Costa Rica aprueba Ley de Gobernanza de los Servicios Digitales y el Comercio Electrónico

La Asamblea Legislativa de Costa Rica aprobó el pasado 16 de abril en segundo debate el proyecto de ley N.º 23.184, denominado "Gobernanza de los Servicios Digitales y el Comercio Electrónico", una normativa que convertirá a Costa Rica en el primer país de Centroamérica y uno de los primeros de América Latina en contar con un marco regulatorio integral para los servicios de la sociedad de la información y las plataformas digitales.

La ley tiene como finalidad "proteger de manera efectiva a los consumidores, garantizar sus derechos fundamentales frente a los servicios digitales de la sociedad de la información, e incrementar sus posibilidades de decisión y autonomía en el entorno en línea", y entrará en vigor 12 meses después de su publicación, plazo en el que el Poder Ejecutivo deberá emitir la reglamentación correspondiente.

Un hito regulatorio con luces y sombras

Desde la práctica de TMT de ÉCIJA, hemos realizado un análisis exhaustivo del texto legislativo, aplicando un benchmark comparativo con el Reglamento de Servicios Digitales de la Unión Europea (DSA), la Directiva de Comercio Electrónico, el RGPD y el marco regulatorio estadounidense, incluyendo la Section 230 de la Communications Decency Act y la legislación de la Federal Trade Commission.

"Esta ley representa un avance significativo para Costa Rica y para toda la región, y es sin duda la ley más relevante aprobada por la Asamblea Legislativa en materia digital durante este cuatrienio. El modelo de responsabilidad escalonada de los intermediarios digitales —que abarca servicios de mera transmisión, caché, alojamiento de datos, motores de búsqueda y plataformas en línea— está bien construido y sigue los estándares más avanzados de la regulación europea", señaló Mauricio París, socio a cargo de la práctica de TMT de ÉCIJA.

Aspectos que destacan positivamente

El análisis de ÉCIJA identifica varios elementos en los que la ley costarricense iguala o incluso supera los estándares internacionales más exigentes:

• Protección del cifrado de extremo a extremo. La ley prohíbe expresamente que cualquier autoridad judicial o administrativa impida a los intermediarios proporcionar servicios cifrados de extremo a extremo o que les obligue a conservar de manera general e indiscriminada los datos personales de los usuarios. "Esta disposición es más protectora que el propio Reglamento de Servicios Digitales europeo, que no incluye una prohibición expresa equivalente, y supera con creces al marco estadounidense, donde el debate sobre puertas traseras al cifrado sigue abierto. Es una señal muy positiva para la inversión tecnológica en el país", destacó París.

• Prohibición de patrones oscuros (dark patterns). La normativa prohíbe tanto a comerciantes como a intermediarios el uso de interfaces diseñadas para distorsionar la capacidad de decisión del usuario, incluyendo prácticas como dar mayor protagonismo visual a opciones de consentimiento o hacer que la baja de un servicio sea más engorrosa que la suscripción. 

• Protección reforzada de menores. Se prohíbe el uso de datos personales de menores de trece años para mercadotecnia directa y publicidad personalizada basada en el comportamiento, alineándose con el DSA europeo y superando al marco federal estadounidense (COPPA).

Las sombras

Sin embargo, el análisis de ÉCIJA también identifica deficiencias estructurales que podrían comprometer la eficacia de la ley en la práctica.

"El principal problema de esta ley no está en lo que dice, sino en lo que no dice y en cómo pretende aplicarse. Hemos identificado 5 defectos estructurales que el legislador debería abordar en el futuro", advirtió París.

• Sanciones irrisorias. Las multas máximas oscilan entre 10 y 50 salarios base, lo que equivale a aproximadamente USD 50.000 en el escenario más grave. "Mientras la legislación europea prevé sanciones de hasta el 6% de la facturación anual global, la ley costarricense establece sanciones que para una plataforma de gran tamaño son absolutamente irrelevantes. No existe incentivo real de cumplimiento para los actores globales", explicó París.

• Autoridad competente no especializada. La ley encomienda todo el enforcement a la Comisión Nacional del Consumidor, un órgano diseñado para conflictos de consumo y sin la capacidad técnica para supervisar ecosistemas digitales complejos, evaluar algoritmos o auditar sistemas de recomendación. En otros países se han creado organismos independientes y especializados, sin embargo, limitaciones presupuestarias impedían que Costa Rica lo hiciera.

• Extraterritorialidad inaplicable. Aunque la ley define los "servicios digitales transfronterizos" y pretende aplicarse a plataformas internacionales no domiciliadas en Costa Rica, no establece ningún mecanismo de ejecución efectiva: no exige representante legal local, no prevé cooperación internacional ni instrumentos de ejecución transfronteriza. "Esto genera una asimetría competitiva injusta: el operador digital costarricense cumple y es sancionado, mientras que la gran plataforma extranjera puede ignorar las resoluciones. Los derechos de los consumidores costarricenses se convierten en derechos de papel frente a quien no cumpla voluntariamente", señaló París.

Una ventana de implementación estratégica

La entrada en vigor de la ley 12 meses después de su publicación abre un período crítico para todos los actores del ecosistema digital. Comerciantes electrónicos, plataformas en línea, redes sociales, motores de búsqueda, proveedores de alojamiento de datos, empresas de publicidad digital, operadores de telecomunicaciones y prestadores de servicios financieros deberán adecuar sus operaciones, términos y condiciones, políticas de privacidad y mecanismos de reclamación al nuevo marco normativo.