nacional aplicable en cumplimiento del Derecho de la Unión, los prestadores de servicios intermediarios informarán a la autoridad que haya dictado la orden, o a cualquier otra autoridad especificada en la orden, de cualquier curso dado a la orden sin dilación indebida, especificando si se ha dado curso a la orden y cuándo.

2.   Los Estados miembros velarán por que cuando una orden a que se refiere el apartado 1 se transmita al prestador, esta cumpla al menos las siguientes condiciones:

a) que dicha orden contenga los siguientes elementos:

i) una referencia al fundamento jurídico en Derecho de la Unión o nacional de la orden,

ii) una motivación en la que se explique por qué la información es un contenido ilícito, haciendo referencia a una o varias disposiciones específicas del Derecho de la Unión o nacional en cumplimiento del Derecho de la Unión,

iii) información que identifique a la autoridad emisora,

iv) información clara que permita al prestador de servicios intermediarios identificar y localizar el contenido ilícito de que se trate, como uno o varios URL exactos y, en su caso, información adicional,

v) información acerca de los mecanismos de recurso disponibles para el prestador de servicios intermediarios y para el destinatario del servicio que haya proporcionado el contenido,

vi) en su caso, información sobre qué autoridad debe recibir la información sobre el curso dado las órdenes;

b) que el ámbito de aplicación territorial de dicha orden, en virtud de las disposiciones aplicables del Derecho de la Unión y nacional, incluida la Carta y, en su caso, los principios generales del Derecho internacional, se limite a lo estrictamente necesario para alcanzar su objetivo;

c) que dicha orden se transmita en una de las lenguas declaradas por el prestador de servicios intermediarios con arreglo al artículo 11, apartado 3, o en otra lengua oficial de los Estados miembros, acordada entre la autoridad que dicte la orden y dicho prestador, y se envíe al punto de contacto electrónico designado por dicho prestador, de conformidad con el artículo 11; cuando no esté redactada en la lengua declarada por el prestador de servicios intermediarios o en otra lengua acordada bilateralmente, la orden podrá transmitirse en la lengua de la autoridad emisora, siempre que vaya acompañada de una traducción a dicha lengua declarada o acordada bilateralmente de, al menos, los elementos establecidos en las letras a) y b) del presente apartado.

3.   La autoridad que dicte la orden, o en su caso la autoridad especificada en ella, la transmitirá, junto a cualquier información recibida del prestador de servicios intermediarios sobre el curso dado a dicha orden, al coordinador de servicios digitales del Estado miembro de la autoridad que dicte la orden.

4.   Una vez recibida la orden de la autoridad judicial o administrativa, el coordinador de servicios digitales del Estado miembro de que se trate transmitirá, sin dilación indebida, una copia de la orden a que se refiere el apartado 1 del presente artículo a todos los demás coordinadores de servicios digitales a través del sistema establecido de conformidad con el artículo 85.

5.   A más tardar cuando se dé curso a la orden, o en su caso en el momento que determine la autoridad emisora en su orden, los prestadores de servicios intermediarios informarán al destinatario del servicio afectado de la orden recibida y del curso que se le haya dado. Esta información proporcionada al destinatario del servicio incluirá la motivación, las vías de recurso que existan y una descripción del ámbito territorial de la orden, de conformidad con el apartado 2.

6.   Las condiciones y los requisitos establecidos en el presente artículo se entenderán sin perjuicio del Derecho procesal penal y civil nacional.

Artículo 10. Órdenes de entrega de información

1.   Cuando reciban una orden de proporcionar información específica sobre uno o varios destinatarios individuales del servicio, dictada por las autoridades judiciales o administrativas nacionales pertinentes, sobre la base del Derecho de la Unión aplicable o del Derecho nacional aplicable en cumplimiento del Derecho de la Unión, los prestadores de servicios intermediarios informarán, sin dilación indebida, a la autoridad que haya dictado la orden o a cualquier otra autoridad especificada en la orden, de su recepción, y del curso dado a la orden, especificando si se ha dado curso a la orden y cuándo.

2.   Los Estados miembros velarán por que cuando una orden a que se refiere el apartado 1 se transmita al prestador, esta cumpla al menos las siguientes condiciones:

a) que dicha orden contenga los siguientes elementos:

i) una referencia al fundamento jurídico en Derecho de la Unión o nacional de la orden,

ii) información que identifique a la autoridad emisora,

iii) información clara que permita al prestador de servicios intermediarios identificar al destinatario o destinatarios específicos sobre los que se solicita información, como uno o varios nombres de cuenta o identificadores únicos,

iv) una motivación en la que se explique con qué fin se requiere la información y por qué el requisito de entrega de la información es necesario y proporcionado para determinar el cumplimiento del Derecho de la Unión o del Derecho nacional en cumplimiento del Derecho de la Unión por parte de los destinatarios de los servicios intermediarios, salvo que no se pueda aportar dicha motivación por razones relacionadas con la prevención, investigación, detección y enjuiciamiento de delitos,

v) información acerca de los mecanismos de recurso disponibles para el prestador y para los destinatarios del servicio de que se trate,

vi) en su caso, información sobre qué autoridad debe recibir la información sobre el curso dado a las órdenes;

b) que dicha orden solo requiera que el prestador aporte información ya recabada para los fines de la prestación del servicio y que esté bajo su control;

c) que dicha orden se transmita en una de las lenguas declaradas por el prestador de servicios intermediarios con arreglo al artículo 11, apartado 3, o en otra lengua oficial de los Estados miembros, acordada entre la autoridad que dicte la orden y dicho prestador, y se envíe al punto de contacto electrónico designado por dicho prestador, de conformidad con el artículo 11; cuando no esté redactada en la lengua declarada por el prestador de servicios intermediarios o en otra lengua acordada bilateralmente, la orden podrá transmitirse en la lengua de la autoridad emisora, siempre que vaya acompañada de una traducción a dicha lengua declarada o acordada bilateralmente de, al menos, los elementos establecidos en las letras a) y b) del presente apartado.

3.   La autoridad que dicte la orden o, en su caso, la autoridad especificada en ella, la transmitirán, junto a cualquier información recibida del prestador de servicios intermediarios sobre el curso dado a dicha orden, al coordinador de servicios digitales del Estado miembro de la autoridad que dicte la orden.

4.   Una vez recibida la orden de la autoridad judicial o administrativa, el coordinador de servicios digitales del Estado miembro de que se trate transmitirá, sin dilación indebida, una copia de la orden a que se refiere el apartado 1 del presente artículo a todos los demás coordinadores de servicios digitales a través del sistema establecido de conformidad con el artículo 85.

5.   A más tardar cuando se dé curso a la orden, o en su caso en el momento que la autoridad emisora determine en su orden, los prestadores de servicios intermediarios informarán al destinatario del servicio de que se trate de la orden recibida y del curso que se le haya dado. Esta información proporcionada al destinatario del servicio incluirá la motivación y las vías de recurso que existan, de conformidad con apartado 2.

6.   Las condiciones y los requisitos establecidos en el presente artículo se entenderán sin perjuicio del Derecho procesal penal y civil nacional.

CAPÍTULO III. OBLIGACIONES DE DILIGENCIA DEBIDA PARA CREAR UN ENTORNO EN LÍNEA TRANSPARENTE Y SEGURO

SECCIÓN 1. Disposiciones aplicables a todos los prestadores de servicios intermediarios

Artículo 11. Puntos de contacto con las autoridades de los Estados miembros, con la Comisión y con la Junta

1.   Los prestadores de servicios intermediarios designarán un punto único de contacto que les permita ponerse en comunicación directamente, por vía electrónica, con las autoridades de los Estados miembros, con la Comisión y con la Junta a que se refiere el artículo 61 con respecto a la aplicación del presente Reglamento.

2.   Los prestadores de servicios intermediarios harán pública la información necesaria para identificar fácilmente a sus puntos únicos de contacto y comunicarse con ellos fácilmente. Dicha información será fácilmente accesible y se mantendrá actualizada.

3.   Los prestadores de servicios intermediarios especificarán, en la información a que se refiere el apartado 2, la lengua o lenguas oficiales de los Estados miembros que, además de una lengua ampliamente conocida por el mayor número posible de ciudadanos de la Unión, puedan utilizarse en las comunicaciones con sus puntos de contacto, y que incluirán al menos una de las lenguas oficiales del Estado miembro en que el prestador de servicios intermediarios tenga su establecimiento principal o en el que su representante legal resida o esté establecido.

Artículo 12. Puntos de contacto para los destinatarios de los servicios

1.   Los prestadores de servicios intermediarios designarán un punto único de contacto que permita a los destinatarios del servicio comunicarse directa y rápidamente con ellos, por medios electrónicos y de manera sencilla, también permitiendo a los destinatarios del servicio elegir los medios de comunicación, que no se basarán únicamente en herramientas automatizadas.

2.   Además de las obligaciones establecidas en la Directiva 2000/31/CE, los prestadores de servicios intermediarios harán pública la información necesaria para los destinatarios del servicio para identificar fácilmente a sus puntos únicos de contacto y comunicarse con ellos fácilmente. Dicha información será fácilmente accesible y se mantendrá actualizada.

Artículo 13. Representantes legales

1.   Los prestadores de servicios intermediarios que no tengan un establecimiento en la Unión pero que ofrezcan servicios en la Unión designarán, por escrito, a una persona física o jurídica para actuar como su representante legal en uno de los Estados miembros en los que el prestador ofrezca sus servicios.

2.   Los prestadores de servicios intermediarios mandatarán a sus representantes legales, además o en lugar de dichos prestadores, con el fin de ser los destinatarios de las comunicaciones enviadas por las autoridades competentes de los Estados miembros, la Comisión y la Junta sobre todas las cuestiones necesarias para la recepción, el cumplimiento y la ejecución de las decisiones adoptadas en relación con el presente Reglamento. Los prestadores de servicios intermediarios otorgarán a su representante legal las facultades necesarias y recursos suficientes para garantizar su cooperación eficiente y en tiempo oportuno con las autoridades competentes de los Estados miembros, la Comisión y la Junta, y cumplir dichas decisiones.

3.   El representante legal designado podrá ser considerado responsable por el incumplimiento de las obligaciones en virtud del presente Reglamento, sin perjuicio de la responsabilidad del prestador de servicios intermediarios y de las acciones legales que puedan iniciarse contra este.

4.   Los prestadores de servicios intermediarios notificarán el nombre, el domicilio postal, la dirección de correo electrónico y el número de teléfono de su representante legal al coordinador de servicios digitales del Estado miembro en el que dicho representante legal resida o esté establecido. Velarán por que dicha información esté a disposición del público, sea fácilmente accesible, sea exacta y esté actualizada.

5.   La designación de un representante legal en la Unión en virtud del apartado 1 no constituirá un establecimiento en la Unión.

Artículo 14. Condiciones generales

1.   Los prestadores de servicios intermediarios incluirán en sus condiciones generales información sobre cualquier restricción que impongan en relación con el uso de su servicio respecto de la información proporcionada por los destinatarios del servicio. Esta información deberá incluir datos sobre cualesquiera políticas, procedimientos, medidas y herramientas empleadas para moderar los contenidos, incluidas la toma de decisiones mediante algoritmos y la revisión humana, así como sobre las normas de procedimiento de su sistema interno de gestión de reclamaciones. Se expondrá en lenguaje claro, sencillo, inteligible, accesible al usuario e inequívoco, y se hará pública en un formato fácilmente accesible y legible por máquina.

2.   Los prestadores de servicios intermediarios informarán a los destinatarios del servicio de cualquier cambio significativo en las condiciones generales.

3.   Cuando un servicio intermediario esté dirigido principalmente a menores o sea utilizado predominantemente por ellos, el prestador de dicho servicio intermediario explicará las condiciones y cualesquiera restricciones del uso del servicio de manera que los menores lo puedan comprender.

4.   Los prestadores de servicios intermediarios actuarán de manera diligente, objetiva y proporcionada para aplicar y hacer cumplir las restricciones a que se refiere el apartado 1, con la debida consideración de los derechos e intereses legítimos de todas las partes implicadas, incluidos los derechos fundamentales de los destinatarios del servicio, como la libertad de expresión, la libertad y el pluralismo de los medios de comunicación y otros derechos y libertades fundamentales amparados por la Carta.

5.   Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño facilitarán a los destinatarios de los servicios un resumen sucinto, fácilmente accesible y legible por máquina de las condiciones generales, incluidas las medidas correctivas y los mecanismos de recurso disponibles, en un lenguaje claro e inequívoco.

6.   Las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño en el sentido del artículo 33 publicarán sus condiciones generales en todas las lenguas oficiales de todos los Estados miembros en los que presten sus servicios.

Artículo 15. Obligaciones de transparencia informativa de los prestadores de servicios intermediarios

1.   Los prestadores de servicios intermediarios publicarán en un formato legible por máquina y de forma fácilmente accesible, al menos una vez al año, informes claros y fácilmente comprensibles sobre cualquier actividad de moderación de contenidos que hayan realizado durante el período pertinente. Esos informes incluirán, en particular, información sobre lo siguiente, según proceda:

a) en el caso de los prestadores de servicios intermediarios, el número de órdenes recibidas de las autoridades de los Estados miembros, incluidas las órdenes dictadas de conformidad con los artículos 9 y 10, categorizadas según el tipo de contenido ilícito de que se trate, el Estado miembro que haya dictado la orden y el tiempo medio necesario para informar a la autoridad que haya dictado la orden, o a cualquier otra autoridad especificada en la orden, de su recepción, y para dar curso a la orden;

b) en el caso de los prestadores de servicios de alojamiento de datos, el número de notificaciones enviadas de conformidad con el artículo 16, clasificadas según el tipo de contenido presuntamente ilícito de que se trate, el número de notificaciones enviadas por alertadores fiables, toda actuación que se haya llevado a cabo en virtud de dichas notificaciones distinguiendo si esta se hizo conforme al Derecho o a las condiciones generales del prestador, el número de notificaciones tratadas únicamente por medios automatizados y el tiempo medio necesario para adoptar medidas;

c) en el caso de los prestadores de servicios intermediarios, información significativa y comprensible sobre la actividad de moderación de contenidos realizada por iniciativa propia del prestador, incluido el uso de herramientas automatizadas, las medidas adoptadas para proporcionar formación y asistencia a las personas encargadas de la moderación de contenidos, el número y el tipo de medidas adoptadas que afecten a la disponibilidad, visibilidad y accesibilidad de la información proporcionada por los destinatarios del servicio y a la capacidad de los destinatarios para proporcionar información a través del servicio, y otras restricciones conexas del servicio; la información proporcionada se clasificará según el tipo de contenido ilícito o infracción de las condiciones generales del prestador del servicio de que se trate, según el método de detección y según el tipo de restricción aplicado;

d) en el caso de los prestadores de servicios intermediarios, el número de reclamaciones recibidas a través de los sistemas internos de gestión de reclamaciones de conformidad con las condiciones generales del prestador y además, para los prestadores de plataformas en línea, de conformidad con el artículo 20, la base de dichas reclamaciones, las decisiones adoptadas en relación con dichas reclamaciones, el tiempo medio necesario para adoptar dichas decisiones y el número de ocasiones en que dichas decisiones fueron revocadas;

e) el uso de medios automatizados con fines de moderación de contenidos, incluyendo una descripción cualitativa, una especificación de los fines precisos, los indicadores de la precisión y la posible tasa de error de los medios automatizados empleados para cumplir dichos fines, y las salvaguardias aplicadas.

2.   El apartado 1 del presente artículo no se aplicará a los prestadores de servicios intermediarios que sean microempresas o pequeñas empresas en el sentido de la Recomendación 2003/361/CE, y que no sean plataformas en línea de muy gran tamaño en el sentido del artículo 33 del presente Reglamento.

3.   La Comisión podrá adoptar actos de ejecución para establecer modelos relativos a la forma, el contenido y otros detalles de los informes elaborados en virtud del apartado 1 del presente artículo, incluidos períodos de presentación de informes armonizados. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 88.

SECCIÓN 2. Disposiciones adicionales aplicables a los prestadores de servicios de alojamiento de datos, incluidas las plataformas en línea

Artículo 16. Mecanismos de notificación y acción

1.   Los prestadores de servicios de alojamiento de datos establecerán mecanismos que permitan que cualquier persona física o entidad les notifique la presencia en su servicio de elementos de información concretos que esa persona física o entidad considere contenidos ilícitos. Dichos mecanismos serán de fácil acceso y manejo, y permitirán el envío de notificaciones exclusivamente por vía electrónica.

2.   Los mecanismos mencionados en el apartado 1 serán de tal naturaleza que faciliten el envío de notificaciones suficientemente precisas y adecuadamente fundamentadas. Con ese fin, los prestadores de servicios de alojamiento de datos adoptarán las medidas necesarias para habilitar y facilitar el envío de notificaciones que contengan todos los elementos siguientes:

a) una explicación suficientemente motivada de los motivos por los que una persona física o entidad considera que la información en cuestión es contenido ilícito;

b) una indicación clara de la localización electrónica exacta de esa información, como por ejemplo el o los URL exactos y, en su caso, información adicional que permita identificar el contenido ilícito adaptado al tipo de contenido y al tipo concreto de servicio de alojamiento de datos;

c) el nombre y una dirección de correo electrónico de la persona física o entidad que envíe la notificación, excepto en el caso de información que se considere que implica uno de los delitos a que se refieren los artículos 3 a 7 de la Directiva 2011/93/UE;

d) una declaración que confirme que la persona física o entidad que envíe la notificación está convencida de buena fe de que la información y las alegaciones que dicha notificación contiene son precisas y completas.

3.   Se considerará que las notificaciones a que se refiere el presente artículo proporcionan un conocimiento efectivo o permiten ser consciente, a los efectos del artículo 6, del elemento de información concreto de que se trate, cuando permitan a un prestador diligente de servicios de alojamiento de datos determinar, sin un examen jurídico detallado, que la información o la actividad pertinentes son ilícitas.

4.   Cuando la notificación contenga información de contacto electrónica de la persona física o entidad que la envíe, el prestador de servicios de alojamiento de datos enviará, sin dilación indebida, un acuse de recibo de la notificación a dicha persona física o entidad.

5.   El prestador también notificará a esa persona física o entidad, sin dilación indebida, su decisión respecto de la información a que se refiera la notificación e incluirá información sobre las vías de recurso respecto de esa decisión.

6.   Los prestadores de servicios de alojamiento de datos tratarán las notificaciones que reciban a través de los mecanismos a que se refiere el apartado 1 y adoptarán sus decisiones respecto de la información a que se refieran tales notificaciones, en tiempo oportuno y de manera diligente, no arbitraria y objetiva. Cuando utilicen medios automatizados para dicho tratamiento o toma de decisión, incluirán información sobre dicho uso en la notificación a que se refiere el apartado 5.

Artículo 17. Declaración de motivos

1.   Los prestadores de servicios de alojamiento de datos deberán proporcionar una declaración de motivos clara y específica a cualquier destinatario del servicio afectado por cualquiera de las siguientes restricciones impuestas por el hecho de que la información proporcionada por el destinatario del servicio sea un contenido ilegal o incompatible con sus condiciones generales:

a) cualquier restricción de la visibilidad de los elementos de información concretos facilitados por el destinatario del servicio, incluida la eliminación de contenidos, el bloqueo del acceso a estos o su relegación;

b) la suspensión, cesación u otra restricción de los pagos monetarios;

c) la suspensión o cesación total o parcial de la prestación del servicio;

d) la suspensión o supresión de la cuenta del destinatario del servicio.

2.   El apartado 1 solo se aplicará cuando el prestador conozca los datos de contacto electrónicos pertinentes. Se aplicará a más tardar a partir de la fecha en que se imponga la restricción, independientemente del motivo o de la forma en que se haya impuesto.

El apartado 1 no se aplicará cuando la información sea un contenido comercial engañoso de gran volumen.

3.   La declaración de motivos a que se refiere el apartado 1 contendrá al menos la siguiente información:

a) información sobre si la decisión conlleva la retirada de la información, el bloqueo del acceso a esta, la relegación o la restricción de su visibilidad o la suspensión o cesación de los pagos monetarios relacionados con esa información, o impone otras medidas a que se refiere el apartado 1 en relación con la información, y, cuando proceda, el ámbito territorial de la decisión y su duración;

b) los hechos y circunstancias en que se ha basado la adopción de la decisión, que incluirán, en su caso, información sobre si la decisión se ha adoptado en respuesta a una notificación enviada de conformidad con el artículo 16 o sobre la base de investigaciones por propia iniciativa de carácter voluntario y, en caso estrictamente necesario, la identidad de quien notifica;

c) en su caso, información sobre el uso de medios automatizados para adoptar la decisión, incluida información sobre si la decisión se ha adoptado respecto de contenidos detectados o identificados utilizando medios automatizados;

d) cuando la decisión se refiera a contenidos presuntamente ilícitos, una referencia al fundamento jurídico utilizado y explicaciones de por qué la información se considera contenido ilícito conforme a tal fundamento;

e) cuando la decisión se base en la presunta incompatibilidad de la información con las condiciones generales del prestador de servicios de alojamiento de datos, una referencia al fundamento contractual utilizado y explicaciones de por qué la información se considera incompatible con tal fundamento;

f) información clara y de fácil utilización sobre las vías de recurso disponibles para el destinatario del servicio respecto de la decisión, en particular, en su caso, a través de mecanismos internos de gestión de reclamaciones, resolución extrajudicial de litigios y recurso judicial.

4.   La información facilitada por los prestadores de los servicios de alojamiento de datos de conformidad con el presente artículo será clara y fácil de comprender, y tan precisa y específica como sea razonablemente posible en las circunstancias concretas. En particular, la información será de tal naturaleza que permita razonablemente al destinatario del servicio afectado ejercer de manera efectiva las posibilidades de recurso a que se refiere el apartado 3, letra f).

5.   El presente artículo no se aplicará a las órdenes a que se refiere el artículo 9.

Artículo 18. Notificación de sospechas de delitos

1.   Cuando un prestador de servicios de alojamiento de datos tenga conocimiento de cualquier información que le haga sospechar que se ha cometido, se está cometiendo o es probable que se cometa un delito que implique una amenaza para la vida o la seguridad de una o más personas, comunicará su sospecha de inmediato a las autoridades policiales o judiciales del Estado miembro o Estados miembros afectados y aportará toda la información pertinente de que disponga.

2.   Cuando el prestador de servicios de alojamiento de datos no pueda determinar con una seguridad razonable cuál es el Estado miembro afectado, informará a las autoridades policiales del Estado miembro en que esté establecido o en el que su representante legal resida o esté establecido o informará a Europol, o a ambas.

Para los fines del presente artículo, el Estado miembro afectado será el Estado miembro en el que se sospeche que se ha cometido, se está cometiendo o es probable que se cometa el delito, o el Estado miembro en el que resida o se encuentre el presunto delincuente, o el Estado miembro en el que resida o se encuentre la víctima del presunto delito.

SECCIÓN 3. Disposiciones adicionales aplicables a los prestadores de plataformas en línea

Artículo 19. Exclusión de microempresas y pequeñas empresas

1.   La presente sección, con excepción de su artículo 24, apartado 3, no se aplicará a los prestadores de plataformas en línea que sean microempresas o pequeñas empresas tal como se define en la Recomendación 2003/361/CE.

La presente sección, con excepción de su artículo 24, apartado 3, no se aplicará a los prestadores de plataformas en línea que previamente fueran microempresas o pequeñas empresas tal como se definen en la Recomendación 2003/361/CE durante los doce meses siguientes a la pérdida esa condición con arreglo a su artículo 4, apartado 2, excepto si son plataformas en línea de muy gran tamaño en el sentido del artículo 33.

