CEPD: Directrices sobre la interacción RSD y RGPD

Directrices 3/2025 del CEPD sobre la interacción entre el Reglamento de Servicios Digitales (RSD/DSA) y el Reglamento General de Protección de Datos (RGPD/GDPR)

El Comité Europeo de Protección de Datos (CEPD/EDPB) ha adoptado unas directrices sobre la interacción entre el RSD y el RGPD que supondrán una ayuda para:

• Comprender cómo se debe aplicar el RGPD en el contexto de las obligaciones del RSD.
• Garantizar un conjunto de normas digitales de la UE coherente y eficaz, y
• Defender los derechos y libertades fundamentales de las personas.

El RSD busca complementar lo establecido por el RGPD para garantizar el máximo nivel de protección de los derechos fundamentales en el espacio digital. Su principal objetivo es crear un entorno en línea más seguro donde se protejan los derechos fundamentales de todos los usuarios, incluido el derecho a la libertad de expresión. Se aplica a los servicios de intermediación en línea, como los motores de búsqueda y las plataformas. (En Privacy Driver, ver documentos de SOPORTE/NORMATIVA/EUROPEA: REGLAMENTO DE SERVICIOS DIGITALES -RSD-)

Varias disposiciones del RSD implican el tratamiento de datos personales por parte de proveedores de servicios intermediarios. Las directrices del CEPD contribuyen a la aplicación coherente del RSD y del RGPD, en la medida en que algunas disposiciones del RSD se refieren al tratamiento de datos personales por parte de proveedores de servicios intermediarios e incluyen referencias a los conceptos y definiciones del RGPD.

Si bien corresponde a las autoridades competentes en virtud del RSD, con el apoyo del Comité Europeo de Servicios Digitales y los tribunales de la UE, interpretar el RSD, hay una serie de disposiciones que se relacionan con el RGPD, entre otras:

• Sistemas de notificación y acción que ayudan a las personas o entidades a denunciar contenido ilegal.
• Sistemas de recomendación utilizados por las plataformas en línea para presentar automáticamente contenido específico a los usuarios de la plataforma con un cierto un cierto orden y una relevancia específica.
• Las disposiciones para garantizar un alto nivel de privacidad, seguridad y protección de los menores y prohibir que se les presente publicidad basada en perfiles que utilice sus datos.
• Transparencia de la publicidad en las plataformas online.
• Prohibición de publicidad basada en perfiles que utilice categorías especiales de datos.

El CEPD también ofrece orientación práctica relacionada con la cooperación interregulatoria entre autoridades para coordinar la aplicación, lo que brindará mayor seguridad jurídica a los proveedores de servicios intermediarios y, en última instancia, protegerá los derechos y libertades de las personas.

Las directrices estarán sujetas a consulta pública, brindando a las partes interesadas la oportunidad de comentar y brindar retroalimentación.

Tras estas primeras directrices el CEPD está trabajando en directrices conjuntas con la Comisión Europea sobre la interacción entre la Ley de Mercados Digitales (LMD/DMA) y el Reglamento de Inteligencia Artificial (RIA/AIA) con el RGPD.

Enlace a la noticia en la página del CEPD: https://www.edpb.europa.eu/news/news/2025/interplay-between-dsa-and-gdpr-edpb-adopts-guidelines_es

Resumen Directrices 3/2025 del CEPD sobre la interacción entre el RSD y el RGPD

1. Introducción

Estas directrices buscan asegurar una interpretación y aplicación coherente del RSD y el RGPD, especialmente en aquellas disposiciones del RSD que conciernen el tratamiento de datos personales por parte de los proveedores de servicios intermediarios en línea, incluyendo referencias a conceptos y definiciones RGPD.

El RSD armoniza las normas aplicables a los servicios intermediarios en línea para garantizar un entorno online seguro y fiable, al tiempo que protege los derechos fundamentales, incluyendo la protección de datos personales.

