Qué Cubre el DSA y a Quién se Aplica

El DSA es un reglamento, no una directiva — tiene efecto directo en todos los estados miembros de la UE sin necesidad de transposición nacional. Entró en plena vigencia para las plataformas en línea muy grandes y los motores de búsqueda en agosto de 2023 y para todos los demás en febrero de 2024, lo que significa que los editores ya tienen dos años de experiencia operativa con el régimen. La ley crea un conjunto escalonado de obligaciones basadas en el tamaño y el tipo de plataforma: las microempresas y pequeñas empresas están en gran medida exentas, los servicios intermediarios tienen obligaciones básicas, los proveedores de alojamiento se enfrentan a deberes de moderación de contenidos, las plataformas en línea se enfrentan a normas adicionales de transparencia, y las plataformas en línea muy grandes (más de cuarenta y cinco millones de usuarios activos mensuales en la UE) se enfrentan a las obligaciones más estrictas, incluidas las evaluaciones de riesgos sistémicos y las auditorías externas.

Dónde se Sitúan la Mayoría de los Editores

La gran mayoría de los editores se encuadra en la categoría de plataformas en línea — alojan contenido generado por usuarios (comentarios, publicaciones en foros, contribuciones de lectores), sirven publicidad y recomiendan contenido a través de feeds algorítmicos o módulos de artículos relacionados. El nivel de plataforma en línea es donde el DSA se vuelve operativamente relevante: restricciones de publicidad dirigida para menores, obligaciones de transparencia sobre la entrega de anuncios y los parámetros de segmentación, explicaciones de los sistemas de recomendación y exclusiones voluntarias, y un régimen de notificación y acción para contenido ilícito. Los editores que superan el umbral de plataforma en línea muy grande añaden evaluación de riesgo sistémico, obligaciones de auditor externo y el requisito de dar acceso a los datos de la plataforma a los investigadores verificados de la Comisión.

La Prueba Geográfica

El DSA se aplica extraterritorialmente. Un editor estadounidense con visitantes europeos está dentro del ámbito de aplicación en el momento en que los usuarios de la UE pueden interactuar con el servicio — lo que prácticamente incluye cualquier sitio web de cara al público. El criterio no es dónde tiene su sede el editor, sino si el servicio se ofrece a destinatarios de la UE. Al igual que el GDPR, esto capta por defecto la mayor parte de la industria editorial mundial.

Las Restricciones a la Publicidad Dirigida

La capa del DSA que más importa para el consentimiento de cookies y las operaciones publicitarias es el artículo 26, que restringe la publicidad dirigida de dos maneras específicas alrededor de las cuales los editores deben diseñar soluciones técnicas.

La Prohibición de Segmentación de Menores

El DSA prohíbe la publicidad dirigida a menores basada en la elaboración de perfiles mediante datos personales. La prohibición se aplica siempre que el editor sepa, o deba razonablemente saber, que el destinatario es menor — lo que en la práctica significa que entra en vigor para cualquier señal sobre la que un editor podría razonablemente actuar (una edad autodeclarada, una señal de control parental, una categoría de contenido que sugiere claramente un público joven, un indicador de cuenta del propio sistema de usuarios del editor). El CMP debe codificar esta restricción: incluso si un usuario menor acepta las cookies de marketing, la vía de publicidad dirigida debe estar desactivada por defecto. La alternativa es la publicidad contextual — selección de anuncios basada en el contenido de la página en lugar de perfiles de usuario — que la mayoría de los principales SSP y servidores de anuncios ahora exponen como modo de entrega de primera clase.

La Prohibición de Datos Sensibles

El DSA también prohíbe la publicidad dirigida basada en la elaboración de perfiles que utilizan categorías especiales de datos personales según lo definido en el artículo 9 del GDPR — raza, religión, opiniones políticas, afiliación sindical, salud, vida sexual, orientación sexual, datos biométricos, datos genéticos. La prohibición es absoluta: el consentimiento no la desbloquea. Los editores que gestionan categorías de contenido que tocan cualquiera de estas áreas — editores de salud, medios religiosos, sitios de noticias políticas, publicaciones LGBTQ+ — deben garantizar que su pila de tecnología publicitaria no transmita señales de perfil derivadas de estos datos a los anunciantes, incluso cuando el usuario haya consentido en todas las categorías de marketing.

