La DSA en 2026 — Lectura rápida para operadores de comercio electrónico
La Ley de Servicios Digitales (Reglamento 2022/2065) es el marco normativo horizontal de la UE para todo intermediario en línea que se dirija a usuarios europeos — desde un pequeño socio de alojamiento WooCommerce hasta Amazon Marketplace. Entró en vigor el 16 de noviembre de 2022, se aplicó a las VLOP designadas desde el 25 de agosto de 2023, y se convirtió en plenamente aplicable a todos los intermediarios el 17 de febrero de 2024. Para los marketplaces online, el eje operativo son la verificación de comerciantes del artículo 30 'Know Your Business Customer', la notificación y acción del artículo 16, la prohibición de patrones oscuros del artículo 25 y la transparencia publicitaria del artículo 26. Para las VLOP se añaden la evaluación de riesgo sistémico del artículo 34, la auditoría independiente del artículo 37, el repositorio de anuncios del artículo 39 y el acceso a datos para investigadores del artículo 40. Las multas alcanzan el 6% de la facturación mundial anual; la aplicación se reparte entre los Coordinadores nacionales de Servicios Digitales y la Comisión Europea, con el Comité Europeo de Servicios Digitales coordinando los casos transfronterizos.
La DSA de un vistazo — Diez obligaciones que los vendedores online deben mapear
La DSA es un único reglamento, pero sus obligaciones se apilan en capas según el papel que desempeñes. Las siguientes tarjetas resumen las diez áreas tratadas en esta guía — ten este mapa a mano mientras lees cada análisis en profundidad.
Reglamento 2022/2065 — Visión general de la DSA
Régimen horizontal de la UE para intermediarios · vigente desde el 17 feb 2024 para todos · DOUE L 277/1, 27.10.2022
VLOP y VLOSE — Artículo 33
Plataformas por encima de 45M de usuarios activos medios mensuales UE · designadas por la Comisión · ventana de adaptación de 4 meses
Transparencia de comerciantes KYBC — Artículo 30
Los marketplaces verifican razón social, IVA, número de registro, dirección · publicación antes de publicar el anuncio
Contenido ilegal y notificación-acción — Artículos 16-17
Mecanismo electrónico de notificación sencillo · declaración de motivos · acción oportuna y diligente
Patrones oscuros y transparencia publicitaria — Artículos 25-28
Interfaces manipuladoras prohibidas · etiquetado de anuncios · sin segmentación basada en perfiles para menores
Riesgo, auditoría, multas — Artículos 34, 37, 74
Evaluación anual de riesgo sistémico · auditoría independiente · multas de hasta el 6% de la facturación mundial
¿Listo para adaptar tu marketplace a la DSA?
El módulo de cumplimiento de la UE de Zunapro incluye verificación de comerciantes KYBC, gestión de notificaciones del artículo 16, plantillas de declaración de motivos y un exportador de informes de transparencia — todo integrado en tu stack de marketplace existente.
1. Reglamento DSA 2022/2065 — vigente desde el 17 de febrero de 2024 para todos los vendedores
Qué es la DSA — y por qué sustituyó a la Directiva sobre comercio electrónico
La Ley de Servicios Digitales — formalmente el Reglamento (UE) 2022/2065 de 19 de octubre de 2022, publicado en el DOUE L 277/1 el 27 de octubre de 2022 — entró en vigor el 16 de noviembre de 2022, se aplicó a las VLOP/VLOSE designadas desde el 25 de agosto de 2023, y se convirtió en plenamente aplicable a todos los servicios intermediarios el 17 de febrero de 2024. Al ser un reglamento (no una directiva), se aplica directamente en todos los Estados miembros sin necesidad de transposición. La lógica de exención de responsabilidad de la Directiva sobre comercio electrónico 2000/31/CE sobrevive en los artículos 4-6, pero la DSA añade un conjunto escalonado de obligaciones de diligencia debida calibradas según el tipo y el tamaño del servicio.
¿Quién entra dentro del ámbito de aplicación?
