Tanto el Reglamento (UE) 2022/2065 de Servicios Digitales (RSD) como
el Reglamento (UE) 2022/1925 de Mercados Digitales (RMD) dejan claro que son instrumentos
que han de entenderse sin perjuicio de las normas de la Unión en materia de
datos personales, especialmente el Reglamento (UE) 2016/679 General de
Protección de Datos (RGPD) y la Directiva 2002/58 sobre la privacidad y las comunicaciones
electrónicas. La protección de las personas físicas con respecto al tratamiento
de los datos personales se rige por las disposiciones del Derecho de la Unión en
la materia, que siguen siendo plenamente aplicables tanto a las actividades de
los prestadores de servicios digitales sometidos al RSD como a las actividades de
los guardianes de acceso obligados por el RMD (cdo. 10 y art. 2.4.g) RSD y
cdos. 12, 37. 48 y 49 RMD). En este contexto, presenta especial interés la
reciente publicación por el Comité Europeo de Protección de Datos de dos documentos
-en fase de consulta pública- con Directrices acerca de la aplicación de las
normas sobre protección de datos, por una parte, en el marco del RSD (Guidelines 3/2025 on the interplay between the DSA and the GDPR) y, por otra, en
relación con el RMD (Joint Guidelines on the Interplay between the Digital Markets Act and the General Data Protection Regulation).
La interacción con el RGPD es especialmente intensa
en el caso del RMD, habida cuenta de que algunas de las principales
obligaciones que impone a los guardianes de acceso van referidas al tratamiento
de datos personales, como es el caso de las prohibiciones establecidas en su artículo
5.2 -cuya relevancia e interacción con la aplicación del RGPD han quedado ya
acreditadas por las medidas adoptadas por la Comisión con base en esa norma frente
a los modelos de consentimiento o pago en materia de datos personales de
ciertos guardianes de acceso-, o complementan derechos establecidos en el RGPD,
como sucede con el artículo 6.9 RMD en materia de portabilidad de datos. No obstante,
cabe empezar por hacer referencia a la interacción entre el RSD y el RGPD, dejando
para más adelante la referencia a las Directrices conjuntas con la Comisión sobre
las relaciones entre el RMD y el RGPD. Las Directrices 3/2025 proporcionan
criterios relevantes en relación con la conducta de los prestadores de
servicios digitales para cumplir con lo dispuesto en el RGPD en situaciones a
las que resulta de aplicación el RSD y tales prestadores ocupan la posición de
responsables o encargados del tratamiento de datos personales. Estas Directrices
se centran en la aplicación de las normas del RSD que incluyen referencias al
tratamiento de datos personales o emplean conceptos tomados del RGPD. Con
carácter previo, para quienes no estén familiarizados con el RSD, puede ser
útil que lo esencial de su contenido aparece sintetizado aquí.
I. Investigaciones voluntarias por iniciativa propia y cumplimiento del
Derecho en relación con contenidos ilícitos
En relación con las
normas sobre limitación de responsabilidad de los prestadores de servicios
digitales contenidas previamente en la Directiva 2000/31 sobre el comercio
electrónico, la novedad más significativa del RSD fue la inclusión de una norma
en su artículo 7 que expresamente establece un criterio que ya cabía considerar
aplicable con anterioridad. Conforme a esa disposición, no cabe considerar que
los prestadores de servicios intermediarios pierden la posibilidad de acogerse
a las exenciones de responsabilidad previstas a su favor (arts. 4 a 6 RSD) “por
la única razón de que realicen, de buena fe y de modo diligente, investigaciones
por iniciativa propia de forma voluntaria, o adopten medidas con el fin de
detectar, identificar y retirar contenidos ilícitos, o bloquear el acceso a
estos, o adoptar las medidas necesarias para cumplir los requisitos” legales
aplicables.