Ambas normas deben aplicarse de manera compatible y coherente, sin rebajar el nivel de protección del derecho fundamental a la protección de datos. Los proveedores de servicios intermediarios, al tratar datos personales, conforme al RGPD, suelen actuar como responsables o encargados del tratamiento. Las directrices se centran en cómo los proveedores deben interpretar y aplicar el RGPD en los contextos cubiertos por el RSD.

2. Investigaciones voluntarias por iniciativa propia y cumplimiento en relación con contenido ilegal (art. 7 RSD)

Las directrices reconocen que las investigaciones voluntarias de los proveedores de servicios intermediarios en línea para detectar, identificar y abordar contenido ilegal (por ejemplo, desmonetizar, eliminar o deshabilitar el acceso) bajo el art. 7 del RSD, pueden implicar el tratamiento de datos personales mediante diversas técnicas, como modelos de aprendizaje automático.

En estas investigaciones los proveedores deben considerar y demostrar el cumplimiento de los principios relativos al tratamiento de datos personales, como la minimización y tener en cuenta la protección de datos desde el diseño y por defecto, según el RGPD. Estas tecnologías conllevan riesgos de equidad y precisión de datos, por altas tasas de error y el gran volumen de usuarios en grandes plataformas. Para cumplir con el RGPD, este tratamiento debe ser lícito, leal y transparente.

• Base jurídica:
  • Investigaciones voluntarias, suele ser el interés legítimo (art. 6.1.f) RGPD), lo que requiere que el interés de detectar contenido ilegal sea legítimo, el tratamiento sea necesario y no prevalezcan los derechos y libertades de los interesados. Los proveedores deben demostrar que no existen medios menos intrusivos y ser transparentes sobre los intereses legítimos y las medidas adoptadas.
  • Cumplir con requisitos del Derecho de la Unión o nacional, sería necesario el tratamiento para una obligación legal (art. 6.1.c) RGPD). Ejemplos: la identificación y retirada de obras protegidas por derechos de autor (Directiva sobre derechos de autor) o el ejercicio del derecho de supresión RGPD. La obligación legal debe ser clara, precisa, previsible y proporcionada, limitando la interferencia a lo estrictamente necesario.
• Decisiones automatizadas y elaboración de perfiles: las actividades a las que les aplica el art. 7 RSD pueden implicar decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, si tienen efectos jurídicos o afectan significativamente a los interesados, como la eliminación de contenido. Si aplica el art. 22.1 RGPD, los proveedores deben verificar si se encuentra ante alguna de las excepciones del art. 22.2 RGPD y evitar el tratamiento de categorías especiales de datos personales.
• Transparencia: se debe informar a los interesados según los arts. 13 o 14 RGPD, incluyendo detalles sobre la lógica aplicada y consecuencias previstas. El RSD añade requisitos de transparencia sobre políticas, procedimientos, medios algorítmicos y tasas de error.
• Evaluación de Impacto en la Protección de Datos (EIPD): las acciones a las que les aplique el art. 7 del RSD probablemente requerirán una EIPD (art. 35 RGPD) debido a la elaboración de perfiles, decisiones automatizadas con efectos significativos y evaluación sistemática, especialmente para plataformas en línea de gran tamaño (VLOPs).

3. Sistemas de notificación y acción y sistemas internos de gestión de reclamaciones (arts. 16, 17, 20 y 23 RSD)

El RSD obliga a los proveedores de servicios de alojamiento a establecer mecanismos de «notificación y acción» para que individuos o entidades informen sobre contenido ilegal. Estos mecanismos pueden implicar el tratamiento de datos personales del notificante, los destinatarios afectados y terceros.