2.   No obstante lo dispuesto en el apartado 1 del presente artículo, la presente sección se aplicará a los prestadores de plataformas en línea que hayan sido designados como plataformas en línea de muy gran tamaño en el sentido del artículo 33, con independencia de que sean microempresas o pequeñas empresas.

Artículo 20. Sistema interno de gestión de reclamaciones

1.   Los prestadores de plataformas en línea facilitarán a los destinatarios del servicio, en particular a las personas físicas o entidades que hayan presentado una notificación, durante un período mínimo de seis meses a partir de la decisión a que se refiere el presente apartado, acceso a un sistema interno eficaz de gestión de reclamaciones, que les permita presentar las reclamaciones por vía electrónica y de forma gratuita, contra la decisión tomada por el prestador de la plataforma en línea cuando reciban una notificación o contra las siguientes decisiones adoptadas por el prestador de la plataforma en línea sobre la base de que la información proporcionada por los destinatarios del servicio constituye un contenido ilícito o incompatible con sus condiciones generales:

a) las decisiones de si retirar la información o bloquear el acceso a esta o restringir su visibilidad, o de no hacerlo;

b) las decisiones de si suspender o cesar la prestación del servicio, en todo o en parte, a los destinatarios, o de no hacerlo;

c) las decisiones de si suspender o suprimir la cuenta de los destinatarios, o de no hacerlo;

d) las decisiones de si suspender, cesar o restringir de algún otro modo la capacidad de monetizar la información proporcionada por los destinatarios, o de no hacerlo.

2.   El plazo mínimo de seis meses a que se refiere el apartado 1 del presente artículo comenzará el día en que el destinatario del servicio sea informado de la decisión de conformidad con el artículo 16, apartado 5, o con el artículo 17.

3.   Los prestadores de plataformas en línea velarán por que sus sistemas internos de gestión de reclamaciones sean de fácil acceso y manejo y habiliten y faciliten la presentación de reclamaciones suficientemente precisas y adecuadamente fundamentadas.

4.   Los prestadores de plataformas en línea tratarán las reclamaciones presentadas a través de su sistema interno de gestión de reclamaciones en tiempo oportuno y de manera no discriminatoria, diligente y no arbitraria. Cuando una reclamación contenga motivos suficientes para que el prestador de la plataforma en línea considere que su decisión de no atender a la notificación sea infundada o que la información a que se refiere la reclamación no es ilícita ni incompatible con sus condiciones generales, o contenga información que indique que la conducta del reclamante no justifica la medida adoptada, revertirá la decisión a que se refiere el apartado 1 sin dilación indebida.

5.   Los prestadores de plataformas en línea comunicarán a los reclamantes, sin dilación indebida, la decisión motivada respecto de la información a que se refiera la reclamación y de la posibilidad de resolución extrajudicial de litigios recogida en el artículo 21 y otras vías de recurso de que dispongan.

6.   Los prestadores de plataformas en línea velarán por que las decisiones a que se refiere el apartado 5 se adopten bajo la supervisión de personal adecuadamente cualificado y no exclusivamente por medios automatizados.

Artículo 21. Resolución extrajudicial de litigios

1.   Los destinatarios del servicio, incluidas las personas físicas o entidades que hayan enviado notificaciones, a quienes vayan destinadas las decisiones a que se refiere el artículo 20, apartado 1, tendrán derecho a elegir cualquier órgano de resolución extrajudicial de litigios que haya sido certificado de conformidad con el apartado 3 del presente artículo para resolver litigios relativos a esas decisiones, incluidas las reclamaciones que no se hayan resuelto a través del sistema interno de tramitación de reclamaciones mencionado en dicho artículo.

Los prestadores de plataformas en línea velarán por que la información sobre la posibilidad para el destinatario del servicio de acceder a una resolución extrajudicial de litigios a que se refiere el párrafo primero sea fácilmente accesible en su interfaz en línea, clara y sencilla.

El párrafo primero ha de entenderse sin perjuicio del derecho del destinatario del servicio afectado a interponer recurso, en cualquier fase, contra dichas decisiones de los prestadores de plataformas en línea ante un órgano jurisdiccional de conformidad con el Derecho aplicable.

2.   Ambas partes colaborarán, de buena fe, con el órgano de resolución extrajudicial de litigios seleccionado y certificado con el fin de resolver el litigio.

Los prestadores de plataformas en línea podrán negarse a colaborar con el órgano de resolución extrajudicial de litigios si ya se ha resuelto un litigio relativo a la misma información y los mismos motivos de supuesta ilegalidad o incompatibilidad de los contenidos.

El órgano certificado de resolución extrajudicial de litigios no estará facultado para imponer una resolución del litigio vinculante a las partes.

3.   El coordinador de servicios digitales del Estado miembro en el que esté establecido el órgano de resolución extrajudicial de litigios certificará a dicho órgano, a petición de este, por un período máximo de cinco años, renovable, cuando dicho órgano haya demostrado cumplir todas las condiciones siguientes:

a) que es imparcial e independiente, también financieramente, de los prestadores de plataformas en línea y de los destinatarios del servicio prestado por los prestadores de plataformas en línea, en particular de las personas físicas o entidades que hayan enviado notificaciones;

b) que tiene los conocimientos necesarios en relación con las cuestiones planteadas en uno o varios ámbitos específicos de los contenidos ilícitos, o en relación con la aplicación y ejecución de las condiciones generales de uno o varios tipos de plataformas en línea, para poder contribuir de manera eficaz a la resolución de un litigio;

c) que sus miembros son remunerados de una forma que no está vinculada al resultado del procedimiento;

d)que el mecanismo de resolución extrajudicial de litigios que ofrece es fácilmente accesible a través de tecnologías de comunicación electrónicas y ofrece la posibilidad de iniciar la resolución del litigio y de presentar en línea la documentación justificativa necesaria;

e) que es capaz de resolver litigios de manera rápida, eficiente y eficaz en términos de costes y en al menos una lengua oficial de las instituciones de la Unión;

f) que la resolución extrajudicial del litigio que ofrece se lleva a cabo con arreglo a unas normas de procedimiento claras y justas que sean fácilmente accesibles al público y conformes al Derecho aplicable, incluido el presente artículo.

El coordinador de servicios digitales, en su caso, especificará en el certificado:

a) las cuestiones concretas a las que se refieren los conocimientos del órgano, como se indica en el párrafo primero, letra b), y

b) la lengua o lenguas oficiales de las instituciones de la Unión en las que el órgano es capaz de resolver litigios, como se indica en el párrafo primero, letra e).

4.   Los órganos certificados de resolución extrajudicial de litigios informarán anualmente al coordinador de servicios digitales que los haya certificado acerca de su funcionamiento, especificando al menos el número de litigios que les hayan sido sometidos, la información sobre los resultados de dichos litigios, el tiempo medio necesario para resolverlos y las deficiencias o dificultades encontradas. Dichos órganos facilitarán información adicional a petición del citado coordinador de servicios digitales.

Cada dos años, los coordinadores de servicios digitales elaborarán un informe sobre el funcionamiento de los órganos de resolución extrajudicial de litigios que hayan certificado. En concreto, el informe:

a) enumerará el número de litigios que haya sido sometido anualmente a cada órgano certificado de resolución extrajudicial de litigios;

b) indicará los resultados de los procedimientos interpuestos ante dichos órganos y el tiempo medio necesario para resolver los litigios;

c) identificará y explicará cualquier deficiencia o dificultad sistémica o sectorial encontrada en relación con el funcionamiento de dichos órganos;

d) determinará las mejores prácticas relativas a ese funcionamiento;

e) hará recomendaciones sobre cómo mejorar ese funcionamiento, en su caso.

Los órganos certificados de resolución extrajudicial de litigios pondrán sus decisiones a disposición de las partes en un plazo razonable y, a más tardar, 90 días naturales después de la recepción de la reclamación. En caso de litigios de gran complejidad, el órgano certificado de resolución extrajudicial de litigios podrá, a su discreción, ampliar el plazo de 90 días naturales por un plazo adicional que no excederá 90 días, con una duración total máxima de 180 días.

5.   Si el órgano de resolución extrajudicial de litigios resuelve el litigio en favor del destinatario del servicio, incluida la persona física o la entidad que haya enviado una notificación, el prestador de la plataforma en línea sufragará todos los honorarios que cobre el órgano de resolución extrajudicial de litigios, y reembolsará a dicho destinatario, incluida la persona física o la entidad, los demás gastos razonables que haya abonado en relación con la resolución del litigio. Si el órgano de resolución extrajudicial de litigios resuelve el litigio en favor del prestador de la plataforma en línea, el destinatario del servicio, en particular la persona física o la entidad, no estará obligado a reembolsar los honorarios u otros gastos que el prestador de la plataforma en línea haya abonado o deba abonar en relación con la resolución del litigio, a menos que el órgano de resolución extrajudicial de litigios determine que dicho destinatario actuó manifiestamente de mala fe.

Los honorarios que el órgano de resolución extrajudicial de litigios cobre a los prestadores de las plataformas en línea por la resolución del litigio serán razonables y en ningún caso serán superiores a los costes en que haya incurrido el órgano. Para los destinatarios del servicio, la resolución de litigios será gratuita o estará a disposición de estos a un coste mínimo.

Los órganos certificados de resolución extrajudicial de litigios comunicarán sus honorarios, o los mecanismos utilizados para determinar sus honorarios, al destinatario del servicio, en particular a las personas físicas o entidades que hayan enviado una notificación, y al prestador de la plataforma en línea afectada, antes de iniciar la resolución del litigio.

6.   Los Estados miembros podrán establecer órganos de resolución extrajudicial de litigios para los fines del apartado 1 o colaborar en las actividades de todos o algunos de los órganos de resolución extrajudicial de litigios que hayan certificado de conformidad con el apartado 3.

Los Estados miembros velarán por que ninguna de las actividades que lleven a cabo de conformidad con el párrafo primero afecte a la capacidad de sus coordinadores de servicios digitales para certificar a los órganos de que se trate de conformidad con el apartado 3.

7.   Un coordinador de servicios digitales que haya certificado a un órgano de resolución extrajudicial de litigios revocará dicha certificación si determina, a raíz de una investigación realizada por iniciativa propia o basada en información recibida por terceros, que el órgano de resolución extrajudicial de litigios ya no cumple las condiciones establecidas en el apartado 3. Antes de revocar esa certificación, el coordinador de servicios digitales dará a este órgano una oportunidad para responder a las conclusiones de su investigación y a su intención de revocar la certificación de dicho órgano de resolución extrajudicial de litigios.

8.   Los coordinadores de servicios digitales notificarán a la Comisión los órganos de resolución extrajudicial de litigios que hayan certificado de conformidad con el apartado 3, indicando, en su caso, las especificaciones a que se refiere el párrafo segundo de dicho apartado, así como los órganos de resolución extrajudicial de litigios cuya certificación hayan revocado. La Comisión publicará una lista de esos órganos, incluidas dichas especificaciones, en un sitio web destinado a tal fin y de fácil acceso, y la mantendrán actualizada.

9.   El presente artículo ha de entenderse sin perjuicio de la Directiva 2013/11/UE y de los procedimientos y entidades de resolución alternativa de litigios para los consumidores establecidos en virtud de dicha Directiva.

Artículo 22. Alertadores fiables

1.   Los prestadores de plataformas en línea adoptarán las medidas técnicas y organizativas necesarias para asegurarse de que se otorgue prioridad a las notificaciones enviadas por los alertadores fiables, dentro de su ámbito de especialidad señalado, a través de los mecanismos a que se refiere el artículo 16, y de que se tramiten y resuelvan sin dilación indebida.

2.   La condición de «alertador fiable» en virtud del presente Reglamento será otorgada, previa solicitud de cualquier entidad que lo desee, por el coordinador de servicios digitales del Estado miembro donde el solicitante esté establecido, a un solicitante que haya demostrado que cumple todas las condiciones siguientes:

a) poseer conocimientos y competencias específicos para detectar, identificar y notificar contenidos ilícitos;

b) no depender de ningún prestador de plataformas en línea;

c) realizar sus actividades con el fin de enviar notificaciones de manera diligente, precisa y objetiva.

3.   Los alertadores fiables publicarán, al menos una vez al año, informes detallados y fácilmente comprensibles sobre las notificaciones enviadas de conformidad con el artículo 16 durante el período pertinente. El informe enumerará, como mínimo, el número de notificaciones clasificadas en función de:

a) la identidad del prestador de servicios de alojamiento de datos;

b) el tipo de contenido notificado presuntamente ilícito;

c) las acciones adoptadas por el prestador.

Estos informes incluirán una explicación de los procedimientos vigentes para garantizar que el alertador fiable mantiene su independencia.

Los alertadores fiables enviarán dichos informes al coordinador de servicios digitales otorgante, y los pondrán a disposición del público. La información contenida en los informes no incluirá datos personales.

4.   Los coordinadores de servicios digitales comunicarán a la Comisión y a la Junta los nombres, domicilios y direcciones de correo electrónico de las entidades a las que hayan otorgado la condición de alertador fiable de conformidad con el apartado 2 o cuya condición de alertador fiable hayan suspendido de conformidad con el apartado 6 o revocado de conformidad con el apartado 7.

5.   La Comisión publicará la información a que se refiere el apartado 4 en una base de datos pública en un formato fácilmente accesible y legible por máquina, y mantendrá dicha base de datos actualizada.

6.   Cuando un prestador de plataformas en línea posea información que indique que un alertador fiable ha enviado un número significativo de notificaciones insuficientemente precisas, incorrectas o inadecuadamente fundamentadas a través de los mecanismos a que se refiere el artículo 16, incluida información recabada en relación con la tramitación de reclamaciones a través de los sistemas internos de gestión de reclamaciones a que se refiere el artículo 20, apartado 4, comunicará dicha información al coordinador de servicios digitales que haya otorgado la condición de alertador fiable a la entidad de que se trate y aportará las explicaciones y los documentos justificativos que sean necesarios. Una vez recibida la información del prestador de plataformas en línea y si el coordinador de servicios digitales considera que existen razones legítimas para iniciar una investigación, se suspenderá la condición de alertador fiable durante el período de investigación. Dicha investigación se llevará a cabo sin dilación indebida.

7.   El coordinador de servicios digitales que haya otorgado la condición de alertador fiable a una entidad revocará dicha condición si determina, a raíz de una investigación realizada por iniciativa propia o basada en información recibida por parte de terceros, incluida la información proporcionada por un prestador de plataformas en línea en virtud del apartado 6, que esa entidad ya no cumple las condiciones establecidas en el apartado 2. Antes de revocar esa condición, el coordinador de servicios digitales dará a la entidad una oportunidad de reaccionar a las conclusiones de su investigación y a su intención de revocar la condición de alertador fiable de esa entidad.

8.   La Comisión, previa consulta a la Junta, ofrecerá, cuando sea necesario, directrices que guíen a los prestadores de plataformas en línea y a los coordinadores de servicios digitales en la aplicación de los apartados 2, 6 y 7.

Artículo 23. Medidas y protección contra usos indebidos

1.   Los prestadores de plataformas en línea suspenderán, durante un período razonable y después de haber realizado una advertencia previa, la prestación de sus servicios a los destinatarios del servicio que proporcionen con frecuencia contenidos manifiestamente ilícitos.

2.   Los prestadores de plataformas en línea suspenderán, durante un período razonable y después de haber realizado una advertencia previa, el tratamiento de notificaciones y reclamaciones enviados a través de los mecanismos de notificación y acción y los sistemas internos de gestión de reclamaciones a que se refieren los artículos 16 y 20, respectivamente, por personas físicas o entidades o por reclamantes que envíen con frecuencia notificaciones o reclamaciones que sean manifiestamente infundadas.

3.   Al decidir sobre una suspensión, los prestadores de plataformas en línea evaluarán, caso por caso, en tiempo oportuno y de manera diligente y objetiva, si el destinatario del servicio, la persona física, la entidad o el reclamante efectúa los usos indebidos a que se refieren los apartados 1 y 2, teniendo en cuenta todos los hechos y circunstancias pertinentes que se aprecien a partir de la información de que disponga el prestador de plataformas en línea. Tales circunstancias incluirán, como mínimo, lo siguiente:

a) las cifras absolutas de elementos de contenido manifiestamente ilícitos o notificaciones o reclamaciones manifiestamente infundadas, que se hayan enviado en un plazo determinado;

b) su proporción relativa en relación con la cifra total de elementos de información proporcionados o notificaciones enviadas en un plazo determinado;

c) la gravedad de los usos indebidos, en particular la naturaleza del contenido ilícito, y de sus consecuencias;

d) cuando sea posible determinarla, la intención del destinatario del servicio, la persona física, la entidad o el reclamante.

4.   Los prestadores de plataformas en línea expondrán en sus condiciones generales, de manera clara y detallada, su política respecto de los usos indebidos a que se refieren los apartados 1 y 2, y facilitarán ejemplos de los hechos y circunstancias que tengan en cuenta para evaluar si un determinado comportamiento constituye uso indebido y la duración de la suspensión.

Artículo 24. Obligaciones de transparencia informativa de los prestadores de plataformas en línea

1.   Además de la información a que se refiere el artículo 15, los prestadores de plataformas en línea incluirán en los informes a que se refiere dicho artículo información sobre lo siguiente:

a) el número de litigios sometidos a los órganos de resolución extrajudicial de litigios a que se refiere el artículo 21, los resultados de la resolución de los litigios y el tiempo medio necesario para completar los procedimientos de resolución de los litigios, así como el porcentaje de litigios en los que el prestador de la plataforma en línea haya aplicado las decisiones del órgano;

b) el número de suspensiones impuestas en virtud del artículo 23, distinguiendo entre suspensiones aplicadas por proporcionar contenido manifiestamente ilegal, enviar notificaciones manifiestamente infundadas y enviar reclamaciones manifiestamente infundadas.

2.   A más tardar el 17 de febrero de 2023 y al menos una vez cada seis meses a partir de entonces, los prestadores publicarán para cada plataforma en línea o motor de búsqueda en línea, en una sección de su interfaz en línea a disposición del público, información sobre el promedio mensual de destinatarios del servicio activos en la Unión, calculado como promedio de los seis últimos meses y de conformidad con la metodología establecida en los actos delegados a que se refiere el artículo 33, apartado 3, cuando se hayan adoptado dichos actos delegados.

3.   Los prestadores de plataformas en línea o de motores de búsqueda en línea comunicarán al coordinador de servicios digitales de establecimiento y a la Comisión, a petición de estos y sin dilación indebida, la información a que se refiere el apartado 2, actualizada hasta el momento de efectuarse tal petición. Dicho coordinador de servicios digitales o la Comisión podrán exigir al prestador de la plataforma en línea o del motor de búsqueda en línea que proporcione información adicional en relación con el cálculo a que se refiere dicho apartado, con explicaciones y justificaciones de los datos utilizados. Dicha información no incluirá datos personales.

4.   El coordinador de servicios digitales de establecimiento informará a la Comisión cuando tenga razones para considerar, a partir de la información recibida con arreglo a los apartados 2 y 3 del presente artículo, que un prestador de plataformas en línea o de motores de búsqueda en línea alcanza el umbral del promedio mensual de destinatarios del servicio activos en la Unión establecido en el artículo 33, apartado 1.

5.   Los prestadores de plataformas en línea presentarán a la Comisión, sin dilación indebida, las decisiones y las declaraciones de motivos a que se refiere el artículo 17, apartado 1, para incluirlas en una base de datos de acceso público, legible por máquina y gestionada por la Comisión. Los prestadores de plataformas en línea velarán por que la información presentada no contenga datos personales.

6.   La Comisión podrá adoptar actos de ejecución para establecer modelos relativos a la forma, el contenido y otros detalles de los informes elaborados en virtud del apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 88.

Artículo 25. Diseño y organización de interfaces en línea

1.   Los prestadores de plataformas en línea no diseñarán, organizarán ni gestionarán sus interfaces en línea de manera que engañen o manipulen a los destinatarios del servicio o de manera que distorsionen u obstaculicen sustancialmente de otro modo la capacidad de los destinatarios de su servicio de tomar decisiones libres e informadas.

2.   La prohibición del apartado 1 no se aplicará a las prácticas contempladas en la Directiva 2005/29/CE o en el Reglamento (UE) 2016/679.

3.   La Comisión podrá publicar directrices sobre cómo el apartado 1 se aplica a prácticas específicas, en particular:

a) dar más protagonismo a determinadas opciones al pedir al destinatario del servicio que tome una decisión;

b) solicitar reiteradamente que el destinatario del servicio elija una opción cuando ya se haya hecho esa elección, especialmente a través de la presentación de ventanas emergentes que interfieran en la experiencia del usuario;

c) hacer que el procedimiento para poner fin a un servicio sea más difícil que suscribirse a él.

Artículo 26. Publicidad en las plataformas en línea

1.   Los prestadores de plataformas en línea que presenten anuncios publicitarios en sus interfaces en línea se asegurarán de que, por cada anuncio publicitario concreto presentado a cada destinatario específico, los destinatarios del servicio sean capaces de identificar, de manera clara, concisa e inequívoca y en tiempo real, lo siguiente:

a) que la información es un anuncio publicitario, en particular mediante indicaciones destacadas, que podrían seguir determinadas normas en virtud del artículo 44;

b) la persona física o jurídica en cuyo nombre se presenta el anuncio publicitario;

c) la persona física o jurídica que ha pagado por el anuncio publicitario, si es diferente de la persona física o jurídica a que se refiere la letra b);

d) información significativa accesible directa y fácilmente desde el anuncio acerca de los principales parámetros utilizados para determinar el destinatario a quien se presenta el anuncio publicitario y, en su caso, acerca de cómo cambiar esos parámetros.

2.   Los prestadores de plataformas en línea ofrecerán a los destinatarios del servicio una funcionalidad para declarar si el contenido que proporcionan es una comunicación comercial o contiene comunicaciones comerciales.

Cuando el destinatario del servicio presente una declaración en virtud del presente apartado, el prestador de plataformas en línea se asegurará de que los demás destinatarios del servicio puedan identificar de manera clara e inequívoca y en tiempo real, en particular mediante indicaciones destacadas, que podrían seguir normas con arreglo al artículo 44, que el contenido proporcionado por el destinatario del servicio es una comunicación comercial o contiene comunicaciones comerciales, tal como se describe en dicha declaración.

3.   Los prestadores de plataformas en línea no presentarán a los destinatarios del servicio anuncios basados en la elaboración de perfiles, tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679, utilizando las categorías especiales de datos personales a que se refiere el artículo 9, apartado 1, del Reglamento (UE) 2016/679.

Artículo 27. Transparencia del sistema de recomendación

1.   Los prestadores de plataformas en línea que utilicen sistemas de recomendación establecerán en sus condiciones generales, utilizando un lenguaje claro y comprensible, los parámetros principales utilizados en sus sistemas de recomendación, así como cualquier opción a disposición de los destinatarios del servicio para modificar o influir en dichos parámetros principales.

2.   Los parámetros principales a que se refiere el apartado 1 explicarán por qué se sugiere determinada información al destinatario del servicio. Estos parámetros incluirán, como mínimo:

a) los criterios más significativos a la hora de determinar la información sugerida al destinatario del servicio, y

b) las razones de la importancia relativa de dichos parámetros.