Cualquier servicio intermediario ofrecido a destinatarios de la Unión entra dentro del ámbito de aplicación, independientemente de dónde esté establecido el proveedor (artículo 2, apartado 1). La DSA define cuatro categorías que se solapan: servicios intermediarios (mera transmisión, memoria caché, alojamiento), servicios de alojamiento (almacenamiento a petición del usuario), plataformas en línea (alojamiento + difusión pública — todo marketplace, red social, tienda de aplicaciones) y VLOP/VLOSE designadas por la Comisión por encima del umbral de 45 millones de usuarios mensuales en la UE (artículo 33).
El modelo de obligaciones escalonado
Cada capa añade obligaciones sobre la anterior. Un pequeño marketplace de plugins de WordPress con 10.000 usuarios en la UE cumple los requisitos para la exención de pyme del artículo 19; Amazon Marketplace, una VLOP designada, se sitúa en la cima con el conjunto completo de obligaciones. Los intermediarios no comunitarios deben además designar un representante legal en un Estado miembro en virtud del artículo 13 de la DSA — responsable solidario junto con el proveedor de las decisiones, multas y solicitudes de información de la DSA.
💡 Lee la guía completa de mapeo del ámbito de aplicación de la DSA
Árbol de decisión para pyme vs. plataforma vs. VLOP, normas sobre el país de establecimiento, plantillas de representante legal y un cuestionario de autoclasificación.
2. Plataformas en línea de muy gran tamaño (VLOP) — el umbral de 45M+ usuarios
¿Qué hace que una plataforma sea "muy grande"?
El artículo 33 de la DSA define una VLOP como una plataforma en línea con al menos 45 millones de destinatarios activos medios mensuales en la Unión, calculados como media semestral. El mismo umbral se aplica a las VLOSE. El concepto de "destinatario activo" cubre a cualquier individuo que haya utilizado el servicio al menos una vez — incluidos los visitantes no registrados. El artículo 24, apartado 2, exige a toda plataforma en línea publicar las cifras de destinatarios activos cada seis meses, proporcionando a la Comisión los datos necesarios para la designación.
Las primeras oleadas de designación
La Comisión publicó la primera lista de VLOP/VLOSE el 25 de abril de 2023, designando 17 VLOP y 2 VLOSE. Las designaciones relevantes para el comercio electrónico incluyen Amazon Store, AliExpress, Booking.com, Zalando, Google Shopping, Apple App Store, Google Play, y la oleada de 2024 añadió Shein y Temu — ambas bajo investigación formal de la DSA en 2025-2026. La lista total superó los 25+ servicios a mediados de 2026. Cada nueva designación otorga a la plataforma una ventana de adaptación de cuatro meses para cumplir con el conjunto completo de obligaciones VLOP.
Obligaciones reforzadas para las VLOP
Las VLOP se enfrentan a un conjunto de obligaciones reforzado que se suma a los deberes generales de las plataformas en línea:
- Artículo 34 — evaluación anual de riesgo sistémico (contenido ilegal, derechos fundamentales, discurso cívico, salud pública y menores)
- Artículo 35 — medidas de mitigación proporcionadas, eficaces y razonables
- Artículo 36 — mecanismo de respuesta a crisis (la invasión rusa de Ucrania desencadenó el primer protocolo de crisis)
- Artículo 37 — auditoría anual independiente por una organización externa
- Artículo 38 — opción para que los usuarios desactiven la elaboración de perfiles del sistema de recomendación
- Artículo 39 — repositorio público y legible por máquina de anuncios durante al menos 12 meses
- Artículo 40 — acceso a datos para investigadores acreditados y Coordinadores de Servicios Digitales
- Artículo 41 — función de cumplimiento independiente que informa al órgano de administración
- Artículo 42 — informes de transparencia ampliados cada seis meses
- Artículo 43 — tasa de supervisión pagada a la Comisión (limitada al 0,05% de los ingresos netos anuales)
Punto crítico para los marketplaces de rápido crecimiento: si superas los 45M de usuarios activos mensuales en la UE, la Comisión puede designarte en cuestión de meses. Construir el conjunto de controles VLOP antes de la designación — informe de transparencia, repositorio de anuncios, exclusión del sistema de recomendación — es mucho más económico que adaptarse retroactivamente en un plazo de cuatro meses. Evaluación de preparación pre-VLOP →
3. Transparencia de comerciantes — KYBC para marketplaces online
Artículo 30 — El corazón del cumplimiento de la DSA para marketplaces
El artículo 30 de la DSA introduce lo que los profesionales denominan KYBC — Know Your Business Customer. Toda plataforma en línea que permita a los consumidores celebrar contratos a distancia con comerciantes debe obtener, verificar y publicar la información esencial del comerciante antes de permitirle ofrecer productos. La obligación recae en el marketplace, no en el comerciante. El conjunto cerrado de datos incluye el nombre, dirección, teléfono y correo electrónico del comerciante; una copia del documento de identidad o de la identificación electrónica según el Reglamento eIDAS 910/2014; los datos de la cuenta de pago; la inscripción en el registro mercantil (HRB en Alemania, CCI en Francia, KRS en Polonia); y una autocertificación de cumplimiento de la seguridad de los productos y la protección de los consumidores.