• Datos del notificante: los proveedores pueden tratar el nombre y dirección de correo electrónico del notificante para confirmar la recepción, informar sobre la decisión y los medios de recurso, excepto en casos de abuso sexual infantil. La notificación debería permitir, pero no exigir, la identificación del notificante, a menos que sea necesario para determinar la ilegalidad del contenido. Si se revela la identidad del notificante a los afectados, debe ser estrictamente necesario (ej., infracciones de propiedad intelectual) y el notificante debe ser informado.
• Medios automatizados: los proveedores pueden usar medios automatizados en estos sistemas, pero deben informar al notificante sobre su uso (art. 16.6 RSD). Si a estas decisiones les es de aplicación el art. 22 RGPD, existen condiciones a tener en cuenta, especialmente si implican tratamiento de categorías especiales de datos.
• Declaración de motivos (art. 17 RSD): los proveedores deben proporcionar una declaración clara y específica de motivos a los destinatarios afectados por una decisión de eliminar o deshabilitar el acceso a su contenido, detallando los hechos, el uso de medios automatizados, la base legal y las opciones de recurso.
• Sistemas de reclamaciones (art. 20 RSD): las plataformas online deben ofrecer un mecanismo de reclamación. Las decisiones deben ser tomadas bajo la supervisión de personal cualificado, no únicamente por medios automatizados. Este mecanismo no afecta los derechos y recursos de los interesados bajo el RGPD.
• Lucha contra el uso indebido (art. 23 RSD): el RSD permite la suspensión de actividades de personas que proporcionan frecuentemente contenido ilegal o que presentan avisos o reclamaciones infundadas. Las salvaguardias deben ser apropiadas, proporcionadas y efectivas, respetando los principios RGPD como la minimización, exactitud, transparencia y limitación de la conservación. La suspensión no afecta el derecho a la portabilidad de datos.

4. Patrones engañosos (art. 25 RSD)

El art. 25.1 RSD prohíbe a los proveedores de plataformas online diseñar sus interfaces de forma que perjudiquen la capacidad de los destinatarios para tomar decisiones autónomas e informadas. Esta prohibición no se aplica a prácticas cubiertas por el RGPD o la Directiva sobre Prácticas Comerciales Desleales (UCPD).

• Cobertura RGPD: un patrón engañoso está cubierto por el RGPD si se tratan datos personales y el comportamiento influenciado se relaciona con dicho tratamiento. Por ejemplo, si un patrón manipula a un usuario para que proporcione datos personales, el RGPD se aplica.
• Ilicitud bajo el RGPD: el uso de patrones engañosos es generalmente ilícito bajo el RGPD, ya que el tratamiento de datos personales debe ser leal y transparente, y los patrones engañosos son «perjudiciales, discriminatorios, inesperados o engañosos».
• Riesgos sistémicos: algunos patrones engañosos pueden causar comportamientos adictivos (ej., desplazamiento infinito, recompensas periódicas, etc) y se identifican como fuentes de riesgos sistémicos en el RSD.

5. Transparencia publicitaria y prohibición de anuncios basados en perfiles con categorías especiales de datos personales (art. 26 RSD)

El art. 26 RSD establece normas de transparencia para la publicidad en plataformas online y prohíbe el uso de categorías especiales de datos personales para presentar anuncios basados en perfiles.