Implicaciones Operativas para el CMP

El CMP debe codificar las restricciones del DSA como puertas rígidas, no como interruptores de estado de consentimiento. Un recibo de consentimiento que diga «todas las categorías aceptadas» no autoriza la publicidad dirigida a un menor o basada en datos del artículo 9. Las rutas de implementación más limpias dirigen el estado de consentimiento, la señal de menor y la clasificación de contenido sensible de la página a través de una única función de decisión que se sitúa entre el CMP y los proveedores de tecnología publicitaria, y la función vuelve por defecto a la entrega contextual siempre que se active cualquiera de las puertas del DSA.

La Exclusión Voluntaria del Sistema de Recomendación

El artículo 38 del DSA exige que las plataformas en línea que utilicen sistemas de recomendación — clasificación algorítmica de contenido en feeds, módulos de artículos relacionados, colas de siguiente vídeo — expliquen los principales parámetros de dichos sistemas y ofrezcan a los usuarios al menos una opción que no esté basada en la elaboración de perfiles. Los editores que gestionan el descubrimiento de contenido personalizado no pueden hacer de la elaboración de perfiles el único modo disponible.

Cómo es el Modo Sin Elaboración de Perfiles

El modo sin elaboración de perfiles es típicamente un feed cronológico, un feed clasificado por popularidad o un feed seleccionado editorialmente que no personaliza en función del comportamiento individual del usuario. El usuario debe poder cambiar a él mediante un control claramente visible — no enterrado en la configuración de la cuenta — y la elección debe recordarse para futuras sesiones. Los editores deben tratar el control del sistema de recomendación como una parte de primera clase de la experiencia de usuario de consentimiento, a menudo mostrado a través de la misma interfaz CMP que gestiona las preferencias de cookies.

Transparencia sobre los Parámetros de Clasificación

La plataforma debe publicar, en lenguaje claro, los principales parámetros que utiliza su sistema de recomendación — actualidad, popularidad, similitud con el comportamiento pasado, peso editorial, relevancia publicitaria. La publicación es típicamente una sección de la política de privacidad o una página de transparencia dedicada, y debe ser lo suficientemente específica como para que un regulador que la lea pueda verificar la descripción frente al comportamiento real de la plataforma. Un lenguaje vago como «utilizamos aprendizaje automático con NLP para recomendar contenido que podría gustarle» no supera el listón.

Cómo el DSA se Superpone al GDPR y al ePrivacy

El DSA no sustituye al GDPR ni al ePrivacy — añade reglas a nivel de plataforma por encima de ellos. Las interacciones son en su mayoría aditivas, pero en dos lugares específicos limitan lo que el consentimiento por sí solo puede autorizar.

El Consentimiento No Puede Anular las Prohibiciones del DSA

La prohibición de segmentación de menores y la prohibición de datos sensibles del artículo 9 son absolutas. Un usuario no puede dar su consentimiento para recibir publicidad dirigida en ninguno de los casos. Esto es una restricción de diseño significativa para los CMP que históricamente han tratado el consentimiento como el desbloqueo universal — bajo el DSA, el estado de consentimiento es necesario pero no suficiente, y la arquitectura del CMP debe reflejar esto.

Las Obligaciones de Transparencia se Superponen a las del GDPR

Las obligaciones de transparencia publicitaria del DSA — identificar claramente los anuncios, nombrar al anunciante, explicar los principales parámetros de segmentación utilizados para la entrega específica de un anuncio — son independientes de los requisitos de transparencia del GDPR y deben satisfacerse en el propio material creativo del anuncio. La mayoría de los editores lo gestionan mediante plantillas de servidor de anuncios que inyectan automáticamente el bloque de marcadores de anuncios del DSA en los creativos servidos.