3.   Cuando haya varias opciones disponibles de conformidad con el apartado 1 para los sistemas de recomendación que determinen el orden relativo de información que se presente a los destinatarios del servicio, los prestadores de plataformas en línea también pondrán a su disposición una funcionalidad que permita al destinatario del servicio seleccionar y modificar en cualquier momento su opción preferida. Dicha funcionalidad será accesible directa y fácilmente desde la sección específica de la interfaz de la plataforma en línea en la que se priorice la información.

Artículo 28. Protección de los menores en línea

1.   Los prestadores de plataformas en línea accesibles a los menores establecerán medidas adecuadas y proporcionadas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores en su servicio.

2.   Los prestadores de plataformas en línea no presentarán anuncios en su interfaz basados en la elaboración de perfiles, tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679, mediante la utilización de datos personales del destinatario del servicio cuando sean conscientes con una seguridad razonable de que el destinatario del servicio es un menor.

3.   El cumplimiento de las obligaciones establecidas en el presente artículo no obligará a los prestadores de plataformas en línea a tratar datos personales adicionales a fin de evaluar si el destinatario del servicio es un menor.

4.   La Comisión, previa consulta a la Junta, podrá proporcionar directrices para guiar a los prestadores de plataformas en línea en la aplicación del apartado 1.

SECCIÓN 4. Disposiciones adicionales aplicables a los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes

Artículo 29. Exclusión de microempresas y pequeñas empresas

1.   La presente sección no se aplicará a los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes que sean microempresas o pequeñas empresas tal como se definen en la Recomendación 2003/361/CE.

La presente sección no se aplicará a los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes que previamente fueran microempresas o pequeñas empresas tal como se definen en la Recomendación 2003/361/CE durante los doce meses siguientes a la pérdida de esa condición con arreglo a su artículo 4, apartado 2, excepto si son plataformas en línea de muy gran tamaño de conformidad con el artículo 33.

2.   No obstante lo dispuesto en el apartado 1 del presente artículo, la presente sección se aplicará a los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes que hayan sido designados como plataformas en línea de muy gran tamaño de conformidad con el artículo 33, con independencia de que sean microempresas o pequeñas empresas.

Artículo 30. Trazabilidad de los comerciantes

1.   Los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes se asegurarán de que los comerciantes solo puedan utilizar dichas plataformas en línea para promocionar mensajes u ofrecer productos o servicios a los consumidores situados en la Unión si, previamente al uso de sus servicios para estos fines, han obtenido la información siguiente, cuando sea de aplicación en relación al comerciante:

a) el nombre, la dirección, el número de teléfono y la dirección de correo electrónico del comerciante;

b) una copia del documento de identificación del comerciante o cualquier otra identificación electrónica tal como se define en el artículo 3 del Reglamento (UE) nº910/2014 del Parlamento Europeo y del Consejo (40);

c) los datos de la cuenta de pago del comerciante;

d) cuando el comerciante esté inscrito en un registro mercantil o registro público análogo, el registro mercantil en el que dicho comerciante esté inscrito y su número de registro o medio equivalente de identificación en ese registro;

e) una certificación del propio comerciante por la que se comprometa a ofrecer exclusivamente productos o servicios que cumplan con las disposiciones aplicables del Derecho de la Unión.

2.   Una vez recibida la información a que se refiere el apartado 1, y antes de autorizar al comerciante de que se trate el uso de sus servicios, el prestador de la plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes hará todo lo posible por evaluar si la información a que se refiere el apartado 1, letras a) a e), es fiable y completa mediante el uso de cualquier base de datos en línea o interfaz en línea oficial de libre acceso puesta a disposición por un Estado miembro o por la Unión o solicitando al comerciante que aporte documentos justificativos de fuentes fiables. A efectos del presente Reglamento, los comerciantes serán responsables de la exactitud de la información facilitada.

En lo que respecta a los comerciantes que ya estén utilizando los servicios de los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes para los fines a que se refiere el apartado 1 a 17 de febrero de 2024, los prestadores harán todo lo posible por obtener la información enumerada por parte de los comerciantes correspondientes en un plazo de doce meses. En caso de que los comerciantes correspondientes no faciliten la información en ese plazo, los prestadores suspenderán la prestación de sus servicios a dichos comerciantes hasta que hayan facilitado toda la información.

3.   Cuando el prestador de la plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes obtenga indicaciones suficientes o tenga razones para creer que alguno de los elementos de información a que se refiere el apartado 1 obtenido del comerciante de que se trate es inexacto o incompleto o no está actualizado, dicho prestador solicitará a dicho comerciante que subsane la situación sin dilación o en el plazo determinado por el Derecho de la Unión y nacional.

Cuando el comerciante no corrija o complete dicha información, el prestador de la plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes suspenderá inmediatamente la prestación de su servicio a dicho comerciante en relación con la oferta de productos o servicios a los consumidores situados en la Unión hasta que se haya atendido a la solicitud en su totalidad.

4.   Sin perjuicio de lo dispuesto en el artículo 4 del Reglamento (UE) 2019/1150, en caso de que un prestador de una plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes se niegue a permitir a un comerciante utilizar su servicio con arreglo al apartado 1 o suspenda la prestación de dicho servicio con arreglo al apartado 3 del presente artículo, el comerciante afectado tendrá derecho a presentar una reclamación con arreglo a lo dispuesto en los artículos 20 y 21 del presente Reglamento.

5.   Los prestadores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes conservarán la información obtenida con arreglo a los apartados 1 y 2 de manera segura durante un período de seis meses a partir del fin de su relación contractual con el comerciante de que se trate. Posteriormente suprimirán la información.

6.   Sin perjuicio de lo dispuesto en el apartado 2 del presente artículo, el prestador de la plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes solo revelará la información a terceros cuando así lo requiera el Derecho aplicable, incluidas las órdenes a que se refiere el artículo 10 y cualquier orden dictada por las autoridades competentes de los Estados miembros o la Comisión para el desempeño de sus funciones en virtud del presente Reglamento.

7.   El prestador de la plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes pondrá la información a que se refiere el apartado 1, letras a), d) y e), a disposición de los destinatarios del servicio en su plataforma en línea, de manera clara, fácilmente accesible y comprensible. Dicha información estará disponible al menos en la interfaz en línea de la plataforma en línea en la que se presente la información del producto o servicio.

Artículo 31. Cumplimiento desde el diseño

1.   El prestador de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes garantizará que su interfaz en línea esté diseñada y organizada de manera que los comerciantes puedan cumplir con sus obligaciones en relación con la información precontractual, la conformidad y la información de seguridad del producto en virtud del Derecho de la Unión aplicable.

En concreto, el prestador de que se trate garantizará que sus interfaces en línea permitan a los comerciantes proporcionar información sobre el nombre, la dirección, el número de teléfono y la dirección de correo electrónico del operador económico, según se establece en el artículo 3, punto 13, del Reglamento (UE) 2019/1020 y otros actos del Derecho de la Unión.

2.   El prestador de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes garantizará que su interfaz en línea esté diseñada y organizada de manera que los comerciantes puedan proporcionar al menos lo siguiente:

a) la información necesaria para la identificación clara e inequívoca de los productos o servicios promocionados u ofrecidos a los consumidores situados en la Unión a través de los servicios de los prestadores;

b) cualquier signo que identifique al comerciante, como la marca, el símbolo o el logotipo, y

c) en su caso, la información relativa al etiquetado y marcado de conformidad con las normas aplicables del Derecho de la Unión en materia de seguridad de los productos y conformidad de los productos.

3.   El prestador de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con comerciantes hará todo lo posible por evaluar si dichos comerciantes han facilitado la información a la que se refieren los apartados 1 y 2 antes de permitirles ofrecer sus productos o servicios en esas plataformas. Después de permitir al comerciante ofrecer productos o servicios en su plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes, el prestador hará todos los esfuerzos que resulten razonables para comprobar aleatoriamente en cualquier base de datos en línea o interfaz en línea oficial, de libre acceso y legible por máquina si los productos o servicios ofrecidos han sido identificados como ilícitos.

Artículo 32. Derecho a la información

1.   Cuando un prestador de una plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes tenga conocimiento, independientemente de los medios utilizados, de que un producto o servicio ilícito haya sido ofrecido por un comerciante a los consumidores situados en la Unión a través de sus servicios, dicho prestador informará, en la medida en que tenga sus datos de contacto a los consumidores que hayan adquirido el producto o servicio ilícito a través de sus servicios, de lo siguiente:

a) de que el producto o servicio es ilícito;

b) de la identidad del comerciante, y

c) de cualquier vía de recurso pertinente.

La obligación establecida en el párrafo primero se limitará a la adquisición de productos o servicios ilícitos durante los seis meses anteriores al momento en que el prestador haya tenido consciencia de la ilegalidad.

2.   Cuando, en la situación a la que se refiere el apartado 1, el prestador de la plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes no disponga de los datos de contacto de todos los consumidores afectados, dicho prestador pondrá a disposición pública y hará que sea fácilmente accesible en su interfaz en línea la información sobre el producto o servicio ilícito, la identidad del comerciante y toda vía de recurso.

SECCIÓN 5. Obligaciones adicionales de gestión de riesgos sistémicos para prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño

Artículo 33. Plataformas en línea de muy gran tamaño y motores de búsqueda en línea de muy gran tamaño

1.   Esta sección se aplicará a las plataformas en línea y los motores de búsqueda en línea de muy gran tamaño que tengan un promedio mensual de destinatarios del servicio activos en la Unión igual o superior a cuarenta y cinco millones y a las que se designe como plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño en virtud del apartado 4.

2.   La Comisión adoptará actos delegados de conformidad con el artículo 87 para ajustar el promedio mensual de destinatarios del servicio activos en la Unión a que se refiere el apartado 1, cuando la población de la Unión aumente o disminuya al menos un 5 % en relación a su población en 2020, o bien a su población tras un ajuste por medio de un acto delegado en el año en que se adoptase el último acto delegado. En tal caso, ajustará el número para que se corresponda con el 10 % de la población de la Unión en el año en que adopte el acto delegado, redondeado al alza o a la baja para poder expresarlo en millones.

3.   La Comisión podrá adoptar actos delegados de conformidad con el artículo 87, previa consulta a la Junta, para completar las disposiciones del presente Reglamento, estableciendo la metodología para calcular el promedio mensual de destinatarios del servicio activos en la Unión, a los efectos del apartado 1 del presente artículo y del apartado 2 del artículo 24, garantizando que la metodología tenga en cuenta la evolución del mercado y de la tecnología.

4.   La Comisión, previa consulta al Estado miembro de establecimiento o tras tener en cuenta la información facilitada por el coordinador de servicios digitales de establecimiento de conformidad con el artículo 24, apartado 4, adoptará una decisión por la que se designe como plataforma en línea de muy gran tamaño o como motor de búsqueda en línea de muy gran tamaño, a efectos del presente Reglamento, a la plataforma en línea o al motor de búsqueda en línea que tenga un promedio mensual de destinatarios del servicio activos igual o superior al número a que se refiere el apartado 1 del presente artículo. La Comisión tomará su decisión sobre la base de los datos comunicados por el prestador de la plataforma en línea o del motor de búsqueda en línea con arreglo al artículo 24, apartado 2, o de la información solicitada con arreglo al artículo 24, apartado 3, o de cualquier otra información de que disponga la Comisión.

El incumplimiento por parte del prestador de la plataforma en línea o del motor de búsqueda en línea de lo dispuesto en el artículo 24, apartado 2, o de la solicitud del coordinador de servicios digitales de establecimiento o de la Comisión con arreglo al artículo 24, apartado 3, no impedirá a la Comisión designar a dicho prestador como prestador de una plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño con arreglo al presente apartado.

Cuando la Comisión base su decisión en otra información de la que disponga de conformidad con el párrafo primero del presente apartado, o sobre la base de la información adicional solicitada con arreglo al artículo 24, apartado 3, la Comisión ofrecerá al prestador de la plataforma en línea o del motor de búsqueda en línea de que se trate diez días hábiles para remitir sus puntos de vista sobre las conclusiones preliminares de la Comisión y sobre su intención de designar a la plataforma en línea o al motor de búsqueda en línea, respectivamente, como plataforma en línea o motor de búsqueda en línea de muy gran tamaño. La Comisión tendrá debidamente en cuenta los puntos de vista remitidos por el prestador de que se trate.

La falta de remisión por parte del prestador de la plataforma en línea o del motor de búsqueda en línea de que se trate de sus puntos de vista con arreglo al párrafo tercero no impedirá a la Comisión designar a dicha plataforma en línea o motor de búsqueda en línea, respectivamente, como plataforma en línea de muy gran tamaño o como motor de búsqueda en línea de muy gran tamaño sobre la base de otra información de la que disponga.

5.   La Comisión revocará la designación si, durante un período ininterrumpido de un año, la plataforma en línea o el motor de búsqueda en línea no tiene un promedio mensual de destinatarios del servicio activos igual o superior al número al que se refiere el apartado 1.

6.   La Comisión notificará sus decisiones con arreglo a los apartados 4 y 5, sin dilación indebida, al prestador de la plataforma en línea o al motor de búsqueda en línea de que se trate, a la Junta y al coordinador de servicios digitales de establecimiento.

La Comisión se asegurará de que la lista de plataformas en línea designadas de muy gran tamaño y de motores de búsqueda en línea designados de muy gran tamaño se publique en el Diario Oficial de la Unión Europea, y mantendrá dicha lista actualizada. Las obligaciones establecidas en esta sección se aplicarán, o dejarán de aplicarse, a las plataformas en línea de muy gran tamaño y a los motores de búsqueda en línea de muy gran tamaño de que se trate a partir de la fecha en que hayan transcurrido cuatro meses desde la notificación al prestador de que se trate al que se refiere el párrafo primero.

Artículo 34. Evaluación de riesgos

1.   Los prestadores de plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño detectarán, analizarán y evaluarán con diligencia cualquier riesgo sistémico en la Unión que se derive del diseño o del funcionamiento de su servicio y los sistemas relacionados con este, incluidos los sistemas algorítmicos, o del uso que se haga de sus servicios.

Llevarán a cabo las evaluaciones de riesgos a más tardar en la fecha de aplicación a que se refiere el artículo 33, apartado 6, párrafo segundo, y al menos una vez al año a partir de entonces, y en cualquier caso antes de desplegar funcionalidades que puedan tener un impacto crítico en los riesgos detectados con arreglo al presente artículo. Esta evaluación de riesgos será específica de sus servicios y proporcionada a los riesgos sistémicos, teniendo en cuenta su gravedad y probabilidad, e incluirá los siguientes riesgos sistémicos:

a) la difusión de contenido ilícito a través de sus servicios;

b) cualquier efecto negativo real o previsible para el ejercicio de los derechos fundamentales, en particular los relativos a la dignidad humana amparada por el artículo 1 de la Carta, al respeto de la vida privada y familiar amparada por el artículo 7 de la Carta, a la protección de los datos de carácter personal amparada por el artículo 8 de la Carta, a la libertad de expresión e información, incluida la libertad y el pluralismo de los medios de comunicación, amparada por el artículo 11 de la Carta, a la no discriminación amparada por el artículo 21 de la Carta, a los derechos del niño amparados por el artículo 24 de la Carta y a un nivel elevado de protección de los consumidores, amparado por el artículo 38 de la Carta;

c) cualquier efecto negativo real o previsible sobre el discurso cívico y los procesos electorales, así como sobre la seguridad pública;

d) cualquier efecto negativo real o previsible en relación con la violencia de género, la protección de la salud pública y los menores y las consecuencias negativas graves para el bienestar físico y mental de la persona.

2.   Cuando realicen evaluaciones de riesgos, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño tendrán en cuenta, en particular, si los siguientes factores influyen, y de qué manera, en cualquiera de los riesgos sistémicos a que se refiere el apartado 1:

a) el diseño de sus sistemas de recomendación y de cualquier otro sistema algorítmico pertinente;

b) sus sistemas de moderación de contenidos;

c) las condiciones generales aplicables y su ejecución;

d) los sistemas de selección y presentación de anuncios;

e) las prácticas del prestador relacionadas con los datos.

Las evaluaciones analizarán asimismo si los riesgos con arreglo al apartado 1 se ven influidos, y de qué manera, por la manipulación intencionada de su servicio, en particular por medio del uso no auténtico o la explotación automatizada del servicio, así como la amplificación y la difusión potencialmente rápida y amplia de contenido ilícito y de información incompatible con sus condiciones generales.

La evaluación tendrá en cuenta los aspectos regionales o lingüísticos específicos, incluso cuando sean específicos de un Estado miembro.

3.   Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño conservarán los documentos justificativos de las evaluaciones de riesgos durante al menos tres años después de la realización de las evaluaciones de riesgos y se los comunicarán, previa solicitud, a la Comisión y al coordinador de servicios digitales de establecimiento.

Artículo 35. Reducción de riesgos

1.   Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño aplicarán medidas de reducción de riesgos razonables, proporcionadas y efectivas, adaptadas a los riesgos sistémicos específicos detectados de conformidad con el artículo 34, teniendo especialmente en cuenta las consecuencias de dichas medidas sobre los derechos fundamentales. Dichas medidas podrán incluir, cuando proceda:

a) la adaptación del diseño, las características o el funcionamiento de sus servicios, incluidas sus interfaces en línea;

b) la adaptación de sus condiciones generales y su ejecución;

c) la adaptación de los procesos de moderación de contenidos, incluida la velocidad y la calidad del tratamiento de las notificaciones relacionadas con tipos específicos de contenidos ilícitos y, en su caso, la rápida retirada de los contenidos notificados, o el bloqueo del acceso a ellos, en particular en el caso de la incitación ilegal al odio o la ciberviolencia, así como la adaptación de los procesos de toma de decisiones pertinentes y los recursos específicos para la moderación de contenidos;

d) la realización de pruebas y la adaptación de sus sistemas algorítmicos, incluidos sus sistemas de recomendación;

e) la adaptación de sus sistemas publicitarios y la adopción de medidas específicas dirigidas a limitar o ajustar la presentación de anuncios publicitarios en asociación con el servicio que prestan;

f) el refuerzo de los procesos internos, los recursos, la realización de pruebas, la documentación o la supervisión de cualquiera de sus actividades, en particular en lo que respecta a la detección de riesgos sistémicos;

g) la puesta en marcha o el ajuste de la cooperación con los alertadores fiables de conformidad con el artículo 22 y la ejecución de las decisiones de los órganos de resolución extrajudicial de litigios en virtud del artículo 21;

h) la puesta en marcha o el ajuste de la cooperación con otros prestadores de plataformas en línea o motores de búsqueda en línea mediante los códigos de conducta y los protocolos de crisis a que se refieren, respectivamente, los artículos 45 y 48;

i) la adopción de medidas de concienciación y la adaptación de su interfaz en línea con el fin de proporcionar más información a los destinatarios del servicio;

j) la adopción de medidas específicas para proteger los derechos de los menores, incluidas herramientas de comprobación de la edad y de control parental, herramientas destinadas a ayudar a los menores a señalar abusos u obtener ayuda, según corresponda;

k) garantizar que un elemento de información, ya se trate de imagen, audio o vídeo generado o manipulado que se asemeja notablemente a personas, objetos, lugares u otras entidades o sucesos existentes y que puede inducir erróneamente a una persona a pensar que son auténticos o verídicos, se distinga mediante indicaciones destacadas cuando se presente en sus interfaces en línea y, además, proporcionar una funcionalidad fácil de utilizar que permita a los destinatarios del servicio señalar dicha información.

2.   La Junta, en cooperación con la Comisión, publicará informes exhaustivos una vez al año. Los informes incluirán lo siguiente:

a) detección y evaluación de los riesgos sistémicos más destacados y recurrentes notificados por los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño o detectados a través de otras fuentes de información, en particular las proporcionadas en cumplimiento de los artículos 39, 40 y 42;

b) buenas prácticas para los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño para la reducción de los riesgos sistémicos detectados.

Dichos informes presentarán los riesgos sistémicos desglosados por los Estados miembros en los que se produjeron y para el conjunto de la Unión, según corresponda.

3.   La Comisión, en colaboración con los coordinadores de servicios digitales, podrá publicar directrices sobre la aplicación del apartado 1 en relación con riesgos concretos, en particular para presentar buenas prácticas y recomendar posibles medidas, con la debida consideración de las posibles consecuencias de esas medidas para los derechos fundamentales amparados por la Carta de todas las partes implicadas. Durante la preparación de dichas directrices, la Comisión organizará consultas públicas.

Artículo 36. Mecanismo de respuesta a las crisis

1.   Cuando se produzca una crisis, la Comisión, previa recomendación de la Junta, podrá adoptar una decisión por la que se exija a uno o varios prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño que adopten una o varias de las siguientes medidas:

a) evaluar si el funcionamiento y el uso de sus servicios contribuyen o es probable que contribuyan de forma significativa a una amenaza grave contemplada en el apartado 2 y, en caso afirmativo, en qué medida y de qué manera;

b) determinar y aplicar medidas específicas, eficaces y proporcionadas, como cualquiera de las previstas en el artículo 35, apartado 1, o en el artículo 48, apartado 2, para prevenir, eliminar o limitar cualquier contribución de este tipo a la amenaza grave detectada con arreglo a la letra a) del presente apartado;

c) informar a la Comisión, en una fecha determinada o a intervalos periódicos especificados en la decisión, de las evaluaciones a las que se refiere la letra a), el contenido exacto, la aplicación y el impacto cualitativo y cuantitativo de las medidas específicas adoptadas con arreglo a la letra b), así como de cualquier otra cuestión relacionada con dichas evaluaciones o medidas, tal como se especifique en la decisión.

Al determinar y aplicar medidas en virtud de la letra b) del presente apartado, el prestador o los prestadores de servicios tendrán debidamente en cuenta la gravedad de la amenaza a que se refiere el apartado 2, la urgencia de las medidas y las implicaciones reales o potenciales para los derechos e intereses legítimos de todas las partes afectadas, incluida la posibilidad de que las medidas no respeten los derechos fundamentales amparados por la Carta.

2.   A efectos del presente artículo, se considerará que se ha producido una crisis cuando se produzcan circunstancias extraordinarias que den lugar a una amenaza grave para la seguridad pública o la salud pública en la Unión o en partes significativas de esta.

3.   Al adoptar la decisión a que se refiere el apartado 1, la Comisión velará por que se cumplan todos los requisitos siguientes:

a) que las acciones requeridas por la decisión sean estrictamente necesarias, justificadas y proporcionadas, teniendo en cuenta, en particular, la gravedad de la amenaza a que se refiere el apartado 2, la urgencia de las medidas y las implicaciones reales o potenciales para los derechos e intereses legítimos de todas las partes afectadas, incluida la posibilidad de que las medidas no respeten los derechos fundamentales amparados por la Carta;

b) que la decisión especifique un plazo razonable en el que deban adoptarse las medidas específicas a que se refiere el apartado 1, letra b), teniendo en cuenta, en particular, la urgencia de dichas medidas y el tiempo necesario para prepararlas y aplicarlas;

c) que las acciones requeridas por la decisión se limiten a un período no superior a tres meses.

4.   Una vez adoptada la decisión a que se refiere el apartado 1, la Comisión adoptará, sin dilación indebida, las medidas siguientes:

a) notificar la decisión al prestador o los prestadores a los que se dirija la decisión;

b) hacer pública la decisión, y

c) informar a la Junta de la decisión, invitarla a que presente sus puntos de vista al respecto y mantenerla informada de cualquier novedad posterior relacionada con la decisión.

5.   La elección de las medidas específicas que deban adoptarse con arreglo al apartado 1, letra b), y al apartado 7, párrafo segundo, corresponderá al prestador o los prestadores a los que se dirija la decisión de la Comisión.