A este respecto, las
Directrices parten de que el tratamiento de datos personales puede ser
necesario para identificar contenidos ilícitos, en particular porque las
tecnologías para la detección de tales contenidos ilícitos pueden requerir la
supervisión de las actividades de los interesados, con frecuencia mediante
métodos automatizados que pueden generar resultados erróneos, lo que puede
tener repercusiones negativas sobre algunos de esos afectados. Se recogen indicaciones
acerca de en qué medidas tales tratamientos en el marco del artículo 7 RSD
pueden resultar legítimos y proporcionados conforme al RGPD. Constata el Comité
que cuando tales medidas preventivas no van dirigidas a cumplir un requisito
legal, el tratamiento deberá estar fundado en la condición de licitud establecida
en el artículo 6.1.f) relativa a que el tratamiento sea necesario para la
satisfacción de intereses legítimos, por lo que resultará clave que se cumplan
en el caso concreto los requisitos de necesidad y proporcionalidad, incluyendo
la verificación de que los intereses o los derechos y libertades fundamentales del
interesado no prevalecen sobre el intereses legítimos de detectar y combatir la
presencia de contenidos ilícitos en los servicios del intermediario.
Cuando tales medidas
sean necesarias para el cumplimiento por parte del intermediario de una obligación
legal que le es aplicable, el tratamiento que lleva a cabo puede fundarse en la
base de licitud prevista en el artículo 6.1.c) RGPD. El Comité proporciona como
ejemplo de tal tipo de obligación la que resulta para los prestadores de
servicios para compartir contenidos en línea del régimen establecido en
relación con el uso de contenidos protegidos por el artículo 17 de la Directiva
(UE) 2019/790 sobre los derechos de autor y derechos afines en el mercado único
digital. También situaciones en las que debe detectar contenido ilícito en relación
con el ejercicio por un interesado del derecho de supresión con base en el
artículo 17 RGPD.
Si bien el tratamiento
que se basa en el artículo 6.1.c) RGPD también debe ser proporcionado al
objetivo legítimo perseguido, lo cierto es que no aparece sometido a
condiciones tan estrictas como las aplicables cuando el tratamiento se funda en
un interés legítimo con base en el artículo 6.1.e). En este contexto, si bien las
Directrices ponen de relieve que, de acuerdo con el principio de
responsabilidad, los prestadores de servicios digitales deben determinar en qué
medida el tratamiento de datos personales es necesario para cumplir con sus
obligaciones legales vigentes, precisando que tales obligaciones legales deben
ser claras y precisas y su aplicación debe ser previsible para las personas
sujetas a ellas. Ahora bien, la inexistencia
de obligación general de monitorización o de búsqueda activa de hechos conforme
al artículo 8 RSD es compatible con que en el caso de prestadores cuyos
servicios generen riesgos significativos en relación con la difusión de
contenidos ilícitos, la exigencia de adoptar ciertas medidas preventivas puede resultar
un presupuesto necesario para actuar con el nivel de diligencia exigible a los
efectos de beneficiarse de las exenciones de responsabilidad y cumplir con las
obligaciones de diligencia debida establecidas en el propio RSD.
Se trata de una circunstancia que no parece
haber sido tenida suficientemente en cuenta en este apartado de las
Directrices, que, por lo demás, contienen alguna precisión que puede conducir a
imponer obligaciones al intermediario que pueden resultar excesivas. Por
ejemplo, cuando afirman en su apdo. 21: “If processing should be carried out
in the context of compliance with an order issued by a competent authority to
act against illegal content or to provide information about one or more
specific individual recipients of the service, intermediary service providers
are also required to check that the order complies with the requirements set
out in Articles 9 or 10 of the DSA to justify processing under Article 6(1)(c)
GDPR.” Cabe entender que es
la autoridad judicial o administrativa que adopta la orden de actuación la que
debe asegurarse de que su contenido respeta tales condiciones.
Tampoco resultan muy precisas las Directrices
al abordar el potencial significado en relación con el artículo 7 RSD del artículo
22 RGPD y sus restricciones a las decisiones basadas únicamente en el
tratamiento automatizado de datos personales del interesado que produzcan
efectos jurídicos en él o le afecten significativamente de modo similar con
respecto. El Comité constata que esa interacción puede resultar relevante en situaciones
en las que el uso de tal tipo de herramientas, sin una intervención humana
significativa, resulta determinante de la imposición de restricciones por el
intermediario con respecto a contenido pretendidamente ilegal. Ahora bien, no proporciona
precisiones adicionales acerca de en qué medida el artículo 22.1 RGPD es
aplicable en el contexto del uso de esas herramientas ni acerca del alcance en
estas situaciones de las excepciones previstas en el artículo 22.2 RGPD.