Verificación con "los mejores esfuerzos"
El artículo 30, apartado 2, exige una verificación con "los mejores esfuerzos" frente a cualquier base de datos oficial en línea de libre acceso. Las dos que la Comisión espera que consulte todo marketplace europeo son el VIES — Sistema de Intercambio de Información sobre el IVA (validación en tiempo real del IVA de la UE) y los registros mercantiles nacionales (Handelsregister en Alemania, Registre du Commerce en Francia, KRS en Polonia, Registro Mercantil en España, Registro Imprese en Italia) accesibles directamente o a través del Sistema de Interconexión de los Registros Mercantiles de la UE (BRIS). Si los datos no pueden verificarse, el marketplace debe solicitar una corrección; si el comerciante no lo hace, el marketplace debe suspender los servicios (artículo 30, apartado 3). Los datos verificados deben publicarse en una página de "perfil del comerciante" accesible desde cada anuncio de producto (artículo 30, apartado 7).
Muestreo aleatorio para la detección de falsificaciones — Artículo 31
El artículo 31 de la DSA añade que los marketplaces deben, a intervalos aleatorios, comprobar si los anuncios han sido señalados en bases de datos oficiales legibles por máquina — sobre todo el sistema de alerta rápida Safety Gate de la Comisión para productos no alimentarios peligrosos y las bases de datos nacionales de aplicación de los derechos de propiedad intelectual. Las coincidencias deben retirarse y notificarse al comerciante.
📘 Lee la guía completa de implementación del KYBC
Formularios de recopilación de datos del artículo 30, patrones de integración VIES + BRIS, flujos de suspensión, plantillas de página de perfil del comerciante y diseño de cron para el muestreo Safety Gate del artículo 31.
4. Procedimientos de retirada de contenido ilegal
La exención de responsabilidad se mantiene — con condiciones
Los artículos 4-6 de la DSA reproducen la exención de responsabilidad de la Directiva sobre comercio electrónico: los proveedores de alojamiento no son responsables del contenido almacenado, siempre que no tengan conocimiento efectivo de la actividad ilegal y, tras recibir una notificación, actúen con prontitud para retirar el contenido o bloquear el acceso. La DSA añade un marco procedimental sobre esta exención.
Contenido "manifiestamente ilegal" frente a casos complejos
El considerando 53 distingue entre el contenido manifiestamente ilegal (contenido terrorista según el Reglamento 2021/784, material de abuso sexual infantil, falsificaciones evidentes, ilegalidad declarada judicialmente) — con la expectativa de retirada en cuestión de horas; el Reglamento TCO exige 1 hora desde una orden de la autoridad — y los casos complejos o controvertidos (presunta infracción de derechos de autor, difamación, discurso de odio contextual) que requieren una revisión humana diligente.