6.   La Comisión, por propia iniciativa o a petición del prestador, podrá entablar un diálogo con el prestador para determinar si, en vista de las circunstancias específicas del prestador, las medidas previstas o aplicadas a que se refiere el apartado 1, letra b), son eficaces y proporcionadas para alcanzar los objetivos perseguidos. En particular, la Comisión velará por que las medidas adoptadas por el prestador de servicios con arreglo al apartado 1, letra b), cumplan los requisitos a que se refiere el apartado 3, letras a) y c).

7.   La Comisión hará el seguimiento de la aplicación de las medidas específicas adoptadas en virtud de la decisión a que se refiere el apartado 1 del presente artículo, sobre la base de los informes contemplados en la letra c) de dicho apartado y de cualquier otra información pertinente, incluida la información que pueda solicitar en virtud del artículo 40 o 67, teniendo en cuenta la evolución de la crisis. La Comisión informará periódicamente a la Junta sobre dicho seguimiento, al menos una vez al mes.

Cuando la Comisión considere que las medidas específicas previstas o aplicadas con arreglo al apartado 1, letra b), no son eficaces o proporcionadas, podrá, previa consulta a la Junta, adoptar una decisión que exija al prestador que revise la determinación o la aplicación de dichas medidas específicas.

8.   Cuando sea adecuado habida cuenta de la evolución de la crisis, la Comisión, por recomendación de la Junta, podrá modificar la decisión a que se refiere el apartado 1 o el apartado 7, párrafo segundo:

a) revocando la decisión y, cuando sea conveniente, exigiendo a la plataforma en línea de muy gran tamaño o al motor de búsqueda en línea de muy gran tamaño que dejen de aplicar las medidas determinadas y ejecutadas de conformidad con el apartado 1, letra b), o el apartado 7, párrafo segundo, en particular cuando ya no existan motivos para tales medidas;

b) ampliando el período a que se refiere el apartado 3, letra c), por un período máximo de tres meses;

c) teniendo en cuenta la experiencia adquirida al aplicar las medidas, en particular la posibilidad de que las medidas no respeten los derechos fundamentales amparados por la Carta.

9.   Los requisitos establecidos en los apartados 1 a 6 se aplicarán a la decisión y a la modificación de esta a que se refiere el presente artículo.

10.   La Comisión tendrá en cuenta en la mayor medida posible la recomendación de la Junta formulada en virtud del presente artículo.

11.   La Comisión informará anualmente al Parlamento Europeo y al Consejo tras la adopción de decisiones de conformidad con el presente artículo y, en cualquier caso, tres meses después del final de la crisis, sobre la aplicación de las medidas específicas adoptadas en virtud de dichas decisiones.

Artículo 37. Auditoría independiente

1.   Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño se someterán, a su propia costa y al menos una vez al año, a auditorías independientes para evaluar el cumplimiento de lo siguiente:

a) las obligaciones establecidas en el capítulo III;

b) cualquier compromiso contraído en virtud de los códigos de conducta a que se refieren los artículos 45 y 46 y los protocolos de crisis a que se refiere el artículo 48.

2.   Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño proporcionarán a las organizaciones que lleven a cabo las auditorías en virtud del presente artículo la cooperación y la asistencia necesarias para permitirles llevar a cabo dichas auditorías de manera eficaz, eficiente y en tiempo oportuno, en particular dándoles acceso a todos los datos y locales pertinentes y respondiendo a sus preguntas orales o escritas. Se abstendrán de obstaculizar, influir indebidamente o menoscabar la realización de la auditoría.

Dichas auditorías garantizarán un nivel adecuado de confidencialidad y secreto profesional con respecto a la información obtenida de los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño y de terceros en el contexto de las auditorías, también tras la finalización de las auditorías. No obstante, el cumplimiento de este requisito no afectará negativamente a la realización de las auditorías y otras disposiciones del presente Reglamento, en particular las relativas a la transparencia, la supervisión y la garantía del cumplimiento. Cuando sea necesario a efectos de la transparencia informativa con arreglo al artículo 42, apartado 4, el informe de auditoría y el informe de aplicación de la auditoría a que se refieren los apartados 4 y 6 del presente artículo irán acompañados de versiones que no contengan información que razonablemente pudiera considerarse confidencial.

3.   Las auditorías efectuadas en virtud del apartado 1 serán realizadas por organizaciones que:

a) sean independientes del prestador de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño de que se trate y de cualquier persona jurídica vinculada a él, y no tengan ningún conflicto de intereses con él; en particular:

i) no hayan prestado servicios que no sean de auditoría relacionados con las cuestiones auditadas al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate, ni a ninguna persona jurídica vinculada a dicho prestador, en el período de doce meses anterior al inicio de la auditoría, y se hayan comprometido a no prestar este tipo de servicios en el período de doce meses tras la finalización de la auditoría,

ii) no hayan prestado servicios de auditoría con arreglo al presente artículo al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate, ni a ninguna persona jurídica vinculada a dicho prestador durante un período superior a diez años consecutivos,

iii) no realicen la auditoría a cambio de honorarios que dependan del resultado de la auditoría;

b) posean conocimientos acreditados en el ámbito de la gestión de riesgos, competencia y capacidades técnicas;

c) tengan objetividad y ética profesional acreditadas, basadas en particular en su adhesión a códigos de conducta o normas apropiadas.

4.   Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño garantizarán que las organizaciones que lleven a cabo las auditorías elaboren un informe de cada auditoría. Dicho informe se hará por escrito, estará fundamentado e incluirá al menos lo siguiente:

a) el nombre, dirección y punto de contacto del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño sujeto a la auditoría y el período que abarque;

b) el nombre y dirección de la organización u organizaciones que realicen la auditoría;

c) una declaración de intereses;

d) una descripción de los elementos concretos auditados y de la metodología aplicada;

e) una descripción y un resumen de las principales conclusiones extraídas de la auditoría;

f) una lista de los terceros consultados en el marco de la auditoría;

g) un dictamen que determine si el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño sometido a la auditoría ha cumplido con las obligaciones y los compromisos a que se refiere el apartado 1, es decir, «favorable», «favorable con observaciones» o «negativo»;

h) cuando el dictamen de la auditoría no sea «favorable», recomendaciones operativas sobre medidas concretas para alcanzar el cumplimiento y el plazo recomendado para alcanzarlo.

5.   Cuando la organización que realice la auditoría no haya podido auditar determinados elementos específicos o emitir un dictamen de auditoría basado en sus investigaciones, el informe de auditoría incluirá una explicación de las circunstancias y las razones por las que estos elementos no pudieron auditarse.

6.   Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño que reciban un informe de auditoría que no sea «favorable» tendrán debidamente en cuenta las recomendaciones operativas que se les efectúen, con miras a adoptar las medidas necesarias para aplicarlas. En el plazo de un mes desde la recepción de dichas recomendaciones, adoptarán un informe de aplicación de la auditoría que recoja dichas medidas. Cuando no apliquen las recomendaciones operativas, justificarán en el informe de aplicación de la auditoría las razones para no hacerlo y describirán cualquier medida alternativa que hayan adoptado para subsanar cualquier incumplimiento detectado.

7.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 87 por los que se complete el presente Reglamento, estableciendo las normas necesarias para la realización de las auditorías con arreglo al presente artículo, en particular en lo que respecta a las normas necesarias sobre las fases del procedimiento, las metodologías de auditoría y los modelos de presentación de informes para las auditorías realizadas en virtud del presente artículo. Dichos actos delegados tendrán en cuenta las normas de auditoría voluntarias a que se refiere el artículo 44, apartado 1, letra e).

Artículo 38. Sistemas de recomendación

Además de los requisitos establecidos en el artículo 27, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño que utilicen sistemas de recomendación ofrecerán al menos una opción para cada uno de sus sistemas de recomendación que no se base en la elaboración de perfiles tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679.

Artículo 39. Transparencia adicional sobre la publicidad en línea

1.   Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño que presenten anuncios publicitarios en sus interfaces en línea recopilarán y harán público, en una sección específica de su interfaz en línea, a través de una herramienta de búsqueda fiable que permita realizar consultas en función de múltiples criterios, y mediante interfaces de programación de aplicaciones, un repositorio que contenga la información a que se refiere el apartado 2, durante todo el tiempo en el que presenten un anuncio y hasta un año después de la última vez que se presente el anuncio en sus interfaces en línea. Se asegurarán de que el repositorio no contenga ningún dato personal de los destinatarios del servicio a quienes se haya o se pueda haber presentado el anuncio y harán todos los esfuerzos que resulten razonables para garantizar que la información sea exacta y completa.

2.   El repositorio incluirá al menos toda la información siguiente:

a) el contenido del anuncio publicitario, incluidos el nombre del producto, servicio o marca y el objeto del anuncio;

b) la persona física o jurídica en cuyo nombre se presenta el anuncio publicitario;

c) la persona física o jurídica que ha pagado por el anuncio publicitario, si es diferente de la persona física o jurídica a que se refiere la letra b);

d) el período durante el que se haya presentado el anuncio;

e) si el anuncio estaba destinado a presentarse en particular a uno o varios grupos concretos de destinatarios del servicio y, en tal caso, los parámetros principales utilizados para tal fin, incluidos, en su caso, los principales parámetros utilizados para excluir a uno o más de esos grupos concretos;

f) las comunicaciones comerciales publicadas en las plataformas en línea de muy gran tamaño e identificadas con arreglo al artículo 26, apartado 2;

g) el número total de destinatarios del servicio alcanzados y, en su caso, el número total desglosado por Estado miembro para el grupo o grupos de destinatarios a quienes el anuncio estuviera específicamente dirigido.

3.   Por lo que respecta al apartado 2, letras a), b) y c), cuando el prestador de una plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño haya retirado o bloqueado el acceso a un anuncio específico sobre la base de una supuesta ilegalidad o incompatibilidad con sus condiciones generales, el repositorio no incluirá la información a que se refieren dichas letras. En tal caso, el repositorio incluirá, para el anuncio específico de que se trate, la información a que se refieren el artículo 17, apartado 3, letras a) a e), o el artículo 9, apartado 2, letra a), inciso i), según corresponda.

La Comisión, previa consulta a la Junta, a los investigadores autorizados pertinentes a que se refiere el artículo 40 y al público, podrá formular directrices sobre la estructura, la organización y las funcionalidades de los repositorios a que se refiere el presente artículo.

Artículo 40. Acceso a datos y escrutinio

1.   Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño proporcionarán al coordinador de servicios digitales de establecimiento o a la Comisión, cuando lo soliciten de forma motivada y en un período razonable, especificado en dicha solicitud, acceso a los datos que sean necesarios para hacer el seguimiento del cumplimiento del presente Reglamento y evaluarlo.

2.   Los coordinadores de servicios digitales y la Comisión utilizarán los datos a los que se acceda con arreglo al apartado 1 únicamente con el fin de hacer el seguimiento del cumplimiento del presente Reglamento, y evaluarlo, y tendrán debidamente en cuenta los derechos e intereses de los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño y de los destinatarios del servicio de que se trate, especialmente la protección de los datos personales, la protección de la información confidencial, en particular los secretos comerciales, y el mantenimiento de la seguridad de su servicio.

3.   A efectos del apartado 1, los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño explicarán, a petición del coordinador de servicios digitales de establecimiento o de la Comisión, el diseño, la lógica, el funcionamiento y la realización de pruebas de sus sistemas algorítmicos, incluidos sus sistemas de recomendación.

4.   Previa solicitud motivada del coordinador de servicios digitales de establecimiento, los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño proporcionarán acceso a los datos en un período razonable, especificado en la solicitud, a investigadores autorizados que cumplan los requisitos establecidos en el apartado 8 del presente artículo, con la única finalidad de realizar estudios que contribuyan a la detección, determinación y comprensión de los riesgos sistémicos en la Unión descritos con arreglo al artículo 34, apartado 1, y a la evaluación de la idoneidad, la eficiencia y los efectos de las medidas de reducción de riesgos en virtud del artículo 35.

5.   En un plazo de 15 días desde la recepción de una de las solicitudes a que se refiere el apartado 4, los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño podrán solicitar al coordinador de servicios digitales de establecimiento, que modifique la solicitud, cuando consideren que no pueden otorgar acceso a los datos solicitados por una de las dos razones siguientes:

a) que no tengan acceso a los datos;

b) que otorgar acceso a los datos implique vulnerabilidades importantes para la seguridad de su servicio o para la protección de información confidencial, en particular secretos comerciales.

6.   Las solicitudes de modificación en virtud del apartado 5 propondrán uno o varios medios alternativos mediante los cuales pueda otorgarse el acceso a los datos solicitados u otros datos que sean adecuados y suficientes para la finalidad de la solicitud.

El coordinador de servicios digitales de establecimiento tomará una decisión sobre la solicitud de modificación en un plazo de 15 días y comunicará al prestador de plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño su decisión y, en su caso, la solicitud modificada y el nuevo plazo para cumplir con la solicitud.

7.   Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño facilitarán y proporcionarán acceso a los datos con arreglo a los apartados 1 y 4 a través de las interfaces adecuadas especificadas en la solicitud, incluidas bases de datos en línea o interfaces de programación de aplicaciones.

8.   Previa solicitud debidamente justificada de los investigadores, el coordinador de servicios digitales de establecimiento otorgará a dichos investigadores la condición de «investigadores autorizados» para las investigaciones específicas a las que se refiere la solicitud y expedirá una solicitud motivada de acceso a los datos para un prestador de plataforma en línea de muy gran tamaño o de motor de búsqueda en línea de muy gran tamaño de conformidad con el apartado 4 cuando los investigadores demuestren que cumplen todas las condiciones siguientes:

a) que estén afiliados a un organismo de investigación tal como se define en el artículo 2, punto 1, de la Directiva (UE) 2019/790;

b) que sean independientes desde el punto de vista de los intereses comerciales;

c) que revelen en la solicitud cómo se financia la investigación;

d) que estén en condiciones de satisfacer los requisitos específicos en materia de seguridad y confidencialidad de los datos correspondientes a cada solicitud y de proteger los datos personales, y que describan en su solicitud las medidas técnicas y organizativas apropiadas que hayan adoptado a tal fin;

e) que demuestren en la solicitud que su acceso a los datos y los plazos solicitados son necesarios y proporcionados para los fines de su investigación, y que los resultados esperados de dicha investigación contribuirán a los fines establecidos en el apartado 4;

f) que las actividades de investigación previstas se lleven a cabo para los fines establecidos en el apartado 4;

g) que se hayan comprometido a hacer públicos los resultados de su investigación de forma gratuita, en un plazo razonable tras la finalización de la investigación, teniendo en cuenta los derechos y los intereses de los destinatarios del servicio de que se trate, de conformidad con el Reglamento (UE) 2016/679.

Una vez recibida la solicitud con arreglo al presente apartado, el coordinador de servicios digitales de establecimiento informará a la Comisión y a la Junta.

9.   Los investigadores también podrán presentar su solicitud al coordinador de servicios digitales del Estado miembro del organismo de investigación al que estén afiliados. Una vez recibida la solicitud con arreglo al presente apartado, el coordinador de servicios digitales llevará a cabo una evaluación inicial para determinar si los investigadores correspondientes cumplen todas las condiciones establecidas en el apartado 8. El coordinador de servicios digitales respectivo enviará posteriormente la solicitud, junto con los documentos justificativos presentados por los investigadores y su evaluación inicial, al coordinador de servicios digitales de establecimiento. El coordinador de servicios digitales de establecimiento tomará la decisión de si conceder a un investigador la condición de «investigador autorizado» sin dilación indebida.

Teniendo debidamente en cuenta la evaluación inicial facilitada, la decisión final de conceder a un investigador la condición de investigador autorizado será competencia del coordinador de servicios digitales de establecimiento, con arreglo al apartado 8.

10.   El coordinador de servicios digitales que haya concedido la condición de investigador autorizado y haya expedido la solicitud motivada de acceso a los datos para los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño en favor de un investigador autorizado adoptará una decisión por la que pondrá fin al acceso si determina, tras una investigación por iniciativa propia o sobre la base de información recibida por parte de terceros, que el investigador autorizado ha dejado de cumplir las condiciones establecidas en el apartado 8, e informará de la decisión al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate. Antes de poner fin al acceso, el coordinador de servicios digitales dará al investigador autorizado la oportunidad de responder a las conclusiones de su investigación y a su intención de poner fin al acceso.

11.   Los coordinadores de servicios digitales de establecimiento comunicarán a la Junta los nombres y la información de contacto de las personas físicas o entidades a las que hayan otorgado la condición de «investigador autorizado» de conformidad con el apartado 8, así como la finalidad de la investigación en la que se base la solicitud o en el caso de que hayan puesto fin al acceso a los datos de conformidad con el apartado 10, comunicarán dicha información a la Junta.

12.   Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño darán acceso sin dilación indebida a los datos, incluidos, cuando sea técnicamente posible, los datos en tiempo real, siempre que los datos sean de acceso público en su interfaz en línea, a los investigadores, incluidos los afiliados a organismos, organizaciones y asociaciones sin ánimo de lucro, que cumplan las condiciones establecidas en el apartado 8, letras b), c), d) y e), y que utilicen los datos únicamente para llevar a cabo investigaciones que contribuyan a la detección, identificación y comprensión de los riesgos sistémicos en la Unión con arreglo al artículo 34, apartado 1.

13.   La Comisión, previa consulta a la Junta, adoptará actos delegados que completen el presente Reglamento mediante el establecimiento de las condiciones técnicas en las que los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño deban compartir datos en virtud de los apartados 1 y 4 y los fines para los que puedan utilizarse dichos datos. Esos actos delegados establecerán las condiciones específicas en las que puedan compartirse los datos con investigadores en cumplimiento del Reglamento (UE) 2016/679, así como los indicadores objetivos pertinentes, los procedimientos y, cuando sea necesario, los mecanismos consultivos independientes para que puedan compartirse los datos, teniendo en cuenta los derechos e intereses de los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño y los destinatarios del servicio de que se trate, incluida la protección de información confidencial, en particular secretos comerciales, y manteniendo la seguridad de su servicio.

Artículo 41. Función de comprobación del cumplimiento

1.   Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño establecerán una función de comprobación del cumplimiento, que sea independiente de sus funciones operativas y esté compuesta por uno o varios encargados del cumplimiento, incluido el jefe de la función de comprobación del cumplimiento. Dicha función de comprobación del cumplimiento tendrá autoridad, rango y recursos suficientes, así como acceso al órgano de dirección del prestador de plataformas en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño para hacer el seguimiento del cumplimiento del presente Reglamento por parte de dicho prestador.

2.   El órgano de dirección del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño velará por que los encargados del cumplimiento posean las cualificaciones profesionales, los conocimientos, la experiencia y la capacidad necesarias para desempeñar las funciones a que se refiere el apartado 3.

El órgano de dirección del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño velará por que el jefe de la función de comprobación del cumplimiento sea un alto directivo independiente con responsabilidad específica por lo que respecta a la función de comprobación del cumplimiento.

El jefe de la función de comprobación del cumplimiento rendirá cuentas directamente ante el órgano de dirección del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño, y podrá plantear dudas y advertir a dicho órgano cuando los riesgos a que se refiere el artículo 34 o el incumplimiento del presente Reglamento afecten o puedan afectar al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate, sin perjuicio de las responsabilidades del órgano de dirección en sus funciones de supervisión y gestión.

El jefe de la función de comprobación del cumplimiento no será destituido sin la aprobación previa del órgano de dirección del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño.

3.   Los encargados del cumplimiento desempeñarán las siguientes funciones:

a) colaborar con el coordinador de servicios digitales de establecimiento y la Comisión para los fines del presente Reglamento;

b) velar por que se detecten y notifiquen adecuadamente todos los riesgos a que se refiere el artículo 34 y por que se adopten medidas razonables, proporcionadas y eficaces de reducción de riesgos con arreglo al artículo 35;

c) organizar y supervisar las actividades del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño en relación con la auditoría independiente realizada con arreglo al artículo 37;

d) informar y asesorar a la dirección y a los empleados del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño acerca de las obligaciones pertinentes en virtud del presente Reglamento;

e) hacer el seguimiento del cumplimiento por parte del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de sus obligaciones en virtud del presente Reglamento;

f) en su caso, hacer el seguimiento del cumplimiento por parte del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de los compromisos contraídos en virtud de los códigos de conducta con arreglo a los artículos 45 y 46 o los protocolos de crisis con arreglo al artículo 48.

4.   Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño comunicarán el nombre y los datos de contacto del jefe de la función de comprobación del cumplimiento al coordinador de servicios digitales de establecimiento y a la Comisión.

5.   El órgano de dirección del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño determinará, supervisará y será responsable de la aplicación de los mecanismos de gobernanza del prestador que garanticen la independencia de la función de comprobación del cumplimiento, incluida la separación de responsabilidades en la organización del prestador de plataformas en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño, la prevención de conflictos de intereses y la buena gestión de los riesgos sistémicos detectados con arreglo al artículo 34.

6.   El órgano de dirección aprobará y revisará periódicamente, al menos una vez al año, las estrategias y políticas para asumir, gestionar, hacer el seguimiento y reducir los riesgos detectados con arreglo al artículo 34 a los que estén o puedan estar expuestos la plataforma en línea de muy gran tamaño o el motor de búsqueda en línea de muy gran tamaño.

7.   El órgano de dirección dedicará tiempo suficiente al estudio de las medidas relacionadas con la gestión de riesgos. Participará activamente en las decisiones relativas a la gestión de riesgos y velará por que se asignen recursos adecuados a la gestión de los riesgos detectados con arreglo al artículo 34.

Artículo 42. Obligaciones de transparencia informativa

1.   Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño publicarán los informes a que se refiere el artículo 15 a más tardar en un plazo de dos meses a partir de la fecha de aplicación a que se refiere el artículo 33, apartado 6, párrafo segundo, y a continuación al menos cada seis meses.

2.   Los informes a que se refiere el apartado 1 del presente artículo publicados por prestadores de plataformas en línea de muy gran tamaño, además de la información a que se refieren el artículo 15 y el artículo 24, apartado 1, especificarán:

a) los recursos humanos que el prestador de plataformas en línea de muy gran tamaño dedica a la moderación de contenidos con respecto al servicio ofrecido en la Unión, desglosados por cada lengua oficial aplicable de los Estados miembros, en particular para el cumplimiento de las obligaciones establecidas en los artículos 16 y 22, así como para el cumplimiento de las obligaciones establecidas en el artículo 20;

b) las cualificaciones y los conocimientos lingüísticos de las personas que llevan a cabo las actividades a las que se refiere la letra a), así como la formación y el apoyo prestado a dicho personal;

c) los indicadores de precisión y la información conexa a que se refiere el artículo 15, apartado 1, letra e), desglosados por cada lengua oficial de los Estados miembros.

Los informes se publicarán, como mínimo, en una de las lenguas oficiales de los Estados miembros.

3.   Además de la información mencionada en el artículo 24, apartado 2, los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño incluirán en los informes a que se refiere el apartado 1 del presente artículo la información sobre el promedio mensual de destinatarios del servicio para cada Estado miembro.

