‘Entre la complementariedad y la confusión: el difícil encaje entre DSA y RGPD’, por Paula Ortiz

El Comité Europeo de Protección de Datos ha presentado sus Directrices sobre la interacción entre la Ley de Servicios Digitales (DSA) y el RGPD, un documento que persigue el necesario objetivo de aportar claridad en un panorama regulatorio de creciente densidad. La iniciativa es oportuna. Y es que en un entorno digital donde las normativas se superponen, la búsqueda de coherencia es fundamental para el desarrollo del mercado. Sin embargo, el texto, abierto a consulta pública, suscita una reflexión importante: cómo asegurar que la aplicación coherente de dos marcos legislativos no resulte en una duplicidad de obligaciones que, en lugar de simplificar, añada capas de complejidad y frene la innovación. La tesis central de las directrices afirma que la DSA y el RGPD son complementarios, y que la primera no atenúa las exigencias de la segunda. Desde un punto de vista jurídico, la lógica es irreprochable. La dificultad, como suele ocurrir, reside en su aplicación práctica. 

Consideremos la transparencia publicitaria. El RGPD requiere que el usuario reciba información completa antes de que se traten sus datos. La DSA, por su parte, especifica que cada anuncio debe ofrecer acceso en tiempo real a los parámetros que justifican su presentación. Las directrices constatan esta coexistencia, pero no exploran la complejidad mayúscula que supone para el diseño de interfaces. Las plataformas deben ahora orquestar una doble comunicación informativa, una estática y otra dinámica, con el riesgo de generar una experiencia de usuario fragmentada y una transparencia más teórica que efectiva. Y en un entorno donde los parámetros de una campaña no los decide únicamente la plataforma, sino una cadena de actores (anunciantes, agencias, tecnologías intermediarias) que operan en milisegundos. Consolidar y presentar esta información de forma "clara, concisa y accesible" desde el propio anuncio, como exige la DSA, requiere una coordinación técnica y contractual de una escala sin precedentes, que va mucho más allá del modelo de información estática del RGPD.

Esta tensión se manifiesta con mayor sutileza en el tratamiento de la publicidad que pudiera involucrar categorías especiales de datos. Las directrices confirman que la prohibición de la DSA de perfilar con datos sensibles es estricta y se superpone al RGPD. Señalan, de manera crucial, que esta prohibición aplica incluso si existiera un consentimiento explícito del usuario, una base legal contemplada en el RGPD. Esta interpretación establece un estándar de cumplimiento muy elevado. Dada la visión expansiva de los tribunales y autoridades sobre lo que constituye un dato sensible, incluidas las inferencias, surgen interrogantes sobre cómo el ecosistema puede ofrecer publicidad relevante sobre temas de interés público, pero potencialmente sensibles, sin incurrir en un riesgo regulatorio desproporcionado. La simple visita de un usuario a la sección de política de un periódico generalista, o la lectura de un artículo sobre bienestar y salud, podría generar señales que, agregadas, un actor malicioso podría interpretar como una opinión política o un estado de salud. Al eliminar la salvaguarda del consentimiento explícito, la directriz crea una responsabilidad casi ilimitada para las plataformas, que deben garantizar que ningún actor en la compleja cadena publicitaria pueda realizar tales inferencias. El efecto es un enfriamiento de la capacidad de mostrar publicidad relevante y legítima, lo que a su vez devalúa los espacios publicitarios. Sectores como el editorial de no ficción, las organizaciones sin ánimo de lucro que promueven causas sociales o incluso el comercio electrónico de productos culturales o religiosos podrían ver limitada su capacidad de alcanzar a sus audiencias.

Un desafío similar se plantea en la protección de los menores. La prohibición de dirigirles publicidad perfilada es un objetivo compartido e irrenunciable. Sin embargo, las directrices del CEPD expresan una notable cautela hacia los mecanismos de verificación de edad que pudieran requerir el tratamiento de datos adicionales, en línea con el principio de minimización. Se configura así un dilema de implementación: se exige un alto grado de certeza para proteger a los menores, pero se desincentivan las herramientas más fiables para lograrla. Esta contradicción sitúa a las empresas en una posición insostenible, forzándolas a una sobreprotección como única estrategia viable de mitigación de riesgos: aplicar medidas restrictivas a franjas de edad muy amplias, lo que degrada la experiencia de jóvenes adultos y no resuelve el problema de fondo. todo esto con el intenso debate que vive España sobre la protección de los menores en línea.

La actual consulta pública es importante para el futuro digital europeo. Las directrices parecen obviar la realidad operativa de un ecosistema publicitario atomizado, donde las plataformas son nodos de una red interconectada y no entes con control absoluto. El efecto acumulativo de las interpretaciones del Comité, revela, una vez más,  un escepticismo hacia el propio modelo de personalización que sustenta gran parte de los servicios digitales, imponiendo a los actores centrales una obligación de supervisión sobre toda la cadena de valor. Esta exigencia de una coordinación centralizada, ajena a la naturaleza distribuida del ecosistema, eleva las barreras técnicas y legales a un nivel que desincentiva la innovación y arriesga la viabilidad de los modelos de negocio que permiten el acceso a contenidos y servicios sin coste para el ciudadano. Resulta fundamental que la actual consulta pública sirva para inyectar una dosis de realismo operativo en la versión final de las directrices.

Paula Ortiz, Legal Executive Advisor