• Obligaciones de transparencia: el art. 26.1 RSD exige que la información sobre cada anuncio específico se proporcione a los destinatarios en tiempo real y sea directamente accesible desde el anuncio, incluyendo los parámetros principales de segmentación y cómo cambiarlos. Esto difiere de lo establecido por el RGPD (art. 13 y 14), que requiere que la información se proporcione en el momento de la obtención de los datos personales y puede presentarse mediante una política de privacidad.
• Bases jurídicas: las obligaciones de transparencia del RSD se aplican independientemente de la base jurídica del RGPD utilizada para el tratamiento. Si se basa en el consentimiento, la información debe proporcionarse antes de obtenerlo. Si se basa en intereses legítimos, los interesados tienen un derecho a oponerse.
• Decisiones automatizadas y elaboración de perfiles: el tratamiento de datos para la publicidad a menudo implica la elaboración de perfiles (art. 4.4 RGPD) y les sería de aplicación el art. 22.1 RGPD si las decisiones de presentar un anuncio tienen efectos jurídicos o afectan significativamente a los interesados. En tales casos, se exige información significativa de la lógica aplicada y las consecuencias para el interesado.
• Prohibición de tratamiento de categorías especiales de datos personales: el art. 26.3 RSD prohíbe presentar anuncios basados en perfiles que utilicen categorías especiales de datos personales (art. 9.1 RGPD), incluso si existiera una base legal bajo el art. 6.1 RGPD y una excepción bajo el art. 9.2 RGPD para dicho tratamiento.
• Seguridad y confidencialidad: la transmisión de información sobre parámetros publicitarios debe garantizar la seguridad y confidencialidad de los datos, aplicando las medidas técnicas y organizativas del art. 32 RGPD y los principios del art. 5 RGPD, además de tener en cuenta la protección de datos desde el diseño y por defecto.

6. Sistemas de recomendación (arts. 27 y 38 RSD)

Los sistemas de recomendación son sistemas automatizados que presentan contenido a los usuarios con un cierto orden o relevancia. Aunque pueden mejorar la experiencia del usuario, también plantean riesgos como el tratamiento de datos a gran escala, la falta de precisión y transparencia en las inferencias, la combinación de datos personales, y el tratamiento de categorías especiales o datos altamente sensibles.

• Elaboración de perfiles y RGPD: el análisis conductual para fines de predicción en estos sistemas constituye una actividad de elaboración de perfiles bajo el art. 4.4 RGPD. El tratamiento está sujeto a los principios RGPD, incluyendo la licitud, lealtad y transparencia, limitación de la finalidad y exactitud.
• Decisiones automatizadas (art. 22 RGPD): no se puede excluir que la presentación de contenido específico a través de un sistema de recomendación sea una «decisión» en el sentido del art. 22.1 RGPD si tiene consecuencias graves o afecta significativamente a los individuos, por ejemplo, al influir en sus elecciones de comportamiento.
• Transparencia y control del usuario (art. 27 RSD): los proveedores deben ser transparentes sobre los principales parámetros utilizados en sus sistemas de recomendación (art. 12, 13, 14 RGPD). También deben ofrecer a los usuarios la posibilidad de seleccionar y modificar sus opciones preferidas de parámetros, presentando las opciones de manera fácil de entender y directamente accesibles.
• Plataformas en línea de gran tamaño (VLOPs) y motores de búsqueda en línea de gran tamaño (VLOSEs) (art. 38 RSD): los proveedores de VLOPs y VLOSEs deben ofrecer al menos una opción de sistema de recomendación que no se base en perfiles. Estas opciones deben presentarse de forma equitativa, sin incitar a los usuarios a elegir la opción basada en perfiles. Mientras la opción sin perfiles esté activa, el proveedor no debe seguir recabando y tratando datos personales para elaborar perfiles. Las elecciones de los usuarios deben tratarse solo para el cumplimiento del RSD y solo por el tiempo necesario, sin retener un historial de elecciones previas.

7. Protección de menores (art. 28 RSD)

El RSD busca garantizar un alto nivel de privacidad, seguridad y protección para los menores en entornos en línea.

• Medidas apropiadas y proporcionadas: los proveedores de plataformas online accesibles a menores deben implementar medidas para lograr este objetivo. Esto incluye comprender los riesgos que sus servicios pueden plantear a los menores y adaptar las medidas técnicas y organizativas.
• Prohibición de publicidad basada en perfiles: se prohíbe presentar anuncios basados en perfiles que utilicen datos personales de menores, cuando el proveedor tenga certeza razonable de que el destinatario es un menor.
• No obligación de tratar datos adicionales: el RSD no obliga a los proveedores a tratar datos personales adicionales para determinar si un destinatario es menor.
• Base jurídica: las obligaciones del RSD (art. 28.1 y 2) pueden servir como base legal (art. 6.1.c RGPD) para el tratamiento de datos personales, siempre que sea necesario y proporcionado.
• Mecanismos de verificación de edad: el CEPD considera que la verificación de edad debe evitar la identificación inequívoca online de los usuarios (ej., mediante documentos de identidad nacionales). Se debe adoptar un enfoque basado en el riesgo, limitando el tratamiento de datos a lo necesario y proporcionado para estimar o verificar la edad, sin almacenar permanentemente la edad o el rango de edad.

