O que o DSA abrange e a quem se aplica

O DSA é um regulamento, não uma diretiva — tem efeito direto em todos os estados-membros da UE sem necessidade de transposição nacional. Entrou plenamente em vigor para plataformas online muito grandes e motores de pesquisa em agosto de 2023 e para todos os outros em fevereiro de 2024, o que significa que os editores têm agora dois anos de experiência operacional com o regime. O Ato cria um conjunto de obrigações em camadas com base no tamanho e no tipo de plataforma: as micro e pequenas empresas estão maioritariamente isentas, os serviços intermediários têm obrigações básicas, os prestadores de alojamento têm deveres de moderação de conteúdo, as plataformas online têm regras adicionais de transparência, e as plataformas online muito grandes (mais de quarenta e cinco milhões de utilizadores ativos mensais da UE) têm as obrigações mais rígidas, incluindo avaliações de risco sistémico e auditorias externas.

Onde se situam a maioria dos editores

A grande maioria dos editores enquadra-se na categoria de plataforma online — alojam conteúdo gerado por utilizadores (comentários, publicações em fóruns, contribuições de leitores), servem publicidade e recomendam conteúdo através de feeds algorítmicos ou módulos de artigos relacionados. A camada de plataforma online é onde o DSA se torna operacionalmente relevante: restrições à publicidade direcionada para menores, obrigações de transparência sobre a entrega de anúncios e parâmetros de segmentação, explicações sobre sistemas de recomendação e opções de opt-out, e um regime de notificação e ação para conteúdo ilegal. Os editores acima do limiar de plataforma online muito grande acrescentam a avaliação de risco sistémico, as obrigações de auditor externo oficial e o requisito de dar aos investigadores aprovados pela Comissão acesso aos dados da plataforma.

O teste geográfico

O DSA aplica-se extraterritorialmente. Um editor norte-americano com visitantes europeus está no âmbito de aplicação assim que os utilizadores da UE podem interagir com o serviço — o que abrange essencialmente qualquer website de acesso público. O critério não é onde o editor está sediado, mas se o serviço é oferecido a destinatários da UE. À semelhança do GDPR, isto abrange por defeito a maior parte da indústria editorial global.

As restrições à publicidade direcionada

A camada do DSA que mais importa para o consentimento de cookies e as operações publicitárias é o Article 26, que restringe a publicidade direcionada de duas formas específicas em torno das quais os editores devem estruturar os seus sistemas.

A proibição de segmentação de menores

O DSA proíbe a publicidade direcionada a menores com base em criação de perfis utilizando dados pessoais. A proibição aplica-se sempre que o editor saiba, ou deva razoavelmente saber, que o destinatário é menor — o que na prática significa que entra em vigor para qualquer sinal em que um editor possa razoavelmente agir (uma idade autodeclarada, um sinal de controlo parental, uma categoria de conteúdo que sugere fortemente uma audiência jovem, uma marcação de conta do próprio sistema de utilizadores do editor). O CMP deve codificar esta restrição: mesmo que um utilizador menor aceite cookies de marketing, o caminho para publicidade direcionada deve estar desativado por defeito. A alternativa é a publicidade contextual — seleção de anúncios com base no conteúdo da página em vez de perfis de utilizador — que a maioria dos principais SSP e servidores de anúncios expõe agora como modo de entrega de primeira classe.

A proibição de dados sensíveis

O DSA também proíbe a publicidade direcionada com base em criação de perfis que utilize categorias especiais de dados pessoais conforme definidas no GDPR Article 9 — raça, religião, opiniões políticas, filiação sindical, saúde, vida sexual, orientação sexual, dados biométricos, dados genéticos. A proibição é absoluta: o consentimento não a elimina. Os editores que gerem categorias de conteúdo que abrangem qualquer uma destas áreas — editores de saúde, meios de comunicação religiosos, sites de notícias políticas, publicações LGBTQ+ — devem garantir que a sua pilha de tecnologia publicitária não passa sinais de perfil derivados destes dados a anunciantes, mesmo quando o utilizador consentiu em todas as categorias de marketing.

Implicações operacionais para o CMP

O CMP deve codificar as restrições do DSA como portas rígidas, não como comutadores de estado de consentimento. Um recibo de consentimento que diz 'todas as categorias aceites' não autoriza publicidade direcionada a um menor ou com base em dados do Article 9. A rota de implementação mais limpa encaminha o estado de consentimento, o sinal de menor e a classificação de conteúdo sensível da página através de uma única função de decisão que se situa entre o CMP e os fornecedores de tecnologia publicitária, e a função assume por defeito a entrega contextual sempre que alguma das portas do DSA é ativada.

O opt-out do sistema de recomendação

O Article 38 do DSA exige que as plataformas online que utilizam sistemas de recomendação — classificação algorítmica de conteúdo em feeds, módulos de artigos relacionados, filas de vídeos a seguir — expliquem os principais parâmetros desses sistemas e ofereçam aos utilizadores pelo menos uma opção que não seja baseada em criação de perfis. Os editores que utilizam descoberta de conteúdo personalizada não podem tornar a criação de perfis o único modo disponível.

Como é o modo sem criação de perfis

O modo sem criação de perfis é tipicamente um feed cronológico, um feed classificado por popularidade ou um feed curado editorialmente que não personaliza com base no comportamento do utilizador individual. O utilizador deve poder mudar para ele através de um controlo claramente visível — não enterrado nas definições da conta — e a escolha deve ser memorizada para sessões futuras. Os editores devem tratar o controlo do sistema de recomendação como uma parte de primeira classe da UX de consentimento, frequentemente apresentado através da mesma interface CMP que gere as preferências de cookies.

