La protección de datos personales en el entorno digital y la regulación de los grandes servicios en línea son materias convergentes cuya articulación resulta esencial para garantizar los derechos fundamentales y la seguridad jurídica en la Unión Europea. En ese contexto, el EDPB ha adoptado recientemente sus directrices sobre la interacción entre la DSA y el GDPR, con el fin de clarificar cómo deben aplicarse juntos estos dos pilares del marco regulatorio digital europeo.
1. Antecedentes
- La DSA, aprobada para regular los servicios intermediarios en línea (plataformas, motores de búsqueda, redes sociales), establece obligaciones específicas en materia de moderación de contenido, transparencia, publicidad, sistemas de recomendación y medidas frente a riesgos sistémicos.
- El GDPR, vigente desde 2018, es el marco general de protección de datos personales en la UE, que impone principios (licitud, minimización, transparencia, responsabilidad proactiva) y derechos a los titulares de los datos.
- Dado que muchos servicios intermediarios que se regulan bajo la DSA procesan datos personales y emplean algoritmos de recomendación, perfiles de usuario o publicidad basada en comportamiento, ya existía una superposición significativa entre ambas regulaciones. Incluso el texto de la DSA lo reconoce: “without prejudice to [the GDPR]”.
2. Contenido clave de las directrices del EDPB
Las directrices adoptadas por el EDPB tienen, entre otros, los siguientes focos esenciales:
- Identifican obligaciones de la DSA que implican el procesamiento de datos personales y cómo deben entenderse a la luz de los conceptos del GDPR: por ejemplo, los sistemas de “notice‑and‑action” para reportar contenido ilegal, los sistemas de recomendación automática (“recommender systems”), la protección de menores, la transparencia de la publicidad, la prohibición de publicidad basada en perfilado que utilice datos de categorías especiales.
- Enfatizan que los servicios intermediarios regulados por la DSA no pueden tratar de separar el cumplimiento del GDPR del cumplimiento de la DSA: ambas regulaciones deben aplicarse de forma coherente.
- Subrayan la necesidad de cooperación entre las autoridades competentes en el marco de la DSA y las autoridades de protección de datos que aplican el GDPR, para asegurar un marco coherente de supervisión y sanción.
- Ejemplos prácticos:
- Si una plataforma muy grande de internet (“Very Large Online Platform”, VLOP) implementa un sistema de recomendación basado en perfilado, debe garantizar que, cuando se ofrezca una versión no basada en perfilado, no se recojan datos para perfilado bajo la versión ‘no‑perfilada’.
- En materia de menores, la DSA exige “un nivel elevado de privacidad, seguridad y protección” para los menores; el EDPB indica que esto debe cumplirse bajo la normativa del GDPR (artículo 6 o 9) y los principios de protección reforzada.
3. Implicaciones para la academia, la práctica del derecho digital y el compliance
- Desde una perspectiva académica: estas directrices constituyen un hito para el estudio del Derecho digital europeo, ya que supeditan la aplicación de dos grandes marcos normativos al principio de coherencia regulatoria. Ello abre ámbitos de investigación: ¿cómo se interpretan los conceptos comunes (“perfilado”, “categorías especiales de datos”, “recomendación automática”)? ¿qué régimen de responsabilidad aplica a las plataformas que procesan datos y moderan contenido?
- En la práctica profesional: las plataformas intermediarias, especialmente aquellas de gran dimensión, deben revisar sus políticas de procesamiento de datos para asegurarse de que los requisitos del GDPR y las obligaciones de la DSA están alineados: políticas de perfilado, transparencia, diseño y desarrollo de las funcionalidades, evaluación de riesgos (DPIA y análisis de riesgos sistémicos).
- Para los despachos y las autoridades de supervisión: se hace necesaria una estrategia de supervisión conjunta o coordinada, dado que los operadores pueden estar sujetos a sanciones tanto por incumplimiento del GDPR como por faltas en la DSA.
- En el ámbito del compliance corporativo: la figura del “compliance officer” o la función de cumplimiento en plataformas reguladas por la DSA debe incorporar también la dimensión de protección de datos, de modo que se integren ambas regulaciones en los procesos de auditoría, transparencia, gobernanza de los algoritmos y diseño de sistemas.
4. Conclusión
La adopción de estas directrices por parte del EDPB marca un paso decisivo hacia una regulación digital europea más cohesiva, donde los derechos de los individuos en materia de protección de datos no se disocian de la regulación del mercado digital. Para los profesionales del Derecho, tanto en el sector académico como en la práctica, resulta imprescindible considerar ambas normativas —la DSA y el GDPR— de modo conjunto, entendiendo que su interacción redefine obligaciones, responsabilidades y riesgos. En definitiva: en el ecosistema digital europeo, no basta con cumplir el GDPR, sino que es preciso hacerlo también bajo la óptica de la DSA, integrando ambos marcos de forma sinérgica.
