La transformación digital ha convertido el tratamiento de datos personales en una piedra angular de los servicios en línea. Con la entrada en vigor de la DSA (formalmente, el Reglamento de Servicios Digitales (UE) 2022/2065) se impone un nuevo marco regulatorio europeo que busca reforzar la transparencia, la protección de los usuarios y la rendición de cuentas de las plataformas digitales.
Paralelamente, el RGPD sigue siendo la normativa de referencia para la protección de datos personales en Europa. La intersección entre ambos instrumentos exige una estrategia coordinada: no se trata de aplicar el RGPD por un lado y la DSA por otro como sistemas normativos independientes, sino de garantizar una aplicación coherente que integre la protección de datos en la gobernanza de plataformas. En efecto, recientes directrices del Comité Europeo de Protección de Datos (CEPD) subrayan que la DSA “no exime” del RGPD, sino que lo complementa y en este sentido se posicionan las directrices 3/2025 de 12 de septiembre en las que se subraya la evidente interacción entre ambas normativas.
Ámbito de aplicación y obligaciones compartidas
La DSA se aplica desde febrero de 2024 a los proveedores de servicios digitales, incluyendo intermediarios, plataformas de alojamiento o intercambio de contenido, motores de búsqueda y “motores de muy gran tamaño” (VLOP) o “motores de búsqueda de muy gran tamaño” (VLOSE) cuando superan umbrales determinados.
Sus obligaciones incluyen mayor transparencia publicitaria, sistemas de notificación de contenido ilícito, mitigación de riesgos y auditorías externas. Por su parte, el RGPD exige que todo tratamiento de datos personales cumpla los principios de licitud, minimización, transparencia, exactitud, limitación de la finalidad, seguridad y rendición de cuentas. Cuando una plataforma digital recolecta datos, perfila usuarios, regla recomendaciones o realiza publicidad dirigida, ambos marcos resultan concomitantes.
Por ejemplo, el artículo 26 de la DSA prohíbe la publicidad dirigida basada en categorías especiales de datos personales (artículo 9.1 RGPD) y las Directrices del CEPD así lo recuerdan.
Por tanto, los responsables de servicios digitales deben diseñar su operativa teniendo en cuenta tanto los deberes de la DSA como las obligaciones del RGPD: asegurando el tratamiento legal de los datos, garantizando derechos de los interesados, evaluando riesgos y aplicando medidas de seguridad adecuadas.
Riesgos elevados y exigencias de responsabilidad
Las plataformas digitales presentan un perfil de riesgo elevado: tratan gran volumen de datos, incluyen decisiones automatizadas, recomendadores, publicidad personalizada y flujos de datos entre Estados miembros o fuera del Espacio Económico Europeo. Estas particularidades exigen una gobernanza robusta. Las sanciones pueden ser muy severas: bajo la DSA, plataformas pueden enfrentarse a multas de hasta el 6 % de su volumen de negocio global o hasta 35 millones €, además de instrucciones para modificar sus sistemas.
A lo anterior se une que el RGPD permite sanciones de hasta 4 % de la facturación global o 20 millones €, según el importe mayor. Por ello, la responsabilidad compartida exige que los servicios digitales adopten un enfoque de “privacidad por diseño y por defecto” (privacy by design & by default), implementando Evaluaciones de Impacto en Protección de Datos (EIPD) cuando el tratamiento entraña alto riesgo (como en sistemas de recomendación o publicidad personalizada a gran escala). Las Directrices del CEPD sobre la interacción DSA-RGPD lo confirman.
En este entorno, las empresas deben garantizar que los perfiles de cumplimiento normativo, privacidad y tecnología actúen de forma integrada: marketing, datos, TI, legal y seguridad deben alinearse.
Oportunidades para la privacidad como ventaja competitiva
Lejos de ser un obstáculo, el cumplimiento coordinado del RGPD y la DSA puede convertirse en una ventaja competitiva para los servicios digitales. Los usuarios, cada vez más conscientes de la privacidad, prefieren plataformas que ofrecen transparencia, control sobre sus datos, explicabilidad de algoritmos y menores riesgos de abuso.
Por ejemplo, la DSA obliga a facilitar a los usuarios mecanismos de reclamación, acceso a información sobre sistemas de recomendación y la opción de no ser perfilados para determinados contenidos.
Las plataformas que comuniquen una protección de datos sólida (datos personales tratados conforme al RGPD, publicidad transparente, derechos de oposición y portabilidad del usuario) reducen riesgos regulatorios y mejoran la confianza del público y consolidan su reputación. En un mercado globalizado, esto se traduce en mejores alianzas, mayor fidelización, y potencial apertura de nuevos mercados.
El valor de la formación especializada en el nuevo marco normativo
Dada la complejidad regulatoria, como la coexistencia de DSA-RGPD, la Directiva ePrivacy u otras normativas digitales en desarrollo, la demanda de profesionales con capacidad para entender como las normativas digitales vienen a desarrollar un marco de protección de los derechos fundamentales conjuntamente con el RGPD, es una necesidad evidente en el mercado de la economía digital. Las organizaciones demandan perfiles capaces de interpretar las normativas sectoriales, con capacidad para diseñar estructuras de cumplimiento en las organizaciones obligadas, facilitando la gestión de flujos de datos personales, con capacidad para auditar plataformas, evaluar riesgos y asegurar transparencia algorítmica.
Por ello, la mejor opción formativa es el Máster en el Reglamento General de Protección de Datos (RGPD), impartido por la Universidad Nacional de Educación a Distancia (UNED) con el apoyo de la Agencia Española de Protección de Datos (AEPD). Este máster proporciona un enfoque integral: jurídico-normativo, técnico-organizativo y estratégico, adaptado al entorno digital regulado. La matrícula para la edición de 2026 está abierta.