Transparência sobre parâmetros de classificação

A plataforma deve publicar, em linguagem simples, os principais parâmetros que o seu sistema de recomendação utiliza — recência, popularidade, semelhança com comportamentos anteriores, peso editorial, relevância publicitária. A publicação é tipicamente uma secção na política de privacidade ou uma página de transparência dedicada, e deve ser suficientemente específica para que um regulador que a leia possa verificar a descrição em relação ao comportamento real da plataforma. Linguagem vaga como 'utilizamos machine learning para recomendar conteúdo de que pode gostar' não cumpre o padrão.

Como o DSA se sobrepõe ao GDPR e ao ePrivacy

O DSA não substitui o GDPR ou o ePrivacy — acrescenta regras ao nível da plataforma por cima deles. As interações são maioritariamente aditivas, mas em dois lugares específicos restringem o que o consentimento por si só pode autorizar.

O consentimento não pode anular as proibições do DSA

A proibição de segmentação de menores e a proibição de dados sensíveis do Article 9 são absolutas. Um utilizador não pode consentir em receber publicidade direcionada em nenhum dos casos. Esta é uma restrição de design significativa para os CMP que historicamente tratavam o consentimento como o desbloqueador universal — ao abrigo do DSA, o estado de consentimento é necessário mas não suficiente, e a arquitetura do CMP deve refletir isso.

As obrigações de transparência situam-se sobre as do GDPR

As obrigações de transparência publicitária do DSA — identificar claramente os anúncios, nomear o anunciante, explicar os principais parâmetros de segmentação utilizados para a entrega específica do anúncio — são independentes dos requisitos de transparência do GDPR e devem ser cumpridas no próprio criativo publicitário. A maioria dos editores trata isto através de modelos de servidor de anúncios que injetam automaticamente o bloco de marcação de anúncios DSA nos criativos servidos.

Alterações práticas de CMP e da pilha de anúncios

O CMP e a pilha de anúncios conscientes do DSA têm um pequeno número de elementos repetíveis que se estabilizaram nas principais plataformas comerciais até 2026.

Canalização do sinal de menor

O CMP deve aceitar um sinal de menor do sistema de conta de utilizadores do editor, da classificação de conteúdo da página ou da camada de controlo parental, e propagar o sinal para a decisão de consentimento. A maioria dos CMP expõe agora isto como um atributo 'minor' no recibo de consentimento que a pilha de anúncios lê juntamente com o estado de consentimento. O sinal flui a jusante através do Google Consent Mode v2, da string IAB TCF v2.3 e de qualquer integração específica de fornecedor que o suporte.

Classificação de conteúdo sensível

Os editores devem executar uma passagem de classificação de conteúdo em cada página que a mapeie para as categorias de dados sensíveis do DSA. A classificação pode ser manual para sites editoriais com taxonomias estruturadas ou automatizada para sites de grande volume com marcação de conteúdo baseada em NLP. A classificação alimenta a decisão de fallback contextual da pilha de anúncios: uma página marcada com uma categoria sensível é encaminhada apenas para anúncios contextuais, independentemente do estado de consentimento.

Alternância do sistema de recomendação

O opt-out do sistema de recomendação deve residir no mesmo lugar que a vista de preferências do banner de consentimento — a maioria dos CMP expõe agora um módulo genérico de 'controlos da plataforma' para este fim. A alternância muda a preferência ao nível da sessão do utilizador e, se o utilizador estiver autenticado, a sua preferência ao nível da conta. O serviço de recomendação a jusante lê a preferência em cada chamada de classificação.

Erros comuns do DSA que desencadeiam descobertas

As decisões de aplicação do DSA ao longo de 2024 e 2025 produziram uma lista clara de padrões que levam a inquéritos da Comissão. O CMP define por defeito o sinalizador de segmentação de menores como falso para todos os utilizadores sem nunca verificar os próprios sinais de idade do editor. O opt-out do sistema de recomendação está enterrado três cliques acima nas definições da conta em vez de estar apresentado perto do banner de consentimento. O bloco de marcação de anúncios do criativo publicitário é adicionado aos anúncios de display mas é omitido nos criativos de vídeo. A classificação de conteúdo sensível abrange categorias óbvias como saúde e religião, mas omite sites de notícias políticas que no entanto se qualificam ao abrigo da proteção de opiniões políticas do Article 9. A camada de plataforma online muito grande publica a sua avaliação de risco sistémico, mas trata-a como um exercício único em vez do documento vivo anual que o DSA exige.

A conclusão

O DSA é o primeiro grande regulamento da UE desde o GDPR a remodelar materialmente o que os editores podem fazer com a atenção da audiência para a qual já recolheram consentimento. As proibições de segmentação de menores e do Article 9 são restrições de design absolutas, não opções de consentimento. O opt-out do sistema de recomendação é um controlo de utilizador de primeira classe que se situa junto ao banner de cookies. As obrigações de transparência sobre a entrega de anúncios exigem modelos de servidor de anúncios que injetam automaticamente as marcações corretas em cada criativo servido. Nada disto é opcional e nada pode ser implementado às pressas quando chega uma carta de aplicação. Os editores que incorporaram as portas do DSA no seu CMP e na sua pilha de anúncios durante a fase de introdução gradual de 2023–2024 estão agora a operar de forma limpa; os editores que trataram o DSA como um exercício de documentação estão a passar o ano 2026 na fila de aplicação da Comissão. O trabalho é moderado, a arquitetura está estabelecida e as consequências de o ignorar já não são hipotéticas.