Por lo demás, las Directrices también ponen
de relieve que tratamiento de datos personales llevados a cabo en el marco del
artículo 7 RSD pueden entrañar un alto riesgo para los derechos y libertades de
las personas físicas a los efectos de que, conforme al artículo 35 RGPD, el
responsable deba realizar previamente una evaluación de impacto relativa a la
protección de datos, en particular cuando se trate de plataformas de muy gran
tamaño
II. Prestadores de servicios de alojamiento: tratamientos de datos
personales en el marco de mecanismos de notificación y acción (arts. 16 y 17
RSD)
Las Directrices
constatan que el prestador de servicios digitales será típicamente responsable
de los datos personales incluidos en la notificación de contenidos ilícitos. Se
insiste en que el prestador normalmente no deberá tratar datos personales en
relación con la notificación adicionales a los elementos previstos en el artículo
16.2 RSD. Se recuerda que el considerando 50 RSD, el mecanismo de notificación debe permitir la
identificación de la persona física o entidad que envíe la notificación, pero
no debe exigir que se aporte esa información, así como que el artículo 17.3.b)
RSD, leído a la luz de su cdo. 54, limita la posibilidad de facilitar a la otra
parte la identidad de quien notifica a los casos en los que resulte
estrictamente necesario, en particular, cuando esa información sea necesaria
para identificar el carácter ilícito del contenido, como puede ser el caso en
supuestos de vulneración de derechos de propiedad intelectual.
También ponen de relieve las Directrices que
la obligación impuesta en el artículo 16.6 RSD a los prestadores de servicios
de alojamiento de datos de informar a quien realiza la notificación acerca el
uso de medios automatizados para el tratamiento o toma de decisiones en
relación con las notificaciones opera con carácter adicional a las obligaciones
de transparencia del RGPD, en particular sus art. 13. Se reitera, además, que
el artículo 22 RGPD impone importantes restricciones al empleo de decisiones
basadas únicamente en el tratamiento automatizado que produzcan efectos
jurídicos en el interesado o le afecten significativamente de modo similar, sin
perjuicio de las excepciones previstas en su apartado 2.
III. Plataformas en línea
1. Tratamientos de datos personales en el marco de sistemas internos de
gestión de reclamaciones (art. 20 RSD) y de protección contra usos indebidos (art.
23 RSD)
Más allá de la constatación
de que los prestadores de servicios digitales son también responsable del tratamiento
de datos personales en relación con sus sistemas internos de gestión de
reclamaciones, de modo que están obligados a cumplir con el RGPD, destaca el análisis
de las implicaciones en materia de datos personales de la exigencia de que las
medidas frente al uso indebido de las plataformas en línea mediante la
publicación frecuente de contenidos manifiestamente ilícitos o mediante el
envío frecuente de notificaciones o reclamaciones manifiestamente infundados se
haga con salvaguardias apropiadas, respetando los derechos e intereses
legítimos de todas las partes implicadas.
En este contexto, se
subraya la importancia del principio de exactitud, para evitar medidas
restrictivas que puedan estar basadas en datos personales incorrectos, el
respeto a las reglas de transparencia del RGPD en relación con los tratamientos
de datos personales llevados a cabo, así como los principios de minimización de
datos y de limitación del plazo de conservación, habida cuenta del alcance temporal
de las restricciones previstas. Asimismo, se pone de relieve que el derecho a la portabilidad de los datos opera
también en situaciones en las que ha tenido lugar la suspensión del servicio.
