Las nuevas Directrices 3/2025 del CEPD aclaran cómo la DSA y el RGPD funcionan conjuntamente, redefiniendo las prácticas de marketing en torno a la transparencia, la elaboración de perfiles, los sistemas de recomendación y la protección de menores. Para los profesionales del marketing, el cumplimiento no solo consiste en evitar riesgos, sino que también representa una ventaja competitiva que genera confianza, lealtad y solidez reputacional mediante el uso ético de los datos.
En septiembre de 2025, el Comité Europeo de Protección de Datos (CEPD) adoptó las Directrices 3/2025 sobre la interacción entre la Ley de Servicios Digitales (LSD) y el Reglamento General de Protección de Datos (RGPD). Estas directrices establecen cómo los profesionales del marketing y las plataformas deben coordinar las obligaciones bajo ambos regímenes.
En el ámbito del marketing digital, estos cambios representan algo más que una simple actualización regulatoria. Proporcionan contexto y claridad en un entorno donde muchas prácticas existentes en publicidad online, elaboración de perfiles, recomendación de contenido y gobernanza de plataformas se vuelven confusas debido a la ambigüedad sobre cómo podrían funcionar conjuntamente el RGPD y la LSD. Estas directrices buscan crear una vía más clara para que los profesionales del marketing avancen con confianza.
Las nuevas directrices ofrecen varias aclaraciones importantes que deberían facilitar el trabajo de los profesionales del marketing:
La DSA exige transparencia en tiempo real sobre los parámetros publicitarios. Según el RGPD, la divulgación debe realizarse antes de que comience el tratamiento de datos personales. Las directrices destacan que los profesionales del marketing deben coordinar estas acciones para que la transparencia exigida por la DSA no se produzca después de la recopilación de datos, incumpliendo así las obligaciones del RGPD.
El Artículo 26(3) de la DSA prohíbe la presentación de anuncios basada en la elaboración de perfiles utilizando "categorías especiales" de datos personales (por ejemplo, datos sensibles). Es decir, incluso si se cree que el RGPD permite excepciones, la DSA establece una prohibición más estricta en esos casos.
Si la presentación o recomendación de contenido se realiza algorítmicamente de forma que afecte significativamente a los usuarios, podrían aplicarse las normas del RGPD sobre la toma de decisiones automatizada (p. ej., el Artículo 22). Las directrices también establecen que las plataformas que ofrecen diversos tipos de recomendaciones deben presentar las opciones de forma que no induzcan injustamente a los usuarios a sistemas basados en la elaboración de perfiles.
El marketing dirigido a menores es especialmente delicado. Los proveedores no deben estimar, verificar ni almacenar permanentemente edades o rangos de edad a menos que sea estrictamente necesario; en su lugar, deben utilizar identificadores mínimos para acceder a los servicios. Además, los anuncios basados en la elaboración de perfiles dirigidos a menores están muy restringidos.
Los mecanismos de notificación y acción de la DSA (p. ej., cuando los usuarios denuncian contenido) a menudo implican el procesamiento de datos personales, lo que desencadena las obligaciones del RGPD. Las directrices hacen hincapié en limitar la recopilación de datos únicamente a lo necesario y en la precaución al almacenar la identidad del notificador a menos que exista una razón de peso. Coherencia, cooperación y códigos de conducta
Las directrices enfatizan que la Ley de Servicios Digitales (DSA) no invalida el RGPD, sino que ambos deben aplicarse de forma complementaria. Hacen hincapié en la cooperación entre los Coordinadores de Servicios Digitales, las Autoridades de Protección de Datos y otros organismos. Asimismo, los códigos de conducta establecidos en la DSA (para publicidad, etc.) deben estar en consonancia con el RGPD, involucrar a las partes interesadas pertinentes y contar con indicadores mensurables.
Lo hemos dicho antes y lo repetiremos: el consentimiento y el cumplimiento normativo no son solo requisitos. Cada vez hay más pruebas sólidas de que una buena gestión del consentimiento marca la diferencia en las empresas, especialmente en marketing. A continuación, se presentan varias perspectivas de investigaciones recientes, tanto académicas como profesionales, sobre cómo el cumplimiento normativo, la transparencia y las prácticas éticas de marketing generan confianza y lealtad en los clientes.
