Privacidad y servicios digitales: hacia una aplicación coherente de la DSA y el RGPD
Skip to main content
Seleccionar ubicación Spain (ES)
  • Actualidad
  • Privacidad y servicios digitales: hacia una aplicación coherente de la DSA y el RGPD
Insight

Privacidad y servicios digitales: hacia una aplicación coherente de la DSA y el RGPD

Montserrat Sala
10/11/2025

El 12 de septiembre de 2025, el CEPD (Comité Europeo de Protección de Datos) publicó el primer borrador de las Directrices 3/2025 sobre la interacción entre la DSA y el RGPD, que ha estado en consulta pública hasta el 31 de octubre de 2025. Este documento busca ofrecer una guía clara a los proveedores de servicios en línea —plataformas, redes sociales, motores de búsqueda o alojadores de datos— para que cumplan correctamente con ambas normativas sin contradecir sus obligaciones.

 

1. ¿Qué regula cada norma?

  • La DSA (Reglamento (UE) 2022/2065) establece las normas para un entorno digital más seguro, transparente y responsable. Obliga a los proveedores de servicios en línea a gestionar los contenidos ilícitos, informar a los usuarios sobre su publicidad o sistemas de recomendación, y proteger a los menores y otros colectivos vulnerables.
  • El RGPD (Reglamento (UE) 2016/679) sigue siendo la base de la protección de datos personales en la Unión Europea. Regula cómo las empresas pueden tratar los datos personales de las personas físicas, basándose en principios como licitud, transparencia y minimización de datos.

Ambos reglamentos se aplican de forma simultánea, y ahí radica el desafío: cumplir con las obligaciones de la DSA sin vulnerar los derechos de privacidad que protege el RGPD.

 

2. Las claves del borrador del CEPD

El CEPD aclara varios puntos donde la DSA y el RGPD se cruzan y podrían generar dudas o conflictos:

 

a) Investigaciones voluntarias y tratamiento de datos (art. 7 DSA)

La DSA permite que los proveedores de servicios en línea realicen investigaciones voluntarias para detectar y frenar la difusión de contenidos ilícitos, sin perder las exenciones de responsabilidad previstas en la norma, siempre que actúen con buena fe y diligencia.

No obstante, el CEPD aclara que esta facultad no implica una obligación general de vigilancia o control, prohibida expresamente por el artículo 8 de la DSA.

En cuanto a la protección de datos personales, el CEPD subraya que estas investigaciones deben evitar, en la medida de lo posible, el tratamiento de datos personales. Si dicho tratamiento fuera necesario, las empresas deberán garantizar el pleno cumplimiento del RGPD, aplicando los principios de licitud y minimización de datos, es decir:

  • Solo tratar los datos personales estrictamente necesarios.
  • Basar el tratamiento en una base de legitimación válida (por ejemplo, interés legítimo o cumplimiento de una obligación legal).

El CEPD destaca que, dado que estas investigaciones no son obligatorias bajo la DSA, el fundamento jurídico más adecuado para el tratamiento de datos personales será, por lo general, el interés legítimo del proveedor.

Solo en casos específicos —por ejemplo, cuando una normativa distinta imponga la obligación de retirar contenidos protegidos por derechos de autor, como prevé la Directiva 2019/790 sobre derechos de autor en el mercado único digital— podría aplicarse como base legal el cumplimiento de una obligación legal.

Además de actuar con diligencia, los proveedores de servicios digitales deben informar de forma clara y accesible a los usuarios sobre las investigaciones que realicen para detectar contenidos ilícitos. Esta información debe ofrecerse no solo a través de la política de privacidad, conforme a los artículos 12 a 14 del RGPD, sino también en los informes de transparencia y en las condiciones generales del servicio, tal como exige la DSA en sus artículos 14(1) y 15(1)(c).

En resumen, las plataformas pueden investigar contenidos ilícitos, pero deben hacerlo respetando la privacidad de los usuarios y sin convertir esa labor en un control generalizado de lo que publican.

 

b) Uso de sistemas automatizados y protección de los derechos de los usuarios

El CEPD pone especial atención en los casos en que las plataformas o proveedores de servicios en línea utilizan sistemas automatizados para analizar y eliminar contenidos ilícitos.