4.   Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño transmitirán al coordinador de servicios digitales de establecimiento y a la Comisión, sin dilación indebida una vez se hayan completado los informes, y harán públicos a más tardar tres meses después de la recepción de cada informe de auditoría de conformidad con el artículo 37, apartado 4:

a) un informe que presente los resultados de la evaluación de riesgos realizada en virtud del artículo 34;

b) las medidas de reducción de riesgos específicas aplicadas en virtud del artículo 35, apartado 1;

c) el informe de auditoría dispuesto en el artículo 37, apartado 4;

d) el informe de aplicación de la auditoría dispuesto en el artículo 37, apartado 6;

e) en su caso, la información sobre las consultas realizadas por el prestador en apoyo de las evaluaciones de riesgos y el diseño de las medidas de reducción de riesgos.

5.   Cuando el prestador de una plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño considere que la publicación de información con arreglo al apartado 4 pueda dar lugar a la revelación de información confidencial de ese prestador o de los destinatarios del servicio, causar vulnerabilidades importantes para la seguridad de su servicio, menoscabar la seguridad pública o perjudicar a los destinatarios, el prestador podrá retirar dicha información de los informes que estén a disposición del público. En ese caso, el prestador transmitirá los informes completos al coordinador de servicios digitales de establecimiento y a la Comisión, acompañados de una declaración de los motivos para retirar la información de los informes que estén a disposición del público.

Artículo 43. Tasa de supervisión

1.   La Comisión cobrará a los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño una tasa de supervisión anual cuando hayan sido designados con arreglo al artículo 33.

2.   El importe total de las tasas de supervisión anuales cubrirá los costes estimados en que incurra la Comisión en relación con sus funciones de supervisión en virtud del presente Reglamento, en particular los costes relacionados con la designación con arreglo al artículo 33, la creación, el mantenimiento y el funcionamiento de la base de datos con arreglo al artículo 24, apartado 5, y el sistema de intercambio de información con arreglo al artículo 85, las remisiones con arreglo al artículo 59, el apoyo a la Junta con arreglo al artículo 62 y las tareas de supervisión con arreglo al artículo 56 y al capítulo IV, sección 4.

3.   A los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño se les cobrará una tasa de supervisión anual por cada servicio para el que hayan sido designados con arreglo al artículo 33.

La Comisión adoptará actos de ejecución por los que se establezca el importe de la tasa de supervisión anual aplicable a cada prestador de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño. Al adoptar dichos actos de ejecución, la Comisión aplicará la metodología establecida en el acto delegado a que se refiere el apartado 4 del presente artículo y respetará los principios establecidos en el apartado 5 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 88.

4.   La Comisión adoptará actos delegados, de conformidad con el artículo 87, por los que se establezca la metodología y los procedimientos detallados para:

a) la determinación de los costes estimados a que se refiere el apartado 2;

b) la determinación de las tasas de supervisión anuales individuales a que se refiere el apartado 5, letras b) y c);

c) la determinación del límite global máximo definido en el apartado 5, letra c), y

d) las modalidades necesarias para realizar pagos.

Al adoptar dichos actos de ejecución, la Comisión respetará los principios establecidos en el apartado 5 del presente artículo.

5.   El acto de ejecución a que se refiere el apartado 3 y el acto delegado a que se refiere el apartado 4 respetarán los siguientes principios:

a) la estimación del importe global de la tasa de supervisión anual tiene en cuenta los costes en que se haya incurrido el año anterior;

b) la tasa de supervisión anual es proporcionada en relación con el promedio mensual de destinatarios activos en la Unión de cada plataforma en línea de muy gran tamaño o cada motor de búsqueda en línea de muy gran tamaño designado con arreglo al artículo 33;

c) el importe global de la tasa de supervisión anual cobrada a un determinado prestador de plataformas en línea de muy gran tamaño o de motores de búsqueda de muy gran tamaño no supera en ningún caso el 0,05 % de sus ingresos netos anuales mundiales en el ejercicio anterior.

6.   Las tasas de supervisión anuales individuales impuestas con arreglo al apartado 1 del presente artículo constituirán ingresos afectados externos de conformidad con el artículo 21, apartado 5, del Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (41).

7.   La Comisión informará anualmente al Parlamento Europeo y al Consejo del importe global de los costes en que se haya incurrido para el cumplimiento de las tareas previstas en el presente Reglamento y del importe total de las tasas de supervisión anuales individuales impuestas en el año anterior.

SECCIÓN 6. Otras disposiciones relativas a obligaciones de diligencia debida

Artículo 44. Normas

1.   La Comisión consultará a la Junta y apoyará y promoverá la elaboración y aplicación de normas voluntarias establecidas por los organismos internacionales y europeos de normalización pertinentes al menos en relación con lo siguiente:

a) el envío electrónico de notificaciones con arreglo al artículo 16;

b) los modelos, el diseño y el proceso para comunicar a los destinatarios del servicio de manera sencilla las restricciones derivadas de las condiciones generales y los cambios en ellas;

c) el envío electrónico de notificaciones por los alertadores fiables en virtud del artículo 22, por ejemplo, a través de interfaces de programación de aplicaciones;

d) interfaces específicas, incluidas las interfaces de programación de aplicaciones, para facilitar el cumplimiento de las obligaciones establecidas en los artículos 39 y 40;

e) la auditoría de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño con arreglo al artículo 37;

f) la interoperabilidad de los repositorios de anuncios publicitarios a que se refiere el artículo 39, apartado 2;

g) la transmisión de datos entre intermediarios de publicidad para colaborar al cumplimiento de las obligaciones de transparencia establecidas con arreglo al artículo 26, apartado 1, letras b), c) y d);

h) las medidas técnicas para permitir el cumplimiento de las obligaciones relativas a la publicidad contenidas en el presente Reglamento, incluidas las obligaciones relativas a las indicaciones destacadas para los anuncios y las comunicaciones comerciales a que se refiere el artículo 26;

i) las interfaces de elección y presentación de la información sobre los principales parámetros de los diferentes tipos de sistemas de recomendación, de conformidad con los artículos 27 y 38;

j) las normas sobre medidas específicas para proteger a los menores en línea.

2.   La Comisión apoyará la actualización de las normas en vista de los avances tecnológicos y del comportamiento de los destinatarios de los servicios en cuestión. La información pertinente relativa a la actualización de las normas estará a disposición del público y será fácilmente accesible.

Artículo 45. Códigos de conducta

1.   La Comisión y la Junta fomentarán y facilitarán la elaboración de códigos de conducta voluntarios en el ámbito de la Unión para contribuir a la debida aplicación del presente Reglamento, teniendo en cuenta en particular las dificultades concretas que conlleva actuar contra diferentes tipos de contenidos ilícitos y riesgos sistémicos, de conformidad con el Derecho de la Unión en particular en materia de competencia y de protección de los datos personales.

2.   Cuando se genere un riesgo sistémico significativo en el sentido del artículo 34, apartado 1, y afecte a varias plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño, la Comisión podrá invitar a los prestadores de plataformas en línea de muy gran tamaño o a los prestadores de motores de búsqueda en línea de muy gran tamaño afectados de que se trate, y a otros prestadores de plataformas en línea de muy gran tamaño, de motores de búsqueda en línea de muy gran tamaño, de plataformas en línea y de otros servicios intermediarios, según sea oportuno, así como a autoridades competentes pertinentes, organizaciones de la sociedad civil y otras partes interesadas pertinentes, a participar en la elaboración de códigos de conducta, en particular estableciendo compromisos de adopción de medidas específicas de reducción de riesgos, así como un marco de información periódica sobre las medidas que se puedan adoptar y sus resultados.

3.   En aplicación de lo dispuesto en los apartados 1 y 2, la Comisión y la Junta y, cuando sea pertinente, otros organismos, tratarán de asegurarse de que los códigos de conducta expongan claramente sus objetivos específicos, contengan indicadores clave de eficacia para valorar el cumplimiento de dichos objetivos y tengan debidamente en cuenta las necesidades e intereses de todos los interesados, y en particular los ciudadanos, en el ámbito de la Unión. La Comisión y la Junta también tratarán de asegurarse de que los participantes informen periódicamente a la Comisión y a sus respectivos coordinadores de servicios digitales de establecimiento acerca de las medidas que puedan adoptarse y sus resultados, valoradas con arreglo a los indicadores clave de eficacia que contengan. Los indicadores clave de eficacia y los compromisos de información tendrán en cuenta las diferencias de tamaño y capacidad de los diferentes participantes.

4.   La Comisión y la Junta evaluarán si los códigos de conducta cumplen los fines especificados en los apartados 1 y 3, y vigilarán y evaluarán periódicamente el cumplimiento de sus objetivos, teniendo en cuenta los indicadores clave de eficacia que puedan contener. Publicarán sus conclusiones.

La Comisión y la Junta también fomentarán y facilitarán la revisión y adaptación periódicas de los códigos de conducta.

En caso de incumplimiento sistemático de los códigos de conducta, la Comisión y la Junta podrán pedir a los signatarios de los códigos de conducta que adopten las medidas necesarias.

Artículo 46. Códigos de conducta relativos a publicidad en línea

1.   La Comisión fomentará y facilitará la elaboración de códigos de conducta voluntarios en el ámbito de la Unión por prestadores de plataformas en línea y otros prestadores de servicios pertinentes, como los prestadores de servicios intermediarios de publicidad en línea, otros agentes que participen en la cadena de valor de la publicidad programática u organizaciones que representen a destinatarios del servicio y organizaciones de la sociedad civil o autoridades pertinentes para contribuir a una mayor transparencia para los actores de la cadena de valor de la publicidad en línea por encima de los requisitos de los artículos 26 y 39.

2.   La Comisión tratará de asegurarse de que los códigos de conducta persigan una transmisión efectiva de información que respete plenamente los derechos e intereses de todas las partes implicadas, así como la existencia de un entorno competitivo, transparente y equitativo en la publicidad en línea, de conformidad con el Derecho de la Unión y nacional, en particular en materia de competencia y protección de la privacidad y de los datos personales. La Comisión tratará de asegurarse de que los códigos de conducta aborden al menos lo siguiente:

a) la transmisión de información que obre en poder de los intermediarios de publicidad en línea a los destinatarios del servicio con respecto a los requisitos establecidos en el artículo 26, apartado 1, letras b), c) y d);

b) la transmisión de información que obre en poder de los prestadores de servicios intermediarios de publicidad en línea a los repositorios creados con arreglo al artículo 39;

c) información significativa sobre la monetización de los datos.

3.   La Comisión fomentará la elaboración de los códigos de conducta a más tardar el 18 de febrero de 2025 y su aplicación a más tardar el 18 de agosto de 2025.

4.   La Comisión alentará a todos los actores de la cadena de valor de la publicidad en línea a que se refiere el apartado 1 a que suscriban y cumplan los compromisos enunciados en los códigos de conducta.

Artículo 47. Códigos de conducta relativos a la accesibilidad

1.   La Comisión fomentará y facilitará la elaboración de códigos de conducta a escala de la Unión con la implicación de los prestadores de plataformas en línea y otros prestadores de servicios pertinentes, las organizaciones que representan a los destinatarios del servicio y las organizaciones de la sociedad civil o las autoridades pertinentes, a fin de promover una participación plena y efectiva en igualdad de condiciones mejorando el acceso a los servicios en línea que, mediante su diseño inicial o su posterior adaptación, aborden las necesidades particulares de las personas con discapacidad.

2.   La Comisión tratará de asegurarse de que los códigos de conducta persigan el objetivo de garantizar que esos servicios sean accesibles, de conformidad con el Derecho de la Unión y nacional, a fin de maximizar su uso previsible por las personas con discapacidad. La Comisión tratará de asegurarse de que los códigos de conducta aborden al menos los objetivos siguientes:

a) diseñar y adaptar los servicios para hacerlos accesibles a las personas con discapacidad haciendo que sean perceptibles, operables, comprensibles y sólidos;

b) explicar cómo cumplen los servicios los requisitos de accesibilidad aplicables y poner esta información a disposición del público de manera accesible para las personas con discapacidad;

c) poner a disposición la información, los formularios y las medidas facilitados de conformidad con el presente Reglamento de tal forma que sean fáciles de encontrar, de entender y que resulten accesibles para las personas con discapacidad.

3.   La Comisión fomentará la elaboración de los códigos de conducta a más tardar el 18 de febrero de 2025 y su aplicación a más tardar el 18 de agosto de 2025.

Artículo 48. Protocolos de crisis

1.   La Junta podrá recomendar que la Comisión inicie la elaboración, de conformidad con los apartados 2, 3 y 4, de protocolos voluntarios destinados a abordar situaciones de crisis. Dichas situaciones se limitarán estrictamente a circunstancias extraordinarias que afecten a la seguridad pública o a la salud pública.

2.   La Comisión fomentará y facilitará que los prestadores de las plataformas en línea de muy gran tamaño, de los motores de búsqueda en línea de muy gran tamaño y, en su caso, de otras plataformas en línea o de otros motores de búsqueda en línea, tomen parte en la elaboración, realización de pruebas y aplicación de dichos protocolos de crisis. La Comisión tratará de asegurarse de que dichos protocolos de crisis incluyan una o varias de las medidas siguientes:

a) presentar de forma destacada información sobre la situación de crisis proporcionada por las autoridades de los Estados miembros o en el ámbito de la Unión, o, en función del contexto de la crisis, por otros organismos fiables pertinentes;

b) garantizar que el prestador de servicios intermediarios designe un punto de contacto específico para la gestión de crisis; cuando sea pertinente, podrá ser el punto de contacto electrónico a que se refiere el artículo 11 o, en el caso de prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño, el encargado del cumplimiento a que se refiere el artículo 41;

c) en su caso, adaptar los recursos dedicados al cumplimiento de las obligaciones establecidas en los artículos 16, 20, 22, 23 y 35 a las necesidades derivadas de la situación de crisis.

3.   La Comisión implicará, cuando proceda, a las autoridades de los Estados miembros y también podrá implicar a los organismos, las oficinas y las agencias de la Unión en la elaboración, realización de pruebas y supervisión de la aplicación de los protocolos de crisis. La Comisión podrá, cuando sea necesario y adecuado, implicar también a organizaciones de la sociedad civil u otras organizaciones pertinentes en la elaboración de los protocolos de crisis.

4.   La Comisión tratará de asegurarse de que los protocolos de crisis expongan claramente todo lo siguiente:

a) los parámetros específicos para determinar qué constituye la circunstancia extraordinaria específica que el protocolo de crisis pretende abordar y los objetivos que persigue;

b) el papel de cada uno de los participantes y las medidas que deban adoptar en la preparación del protocolo de crisis y una vez que se haya activado este;

c) un procedimiento claro para determinar cuándo ha de activarse el protocolo de crisis;

d) un procedimiento claro para determinar el período durante el cual deban aplicarse las medidas que se adopten una vez activado el protocolo de crisis, que se limite a lo estrictamente necesario para abordar las circunstancias extraordinarias concretas de que se trate;

e) salvaguardias para contrarrestar posibles efectos negativos para el ejercicio de los derechos fundamentales amparados por la Carta, en particular la libertad de expresión e información y el derecho a la no discriminación;

f) un proceso para informar públicamente sobre las medidas que se adopten, su duración y sus resultados, una vez finalice la situación de crisis.

5.   Si la Comisión considera que un protocolo de crisis no es eficaz para abordar la situación de crisis, o para salvaguardar el ejercicio de los derechos fundamentales a que se refiere el apartado 4, letra e), solicitará a los participantes que revisen el protocolo de crisis, por ejemplo, adoptando medidas adicionales.

CAPÍTULO IV. APLICACIÓN, COOPERACIÓN, SANCIONES Y EJECUCIÓN

SECCIÓN 1. Autoridades competentes y coordinadores nacionales de servicios digitales

Artículo 49. Autoridades competentes y coordinadores de servicios digitales

1.   Los Estados miembros designarán una o varias autoridades competentes responsables de la supervisión de los prestadores de servicios intermediarios y de la ejecución del presente Reglamento (en lo sucesivo, «autoridades competentes»).

2.   Los Estados miembros designarán a una de las autoridades competentes como su coordinador de servicios digitales. El coordinador de servicios digitales será responsable de todas las materias relacionadas con la supervisión y garantía del cumplimiento del presente Reglamento en ese Estado miembro, a menos que el Estado miembro de que se trate haya asignado determinadas funciones o sectores específicos a otras autoridades competentes. En todo caso, el coordinador de servicios digitales será responsable de garantizar la coordinación en el ámbito nacional respecto de tales materias y de contribuir a la supervisión y garantía del cumplimiento efectivas y coherentes del presente Reglamento en toda la Unión.

Con ese fin, los coordinadores de servicios digitales cooperarán entre sí, con otras autoridades competentes nacionales, con la Junta y con la Comisión, sin perjuicio de la posibilidad de que los Estados miembros organicen mecanismos de cooperación e intercambios periódicos de opiniones entre el coordinador de servicios digitales y otras autoridades nacionales cuando sea pertinente para el desempeño de sus funciones respectivas.

Cuando un Estado miembro designe una o varias autoridades competentes además del coordinador de servicios digitales, se asegurará de que las funciones respectivas de esas autoridades y del coordinador de servicios digitales estén claramente definidas y que mantengan una cooperación estrecha y eficaz en el desempeño de estas.

3.   Los Estados miembros designarán a los coordinadores de servicios digitales a más tardar el 17 de febrero de 2024.

Los Estados miembros harán público, y comunicarán a la Comisión y a la Junta, el nombre de la autoridad competente que hayan designado como coordinador de servicios digitales, así como su información de contacto. El Estado miembro de que se trate comunicará a la Comisión y a la Junta el nombre de las otras autoridades competentes a que se refiere el apartado 2, así como sus funciones respectivas.

4.   Las disposiciones aplicables a los coordinadores de servicios digitales establecidas en los artículos 50, 51 y 56 también se aplicarán a cualquier otra autoridad competente que los Estados miembros designen en virtud del apartado 1 del presente artículo.

Artículo 50. Requisitos aplicables a los coordinadores de servicios digitales

1.   Los Estados miembros velarán por que sus coordinadores de servicios digitales desempeñen sus funciones en virtud del presente Reglamento de manera imparcial, transparente y en tiempo oportuno. Los Estados miembros se asegurarán de que sus coordinadores de servicios digitales posean todos los recursos necesarios para desempeñar sus funciones, entre otros, recursos técnicos, financieros y humanos suficientes para supervisar adecuadamente a todos los prestadores de servicios intermediarios que estén bajo su competencia. Cada Estado miembro velará por que su coordinador de servicios digitales disponga de autonomía suficiente a la hora de gestionar su presupuesto dentro de los límites presupuestarios generales para no afectar negativamente a la independencia del coordinador de servicios digitales.

2.   En el desempeño de sus funciones y en el ejercicio de sus competencias de conformidad con el presente Reglamento, los coordinadores de servicios digitales actuarán con completa independencia. Permanecerán libres de cualquier influencia externa, ya sea directa o indirecta, y no solicitarán ni aceptarán instrucciones de ninguna otra autoridad pública o particular.

3.   El apartado 2 del presente artículo ha de entenderse sin perjuicio de las funciones que corresponden a los coordinadores de servicios digitales en el sistema de supervisión y garantía del cumplimiento contemplado en el presente Reglamento y de la cooperación con otras autoridades competentes de conformidad con el artículo 49, apartado 2. El apartado 2 del presente artículo no impedirá el ejercicio del control jurisdiccional y también ha de entenderse sin perjuicio de requisitos proporcionados de rendición de cuentas en lo que respecta a las actividades generales del coordinador de servicios digitales, como su gasto financiero o la presentación de información a los Parlamentos nacionales, siempre que dichos requisitos no perjudiquen la consecución de los objetivos del presente Reglamento.

Artículo 51. Facultades de los coordinadores de servicios digitales

1.   Cuando sea necesario a fin de desempeñar sus funciones con arreglo al presente Reglamento, los coordinadores de servicios digitales dispondrán de las siguientes facultades de investigación con respecto a la conducta de los prestadores de servicios intermediarios sujetos a la competencia de su Estado miembro:

a) la facultad de exigir que dichos prestadores, así como cualquier otra persona que actúe con fines relacionados con su actividad comercial, negocio, oficio o profesión que pueda tener razonablemente conocimiento de información relativa a una presunta infracción del presente Reglamento, incluidas las organizaciones que realicen las auditorías a que se refieren el artículo 37 y el artículo 75, apartado 2, faciliten dicha información sin dilación indebida;

b) la facultad de inspeccionar, o de solicitar a una autoridad judicial de su Estado miembro que ordene inspeccionar, cualquier instalación que dichos prestadores o dichas personas utilicen con fines relacionados con su actividad comercial, negocio, oficio o profesión, o de solicitar a otras autoridades públicas que lo hagan, a fin de examinar, tomar u obtener o incautarse de información relativa a una presunta infracción en cualquier forma, sea cual sea el medio de almacenamiento;

c) la facultad de solicitar a cualquier miembro del personal o representante de dichos prestadores o dichas personas que ofrezcan explicaciones respecto de cualquier información relativa a una presunta infracción y de registrar las respuestas con su consentimiento por cualquier medio técnico.

2.   Cuando sea necesario para el desempeño de sus funciones en virtud del presente Reglamento, los coordinadores de servicios digitales dispondrán de las siguientes facultades de ejecución con respecto a los prestadores de servicios intermediarios sujetos a la competencia de su Estado miembro:

a) la facultad de aceptar los compromisos ofrecidos por dichos prestadores en relación con su cumplimiento del presente Reglamento y de declarar dichos compromisos vinculantes;

b) la facultad de ordenar que cesen las infracciones y, en su caso, imponer medidas correctoras proporcionadas en relación con la infracción y necesarias para poner fin a la infracción de manera efectiva, o de solicitar a una autoridad judicial de su Estado miembro que lo haga;

c) la facultad de imponer multas, o de solicitar a una autoridad judicial de su Estado miembro que lo haga, de conformidad con el artículo 52 por incumplimientos del presente Reglamento, por ejemplo de cualquiera de las órdenes de investigación dictadas con arreglo al apartado 1 del presente artículo;

d) la facultad de imponer una multa coercitiva, o de solicitar a una autoridad judicial de su Estado miembro que lo haga, de conformidad con el artículo 52 para asegurarse de que se ponga fin a una infracción en cumplimiento de una orden dictada de conformidad con la letra b) del presente párrafo o por el incumplimiento de cualquiera de las órdenes de investigación dictadas con arreglo al apartado 1 del presente artículo;

e) la competencia de adoptar medidas cautelares, o de solicitar a la autoridad judicial nacional competente de su Estado miembro que lo haga, para evitar el riesgo de perjuicios graves.

En lo que respecta al párrafo primero, letras c) y d), los coordinadores de servicios digitales también tendrán las facultades de ejecución establecidas en dichas letras respecto del resto de personas a que se refiere el apartado 1 por el incumplimiento de cualquiera de las órdenes que les sean destinadas y dictadas con arreglo a dicho apartado. Solo ejercerán esas facultades de ejecución después de proporcionar a esas otras personas, con antelación adecuada, toda la información pertinente relativa a dichas órdenes, incluido el plazo aplicable, las multas sancionadoras o multas coercitivas que puedan imponerse por incumplimiento y las vías de recurso.