8. Evaluación y mitigación de riesgos (arts. 34 y 35 RSD)

Los proveedores de VLOPs y VLOSEs tienen la obligación de gestionar los riesgos sistémicos de sus servicios.

• Tipos de riesgos sistémicos: incluyen la difusión de contenido ilegal, efectos negativos en derechos fundamentales (privacidad, protección de datos), el discurso cívico, procesos electorales, seguridad pública, violencia de género, salud pública y bienestar de menores.
• Factores influyentes: los sistemas de recomendación o de moderación de contenido, los términos y condiciones, la publicidad y las prácticas de datos son factores que influyen en estos riesgos y deben cumplir con el RGPD.
• EIPD obligatoria: si se identifican riesgos sistémicos que afectan el derecho fundamental a la protección de datos personales, es probable que una EIPD sea obligatoria según el art. 35 RGPD. Se debe considerar si el tratamiento cumple dos o más de los criterios para una EIPD.
• Medidas de mitigación (art. 35 RSD): deben ser razonables, proporcionadas y efectivas. Incluyen la adaptación del diseño, características o funcionamiento de los servicios (lo que se superpone con la protección de datos desde el diseño y por defecto del art. 25 RGPD), pruebas y adaptación de sistemas algorítmicos (incluidos los de recomendación y publicidad), y medidas para informar a los usuarios (consistentes con los arts. 13 y 14 RGPD). La minimización de datos y el uso de técnicas como la seudonimización son clave.

8. Códigos de conducta (arts. 45, 46 y 47 RSD) y su relación con los códigos de conducta RGPD

La Comisión y el Comité Europeo de Protección de Datos deben fomentar la elaboración de códigos de conducta voluntarios a nivel de la Unión para la aplicación del RSD, teniendo en cuenta la protección de datos personales.

• Participación de las autoridades de protección de datos: es importante asegurar la participación adecuada de las autoridades de protección de datos cuando se desarrollen estos códigos, especialmente los relacionados con la publicidad online.
• Indicadores de rendimiento: los códigos de conducta deben incluir indicadores clave de rendimiento (KPIs) medibles para verificar el cumplimiento.

9. Gobernanza y aplicación

El cumplimiento RGPD está sujeto al control de una autoridad independiente (art. 8.3 Carta Derechos Fundamentales).

• Autoridades competentes: los Estados miembros designan autoridades para supervisar y hacer cumplir el RSD, que no tienen por qué ser las autoridades de protección de datos (AC).
• Cooperación: la cooperación entre los Coordinadores de Servicios Digitales (DSCs), la Comisión Europea y las AC es fundamental para asegurar una aplicación coherente del RSD y el RGPD. El principio de cooperación sincera (art. 4.3 TUE) exige que estas autoridades se consulten mutuamente cuando evalúen la conducta de un proveedor de servicios intermediarios en línea, un responsable o un encargado del tratamiento, para evitar inconsistencias regulatorias y el riesgo de “ne bis in idem” (principio jurídico fundamental que prohíbe que una persona sea juzgada o sancionada dos veces por el mismo hecho o infracción, garantizando así el debido proceso y la seguridad jurídica).
• Comité Europeo de Servicios Digitales (CESD / EBDS): el CESD, presidido por la Comisión debe cooperar con otros órganos de la Unión, como el CEPD, para garantizar la coherencia interregulatoria en la aplicación del RSD y el RGPD.