El CEPD recuerda que, según el RGPD, los usuarios tienen derecho a no ser objeto de decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o les afecten de manera significativa (por ejemplo, la eliminación automática de su contenido o la suspensión de una cuenta sin intervención humana).

Por ello, el CEPD considera imprescindible realizar una Evaluación de Impacto en la Protección de Datos (EIPD) antes de implantar o utilizar este tipo de sistemas. Esta evaluación debe valorar:

  • El grado de automatización en las decisiones.
  • El riesgo de impacto en los derechos y libertades de los usuarios.

Cuando se usen herramientas automáticas para detectar o retirar contenidos, las empresas deben garantizar una revisión humana adecuada y evaluar previamente los riesgos, asegurando así un equilibrio entre la moderación eficaz y la protección de los derechos de los usuarios.

 

c) Mecanismos de notificación y acción (arts. 16 y 17 DSA)

Los proveedores de servicios de alojamiento deben ofrecer mecanismos accesibles para notificar contenidos presuntamente ilícitos.

Si estas acciones implican el tratamiento de datos personales, el proveedor es responsable del tratamiento según el RGPD, garantizando minimización y proporcionalidad de los datos procesados. En conjunto, estos mecanismos buscan equilibrar eficacia en la detección de contenidos ilícitos con la protección de la privacidad.

En ese caso, cualquier tratamiento de datos personales vinculado con estos mecanismos debe llevarse a cabo de conformidad con el RGPD, garantizando la minimización de los datos recogidos y la proporcionalidad de las acciones realizadas. Todo ello implica que se deberá garantizar que solo se procesan los datos estrictamente necesarios para evaluar la legalidad de los contenidos

 

d) Gestión de reclamaciones y lucha contra abusos (arts. 20 y 23 DSA)

En relación con la gestión de las reclamaciones enviadas por los usuarios, los proveedores de plataformas son responsables del tratamiento de los datos personales y deben gestionar esas reclamaciones bajo supervisión humana, evitando decisiones totalmente automatizadas.

Asimismo, el CEPD recuerda que el mecanismo de reclamación del artículo 20 de la DSA se entiende sin perjuicio de los derechos que los usuarios conservan del RGPD, incluido el derecho de acceso, rectificación o supresión de sus datos personales.

 

e) Patrones de diseño engañosos (art. 25 DSA)

El artículo 25 del DSA prohíbe que los proveedores de plataformas en línea utilicen “patrones de diseño engañosos” (deceptive design patterns) en sus interfaces que induzcan a los usuarios a tomar decisiones que afecten sus derechos o la disponibilidad de su servicio. El CEPD señala que dichos patrones entran también en el ámbito del RGPD cuando implican tratamiento de datos personales, ya que pueden influir en el comportamiento de la persona y en la forma en que se recogen, usan o comparten sus datos.

Para que el RGPD se aplique a un patrón de diseño engañoso, deben concurrir dos elementos: (i) que haya procesamiento de datos personales; y (ii) que el patrón de diseño influya en el comportamiento del usuario respecto a ese procesamiento (por ejemplo, consentimiento, elección o negativa). El CEPD advierte que, aún cuando el DSA prohíba el patrón, el responsable del tratamiento debe cumplir con los principios del RGPD (legalidad, transparencia, minimización).

Estos patrones suponen riesgos para la autonomía del usuario, la libertad de elección y la protección de datos, ya que pueden inducir a aceptar opciones predeterminadas, ocultar alternativas o dificultar el ejercicio de derechos. En consecuencia, la obligación del “data protection by design and by default” (Artículo 25 RGPD) exige que los sistemas eviten dichos patrones en su diseño y cumplan medidas técnicas y organizativas que garanticen la transparencia, la elección informada y la protección de datos desde el inicio.


El CEPD recomienda que los responsables del tratamiento establezcan procesos de evaluación de interfaz, revisen si las opciones ofrecidas cumplen el principio de elección libre y proporcionalidad, y documente los controles internos sobre estos patrones. Además, se insiste en que la mera legalidad del procesamiento no basta: debe haber un diseño que no manipule indebidamente al usuario. Se sugiere también la aplicación de auditorías, pruebas de usabilidad y documentar el impacto en los derechos de los usuarios.