3.   Cuando sea necesario para el desempeño de sus funciones en virtud de presente Reglamento, los coordinadores de servicios digitales también tendrán, respecto de los prestadores de servicios intermediarios sujetos a la competencia de su Estado miembro, cuando todas las demás facultades previstas en el presente artículo para poner fin a una infracción se hayan agotado y la infracción no se haya subsanado o persista y cause perjuicios graves que no puedan evitarse mediante el ejercicio de otras facultades de que se disponga en virtud del Derecho de la Unión o nacional, la facultad de adoptar las medidas siguientes:

a) exigir al órgano de dirección de dichos prestadores, sin dilación indebida, que examine la situación, adopte y presente un plan de acción en el que exponga las medidas necesarias para poner fin a la infracción, se asegure de que el prestador adopte tales medidas, e informe sobre las medidas adoptadas;

b) cuando el coordinador de servicios digitales considere que un prestador de servicios intermediarios no ha cumplido suficientemente con los requisitos a que se refiere la letra a), que la infracción no se ha subsanado o persiste y causa perjuicios graves, y que dicha infracción constituye un delito que amenaza la vida o la seguridad de las personas, solicitar que la autoridad judicial competente de su Estado miembro ordene que se limite temporalmente el acceso de los destinatarios al servicio afectado por la infracción o bien, únicamente cuando ello no sea técnicamente viable, a la interfaz en línea del prestador de servicios intermediarios en la que tenga lugar la infracción.

El coordinador de servicios digitales, excepto cuando actúe a petición de la Comisión conforme al artículo 82, antes de presentar la petición a que se refiere el párrafo primero, letra b), del presente apartado, invitará a los interesados a presentar observaciones por escrito en un plazo que no será inferior a dos semanas, explicando las medidas que pretenda solicitar e identificando al destinatario o destinatarios previstos de estas. El prestador de servicios intermediarios, el destinatario o destinatarios previstos y cualquier otro tercero que demuestre un interés legítimo tendrán derecho a participar en los procedimientos ante la autoridad judicial competente. Toda medida que se ordene será proporcionada en relación con la naturaleza, gravedad, recurrencia y duración de la infracción, sin limitar indebidamente el acceso de los destinatarios del servicio afectado a información lícita.

La limitación de acceso se mantendrá durante un período de cuatro semanas, supeditada a la posibilidad de que la autoridad judicial competente, en su orden, permita que el coordinador de servicios digitales prorrogue dicho período por períodos de idéntica duración, debiendo respetarse el número máximo de prórrogas establecido por dicha autoridad judicial. El coordinador de servicios digitales solo prorrogará ese período cuando considere, en vista de los derechos e intereses de todas las partes afectadas por dicha limitación y todas las circunstancias pertinentes, incluida cualquier información que el prestador de servicios intermediarios, el destinatario o destinatarios y cualquier otro tercero que haya demostrado un interés legítimo puedan proporcionarle, que se han cumplido las dos condiciones siguientes:

a) que el prestador de servicios intermediarios no haya adoptado las medidas necesarias para poner fin a la infracción;

b) que la limitación temporal no limite indebidamente el acceso de los destinatarios del servicio a información lícita, teniendo en cuenta el número de destinatarios afectados y si existe alguna alternativa adecuada y fácilmente accesible.

Cuando el coordinador de servicios digitales considere que se han cumplido las condiciones previstas en el párrafo tercero, letras a) y b), pero no pueda prorrogar el período de conformidad con el párrafo tercero, presentará una nueva petición a la autoridad judicial competente, según se indica en el párrafo primero, letra b).

4.   Las facultades enumeradas en los apartados 1, 2 y 3 se entenderán sin perjuicio de la sección 3.

5.   Las medidas adoptadas por los coordinadores de servicios digitales en el ejercicio de las facultades enumeradas en los apartados 1, 2 y 3 serán eficaces, disuasorias y proporcionadas, teniendo en cuenta, en particular, la naturaleza, gravedad, recurrencia y duración de la infracción o presunta infracción a la que se refieran dichas medidas, así como la capacidad económica, técnica y operativa del prestador de servicios intermediarios afectado cuando sea pertinente.

6.   Los Estados miembros establecerán normas y procedimientos específicos para el ejercicio de las facultades en virtud de los apartados 1, 2 y 3 y velarán por que todo ejercicio de estas facultades se someta a salvaguardias adecuadas establecidas en el Derecho nacional aplicable de conformidad con la Carta y con los principios generales del Derecho de la Unión. En particular, solo se adoptarán esas medidas de conformidad con el derecho al respeto de la vida privada y los derechos de defensa, incluidos los derechos a ser oído y a tener acceso al expediente, y supeditadas al derecho a la tutela judicial efectiva de todos los afectados.

Artículo 52. Sanciones

1.   Los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción del presente Reglamento por los prestadores de servicios intermediarios que estén bajo su competencia y adoptarán todas las medidas necesarias para garantizar su ejecución de conformidad con el artículo 51.

2.   Tales sanciones serán efectivas, proporcionadas y disuasorias. Los Estados miembros comunicarán a la Comisión el régimen establecido y las medidas adoptadas y le notificarán, sin demora, toda modificación posterior.

3.   Los Estados miembros se asegurarán de que el importe máximo de las multas que puedan imponerse por un incumplimiento de una obligación establecida en el presente Reglamento sea del 6 % del volumen de negocios anual en todo el mundo del prestador de servicios intermediarios de que se trate en el ejercicio fiscal anterior. Los Estados miembros se asegurarán de que el importe máximo de las multas que puedan imponerse por proporcionar información incorrecta, incompleta o engañosa, por no responder o por no rectificar información incorrecta, incompleta o engañosa y por no someterse a una inspección sea del 1 % de los ingresos anuales, o del volumen de negocios anual en todo el mundo, del prestador de servicios intermediarios o de la persona de que se trate en el ejercicio fiscal anterior.

4.   Los Estados miembros se asegurarán de que el importe máximo de una multa coercitiva sea del 5 % del promedio diario del volumen de negocios en todo el mundo o de los ingresos del prestador de servicios intermediarios de que se trate en el ejercicio fiscal anterior por día, calculado a partir de la fecha especificada en la decisión de que se trate.

Artículo 53. Derecho a presentar una reclamación

Los destinatarios del servicio y todos los organismos, organizaciones o asociaciones autorizados a ejercer en su nombre los derechos conferidos por el presente Reglamento tendrán derecho a presentar una reclamación contra los prestadores de servicios intermediarios en la que se alegue una infracción del presente Reglamento ante el coordinador de servicios digitales del Estado miembro en el que el destinatario del servicio esté situado o establecido. El coordinador de servicios digitales evaluará la reclamación y, cuando sea oportuno, la transmitirá al coordinador de servicios digitales de establecimiento, acompañada, cuando lo considere apropiado, de un dictamen. Cuando la reclamación sea responsabilidad de otra autoridad competente en su Estado miembro, el coordinador de servicios digitales que reciba la reclamación la transmitirá a dicha autoridad. Durante el procedimiento, ambas partes tendrán derecho a ser oídas y a recibir información adecuada sobre el estado del procedimiento de conformidad con el Derecho nacional.

Artículo 54. Indemnización

Los destinatarios del servicio tendrán derecho a solicitar, de conformidad con el Derecho de la Unión o nacional, una indemnización con cargo a los prestadores de servicios intermediarios por cualquier daño o perjuicio sufrido como consecuencia del incumplimiento por parte de dichos prestadores de sus obligaciones en virtud del presente Reglamento.

Artículo 55. Informes de actividad

1.   Los coordinadores de servicios digitales elaborarán informes anuales de sus actividades reguladas por presente Reglamento, incluidos el número de reclamaciones recibidas con arreglo al artículo 53 y un resumen de su seguimiento. Los coordinadores de servicios digitales harán públicos dichos informes anuales en un formato legible por máquina, a reserva de las normas aplicables en materia de confidencialidad de la información con arreglo al artículo 84, y los comunicarán a la Comisión y a la Junta.

2.   El informe anual también incluirá la siguiente información:

a) el número y objeto de las órdenes de actuación contra contenidos ilícitos y de las órdenes de entrega de información dictadas de conformidad con los artículos 9 y 10 por cualquier autoridad judicial o administrativa nacional del Estado miembro del coordinador de servicios digitales afectado;

b) el curso dado a dichas órdenes, según se comuniquen al coordinador de servicios digitales con arreglo a los artículos 9 y 10.

3.   Cuando un Estado miembro haya designado varias autoridades competentes con arreglo al artículo 49, velará por que el coordinador de servicios digitales elabore un único informe que comprenda las actividades de todas las autoridades competentes y que el coordinador de servicios digitales reciba toda la información pertinente y el apoyo que necesite a tal efecto de parte del resto de autoridades competentes afectadas.

SECCIÓN 2. Competencias, investigación coordinada y mecanismos de coherencia

Artículo 56. Competencias

1.   El Estado miembro en el que se encuentre el establecimiento principal del prestador de servicios intermediarios tendrá la competencia exclusiva para supervisar y hacer cumplir el presente Reglamento, con la excepción de las competencias previstas en los apartados 2, 3 y 4.

2.   La Comisión tendrá competencias exclusivas para supervisar y hacer cumplir el capítulo III, sección 5.

3.   La Comisión tendrá competencias para supervisar y hacer cumplir las obligaciones del presente Reglamento, que no sean las establecidas en su capítulo III, sección 5, respecto a los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño.

4.   Cuando la Comisión no haya incoado un procedimiento por la misma infracción, el Estado miembro en el que se encuentra el establecimiento principal de un prestador de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño tendrá competencias para supervisar y hacer cumplir las obligaciones en virtud del presente Reglamento que no sean las establecidas en el capítulo III, sección 5, respecto a dichos prestadores.

5.   Los Estados miembros y la Comisión colaborarán estrechamente para supervisar y hacer cumplir las disposiciones del presente Reglamento.

6.   Cuando un prestador de servicios intermediarios no tenga un establecimiento en la Unión, el Estado miembro en el que su representante legal resida o esté establecido o la Comisión tendrán competencias, según proceda, de conformidad con los apartados 1 y 4 del presente artículo, para supervisar y hacer cumplir las obligaciones pertinentes en virtud del presente Reglamento.

7.   Si un prestador de servicios intermediarios no designa a un representante legal de conformidad con el artículo 13, todos los Estados miembros y, en el caso de un prestador de una plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño, la Comisión dispondrán de competencias de supervisión y de garantía del cumplimiento de conformidad con el presente artículo.

Cuando un coordinador de servicios digitales tenga previsto ejercer sus competencias en virtud del presente apartado, lo notificará a todos los demás coordinadores de servicios digitales y a la Comisión y se asegurará de que se respeten las salvaguardias aplicables previstas en la Carta, en particular para evitar que una misma conducta sea sancionada más de una vez por constituir un incumplimiento de las obligaciones establecidas en el presente Reglamento. Cuando la Comisión tenga intención de ejercer sus competencias en virtud del presente apartado, notificará a todos los demás coordinadores de servicios digitales de dicha intención. Una vez recibida la notificación con arreglo al presente apartado, los demás Estados miembros no iniciarán un procedimiento por la misma infracción que la mencionada en la notificación.

Artículo 57. Asistencia mutua

1.   Los coordinadores de servicios digitales y la Comisión cooperarán estrechamente y se prestarán asistencia mutua para aplicar el presente Reglamento de manera coherente y eficiente. La asistencia mutua incluirá, en particular, el intercambio de información de conformidad con el presente artículo y el deber del coordinador de servicios digitales de establecimiento de informar a todos los coordinadores de servicios digitales de destino, a la Junta y a la Comisión de la apertura de una investigación y de la intención de tomar una decisión definitiva, incluida su evaluación, con respecto a un determinado prestador de servicios intermediarios.

2.   A efectos de una investigación, el coordinador de servicios digitales de establecimiento podrá solicitar a otros coordinadores de servicios digitales que faciliten información específica que obre en su poder en relación con un determinado prestador de servicios intermediarios o que ejerzan sus competencias de investigación a que se refiere el artículo 51, apartado 1, en relación con información específica localizada en su Estado miembro. Cuando proceda, el coordinador de servicios digitales que reciba la solicitud podrá implicar a otras autoridades competentes u otras autoridades públicas del Estado miembro de que se trate.

3.   El coordinador de servicios digitales que reciba la solicitud con arreglo al apartado 2 cumplirá dicha solicitud e informará al coordinador de servicios digitales de establecimiento acerca de las medidas adoptadas, sin dilación indebida y a más tardar dos meses después de recibirla, a menos que:

a) la especificación, la justificación o la proporcionalidad del alcance o del objeto de la solicitud sea insuficiente teniendo en cuenta los fines de investigación, o

b) ni el coordinador de servicios digitales al que se dirige la solicitud ni ninguna otra autoridad competente u otra autoridad pública de ese Estado miembro estén en posesión de la información solicitada, ni puedan tener acceso a ella, o

c) no pueda cumplirse la solicitud sin infringir el Derecho de la Unión o nacional.

El coordinador de servicios digitales que reciba la solicitud justificará su denegación presentando una respuesta motivada, dentro del plazo previsto en el párrafo primero.

Artículo 58. Cooperación transfronteriza entre coordinadores de servicios digitales

1.   A menos que la Comisión haya abierto una investigación por la misma presunta infracción, cuando un coordinador de servicios digitales de destino tenga razones para sospechar que un prestador de un servicio intermediario ha infringido el presente Reglamento de manera que afecte negativamente a los destinatarios del servicio en el Estado miembro de dicho coordinador de servicios digitales, podrá solicitar al coordinador de servicios digitales de establecimiento que evalúe el asunto y adopte las medidas necesarias de investigación y ejecución para garantizar el cumplimiento del presente Reglamento.

2.   A menos que la Comisión haya abierto una investigación por la misma presunta infracción y a petición de al menos tres coordinadores de servicios digitales de destino que tengan razones para sospechar que un prestador de servicios intermediarios específico ha infringido el presente Reglamento de manera que afecte negativamente a los destinatarios del servicio en sus Estados miembros, la Junta podrá solicitar al coordinador de servicios digitales de establecimiento que evalúe el asunto y adopte las medidas necesarias de investigación y ejecución para garantizar el cumplimiento del presente Reglamento.

3.   Una solicitud con arreglo a los apartados 1 o 2 estará debidamente motivada e indicará, como mínimo, lo siguiente:

a) el punto de contacto del prestador de servicios intermediarios afectado según lo dispuesto en el artículo 11;

b) una descripción de los hechos pertinentes, las disposiciones del presente Reglamento a que se refieren y los motivos por los que el coordinador de servicios digitales que ha enviado la solicitud, o la Junta, sospecha que el prestador ha infringido el presente Reglamento y, en particular, una descripción de los efectos negativos de la presunta infracción;

c) cualquier otra información que el coordinador de servicios digitales que haya enviado la solicitud, o la Junta, considere pertinente, incluida, en su caso, la información que haya recabado por iniciativa propia o las propuestas de adopción de medidas específicas de investigación o ejecución, incluidas las medidas cautelares.

4.   El coordinador de servicios digitales de establecimiento tendrá en cuenta en la mayor medida posible la solicitud conforme a los apartados 1 o 2 del presente artículo. Cuando considere que no posee suficiente información para actuar con arreglo a dicha solicitud y tenga razones para considerar que el coordinador de servicios digitales que haya enviado la solicitud, o la Junta, podría aportar información adicional, el coordinador de servicios digitales de establecimiento podrá solicitar dicha información de conformidad con el artículo 57 o bien poner en marcha una investigación conjunta con arreglo al artículo 60, apartado 1, en la que participe, al menos, el coordinador de servicios digitales solicitante. El plazo establecido en el apartado 5 del presente artículo se suspenderá hasta que se facilite información adicional o se rechace la invitación a participar en la investigación conjunta.

5.   El coordinador de servicios digitales de establecimiento, sin dilación indebida y en todo caso a más tardar dos meses después de que se reciba la solicitud con arreglo al apartado 1 o 2, comunicará al coordinador de servicios digitales que haya enviado la solicitud, y a la Junta, la evaluación de la presunta infracción y una explicación de las medidas de investigación o ejecución que pueda haber adoptado o previsto al respecto para garantizar el cumplimiento del presente Reglamento.

Artículo 59. Remisión a la Comisión

1.   Cuando no se reciba una comunicación en el plazo establecido en el artículo 58, apartado 5, cuando la Junta no esté de acuerdo con la evaluación o con las medidas adoptadas o previstas con arreglo al artículo 58, apartado 5, o en los supuestos contemplados en el artículo 60, apartado 3, la Junta podrá remitir el asunto a la Comisión, aportando toda la información pertinente. Dicha información incluirá, como mínimo, la solicitud o recomendación enviada al coordinador de servicios digitales de establecimiento, la evaluación realizada por dicho coordinador de servicios digitales, los motivos que justifiquen el desacuerdo y cualquier información adicional que justifique la remisión.

2.   La Comisión evaluará el asunto en un plazo de dos meses desde la remisión del asunto de conformidad con el apartado 1, previa consulta al coordinador de servicios digitales de establecimiento.

3.   Cuando, en virtud del apartado 2 del presente artículo, la Comisión considere que la evaluación o las medidas de investigación o ejecución adoptadas o previstas con arreglo al artículo 58, apartado 5, son insuficientes para garantizar el cumplimiento efectivo o bien incompatibles con el presente Reglamento, comunicará sus puntos de vista al coordinador de servicios digitales de establecimiento y a la Junta y solicitará al coordinador de servicios digitales de establecimiento que examine el asunto.

El coordinador de servicios digitales de establecimiento adoptará las medidas de investigación o de ejecución necesarias para garantizar el cumplimiento del presente Reglamento, teniendo en cuenta en la mayor medida posible los puntos de vista y la solicitud de revisión de la Comisión. El coordinador de servicios digitales de establecimiento informará a la Comisión, así como al coordinador de servicios digitales solicitante o a la Junta que hayan tomado medidas en virtud del artículo 58, apartado 1 o 2, acerca de las medidas adoptadas en un plazo de dos meses desde dicha solicitud de revisión.

Artículo 60. Investigaciones conjuntas

1.   El coordinador de servicios digitales de establecimiento podrá iniciar y dirigir investigaciones conjuntas con la participación de uno o más coordinadores de servicios digitales afectados:

a) por iniciativa propia, para investigar una presunta infracción del presente Reglamento por parte de un determinado prestador de servicios intermediarios en varios Estados miembros, o

b) previa recomendación de la Junta, actuando a petición de al menos tres coordinadores de servicios digitales, que aleguen, basándose en una sospecha razonable, una infracción por parte de un determinado prestador de servicios intermediarios que afecte a destinatarios del servicio en sus Estados miembros.

2.   Todo coordinador de servicios digitales que demuestre un interés legítimo en participar en una investigación conjunta de conformidad con el apartado 1 lo podrá solicitar. La investigación conjunta concluirá en un plazo de tres meses desde su inicio, a menos que los participantes acuerden otra cosa.

El coordinador de servicios digitales de establecimiento comunicará su posición preliminar sobre la presunta infracción a más tardar un mes después del fin del plazo a que se refiere el párrafo primero a todos los coordinadores de servicios digitales, a la Comisión y a la Junta. La posición preliminar tendrá en cuenta los puntos de vista de todos los demás coordinadores de servicios digitales que participen en la investigación conjunta. En su caso, esta posición preliminar también establecerá las medidas de ejecución previstas.

3.   La Junta podrá remitir el asunto a la Comisión de conformidad con el artículo 59, cuando:

a) el coordinador de servicios digitales de establecimiento no haya comunicado su posición preliminar en el plazo previsto en el apartado 2;

b) la Junta discrepe sustancialmente de la posición de la posición preliminar comunicada por el coordinador de servicios digitales de establecimiento, o

c) el coordinador de servicios digitales de establecimiento no haya iniciado inmediatamente la investigación conjunta tras la recomendación de la Junta con arreglo al apartado 1, letra b).

4.   Al llevar a cabo la investigación conjunta, los coordinadores de servicios digitales participantes cooperarán de buena fe, teniendo en cuenta, en su caso, las indicaciones del coordinador de servicios digitales de establecimiento y la recomendación de la Junta. Los coordinadores de servicios digitales de destino que participen en la investigación conjunta podrán, a petición del coordinador de servicios digitales de establecimiento o tras haberlo consultado a este, ejercer sus facultades de investigación a que se refiere el artículo 51, apartado 1, en relación con los prestadores de servicios intermediarios afectados por la presunta infracción, en relación con la información y los locales situados en su territorio.

SECCIÓN 3. Junta Europea de Servicios Digitales

Artículo 61. Junta Europea de Servicios Digitales

1.   Se establece un grupo consultivo independiente integrado por coordinadores de servicios digitales para la supervisión de los prestadores de servicios intermediarios, denominado «Junta Europea de Servicios Digitales» (en lo sucesivo, «Junta»).

2.   La Junta asesorará a los coordinadores de servicios digitales y a la Comisión de conformidad con el presente Reglamento para alcanzar los siguientes objetivos:

a) contribuir a la aplicación coherente del presente Reglamento y a la cooperación efectiva de los coordinadores de servicios digitales y la Comisión con respecto a las materias reguladas por el presente Reglamento;

b) coordinar y contribuir a las directrices y los análisis de la Comisión y los coordinadores de servicios digitales y otras autoridades competentes sobre problemas emergentes en el mercado interior con respecto a las materias reguladas por el presente Reglamento;

c) asistir a los coordinadores de servicios digitales y a la Comisión en la supervisión de las plataformas en línea de muy gran tamaño.

Artículo 62. Estructura de la Junta

1.   La Junta estará integrada por los coordinadores de servicios digitales que estarán representados por funcionarios de alto nivel. El hecho de que uno o varios Estados miembros no designen a un coordinador de servicios digitales no impedirá que la Junta ejerza sus funciones en virtud del presente Reglamento. Cuando lo prevea el Derecho nacional, en la Junta podrán participar otras autoridades competentes que tengan encomendadas responsabilidades operativas específicas de aplicación y ejecución del presente Reglamento junto al coordinador de servicios digitales. Se podrá invitar a otras autoridades nacionales a las reuniones, cuando los temas tratados sean de relevancia para ellas.

2.   La Junta estará presidida por la Comisión. La Comisión convocará las reuniones y elaborará el orden del día de conformidad con las funciones de la Junta en virtud del presente Reglamento y en consonancia con su reglamento interno. Cuando se solicite a la Junta que adopte una recomendación con arreglo al presente Reglamento, pondrá inmediatamente la solicitud a disposición de otros coordinadores de servicios digitales a través del sistema de intercambio de información establecido en el artículo 85.

3.   Cada Estado miembro dispondrá de un voto. La Comisión no tendrá derechos de voto.

La Junta adoptará sus actos por mayoría simple. Al adoptar una recomendación a la Comisión a que se refiere el artículo 36, apartado 1, párrafo primero, la Junta votará en un plazo de 48 horas tras la solicitud del presidente de la Junta.

4.   La Comisión prestará apoyo administrativo y analítico a la Junta en sus actividades de conformidad con el presente Reglamento.

5.   La Junta podrá invitar a expertos y observadores a que asistan a sus reuniones, y podrá cooperar con otros órganos, oficinas, agencias y grupos consultivos de la Unión, así como con expertos externos cuando proceda. La Junta hará públicos los resultados de esta cooperación.

6.   La Junta podrá consultar a los interesados y pondrá los resultados de dicha consulta a disposición del público.

7.   La Junta adoptará su reglamento interno con el consentimiento de la Comisión.

Artículo 63. Funciones de la Junta

1.   Cuando sea necesario para cumplir los objetivos expuestos en el artículo 61, apartado 2, la Junta, en particular:

a) prestará apoyo a la coordinación de las investigaciones conjuntas;

b) prestará apoyo a las autoridades competentes en el análisis de los informes y resultados de las auditorías de las plataformas en línea de muy gran tamaño o de los motores de búsqueda en línea de muy gran tamaño que se han de transmitir con arreglo al presente Reglamento;

c) emitirá dictámenes o recomendaciones o prestará asesoramiento a los coordinadores de servicios digitales de conformidad con el presente Reglamento, teniendo en cuenta especialmente la libre prestación de servicios de los prestadores de servicios intermediarios;

d) asesorará a la Comisión en la adopción de las medidas a que se refiere el artículo 66 y adoptará dictámenes en relación con plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño de conformidad con el presente Reglamento;

e) apoyará y promoverá la elaboración y aplicación de normas europeas, directrices, informes, modelos y códigos de conducta en cooperación con las partes interesadas pertinentes según lo dispuesto en el presente Reglamento, también emitiendo dictámenes o recomendaciones en cuestiones relativas al artículo 44, así como la determinación de problemas emergentes, con respecto a las materias reguladas por el presente Reglamento.