Los consumidores son más propensos a confiar, interactuar y ser leales a las marcas que son transparentes sobre sus prácticas de datos: qué se recopila, cómo se utiliza y qué derechos tienen con respecto a ellos. De igual manera, estudios de mercado sobre marketing ético y transparencia mostraron que las marcas que adoptan la transparencia gozan de una mayor reputación, mayor engagement y relaciones más profundas con los clientes.
Desde el punto de vista de la estrategia de marketing, la DMA (Asociación de Datos y Marketing) del Reino Unido ha señalado que el cumplimiento normativo se está convirtiendo rápidamente en un factor diferenciador: a los clientes les importa cómo se gestionan sus datos, por lo que las empresas líderes en privacidad y transparencia tienden a obtener ventaja.
Por lo tanto, cuando directrices como la 3/2025 del CEPD exigen claridad y restringen ciertas prácticas de elaboración de perfiles/publicidad, también establecen igualdad de condiciones. Los profesionales del marketing que se adapten con prontitud probablemente se beneficiarán no solo al evitar riesgos legales o sanciones, sino también al ganarse la confianza del consumidor.
Dadas las nuevas directrices del CEPD y el creciente valor de la transparencia, estos son algunos pasos prácticos que los equipos de marketing deberían seguir:
Audite sus flujos de datos: Determine qué datos personales se utilizan (especialmente los datos de categorías especiales), cómo se utilizan en la elaboración de perfiles, recomendaciones, publicidad, etc., y dónde sus prácticas actuales podrían infringir las normas del RGPD o la DSA.
Revise la transparencia y los avisos: Asegúrese de que la divulgación a los usuarios se realice antes de que comience el procesamiento (según el RGPD) y de que los parámetros de los anuncios, la elaboración de perfiles o las explicaciones de segmentación cumplan con los requisitos de transparencia de la DSA.
Limite la elaboración de perfiles y el uso de datos sensibles: Evite especialmente la elaboración de perfiles de datos personales de categorías especiales para publicidad, incluso si el RGPD tiene una base legal. La DSA lo prohíbe en muchos contextos relevantes.
Revisa los sistemas de recomendación y las opciones de cancelación de suscripción: Si utilizas la curación algorítmica, asegúrate de que los usuarios tengan opciones, de que se minimice la elaboración de perfiles cuando no sea estrictamente necesario y de que los sistemas estén diseñados para evitar una personalización más intrusiva.
Prioriza la protección de la edad: Si tu audiencia incluye menores, asegúrate de que se recopilen los datos de edad lo mínimo posible, utiliza solo lo estrictamente necesario y evita la segmentación basada en rangos de edad estimados, a menos que esté justificado.
Utiliza o ayuda a definir códigos de conducta: Supervisa el desarrollo de los códigos de conducta publicitarios de DSA. Participar, o al menos alinear las políticas internas a los códigos emergentes, puede aportar claridad legal y mejorar la reputación.
Capacita al personal y establece responsabilidades: Muchos fallos de cumplimiento se deben a malentendidos. Asegúrate de que los equipos de marketing, producto, ciencia de datos y legal estén sincronizados. Documenta las decisiones sobre transparencia, elaboración de perfiles y avisos a los consumidores.
Adopta una plataforma de gestión del consentimiento: Implementar una CMP ayuda a garantizar que el consentimiento del usuario se recopile, almacene y gestione de forma conforme en todos los sistemas de marketing y publicidad. También proporciona transparencia a los usuarios, dándoles control sobre sus decisiones, y crea un registro auditable de cumplimiento para los reguladores.
Las nuevas directrices van más allá de evitar multas: redefinen las expectativas en torno a la publicidad, la elaboración de perfiles y la transparencia. Y eso es una buena noticia: los consumidores desconfían cada vez más de las prácticas opacas de datos y están recompensando a las marcas que tratan los datos de forma responsable.
©2025 CookieHub ehf.