 

f) Publicidad y elaboración de perfiles (art. 26 DSA)

El artículo 26 de la DSA impone a las plataformas en línea obligaciones de transparencia en la publicidad, exigiendo que informen a los usuarios sobre quién es el anunciante y por qué se les muestra un anuncio. Además, prohíbe la publicidad basada en el perfilado que utilice categorías especiales de datos personales (como origen étnico, religión, orientación sexual o salud), coNforme al artículo 9(1) del Reglamento General de Protección de Datos (RGPD).

La DSA aclara que estas normas no sustituyen ni modifican las obligaciones del RGPD ni las de la Directiva de privacidad y comunicaciones electrónicas (transpuesta en España mediante la LSSI y la LGTel). Por tanto, las plataformas deben cumplir con ambos marcos normativos de forma complementaria.

El CEPD recuerda que los proveedores de servicios en línea deben cumplir simultáneamente con la obligación de divulgación del artículo 26 DSA y las obligaciones de información de los artículos 13 y 14 RGPD, independientemente de si los datos personales fueron proporcionados directamente por el usuario o recopilados de forma indirecta.

 

g) Sistemas de recomendación (arts. 27 y 38 DSA)

Los sistemas de recomendación utilizados por plataformas en línea pueden comportar riesgos elevados cuando implican tratamiento de datos personales, especialmente a gran escala, perfiles, inferencias o decisiones que afectan al comportamiento del individuo.

Según el artículo 27 de la DSA, las plataformas deben explicar en lenguaje claro los principales parámetros del sistema de recomendación y ofrecer al usuario opciones para influir o modificar esos parámetros.

Conforme al artículo 38 de la DSA, las plataformas muy grandes deben proporcionar una opción de sistema de recomendación que no esté basada en perfilado (profiling) y esta opción debe estar fácilmente accesible – y sin guiar indebidamente al usuario hacia la opción basada en perfilado.

Siempre que dicho sistema implique decisiones automatizadas o perfilado que puedan tener efectos significativos para la persona (por ejemplo en empleo, vivienda o servicios), entra en juego el artículo 22 del RGPD, lo que exige salvaguardas adicionales como transparencia, derechos del interesado y supervisión humana.

 

h) Evaluación y reducción de riesgos (arts. 34 y 35 DSA)

Las grandes plataformas y los grandes motores de búsqueda deben identificar y mitigar los riesgos sistémicos, como la desinformación o los impactos en los derechos fundamentales.

El CEPD recomienda integrar esta evaluación en la EIPD del RGPD, para garantizar coherencia y eficiencia en el cumplimiento.

 

i)  Protección de los menores (art 28 DSA):

Se exige que los proveedores de plataformas en línea accesibles a menores adopten medidas apropiadas y proporcionadas para asegurar un alto nivel de privacidad, seguridad y protección de los menores. Así, se prohíbe presentar publicidad personalizada basada en perfilado cuando el proveedor tiene certeza razonable de que el destinatario es un menor.

Por otro lado, no se exige que se efectúe una verificación exhaustiva de la edad mediante documentos de identidad ni que se almacene permanentemente la edad o rango de edad del menor.

Cuando las medidas implican tratamiento de datos personales, ello podría ampararse en la base legal del artículo 6(1)(c) del GDPR (“cumplimiento de una obligación legal”), siempre que sea estrictamente necesario y proporcional al objetivo de protección del menor.

 

3. Conclusión:

Estas directrices representan un paso clave hacia una aplicación coherente del derecho digital europeo y en concreto, entre la DSA y el RGPD. Aportan seguridad jurídica y ayudan a las empresas a evitar conflictos regulatorios. Cumplir con ambos reglamentos no solo evita sanciones: también refuerza la confianza de los usuarios, mejora la transparencia y consolida una reputación digital responsable.

Adicionalmente, el CEPD busca que las empresas no vean la DSA y el RGPD como marcos separados, sino regulaciones complementarias para construir un entorno digital más seguro y respetuoso con los derechos de las personas.

La consulta ha estado abierta hasta el 31 de octubre de 2025, y su versión final marcará el camino del cumplimiento digital en Europa para los próximos años.

Áreas de especialización

Tech & Data

Áreas de trabajo relacionadas

Tecnología