2.   Los coordinadores de servicios digitales y, en su caso, otras autoridades competentes que no actúen conforme a los dictámenes, solicitudes o recomendaciones adoptados por la Junta y a ellos destinados deberán explicar los motivos de su decisión, incluida una explicación de las investigaciones, acciones y medidas que hayan aplicado, cuando aporten información de conformidad con el presente Reglamento o cuando adopten sus decisiones pertinentes, según proceda.

SECCIÓN 4. Supervisión, investigación, ejecución y seguimiento respecto de los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño

Artículo 64. Desarrollo de conocimientos especializados y capacidades

1.   La Comisión, en cooperación con los coordinadores de servicios y la Junta, desarrollará conocimientos especializados y capacidades de la Unión, también, cuando sea conveniente, mediante el envío de personal de los Estados miembros en comisión de servicios.

2.   Además, la Comisión, en cooperación con los coordinadores de servicios y la Junta, coordinará la evaluación de las cuestiones sistémicas y emergentes en toda la Unión en relación con las plataformas en línea de muy gran tamaño o los motores de búsqueda en línea de muy gran tamaño a efectos de las materias reguladas por el presente Reglamento.

3.   La Comisión podrá solicitar a los coordinadores de servicios digitales, a la Junta y a otros órganos y organismos de la Unión con los conocimientos especializados pertinentes que apoyen su evaluación de las cuestiones sistémicas y emergentes en toda la Unión con arreglo al presente Reglamento.

4.   Los Estados miembros cooperarán con la Comisión, en particular a través de sus respectivos coordinadores de servicios digitales y de otras autoridades competentes, en su caso, en particular poniendo a disposición de la Comisión sus conocimientos especializados y capacidades.

Artículo 65. Cumplimiento de las obligaciones de los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño

1.   A efectos de investigar el cumplimiento por parte de los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño de las obligaciones establecidas en el presente Reglamento, la Comisión podrá ejercer las competencias de investigación establecidas en la presente sección incluso antes de iniciar el procedimiento previsto en el artículo 66, apartado 2. Podrá ejercer dichas competencias por iniciativa propia o previa solicitud con arreglo al apartado 2 del presente artículo.

2.   Cuando un coordinador de servicios digitales tenga motivos para sospechar que un prestador de una plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño ha infringido lo dispuesto en el capítulo III, sección 5, o ha infringido de forma sistémica alguna de las disposiciones del presente Reglamento de manera que afecte gravemente a los destinatarios del servicio en su Estado miembro, podrá presentar a la Comisión, a través del sistema de intercambio de información a que se refiere el artículo 85, una solicitud debidamente motivada para que evalúe el asunto.

3.   Las solicitudes con arreglo al apartado 2 estarán debidamente motivadas e indicarán, al menos, lo siguiente:

a) el punto de contacto del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate según lo previsto en el artículo 11;

b) una descripción de los hechos pertinentes, las disposiciones del presente Reglamento a que se refieren y los motivos por los que el coordinador de servicios digitales que ha enviado la solicitud sospecha que el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño ha infringido el presente Reglamento, incluida una descripción de los hechos que demuestren el carácter sistémico de la infracción;

c) cualquier otra información que el coordinador de servicios digitales que ha enviado la solicitud considere pertinente, como, por ejemplo, en su caso, información que haya recopilado por iniciativa propia.

Artículo 66. Incoación de procedimientos por parte de la Comisión y cooperación en la investigación

1.   La Comisión podrá incoar procedimientos en vista de la posible adopción de decisiones con arreglo a los artículos 73 y 74 respecto de la conducta en cuestión por parte del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño del que la Comisión sospeche que ha infringido alguna de las disposiciones del presente Reglamento.

2.   Cuando la Comisión decida incoar un procedimiento con arreglo al apartado 1 del presente artículo, lo notificará a todos los coordinadores de servicios digitales y a la Junta a través del sistema de intercambio de información a que se refiere el artículo 85, así como al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate.

Los coordinadores de servicios digitales, sin dilación indebida tras ser informados de la incoación de los procedimientos, transmitirán a la Comisión toda la información de la que dispongan sobre la infracción de la que se trate.

La incoación de procedimientos con arreglo al apartado 1 del presente artículo por parte de la Comisión eximirá al coordinador de servicios digitales, o a cualquier autoridad competente en su caso, de sus competencias para supervisar y hacer cumplir las obligaciones en virtud del presente Reglamento de conformidad con el artículo 56, apartado 4.

3.   En el ejercicio de sus competencias de investigación en virtud del presente Reglamento, la Comisión podrá solicitar el apoyo individual o conjunto de cualquier coordinador de servicios digitales afectado por la presunta infracción, incluido el coordinador de servicios digitales de establecimiento. Los coordinadores de servicios digitales que reciban dicha solicitud y cualquier otra autoridad competente, cuando la haya implicado el coordinador de servicios digitales, cooperarán de forma leal y en tiempo oportuno con la Comisión y estarán facultados para ejercer sus facultades de investigación a que se refiere el artículo 51, apartado 1, respecto al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate, en relación con la información, las personas y los locales situados en el territorio del Estado miembro y de conformidad con la solicitud.

4.   La Comisión facilitará al coordinador de servicios digitales de establecimiento y a la Junta toda la información pertinente sobre el ejercicio de las competencias a que se refieren los artículos 67 a 72 y comunicará sus conclusiones preliminares a que se refiere el artículo 79, apartado 1. La Junta presentará sus puntos de vista sobre las conclusiones preliminares a la Comisión en el plazo determinado con arreglo al artículo 79, apartado 2. En su decisión, la Comisión tendrá en cuenta en la mayor medida posible los puntos de vista de la Junta.

Artículo 67. Solicitudes de información

1.   A fin de ejercer las funciones que le corresponden según lo dispuesto en la presente sección, la Comisión podrá, mediante una simple solicitud o mediante una decisión, requerir al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate, así como a cualquier otra persona física o jurídica que actúe con fines relacionados con su actividad comercial, negocio, oficio o profesión que pueda razonablemente tener conocimiento de información relativa a la presunta infracción, incluidas las organizaciones que realicen las auditorías a que se refieren el artículo 37 y el artículo 75, apartado 2, que proporcionen dicha información en un plazo razonable.

2.   Cuando envíe una simple solicitud de información al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o a cualquier otra de las personas a que se refiere el apartado 1 del presente artículo, la Comisión expondrá el fundamento jurídico y la finalidad de la solicitud, especificará qué información requiere y establecerá el plazo en el que deba entregarse la información, así como las multas previstas en el artículo 74 por proporcionar información incorrecta, incompleta o engañosa.

3.   Cuando la Comisión requiera mediante una decisión la entrega de información al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o a cualquier otra de las personas a que se refiere el apartado 1 del presente artículo, expondrá el fundamento jurídico y la finalidad de la decisión, especificará qué información requiere y establecerá el plazo en el que deba entregarse. Asimismo, indicará las multas previstas en el artículo 74 e indicará o impondrá las multas coercitivas previstas en el artículo 76. Asimismo, indicará el derecho a someter la decisión al control del Tribunal de Justicia de la Unión Europea.

4.   Los prestadores de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o cualquier otra de las personas a que se refiere el apartado 1, o sus representantes y, en el caso de personas jurídicas, sociedades o empresas, o cuando no tengan personalidad jurídica, las personas autorizadas a representarlas por ley o por sus estatutos proporcionarán la información solicitada en nombre del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o de cualquier otra de las personas a que se refiere el apartado 1. Los abogados debidamente autorizados para actuar podrán proporcionar la información en nombre de sus clientes. Estos últimos seguirán siendo plenamente responsables si la información proporcionada es incompleta, incorrecta o engañosa.

5.   A petición de la Comisión, los coordinadores de servicios digitales y otras autoridades competentes entregarán a la Comisión toda la información necesaria para ejercer las funciones que le corresponden según lo dispuesto en la presente sección.

6.   La Comisión, sin dilación indebida tras enviar la simple solicitud o la decisión a que se refiere el apartado 1 del presente artículo, enviará una copia de la misma a los coordinadores de servicios digitales a través del sistema de intercambio de información a que se refiere el artículo 85.

Artículo 68. Competencia para realizar entrevistas y tomar declaraciones

1.   A fin de ejercer las funciones que le corresponden según lo dispuesto en la presente sección, la Comisión podrá entrevistar a cualquier persona física o jurídica que consienta en ser entrevistada con el fin de recabar información, relativa al objeto de una investigación, en relación con la presunta infracción. La Comisión estará facultada para grabar dicha entrevista por los medios técnicos adecuados.

2.   Si la entrevista a que se refiere el apartado 1 se lleva a cabo en locales que no sean de la Comisión, esta informará de ello al coordinador de servicios digitales del Estado miembro en cuyo territorio tenga lugar la entrevista. Si así lo solicita el coordinador de servicios digitales, sus agentes podrán ayudar a los agentes y demás personas autorizadas por la Comisión para llevar a cabo la entrevista.

Artículo 69. Competencias para realizar inspecciones

1.   A fin de ejercer las funciones que le corresponden según lo dispuesto en la presente sección, la Comisión podrá realizar todas las inspecciones necesarias en las instalaciones del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o de cualquier otra de las personas a que se refiere el artículo 67, apartado 1.

2.   Los agentes y otros acompañantes autorizados por la Comisión para llevar a cabo una inspección estarán facultados para:

a) entrar en los locales, terrenos y medios de transporte del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o de cualquier otra persona de que se trate;

b) examinar los libros y otros documentos relacionados con la prestación del servicio de que se trate, independientemente del medio utilizado para almacenarlos;

c) hacer u obtener copias o extractos, en cualquier formato, de dichos libros u otros documentos;

d) exigir al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño o a cualquier otra persona afectada que facilite acceso a su organización, funcionamiento, sistema informático, algoritmos, gestión de datos y conducta empresarial, y proporcione explicaciones al respecto, y que registre o documente las explicaciones proporcionadas;

e) precintar todos los locales utilizados con fines relacionados con la actividad comercial, negocio, oficio o profesión del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño o cualquier otra persona de que se trate, además de los libros y otros documentos, durante el período y en la medida en que sea necesario para la inspección;

f) pedir a todo representante o miembro del personal del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño o de cualquier otra persona de que se trate explicaciones sobre hechos o documentos que guarden relación con el objeto y la finalidad de la inspección y registrar las respuestas;

g) dirigir preguntas a cualquier representante o miembro del personal de que se trate en relación con el objeto y la finalidad de la inspección y registrar las respuestas.

3.   Las inspecciones también podrán llevarse a cabo con la ayuda de auditores o expertos designados por la Comisión de conformidad con el artículo 72, apartado 2, así como del coordinador de servicios digitales u otras autoridades nacionales competentes del Estado miembro en cuyo territorio se lleve a cabo la inspección.

4.   En el supuesto en que los libros u otros documentos relativos a la prestación del servicio de que se trate se presenten de manera incompleta o en que las respuestas a las preguntas formuladas en aplicación del apartado 2 del presente artículo sean inexactas, incompletas o engañosas, los agentes y demás personas autorizadas por la Comisión para llevar a cabo una inspección ejercerán sus facultades previa presentación de una autorización escrita que indique el objeto y la finalidad de la inspección, así como las sanciones previstas en los artículos 74 y 76. Con suficiente antelación a la inspección, la Comisión informará al coordinador de servicios digitales del Estado miembro en cuyo territorio se vaya a llevar a cabo la inspección.

5.   Durante las inspecciones, los agentes y demás personas autorizadas por la Comisión, los auditores y expertos designados por ella, el coordinador de servicios digitales u otras autoridades competentes del Estado miembro en cuyo territorio se vaya a llevar a cabo la inspección podrán exigir al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño o a otra persona afectada, que facilite explicaciones acerca de su organización, funcionamiento, sistema informático, algoritmos, gestión de datos y conducta empresarial, y podrán formular preguntas a su personal clave.

6.   El prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño, o cualquier otra de las personas físicas o jurídicas de que se trate estarán obligados a someterse a una inspección cuando la Comisión lo ordene por medio de una decisión. Dicha decisión especificará el objeto y la finalidad de la inspección, fijará la fecha en la que deba comenzar e indicará las sanciones previstas en los artículos 74 y 76 y el derecho a someter la decisión al control del Tribunal de Justicia de la Unión Europea. Antes de adoptar dicha decisión, la Comisión consultará al coordinador de servicios digitales del Estado miembro en cuyo territorio se vaya a llevar a cabo la inspección.

7.   Los agentes y otras personas autorizadas o designadas por el coordinador de servicios digitales en cuyo territorio se deba llevar a cabo la inspección ayudarán activamente, a petición de dicho coordinador de servicios digitales o de la Comisión, a los agentes y demás personas que los acompañen con autorización de la Comisión en relación con la inspección. A tal fin, dispondrán de las facultades que figuran en el apartado 2.

8.   Cuando los agentes y demás acompañantes autorizados por la Comisión constaten que el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño u otra persona afectada se oponen a una inspección ordenada en virtud del presente artículo, el Estado miembro en cuyo territorio se vaya a llevar a cabo la inspección, a petición de dichos agentes y demás acompañantes autorizados y de conformidad con el Derecho nacional del Estado miembro, les prestará la asistencia necesaria, también, cuando proceda en virtud de dicho Derecho nacional, en forma de medidas coercitivas adoptadas por una autoridad policial competente, a fin de permitirles llevar a cabo la inspección.

9.   Si la asistencia prevista en el apartado 8 exige una autorización de una autoridad judicial nacional de conformidad con el Derecho nacional del Estado miembro de que se trate, el coordinador de servicios digitales de dicho Estado miembro solicitará dicha autorización a petición de los agentes y demás acompañantes autorizados por la Comisión. También podrá solicitarse dicha autorización como medida cautelar.

10.   Cuando se solicite la autorización prevista en el apartado 9, la autoridad judicial nacional ante la que se ha sometido el asunto comprobará la autenticidad de la decisión de la Comisión por la que se ordena la inspección y comprobará que las medidas coercitivas contempladas no son arbitrarias ni desproporcionadas en relación con el objeto de la inspección. Al efectuar dicha comprobación, la autoridad judicial nacional podrá solicitar a la Comisión, directamente o a través de los coordinadores de servicios digitales del Estado miembro de que se trate, explicaciones detalladas, en particular aquellas relativas a los motivos en los que la Comisión se basa para sospechar una infracción del presente Reglamento, a la gravedad de la presunta infracción y a la naturaleza de la participación del prestador de la plataforma en línea de muy gran tamaño, del motor de búsqueda en línea de muy gran tamaño o de cualquier otra persona afectada. Sin embargo, la autoridad judicial nacional no podrá cuestionar la necesidad de la inspección ni pedir información sobre el expediente de la Comisión. La legalidad de la decisión de la Comisión solo estará sujeta al control del Tribunal de Justicia de la Unión Europea.

Artículo 70. Medidas cautelares

1.   En el contexto de un procedimiento que pueda dar lugar a que se adopte una decisión de incumplimiento con arreglo al artículo 73, apartado 1, cuando exista una urgencia debido al riesgo de perjuicios graves para los destinatarios del servicio, la Comisión podrá, mediante una decisión, ordenar medidas cautelares contra el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate basadas en la constatación prima facie de una infracción.

2.   Una decisión adoptada en virtud del apartado 1 será de aplicación durante un plazo determinado y podrá prorrogarse en la medida en que sea necesario y apropiado.

Artículo 71. Compromisos

1.   Si, durante uno de los procedimientos previstos en esta sección, el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate asume compromisos que garanticen el cumplimiento de las disposiciones pertinentes del presente Reglamento, la Comisión podrá, mediante una decisión, declarar dichos compromisos vinculantes para el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate y declarar que no existen motivos adicionales para actuar.

2.   La Comisión podrá, previa solicitud o por iniciativa propia, reabrir el procedimiento:

a) cuando se haya producido un cambio sustancial en alguno de los hechos sobre los que se haya basado la decisión;

b) cuando el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate actúe contrariamente a sus compromisos, o

c) cuando la decisión se haya basado en información incompleta, incorrecta o engañosa proporcionada por el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o por cualquier otra de las personas a que se refiere el artículo 67, apartado 1.

3.   Cuando la Comisión considere que los compromisos asumidos por el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate no pueden garantizar el cumplimiento efectivo de las disposiciones pertinentes del presente Reglamento, rechazará dichos compromisos en una decisión motivada al finalizar el procedimiento.

Artículo 72. Acciones de seguimiento

1.   Al fin de ejercer las funciones que le corresponden según lo dispuesto en la presente sección, la Comisión podrá emprender las acciones necesarias para vigilar la aplicación y el cumplimiento efectivos del presente Reglamento por el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate. La Comisión podrá ordenarles que proporcionen acceso a sus bases de datos y algoritmos, y explicaciones al respecto. Tales acciones podrán incluir la imposición de la obligación al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de conservar todos los documentos que se consideren necesarios para evaluar la aplicación y el cumplimiento de las obligaciones en virtud del presente Reglamento.

2.   Las acciones previstas en el apartado 1 podrán incluir la designación de expertos y auditores externos independientes, además de expertos y auditores de las autoridades nacionales competentes con la autorización de la autoridad de que se trate, para que ayuden a la Comisión a hacer el seguimiento de la aplicación efectiva y el cumplimiento de las disposiciones pertinentes del presente Reglamento y aporten conocimientos o experiencia específicos a la Comisión.

Artículo 73. Incumplimiento

1.   La Comisión adoptará una decisión de incumplimiento cuando constate que el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño incumple una o varias de las siguientes cosas:

a) las disposiciones pertinentes del presente Reglamento;

b) medidas cautelares ordenadas con arreglo al artículo 70;

c) compromisos que se hayan declarado vinculantes con arreglo al artículo 71.

2.   Antes de adoptar la decisión prevista en el apartado 1, la Comisión comunicará sus conclusiones preliminares al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate. En las conclusiones preliminares, la Comisión explicará las medidas que considere adoptar, o que considere que el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate debe adoptar, a fin de dar respuesta de manera efectiva a las conclusiones preliminares.

3.   En la decisión adoptada en virtud del apartado 1, la Comisión ordenará al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate que adopte las medidas necesarias para garantizar el cumplimiento de la decisión adoptada con arreglo al apartado 1 en un plazo razonable señalado en ella y que proporcione información sobre las medidas que dicho prestador pretenda adoptar para cumplir con la decisión.

4.   El prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate proporcionará a la Comisión una descripción de las medidas que haya adoptado para garantizar el cumplimiento de la decisión conforme al apartado 1 en cuanto se apliquen.

5.   Cuando la Comisión constate que no se cumplen las condiciones del apartado 1, cerrará la investigación mediante una decisión. La decisión se aplicará con efectos inmediatos.

Artículo 74. Multas

1.   En la decisión a que se refiere el artículo 73, la Comisión podrá imponer al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño multas que no excedan del 6 % del total de su volumen de negocios anual en todo el mundo en el ejercicio fiscal anterior cuando constate que dicho prestador, de forma intencionada o por negligencia:

a) infringe las disposiciones pertinentes del presente Reglamento;

b) incumple una decisión por la que se ordenen medidas cautelares en virtud del artículo 70, o

c) incumple un compromiso que se haya declarado vinculante por medio de una decisión adoptada con arreglo al artículo 71.

2.   La Comisión podrá adoptar una decisión que imponga al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o a cualquier otra de las personas físicas o jurídicas a que se refiere el artículo 67, apartado 1, multas que no excedan del 1 % del total de sus ingresos o volumen de negocios anuales en todo el mundo del ejercicio fiscal anterior cuando, de forma intencionada o por negligencia:

a) proporcione información incorrecta, incompleta o engañosa en respuesta a una simple solicitud o a una solicitud de conformidad con lo dispuesto en el artículo 67;

b) no responda a la solicitud de información mediante decisión en el plazo establecido;

c) no rectifique, en el plazo determinado por la Comisión, la información incorrecta, incompleta o engañosa proporcionada por un miembro del personal, o no proporcione o se niegue a proporcionar información completa;

d) se niegue a someterse a una inspección con arreglo al artículo 69;

e) no cumpla las medidas adoptadas por la Comisión con arreglo al artículo 72, o

f) no cumpla las condiciones de acceso al expediente de la Comisión con arreglo al artículo 79, apartado 4.

3.   Antes de adoptar la decisión prevista en el apartado 2 del presente artículo, la Comisión comunicará sus conclusiones preliminares al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o a cualquier otra de las personas a que se refiere el artículo 67, apartado 1.

4.   Para fijar el importe de la multa, la Comisión tendrá en cuenta la naturaleza, gravedad, duración y recurrencia de la infracción y, en el caso de las multas impuestas de conformidad con el apartado 2, la demora causada al procedimiento.

Artículo 75. Supervisión reforzada de las medidas por las que se subsanen las infracciones de las obligaciones establecidas en el capítulo III, sección 5

1.   Cuando adopte una decisión con arreglo al artículo 73 en relación con una infracción por parte de un prestador de una plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño de cualquiera de las disposiciones del capítulo III, sección 5, la Comisión hará uso del sistema de supervisión reforzada establecido en el presente artículo. Al hacerlo, tendrá en cuenta en la mayor medida posible cualquier dictamen de la Junta con arreglo al presente artículo.

2.   En la decisión a que se refiere el artículo 73, la Comisión exigirá al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate que elabore y, en un plazo razonable determinado en la decisión, comunique al coordinador de servicios digitales, a la Comisión y a la Junta un plan de acción en el que se establezcan las medidas necesarias que sean suficientes para poner fin a la infracción o subsanarla. Dichas medidas incluirán el compromiso de llevar a cabo una auditoría independiente de conformidad con el artículo 37, apartados 3 y 4, sobre la aplicación de las demás medidas, y especificarán la identidad de los auditores, así como la metodología, el calendario y el seguimiento de la auditoría. Las medidas podrán incluir también, cuando sea adecuado, el compromiso de adherirse a un código de conducta pertinente conforme a lo dispuesto en el artículo 45.

3.   En el plazo de un mes desde la recepción del plan de acción, la Junta comunicará su dictamen sobre el plan de acción a la Comisión. En el plazo de un mes a partir de la recepción del dictamen, la Comisión decidirá si las medidas descritas en el plan de acción son suficientes para poner fin a la infracción o subsanarla y fijará un plazo razonable para su aplicación. En dicha decisión se tendrá en cuenta el posible compromiso de adherirse a códigos de conducta pertinentes. La Comisión hará posteriormente el seguimiento de la ejecución del plan de acción. A tal fin, el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate remitirá el informe de auditoría a la Comisión sin dilación indebida una vez esté disponible y mantendrá informada a la Comisión sobre las medidas adoptadas para ejecutar el plan de acción. La Comisión podrá, cuando sea necesario para dicho seguimiento, exigir al prestador de una plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño de que se trate que facilite información adicional en un plazo razonable determinado por la Comisión.