Cambios Prácticos en el CMP y la Pila Publicitaria

El CMP y la pila publicitaria conscientes del DSA tienen un pequeño número de elementos repetibles que se han estabilizado en las principales plataformas comerciales para 2026.

Canalización de la Señal de Menor

El CMP debe aceptar una señal de menor del sistema de cuentas de usuario del editor, la clasificación de contenido de la página o la capa de controles parentales, y propagar la señal en la decisión de consentimiento. La mayoría de los CMP ahora exponen esto como un atributo «minor» en el recibo de consentimiento que la pila publicitaria lee junto con el estado de consentimiento. La señal fluye aguas abajo a través de Google Consent Mode v2, la cadena IAB TCF v2.3 y cualquier integración específica del proveedor que lo admita.

Clasificación de Contenido Sensible

Los editores deben ejecutar un paso de clasificación de contenido en cada página que la mapee a las categorías de datos sensibles del DSA. La clasificación puede ser manual para sitios editoriales con taxonomías estructuradas o automatizada para sitios de alto volumen con etiquetado de contenido basado en NLP. La clasificación alimenta la decisión de reserva contextual de la pila publicitaria: una página etiquetada con una categoría sensible se dirige únicamente a anuncios contextuales independientemente del estado de consentimiento.

Interruptor del Sistema de Recomendación

La exclusión voluntaria del sistema de recomendación debe encontrarse en el mismo lugar que la vista de preferencias del banner de consentimiento — la mayoría de los CMP ahora exponen un módulo genérico de «controles de plataforma» para este propósito. El interruptor cambia la preferencia del usuario a nivel de sesión y, si el usuario está autenticado, su preferencia a nivel de cuenta. El servicio de recomendación aguas abajo lee la preferencia en cada llamada de clasificación.

Errores Comunes del DSA que Desencadenan Hallazgos

Las decisiones de aplicación del DSA durante 2024 y 2025 han producido una lista clara de patrones que conducen a investigaciones de la Comisión. El CMP establece por defecto el indicador de segmentación de menores en falso para cada usuario sin comprobar nunca las señales de edad propias del editor. La exclusión voluntaria del sistema de recomendación está enterrada tres clics dentro de la configuración de la cuenta en lugar de mostrarse cerca del banner de consentimiento. El bloque de marcadores de anuncios del DSA se añade a los anuncios de display pero se omite para los creativos de vídeo. La clasificación de contenido sensible cubre categorías obvias como salud y religión, pero omite los sitios de noticias políticas que sin embargo se encuadran en la protección de las opiniones políticas del artículo 9. El nivel de plataforma en línea muy grande publica su evaluación de riesgo sistémico pero la trata como un ejercicio puntual en lugar del documento vivo anual que el DSA exige.

Conclusión

El DSA es la primera gran regulación de la UE desde el GDPR que reformula materialmente lo que los editores pueden hacer con la atención de la audiencia para la que ya han recopilado consentimiento. Las prohibiciones de segmentación de menores y del artículo 9 son restricciones de diseño absolutas, no opciones de consentimiento. La exclusión voluntaria del sistema de recomendación es un control de usuario de primera clase que se sitúa junto al banner de cookies. Las obligaciones de transparencia sobre la entrega de anuncios requieren plantillas de servidor de anuncios que inyecten automáticamente los marcadores correctos en cada creativo servido. Nada de esto es opcional, y nada de esto puede adaptarse de forma apresurada cuando llegue una carta de aplicación. Los editores que integraron las puertas del DSA en su CMP y pila publicitaria durante la fase de entrada en vigor de 2023-2024 ahora operan de manera conforme; los editores que trataron el DSA como un ejercicio de documentación están pasando el 2026 en la cola de aplicación de la Comisión. El trabajo es moderado, la arquitectura está consolidada y las consecuencias de omitirlo ya no son hipotéticas.