2. Diseño y organización de interfaces en línea
La prohibición de que los prestadores
de plataformas en línea diseñen, organicen o gestionen sus interfaces en línea
de manera que engañen o manipulen a los destinatarios del servicio o distorsionen
u obstaculicen sustancialmente su capacidad de tomar decisiones libres e
informadas aparece recogida en el artículo 25 RSD. EL RSD deja claro que sus normas
sobre interfaces engañosas se aplican a las prácticas prohibidas que entran en
el ámbito de aplicación del RSD en la medida en que no estén ya cubiertas por
la Directiva 2005/29/CE o el RGPD (cdo. 67 RSD). Las nuevas Directrices destacan
que en qué medida tales prácticas pueden estar comprendidas por el RGPD depende
de las circunstancias del caso concreto, con referencia a las Directrices 3/2022
sobre esa específica materia.
Entre los elementos
clave que hay que tener en cuenta a la hora de evaluar si un patrón de diseño
engañoso está cubierto por el RGPD, se encuentran si se están tratando datos
personales -no será el caso, por ejemplo, cuando no sean datos relativas a
personas físicas- y si el comportamiento del interesado en el que influye el
patrón está relacionado con el tratamiento de datos personales. Por ejemplo, en
situaciones en las que se manipula al destinatario del servicio para que
facilite datos personales (adicionales) o facilite más datos personales de los
que habría facilitado en otras circunstancias, se considera que el patrón está
sujeto al RGPD. Otros ejemplos que se incluyen son los de patrones de diseño
engañosos que pueden provocar un comportamiento adictivo, como la reproducción
automática, las recompensas periódicas, o la finalización de colecciones.
3. Publicidad en las plataformas en línea
Las Directrices parten
de que ya el considerando 68 RSD recoge que sus requisitos sobre la
facilitación de información relativa a publicidad deben entenderse sin
perjuicio de las disposiciones relevantes del RGPD, mencionando en concreto las
relativas al derecho de oposición, las decisiones individuales automatizadas,
incluida la elaboración de perfiles, así como la necesidad de obtener el
consentimiento del interesado antes del tratamiento de los datos personales
para producir publicidad personalizada.
Conforme al artículo 26.1 RSD, los
prestadores de plataformas en línea que presenten anuncios publicitarios en sus
interfaces en línea deben asegurarse de que los destinatarios del servicio sean
capaces de identificar en relación con cada anuncio publicitario, de manera
clara, concisa e inequívoca y en tiempo real una serie de elementos. Entre tales
elementos, se incluye que la información es un anuncio publicitario, la persona
en cuyo nombre se presenta el anuncio, la persona que lo ha pagado, así como
los principales parámetros utilizados para determinar sus destinatarios. Con respecto
a este último elemento, el considerando 68 RSD, precisa que las explicaciones
deben incluir información sobre el método utilizado para presentar el anuncio
publicitario, y, en su caso, los principales criterios empleados para la
elaboración de perfiles. Las Directrices indican que determinadas prácticas de tratamiento
de datos en relación con esas actividades publicitarias pueden implicar la toma
de decisiones individuales automatizadas y la elaboración de perfiles conforme
al artículo 22.1 RGPD. Como ejemplos de características relevantes para evaluar
si una decisión automatizada de presentar un anuncio específico a una persona produce
efectos jurídicos o le afecta significativamente de modo similar a los efectos
de esa disposición, las Directrices hacen referencia al alcance de la actividad
de tratamiento de datos personales, incluyendo el carácter intrusivo del
proceso de elaboración de perfiles, el seguimiento de las personas a través de
diferente, las expectativas de los afectados, la forma en que se muestra el
anuncio, o el uso del conocimiento de las vulnerabilidades de los interesados a
los que se dirige.
Las Directrices ponen de relieve que, a
diferencia de la información en materia de transparencia exigida por los
artículos 13 y 14 RGPD, que pueden presentarse mediante su inclusión en una
política de privacidad (accesible mediante un enlace), los elementos de
información mencionados en el artículo 26 de la DSA deben proporcionarse en
tiempo real, estando directamente accesibles desde el anuncio correspondiente.
