El Comité Europeo de Protección de Datos ha publicado las Directrices 3/2025 para aclarar cómo encajan la Ley de Servicios Digitales (DSA) y el Reglamento de Protección de Datos (RGPD). Si gestionas una plataforma digital, esto te afecta de lleno.
Este septiembre, el Comité Europeo de Protección de Datos (EDPB) publicó las Directrices 3/2025 sobre la interacción entre la Ley de Servicios Digitales (DSA) y el Reglamento General de Protección de Datos (RGPD). El texto, abierto a consulta pública hasta el 31 de octubre, lanza un mensaje claro: la DSA no sustituye al RGPD, sino que ambas normas deben aplicarse de forma conjunta.
En la práctica, esto significa que cada vez que la DSA te obligue a tratar datos personales en tu página web o ecommerce, el RGPD seguirá siendo tu marco de referencia obligatorio.
Para las plataformas digitales, marketplaces o tiendas online, ya no basta con tener la política de privacidad web al día o un banner de cookies visible. Habrá que revisar sistemas de moderación, anuncios o verificaciones de edad con una doble mirada: cumplir la DSA sin incumplir el RGPD y garantizar la protección de datos en tu web.
La DSA permite que las plataformas investiguen y retiren contenido ilícito. Pero ojo: si en ese proceso tratas datos personales, por ejemplo al identificar al usuario que sube un contenido, necesitas una base legal válida bajo el RGPD o la LOPD.
En los supuestos de investigaciones voluntarias, la base más habitual será el interés legítimo, siempre que respetes la proporcionalidad.
Si lo haces en cumplimiento de una obligación legal, esa será tu base jurídica.
Además, si utilizas sistemas automáticos para bloquear contenido, deberás informar sobre la lógica, tasas de error y criterios usados. Recuerda que el RGPD restringe las decisiones totalmente automatizadas con efectos significativos y exige salvaguardias como la posibilidad de revisión humana.
La DSA también obliga a ofrecer mecanismos para denunciar contenidos ilegales y presentar reclamaciones. Esto implica manejar datos de denunciantes, afectados y terceros, por lo que entran en juego la protección de datos y los textos legales web.
Claves prácticas:
La DSA exige un sistema interno eficaz. Cuando las decisiones se basen en procesos automatizados con efectos significativos, el RGPD impone además la posibilidad de revisión humana, como ya ocurre con los sistemas de gestión de cookies o Consent Mode v2.
Scroll infinito, botones confusos o técnicas que manipulan al usuario para que acepte cookies o entregue sus datos sin entenderlo ya están prohibidas por la DSA. Cuando estas prácticas se usan para obtener consentimiento de cookies o información personal, también se vulnera el RGPD.
Por eso, si tu interfaz manipula al usuario o no ofrece opciones claras como “Rechazar todas” o “Configurar cookies”, estás incumpliendo ambos marcos. La recomendación del EDPB es clara: rediseña tu plataforma y elimina cualquier “dark pattern” ligado a la privacidad o al banner de cookies.
La DSA eleva el listón de la transparencia en los anuncios digitales:
El perfilado intensivo puede considerarse una decisión automatizada importante, lo que activa obligaciones del RGPD: explicar la lógica, los motivos y las posibles consecuencias al usuario. Si gestionas campañas de marketing o Consent Mode v2, asegúrate de que el consentimiento y los textos legales web estén bien integrados.
Las plataformas accesibles a menores deben aplicar medidas proporcionales para protegerlos. Entre ellas:
Toda verificación de edad debe contar con una base legal válida y respetar el principio de minimización de datos, uno de los pilares del RGPD y la LOPD.
Para las grandes plataformas (VLOPs y VLOSEs), la DSA impone la obligación de detectar y mitigar riesgos sistémicos. Cuando ese trabajo implica alto riesgo en el tratamiento de datos, el RGPD obliga a realizar una evaluación de impacto.
Aunque estas obligaciones se aplican a los gigantes digitales, marcan la dirección de la regulación europea y son una referencia útil para cualquier web legal o empresa online que gestione datos personales.
✅ Revisa tus procesos de moderación: base legal clara y revisión humana.
✅ Ajusta los sistemas de notificación y reclamaciones: pide solo los datos mínimos y comunica siempre tus decisiones con transparencia.
✅ Rediseña interfaces y elimina patrones engañosos.
✅ Refuerza la transparencia publicitaria y evita el uso de datos sensibles.
✅ Aplica medidas de protección de menores y verifica la edad sin invadir su privacidad.
✅ Si eres una gran plataforma, realiza evaluaciones de impacto cuando corresponda.
Además, no olvides los básicos del cumplimiento legal web:
La Guía 3/2025 del EDPB es clara: el RGPD sigue siendo la base de la protección de datos, y la DSA añade nuevas reglas de transparencia y seguridad en el entorno digital. Para las plataformas, el reto no es escoger entre una norma u otra, sino aplicar ambas de forma coherente.
Al final, la cuestión es sencilla: que los usuarios puedan usar internet con confianza, sabiendo que sus derechos están garantizados y que tu página web cumple con la legislación vigente.
En Lawwwing te ayudamos a mantener tu web legal, con banner de cookies automatizado, Consent Mode v2, textos legales actualizados y política de privacidad web adaptada a la DSA y al RGPD.