La Comisión mantendrá informados a la Junta y a los coordinadores de servicios digitales sobre la aplicación del plan de acción y su seguimiento.

4.   La Comisión podrá adoptar las medidas necesarias de conformidad con el presente Reglamento, en particular con el artículo 76, apartado 1, letra e), y el artículo 82, apartado 1, cuando:

a) el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate no facilite ningún plan de acción, el informe de auditoría, las actualizaciones necesarias o cualquier información adicional requerida en el plazo aplicable;

b) la Comisión rechace el plan de acción propuesto porque considera que las medidas que se establecen en él son insuficientes para poner fin a la infracción o subsanarla, o

c) la Comisión considere, sobre la base del informe de auditoría, las actualizaciones o información adicional facilitadas o de cualquier otra información pertinente de que disponga, que el plan de acción es insuficiente para poner fin a la infracción o subsanarla.

Artículo 76. Multas coercitivas

1.   La Comisión podrá adoptar una decisión por la que se imponga al prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o a cualquier otra de las personas a que se refiere el artículo 67, apartado 1, según corresponda, multas coercitivas que no excedan del 5 % del promedio diario de los ingresos o del volumen de negocios anuales en todo el mundo del ejercicio fiscal anterior por día, calculados a partir de la fecha fijada por esa decisión, para obligarlos a:

a) proporcionar información correcta y completa en respuesta a una decisión que requiera información con arreglo al artículo 67;

b) someterse a una inspección que haya ordenado, mediante decisión, con arreglo al artículo 69;

c) cumplir con una decisión por la que ordene medidas cautelares con arreglo al artículo 70, apartado 1;

d) cumplir compromisos declarados legalmente vinculantes por una decisión con arreglo al artículo 71, apartado 1;

e) cumplir con una decisión adoptada con arreglo al artículo 73, apartado 1, incluidos, en su caso, los requisitos que contiene en relación con el plan de acción a que se refiere el artículo 75.

2.   Cuando el prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate o cualquier otra de las personas a que se refiere el artículo 67, apartado 1, haya satisfecho la obligación que la multa coercitiva tuviera por objeto hacer cumplir, la Comisión podrá fijar el importe definitivo de la multa coercitiva en una cifra inferior a la de la decisión original.

Artículo 77. Plazo de prescripción para la imposición de sanciones

1.   Las competencias atribuidas a la Comisión por los artículos 74 y 76 estarán sujetas a un plazo de prescripción de cinco años.

2.   El plazo comenzará a contar a partir del día en que se cometa la infracción. No obstante, en el caso de infracciones continuadas o reiteradas, el plazo comenzará a contar el día en que cese la infracción.

3.   Cualquier acción emprendida por la Comisión o por el coordinador de servicios digitales para los fines de la investigación o del procedimiento respecto de una infracción interrumpirá el plazo de prescripción para la imposición de multas sancionadoras o multas coercitivas. Las acciones que interrumpen el plazo de prescripción incluyen, en particular, las siguientes:

a) las solicitudes de información de parte de la Comisión o de un coordinador de servicios digitales;

b) una inspección;

c) la incoación de un procedimiento por la Comisión con arreglo al artículo 66, apartado 1.

4.   Tras cada interrupción, el plazo comenzará a contarse desde el principio. Sin embargo, el plazo de prescripción para la imposición de multas sancionadoras o multas coercitivas expirará, a más tardar, el día en el que haya transcurrido un período equivalente al doble del plazo de prescripción sin que la Comisión haya impuesto una multa sancionadora o una multa coercitiva. Dicho período se prorrogará por el tiempo durante el cual se haya suspendido el plazo de prescripción con arreglo al apartado 5.

5.   El plazo de prescripción para la imposición de multas sancionadoras o multas coercitivas se suspenderá mientras la decisión de la Comisión sea objeto de un procedimiento pendiente ante el Tribunal de Justicia de la Unión Europea.

Artículo 78. Plazo de prescripción para la ejecución de sanciones

1.   La competencia de la Comisión para ejecutar las decisiones adoptadas con arreglo a los artículos 74 y 76 estará sujeta a un plazo de prescripción de cinco años.

2.   El tiempo comenzará a contar el día en que la decisión sea firme.

3.   El plazo de prescripción para la ejecución de las sanciones se interrumpirá:

a) por la notificación de una decisión que modifique el importe inicial de la multa sancionadora o de la multa coercitiva o que rechace una solicitud tendente a obtener tal modificación;

b) por cualquier acción de la Comisión, o de un Estado miembro que actúe a petición de la Comisión, que esté destinada a la recaudación por vía ejecutiva de la multa sancionadora o de la multa coercitiva.

4.   Tras cada interrupción, el plazo comenzará a contarse desde el principio.

5.   Quedará suspendido el plazo de prescripción en materia de ejecución de sanciones mientras:

a) dure el plazo concedido para efectuar el pago;

b) dure la suspensión del cobro por vía ejecutiva en virtud de una resolución del Tribunal de Justicia de la Unión Europea o de una resolución de un órgano jurisdiccional nacional.

Artículo 79. Derecho a ser oído y de acceso al expediente

1.   Antes de adoptar una decisión en virtud del artículo 73, apartado 1, del artículo 74 o del artículo 76, la Comisión dará al prestador de la plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño de que se trate o a cualquier otra de las personas a que se refiere el artículo 67, apartado 1, la oportunidad de ser oído en relación con:

a) las conclusiones preliminares de la Comisión, incluido cualquier asunto respecto del cual la Comisión haya formulado objeciones, y

b) las medidas que la Comisión pueda proponerse adoptar en vista de las conclusiones preliminares a que se refiere la letra a).

2.   El prestador de la plataforma en línea de muy gran tamaño o el motor de búsqueda en línea de muy gran tamaño de que se trate o cualquier otra de las personas a que se refiere el artículo 67, apartado 1, podrá enviar sus observaciones sobre las conclusiones preliminares de la Comisión en un plazo razonable que la Comisión haya determinado en dichas conclusiones preliminares, que no podrá ser inferior a 14 días.

3.   La Comisión basará sus decisiones únicamente en las objeciones sobre las que las partes afectadas hayan podido manifestarse.

4.   Los derechos de defensa de los afectados estarán garantizados plenamente en el curso del procedimiento. Tendrán derecho de acceso al expediente de la Comisión en virtud de una divulgación negociada, sujeta al interés legítimo del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño o de cualquier otra de las personas afectadas, en la protección de sus secretos comerciales. La Comisión estará facultada para adoptar decisiones en las que se establezcan dichas condiciones de divulgación en caso de desacuerdo entre las partes. El derecho de acceso al expediente de la Comisión no se extenderá a la información confidencial y a los documentos internos de la Comisión, la Junta, los coordinadores de servicios digitales, otras autoridades competentes o de otras autoridades públicas de los Estados miembros. En particular, el derecho de acceso no se extenderá a la correspondencia entre la Comisión y dichas autoridades. Nada de lo dispuesto en este apartado impedirá que la Comisión revele o utilice la información necesaria para demostrar una infracción.

5.   La información recabada de conformidad con los artículos 67, 68 y 69 se utilizará únicamente para los fines del presente Reglamento.

Artículo 80. Publicación de las decisiones

1.   La Comisión publicará las decisiones que adopte de conformidad con el artículo 70, apartado 1, el artículo 71, apartado 1, y los artículos 73 a 76. Dicha publicación mencionará los nombres de las partes y el contenido principal de la decisión, incluidas las sanciones impuestas.

2.   La publicación tendrá en cuenta los derechos e intereses legítimos del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate, de cualquier otra de las personas a que se refiere el artículo 67, apartado 1, y de cualquier tercero en la protección de su información confidencial.

Artículo 81. Control por el Tribunal de Justicia de la Unión Europea

De conformidad con el artículo 261 del TFUE, el Tribunal de Justicia de la Unión Europea tiene competencia jurisdiccional plena para someter a control las decisiones por las que la Comisión haya impuesto multas sancionadoras o multas coercitivas. Puede anular, reducir o aumentar la multa sancionadora o la multa coercitiva impuesta.

Artículo 82. Solicitudes de restricción de acceso y de cooperación con los órganos jurisdiccionales nacionales

1.   Cuando se hayan agotado todas las competencias con arreglo a la presente sección para poner fin a una infracción del presente Reglamento, la infracción persista y cause perjuicios graves que no puedan evitarse mediante el ejercicio de otras competencias de las que se disponga en virtud del Derecho de la Unión o nacional, la Comisión podrá solicitar al coordinador de servicios digitales de establecimiento del prestador de la plataforma en línea de muy gran tamaño o del motor de búsqueda en línea de muy gran tamaño de que se trate que actúe con arreglo al artículo 51, apartado 3.

Antes de efectuar dicha solicitud al coordinador de servicios digitales, la Comisión invitará a los interesados a presentar observaciones por escrito en un plazo que no será inferior a 14 días hábiles, describiendo las medidas que tenga intención de solicitar e identificando al destinatario o destinatarios de estas.

2.   Cuando sea necesario para la aplicación coherente del presente Reglamento, la Comisión, por iniciativa propia, podrá presentar observaciones por escrito a la autoridad judicial competente a que se refiere el artículo 51, apartado 3. Con permiso de la autoridad judicial competente, también podrá formular observaciones verbales.

Con el único fin de preparar sus observaciones, la Comisión podrá solicitar a dicha autoridad judicial que le transmita o se asegure de que se le transmita cualquier documentación necesaria para valorar el asunto.

3.   Cuando un órgano jurisdiccional nacional se pronuncie sobre un asunto que ya sea objeto de una decisión adoptada por la Comisión en virtud del presente Reglamento, dicho órgano jurisdiccional nacional no adoptará ninguna decisión contraria a dicha decisión de la Comisión. Los órganos jurisdiccionales nacionales evitarán asimismo adoptar resoluciones que puedan entrar en conflicto con una decisión prevista por la Comisión en un procedimiento que ya haya incoado en virtud del presente Reglamento. A tal fin, corresponde a los órganos jurisdiccionales nacionales apreciar si procede suspender su procedimiento. Ello se entiende sin perjuicio de lo dispuesto en el artículo 267 del TFUE.

Artículo 83. Actos de ejecución relativos a la intervención de la Comisión

En relación con la intervención de la Comisión prevista en la presente sección, la Comisión podrá adoptar actos de ejecución relativos a las modalidades prácticas para:

a) los procedimientos previstos en los artículos 69 y 72;

b) las audiencias previstas en el artículo 79;

c) la divulgación negociada de información prevista en el artículo 79.

Antes de adoptar medida alguna con arreglo al párrafo primero del presente artículo, la Comisión publicará un proyecto de la medida e invitará a todos los interesados a formular sus observaciones en el plazo determinado en ella, que no será inferior a un mes. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 88.

SECCIÓN 5. Disposiciones comunes de ejecución

Artículo 84. Secreto profesional

Sin perjuicio del intercambio y del uso de información a que se refiere el presente capítulo, la Comisión, la Junta, las autoridades competentes de los Estados miembros y sus respectivos agentes, funcionarios y otras personas que trabajen bajo su supervisión, y cualquier otra persona física o jurídica implicada, incluidos los auditores y expertos designados de conformidad con el artículo 72, apartado 2, no revelarán información adquirida o intercambiada por ellos conforme a lo dispuesto en el presente Reglamento ni información protegida por la obligación de secreto profesional.

Artículo 85. Sistema de intercambio de información

1.   La Comisión establecerá y mantendrá un sistema de intercambio de información seguro y fiable que facilite las comunicaciones entre los coordinadores de servicios digitales, la Comisión y la Junta. Podrá concederse acceso a este sistema a otras autoridades competentes, cuando les sea necesario para desempeñar las tareas que les hayan sido atribuidas de conformidad con el presente Reglamento.

2.   Los coordinadores de servicios digitales, la Comisión y la Junta utilizarán el sistema de intercambio de información para todas las comunicaciones efectuadas en virtud del presente Reglamento.

3.   La Comisión adoptará actos de ejecución por los que se establezcan las modalidades prácticas y operativas para el funcionamiento del sistema de intercambio de información y su interoperabilidad con otros sistemas pertinentes. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 88.

Artículo 86. Representación

1.   Sin perjuicio de la Directiva (UE) 2020/1828 o de cualquier otro tipo de representación en virtud del Derecho nacional, los destinatarios de servicios intermediarios tendrán derecho al menos a mandatar a un organismo, organización o asociación para que ejerza los derechos atribuidos por el presente Reglamento en su nombre, siempre que dicho organismo, organización o asociación cumpla todas las condiciones siguientes:

a) que opere sin ánimo de lucro;

b) que se haya constituido correctamente de conformidad con el Derecho de un Estado miembro;

c) que sus objetivos estatutarios incluyan un interés legítimo en velar por que se cumpla el presente Reglamento.

2.   Los prestadores de plataformas en línea adoptarán las medidas técnicas y organizativas necesarias para asegurarse de que las reclamaciones presentadas por los organismos, organizaciones o asociaciones a que se refiere el apartado 1 del presente artículo en nombre de los destinatarios del servicio a través de los mecanismos a que se refiere el artículo 20, apartado 1, se traten y resuelvan de forma prioritaria y sin dilación indebida.

SECCIÓN 6. Actos delegados y de ejecución

Artículo 87. Ejercicio de la delegación

1.   Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2.   Los poderes para adoptar actos delegados mencionados en los artículos 24, 33, 37, 40 y 43 se otorgan a la Comisión por un período de cinco años a partir del 16 de noviembre de 2022. La Comisión elaborará un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.

3.   La delegación de poderes mencionada en los artículos 24, 33, 37, 40 y 43 podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.

4.   Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5.   Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6.   Los actos delegados adoptados en virtud de los artículos 24, 33, 37, 40 y 43 entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de esas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 88. Procedimiento de comité

1.   La Comisión estará asistida por un comité («Comité de Servicios Digitales»). Dicho Comité será un comité en el sentido del Reglamento (UE) nº182/2011.

2.   En los casos en que se haga referencia al presente apartado, se aplicará el artículo 4 del Reglamento (UE) nº182/2011.

CAPÍTULO V. DISPOSICIONES FINALES

Artículo 89. Modificaciones de la Directiva 2000/31/CE

1.   Se suprimen los artículos 12 a 15 de la Directiva 2000/31/CE.

2.   Las referencias a los artículos 12 a 15 de la Directiva 2000/31/CE se entenderán hechas a los artículos 4, 5, 6 y 8 del presente Reglamento, respectivamente.

Artículo 90. Modificación de la Directiva (UE) 2020/1828

En el anexo I de la Directiva (UE) 2020/1828 se añade el punto siguiente:

«68) Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).».

Artículo 91. Revisión

1.   A más tardar el 18 de febrero de 2027, la Comisión evaluará y presentará un informe al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo acerca de los posibles efectos del presente Reglamento en el desarrollo y el crecimiento económico de las pequeñas y medianas empresas.

A más tardar el 17 de noviembre de 2025, la Comisión evaluará y presentará un informe al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo relativo a:

a) la aplicación del artículo 33, incluido el alcance de los prestadores de servicios intermediarios cubiertos a los que se apliquen las obligaciones establecidas en el capítulo III, sección 5, del presente Reglamento;

b) la interacción del presente Reglamento con otros actos jurídicos, en particular los actos a que se hace referencia en el artículo 2, apartados 3 y 4.

2.   A más tardar el 17 de noviembre de 2027, y cada cinco años a partir de entonces, la Comisión evaluará el presente Reglamento y presentará un informe al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo.

Dicho informe tratará, en particular:

a) la aplicación del apartado 1, párrafo segundo, letras a) y b);

b) la contribución del presente Reglamento a la profundización y al funcionamiento eficiente del mercado interior de servicios intermediarios, en particular en lo que se refiere a la prestación transfronteriza de servicios digitales;

c) la aplicación de los artículos 13, 16, 20, 21, 45 y 46;

d) el alcance de las obligaciones para las pequeñas empresas y las microempresas;

e) la eficacia de los mecanismos de supervisión y garantía del cumplimiento;

f) las repercusiones en el derecho a la libertad de expresión y de información.

3.   En su caso, el informe a que se refieren los apartados 1 y 2 irá acompañado de una propuesta de modificación del presente Reglamento.

4.   La Comisión, en el informe a que se refiere el apartado 2 del presente artículo, también evaluará e informará sobre los informes anuales de actividades presentados por los coordinadores de servicios digitales a la Comisión y a la Junta de conformidad con el artículo 55, apartado 1.

5.   Para los fines del apartado 2, los Estados miembros y la Junta enviarán información a petición de la Comisión.

6.   Para realizar las evaluaciones a que se refiere el apartado 2, la Comisión tendrá en cuenta las posiciones y conclusiones del Parlamento Europeo, del Consejo y de otros órganos o fuentes pertinentes, y prestará atención específica a las pequeñas y medianas empresas y a la posición de los nuevos competidores.

7.   A más tardar el 18 de febrero de 2027, la Comisión, previa consulta a la Junta, evaluará el funcionamiento de la Junta y la aplicación del artículo 43 y presentará un informe al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo, teniendo en cuenta los primeros años de aplicación del Reglamento. Sobre la base de las conclusiones y teniendo en cuenta en la mayor medida posible la opinión de la Junta, dicho informe irá acompañado, en su caso, de una propuesta de modificación del presente Reglamento con respecto a la estructura de la Junta.

Artículo 92. Aplicación anticipada a prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño

El presente Reglamento se aplicará a los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño designados con arreglo al artículo 33, apartado 4, a partir de los cuatro meses siguientes a la notificación al prestador de que se trate a que se refiere el artículo 33, apartado 6, en caso de que dicha fecha sea anterior al 17 de febrero de 2024.

Artículo 93. Entrada en vigor y aplicación

1.   El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2.   El presente Reglamento será de aplicación a partir del 17 de febrero de 2024.

No obstante, el artículo 24, apartados 2, 3 y 6, el artículo 33, apartados 3 a 6, el artículo 37, apartado 7, el artículo 40, apartado 13, el artículo 43 y las secciones 4, 5 y 6 del capítulo IV, serán de aplicación a partir del 16 de noviembre de 2022.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Estrasburgo, el 19 de octubre de 2022.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, El Presidente, M. BEK

—————————————————-

(1)  DO C 286 de 16.7.2021, p. 70.

(2)  DO C 440 de 29.10.2021, p. 67.

(3)  Posición del Parlamento Europeo de 5 de julio de 2022 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 4 de octubre de 2022.

(4)  Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1).

(5)  Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).

(6)  Reglamento (UE) nº1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (DO L 351 de 20.12.2012, p. 1).

(7)  Directiva 2010/13/UE del Parlamento Europeo y del Consejo, de 10 de marzo de 2010, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas a la prestación de servicios de comunicación audiovisual (Directiva de servicios de comunicación audiovisual) (DO L 95 de 15.4.2010, p. 1).

(8)  Reglamento (UE) 2019/1148 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre la comercialización y la utilización de percursores de explosivos, por el que se modifica el Reglamento (CE) nº1907/2006 y se deroga el Reglamento (UE) nº98/2013 (DO L 186 de 11.7.2019, p. 1).

(9)  Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (DO L 186 de 11.7.2019, p. 57).

(10)  Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, sobre la lucha contra la difusión de contenidos terroristas en línea (DO L 172 de 17.5.2021, p. 79).

(11)  Reglamento (UE) 2021/1232 del Parlamento Europeo y del Consejo, de 14 de julio de 2021, por el que se establece una excepción temporal a determinadas disposiciones de la Directiva 2002/58/CE en lo que respecta al uso de tecnologías por proveedores de servicios de comunicaciones interpersonales independientes de la numeración para el tratamiento de datos personales y de otro tipo con fines de lucha contra los abusos sexuales de menores en línea (DO L 274 de 30.7.2021, p. 41).

(12)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(13)  Reglamento (UE) 2017/2394 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2017, sobre la cooperación entre las autoridades nacionales responsables de la aplicación de la legislación en materia de protección de los consumidores y por el que se deroga el Reglamento (CE) nº2006/2004 (DO L 345 de 27.12.2017, p. 1).

(14)  Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) nº765/2008 y (UE) nº305/2011 (DO L 169 de 25.6.2019, p. 1).

(15)  Directiva 2001/95/CE del Parlamento Europeo y del Consejo, de 3 de diciembre de 2001, relativa a la seguridad general de los productos (DO L 11 de 15.1.2002, p. 4).

(16)  Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, que modifica la Directiva 84/450/CEE del Consejo, las Directivas 97/7/CE, 98/27/CE y 2002/65/CE del Parlamento Europeo y del Consejo y el Reglamento (CE) nº2006/2004 del Parlamento Europeo y del Consejo («Directiva sobre las prácticas comerciales desleales») (DO L 149 de 11.6.2005, p. 22).

(17)  Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores, por la que se modifican la Directiva 93/13/CEE del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE del Parlamento Europeo y del Consejo (DO L 304 de 22.11.2011, p. 64).

(18)  Directiva 2013/11/UE del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativa a la resolución alternativa de litigios en materia de consumo y por la que se modifica el Reglamento (CE) nº2006/2004 y la Directiva 2009/22/CE (DO L 165 de 18.6.2013, p. 63).

(19)  Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO L 95 de 21.4.1993, p. 29).

(20)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(21)  Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información (DO L 167 de 22.6.2001, p. 10).

(22)  Directiva 2004/48/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual (DO L 157 de 30.4.2004, p. 45).

(23)  Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los derechos de autor y derechos afines en el mercado único digital y por la que se modifican las Directivas 96/9/CE y 2001/29/CE (DO L 130 de 17.5.2019, p. 92).

(24)  Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (DO L 321 de 17.12.2018, p. 36).

(25)  Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

(26)  Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).

(27)  Directiva 2011/36/UE del Parlamento Europeo y del Consejo, de 5 de abril de 2011, relativa a la prevención y lucha contra la trata de seres humanos y a la protección de las víctimas y por la que se sustituye la Decisión marco 2002/629/JAI del Consejo (DO L 101 de 15.4.2011, p. 1).

(28)  Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO L 88 de 31.3.2017, p. 6).

(29)  Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).

(30)  Directiva (UE) 2021/514 del Consejo, de 22 de marzo de 2021, por la que se modifica la Directiva 2011/16/UE relativa a la cooperación administrativa en el ámbito de la fiscalidad (DO L 104 de 25.3.2021, p. 1).

(31)  Directiva 98/6/CE del Parlamento Europeo y del Consejo, de 16 de febrero de 1998, relativa a la protección de los consumidores en materia de indicación de los precios de los productos ofrecidos a los consumidores (DO L 80 de 18.3.1998, p. 27).

(32)  Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO L 157 de 15.6.2016, p. 1).

(33)  Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO L 409 de 4.12.2020, p. 1).

(34)  Reglamento (UE) nº182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(35)  DO L 123 de 12.5.2016, p. 1.

(36)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº45/2001 y la Decisión nº1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(37)  DO C 149 de 27.4.2021, p. 3.

(38)  Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).

(39)  Reglamento (CE) nº139/2004 del Consejo, de 20 de enero de 2004, sobre el control de las concentraciones entre empresas (DO L 24 de 29.1.2004, p. 1).

(40)  Reglamento (UE) nº910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).

(41)  Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) nº1296/2013, (UE) nº1301/2013, (UE) nº1303/2013, (UE) nº1304/2013, (UE) nº1309/2013, (UE) nº1316/2013, (UE) nº223/2014 y (UE) nº283/2014 y la Decisión nº541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) nº966/2012 (DO L 193 de 30.7.2018, p. 1).