Particular relevancia reviste que el artículo
26.3 RSD prohíbe que los prestadores de plataformas en línea presenten anuncios
basados en la elaboración de perfiles utilizando las categorías especiales de
datos personales a que se refiere el artículo 9.1 del RGPD. Esta prohibición
complementa las normas del RGPD. El RSD prohíbe la presentación de anuncios
basados en la elaboración de perfiles utilizando categorías especiales de datos
personales por parte de los proveedores de plataformas en línea a los
destinatarios del servicio incluso en situaciones en las que el proveedor pueda
basar su tratamiento en una base de licitud prevista en el artículo 6.1 RGPD y
en una de las excepciones contempladas en el artículo 9.2 RGPD.
4. Protección de menores en línea
De conformidad con el artículo 28 RSD, los
prestadores de plataformas en línea accesibles a los menores deben establecer
medidas adecuadas y proporcionadas para garantizar un elevado nivel de
privacidad, seguridad y protección de los menores en su servicio. Además, se
prohíbe a tales prestadores la presentación de anuncios en su interfaz basados
en la elaboración de perfiles, mediante la utilización de datos personales del
destinatario del servicio cuando sean conscientes con una seguridad razonable
de que el destinatario del servicio es un menor. Las Directrices constatan que
estas disposiciones del RSD pueden constituir una base jurídica para el
tratamiento de datos con arreglo al artículo 6.1.c) RGPD, cuando tal
tratamiento sea necesario y proporcionado para alcanzar esos objetivos. En todo
caso, el artículo 28.3 RSD incluye la precisión de que el cumplimiento de esas
obligaciones en materia de protección de menores no obligará a los prestadores
de plataformas en línea a tratar datos personales adicionales para evaluar si
el destinatario del servicio es un menor.
IV. Plataformas en línea de muy gran tamaño y motores de búsqueda en
línea de muy gran tamaño
1. Sistemas de recomendación
Los artículos 27 -aplicable a todos los prestadores de servicios de plataforma en línea- y 38 RSD -entre las obligaciones adicionales aplicables sólo a las plataformas en línea de muy gran tamaño y motores de búsqueda en línea de muy gran tamaño- establecen reglas específicas en relación con los sistemas de recomendación. El artículo 27 establece principalmente normas de transparencia, acerca de la necesidad de informar sobre los parámetros principales utilizados en sus sistemas de recomendación, así como cualquier opción a disposición de los destinatarios del servicio para modificar tales parámetros. Entre la información mínima sobre los parámetros se hace referencia a los criterios más significativos para determinar la información sugerida y las razones de la importancia relativa de dichos parámetros.
Por su parte, el artículo 38 recoge la
exigencia adicional de que los prestadores de plataformas en línea de muy gran
tamaño y de motores de búsqueda en línea de muy gran tamaño que utilicen
sistemas de recomendación ofrezcan al menos una opción para cada uno de sus
sistemas de recomendación que no se base en la elaboración de perfiles en el
sentido del artículo 4.4 RGPD. Las Directrices destacan que, en virtud del principio
de minimización de datos y de las exigencias en materia de diseño y
organización de interfaces en línea del artículo 25 RGPS, las plataformas en línea de muy gran tamaño y los
motores de búsqueda en línea de muy gran tamaño deben presentar ambas opciones por igual (en el primer uso del servicio)
y no deben empujar a los destinatarios del servicio a seleccionar la opción de
un sistema de recomendación basado en la elaboración de perfiles.
2. Evaluación de riesgos y reducción de riesgos (arts. 34 y 35 RSD)
Al regular las obligaciones de los prestadores
de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de
muy gran tamaño de implantar mecanismos para analizar y evaluar los riesgos
sistémicos que pueden generar, el artículo 34.1.b) RSD prevé la necesidad de
incluir cualquier efecto negativo real o previsible para el ejercicio de los
derechos fundamentales, con referencia específica, entre otros, a la protección
de los datos de carácter personal del artículo 8 de la Carta. La detección de
riesgos sistémicos requiere la aplicación de medidas de reducción de riesgos
razonables, proporcionadas y efectivas, conforme al artículo 35 RSD. Las Directrices
también ponen de relieve que cuando el riesgo sistémico afecta al derecho
fundamental a la protección de datos personales, será normalmente exigible una
evaluación de impacto relativa a la protección de datos en virtud del artículo
35 RGPD.
