O que abrangue o DSA e a quen se aplica

O DSA é un regulamento, non unha directiva -- ten efecto directo en todos os estados membros da UE sen necesidade de transposición nacional. Entrou en pleno vigor para as plataformas en liña moi grandes e os motores de busca en agosto de 2023 e para todos os demais en febreiro de 2024, o que significa que os editores xa levan dous anos de experiencia operativa con este réxime. A Lei crea un conxunto escalonado de obrigas baseadas no tamaño e tipo de plataforma: as microempresas e pequenas empresas están en gran medida exentas, os servizos intermediarios teñen obrigas básicas, os provedores de hospedaxe teñen deberes de moderación de contido, as plataformas en liña se enfrontan a normas de transparencia adicionais, e as plataformas en liña moi grandes (máis de corenta e cinco millóns de usuarios activos mensuais na UE) teñen as obrigas máis estritas, incluídas as avaliacións de riscos sistémicos e as auditorías externas.

Onde se sitúa a maioría dos editores

A gran maioría dos editores entra na categoría de plataforma en liña -- aloxan contido xerado por usuarios (comentarios, publicacións en foros, contribucións de lectores), serven publicidade e recomendan contido a través de fluxos algorítmicos ou módulos de artigos relacionados. O nivel de plataforma en liña é onde o DSA se volve operativamente relevante: restricións de publicidade dirixida para menores, obrigas de transparencia sobre a entrega de publicidade e os parámetros de segmentación, explicacións e exclusións dos sistemas de recomendación, e un réxime de notificación e acción para o contido ilegal. Os editores por riba do umbral de plataforma en liña moi grande engaden a avaliación de riscos sistémicos, as obrigas de auditor externo oficial e o requisito de dar acceso aos investigadores acreditados pola Comisión aos datos da plataforma.

A proba xeográfica

O DSA aplícase extraterritorialmente. Un editor estadounidense con visitantes europeos está no ámbito en canto os usuarios da UE poidan interactuar co servizo -- o que é esencialmente calquera sitio web de acceso público. A proba non é onde está establecido o editor, senón se o servizo se ofrece a destinatarios da UE. Seguindo o GDPR, isto abrangue por defecto a maior parte da industria editorial global.

As restricións á publicidade dirixida

A capa do DSA que máis importa para o consentimento de cookies e as operacións publicitarias é o artigo 26, que restrinxe a publicidade dirixida de dúas xeitos específicos aos que os editores deben adaptar a súa arquitectura.

A prohibición de dirixirse a menores

O DSA prohibe a publicidade dirixida a menores baseada na elaboración de perfís mediante datos persoais. A prohibición aplícase sempre que o editor saiba, ou deba razoablemente saber, que o destinatario é menor -- o que na práctica significa que se activa para calquera sinal sobre o que un editor poida razoablemente actuar (unha idade autodeclarada, un sinal de control parental, unha categoría de contido que implique fortemente un público novo, un sinalador de conta do propio sistema de usuarios do editor). O CMP debe codificar esta restrición: mesmo se un usuario menor acepta as cookies de marketing, a ruta de publicidade dirixida debe estar desactivada por defecto. A alternativa é a publicidade contextual -- selección de anuncios baseada no contido da páxina en lugar de perfís de usuarios -- que a maioría dos principais SSP e servidores de anuncios agora expoñen como modo de entrega de primeira clase.

A prohibición de datos sensibles

O DSA tamén prohibe a publicidade dirixida baseada na elaboración de perfís que utiliza categorías especiais de datos persoais definidas no artigo 9 do GDPR -- raza, relixión, opinións políticas, pertenza a sindicatos, saúde, vida sexual, orientación sexual, datos biométricos, datos xenéticos. A prohibición é absoluta: o consentimento non a desbloquea. Os editores que xestionan categorías de contido que toquen calquera destas áreas -- editores de saúde, medios relixiosos, sitios de noticias políticas, publicacións LGBTQ+ -- deben asegurarse de que a súa pila de tecnoloxía publicitaria non transmita aos anunciantes sinais de perfil derivados destes datos, mesmo cando o usuario consentiu en todas as categorías de marketing.

Implicacións operativas para o CMP

O CMP debe codificar as restricións do DSA como portas firmes, non como cambios de estado de consentimento. Un recibo de consentimento que diga todas as categorías aceptadas non autoriza a publicidade dirixida a un menor nin baseada en datos do artigo 9. A implementación máis limpa enruta o estado de consentimento, o sinal de menor e a clasificación de contido sensible da páxina a través dunha única función de decisión que se sitúa entre o CMP e os provedores de tecnoloxía publicitaria, e a función por defecto entrega de forma contextual sempre que calquera das portas do DSA se accenda.

A exclusión do sistema de recomendación

O artigo 38 do DSA require que as plataformas en liña que usen sistemas de recomendación -- clasificación algorítmica de contido en fluxos, módulos de artigos relacionados, colas de vídeo seguinte -- expliquen os parámetros principais deses sistemas e ofrezcan aos usuarios polo menos unha opción que non estea baseada na elaboración de perfís. Os editores que executan o descubrimento de contido personalizado non poden facer da elaboración de perfís o único modo dispoñible.

Como é o modo sen elaboración de perfís

O modo sen elaboración de perfís é normalmente un fluxo cronolóxico, un fluxo clasificado por popularidade ou un fluxo editorialmentecurado que non personaliza en función do comportamento individual do usuario. O usuario debe poder cambiar a el a través dun control claramente visible -- non enterrado nos axustes da conta -- e a elección debe lembrarse para futuras sesións. Os editores deben tratar o control do sistema de recomendación como parte de primeira clase da UX de consentimento, a miúdo exposta a través da mesma interface de CMP que xestiona as preferencias de cookies.

Transparencia sobre os parámetros de clasificación

A plataforma debe publicar, en linguaxe sinxela, os principais parámetros que usa o seu sistema de recomendación -- actualidade, popularidade, semellanza co comportamento pasado, peso editorial, relevancia publicitaria. A publicación é normalmente unha sección na política de privacidade ou unha páxina de transparencia específica, e debe ser suficientemente específica para que un regulador ao lela poida verificar a descrición fronte ao comportamento real da plataforma. A linguaxe vaga como usamos aprendizaxe automática para recomendar contido que che poida gustar non supera o estándar.

Como se superpón o DSA ao GDPR e ao ePrivacy

O DSA non substitúe o GDPR nin o ePrivacy -- engade regras a nivel de plataforma por riba deles. As interaccións son maioritariamente aditivas, pero en dous lugares específicos restrinxen o que o consentimento por si só pode autorizar.

O consentimento non pode anular as prohibicións do DSA

A prohibición de dirixirse a menores e a prohibición de datos sensibles do artigo 9 son absolutas. Un usuario non pode consentir na recepción de publicidade dirixida en ningún dos dous casos. Este é un condicionante de deseño significativo para os CMP que historicamente trataron o consentimento como o desbloqueo universal -- baixo o DSA, o estado de consentimento é necesario pero non suficiente, e a arquitectura do CMP debe reflectir iso.

As obrigas de transparencia sitúanse por riba das do GDPR

As obrigas de transparencia publicitaria do DSA -- identificación clara dos anuncios, nomeamento do anunciante, explicación dos principais parámetros de segmentación utilizados para a entrega de anuncios específica -- son independentes dos requisitos de transparencia do GDPR e deben satisfacerse no propio creativo publicitario. A maioría dos editores xestionan isto a través de modelos de servidor de anuncios que inxectan automaticamente o bloque de marcador de anuncio DSA nos creativos servidos.

Cambios prácticos no CMP e na pila publicitaria

O CMP e a pila publicitaria conscientes do DSA teñen un pequeno número de elementos repetibles que se estabilizaron nas principais plataformas comerciais para 2026.

Tuberías do sinal de menor

O CMP debe aceptar un sinal de menor do sistema de contas de usuario do editor, a clasificación de contido da páxina ou a capa de control parental, e propagar o sinal na decisión de consentimento. A maioría dos CMP agora expoñen isto como un atributo de menor no recibo de consentimento que a pila publicitaria le xunto co estado de consentimento. O sinal flúe cara abaixo a través de Google Consent Mode v2, a cadea IAB TCF v2.3 e calquera integración específica do provedor que o suporte.

Clasificación de contido sensible

Os editores deben executar un paso de clasificación de contido en cada páxina que a mapee coas categorías de datos sensibles do DSA. A clasificación pode ser manual para sitios editoriais con taxonomías estruturadas ou automatizada para sitios de alto volume con etiquetado de contido baseado en NLP. A clasificación alimenta a decisión de reserva contextual da pila publicitaria: unha páxina etiquetada cunha categoría sensible enrútase só a anuncios contextuais, independentemente do estado de consentimento.

Interruptor do sistema de recomendación

A exclusión do sistema de recomendación debe residir no mesmo lugar que a vista de preferencias do banner de consentimento -- a maioría dos CMP agora expoñen un módulo xenérico de controis de plataforma para este propósito. O interruptor cambia a preferencia do usuario a nivel de sesión e, se o usuario está autenticado, tamén a súa preferencia a nivel de conta. O servizo de recomendación posterior le a preferencia en cada chamada de clasificación.

Erros comúns de DSA que desencadean achados

As decisións de execución do DSA ao longo de 2024 e 2025 produciron unha lista clara de patróns que levan a investigacións da Comisión. O CMP establece por defecto o indicador de dirixirse a menores en false para cada usuario sen comprobar nunca os propios sinais de idade do editor. A exclusión do sistema de recomendación está enterrada tres clics cara ao interior dos axustes da conta en vez de expoñela preto do banner de consentimento. O bloque de marcador de anuncio DSA engádese aos anuncios de display pero omítese para os creativos de vídeo. A clasificación de contido sensible abrangue categorías obvias como saúde e relixión pero pasa por alto os sitios de noticias políticas que non obstante cualifican baixo a protección de opinións políticas do artigo 9. O nivel de plataforma en liña moi grande publica a súa avaliación de riscos sistémicos pero trátaa como un exercicio puntual en vez de como o documento vivo anual que require o DSA.

Conclusión

O DSA é o primeiro regulamento maior da UE desde o GDPR que reformula materialmente o que os editores poden facer coa atención da audiencia para a que xa recolleron o consentimento. As prohibicións de dirixirse a menores e do artigo 9 son restricións de deseño absolutas, non opcións de consentimento. A exclusión do sistema de recomendación é un control de usuario de primeira clase que se sitúa xunto ao banner de cookies. As obrigas de transparencia sobre a entrega de publicidade requiren modelos de servidor de anuncios que inxecten automaticamente os marcadores correctos en cada creativo servido. Nada disto é opcional, e nada pode retrofit á présa cando chegue unha carta de execución. Os editores que integraron as portas do DSA no seu CMP e na pila publicitaria durante a fase de incorporación 2023-2024 están a operar limpos agora; os editores que trataron o DSA como un exercicio de documentación están a pasar 2026 na cola de execución da Comisión. O traballo é moderado, a arquitectura está consolidada, e as consecuencias de saltarse non son xa hipotéticas.