Órdenes de las autoridades — Artículos 9 y 10
Las autoridades nacionales pueden emitir dos tipos de órdenes: órdenes de actuación según el artículo 9 contra contenido ilegal (deben especificar la base jurídica, la URL exacta, el ámbito territorial motivado y la información sobre vías de recurso) y órdenes de suministro de información según el artículo 10 sobre destinatarios específicos. El intermediario debe responder sin demora indebida e informar a la autoridad emisora de la medida adoptada. Las órdenes transfronterizas se notifican a través de la red de DSC.
Alertadores fiables — Artículo 22
Los DSC nacionales otorgan la condición de alertador fiable a organizaciones con experiencia acreditada (INHOPE para material de abuso sexual infantil, REACT para infracciones de propiedad intelectual, organismos nacionales de protección de los consumidores para productos inseguros). Sus notificaciones deben tramitarse con prioridad y sin demora indebida (artículo 22, apartado 1). Los marketplaces que incumplan sistemáticamente las notificaciones de los alertadores fiables se enfrentan a un mayor escrutinio por parte del DSC.
5. Mecanismos de notificación y acción
Artículo 16 — El motor operativo
El artículo 16 de la DSA exige a todo proveedor de alojamiento operar mecanismos electrónicos fáciles de usar y accesibles que permitan a cualquier persona señalar elementos específicos de contenido presuntamente ilegal. Una notificación conforme debe contener una explicación fundamentada de por qué el contenido es ilegal, la(s) URL exacta(s), el nombre y el correo electrónico del notificante (con excepciones limitadas para el material de abuso sexual infantil) y una declaración de buena fe sobre su exactitud. El proveedor debe confirmar la recepción sin demora indebida, tomar una decisión oportuna, diligente, no arbitraria y objetiva, y divulgar si la decisión fue automatizada (artículo 16, apartado 6).
Declaración de motivos — Artículo 17
Cuando un proveedor restringe la visibilidad, desmonetiza, suspende o pone fin a un elemento o cuenta de un usuario, el artículo 17 exige una declaración de motivos clara y específica que cubra: la naturaleza de la restricción; los hechos y circunstancias en los que se basa; el fundamento jurídico o la cláusula de las condiciones del servicio invocada; y las posibilidades de recurso (reclamación interna según el artículo 20, resolución extrajudicial según el artículo 21, revisión judicial). Cada declaración también debe presentarse a la base de datos de transparencia de la DSA gestionada por la Comisión — un repositorio de búsqueda pública que había registrado más de 30.000 millones de declaraciones de motivos a mediados de 2026.
Reclamación interna y resolución extrajudicial
El artículo 20 exige a las plataformas en línea mantener un sistema de gestión interna de reclamaciones gratuito y de fácil acceso durante al menos seis meses tras la decisión, adoptada bajo supervisión humana. El artículo 21 abre entonces la puerta a organismos certificados de resolución extrajudicial de litigios; la plataforma debe participar de buena fe.
📨 Lee la guía completa de notificación y acción
Esquema del formulario web del artículo 16, clasificación automatizada con carriles prioritarios del artículo 22, plantillas de declaración de motivos del artículo 17 y patrones de API para el envío a la base de datos de transparencia.
6. Patrones oscuros prohibidos — Artículo 25
Qué prohíbe el artículo 25
Artículo 25 de la DSA: "Los prestadores de plataformas en línea no diseñarán, organizarán ni gestionarán sus interfaces en línea de una manera que engañe o manipule a los destinatarios de su servicio o que de otro modo distorsione o menoscabe materialmente la capacidad de los destinatarios de su servicio de tomar decisiones libres e informadas." Es la primera prohibición horizontal y codificada de la UE sobre los patrones oscuros. Ejemplos concretos del considerando 67: botones grandes de "Aceptar todo" combinados con enlaces diminutos de "Rechazar", avisos insistentes repetidos al darse de baja, procesos asimétricos entre cancelación y suscripción, opciones predeterminadas premarcadas, temporizadores de cuenta atrás falsos y presión moral al confirmar.
Solapamiento con la DPCD y el RGPD
El artículo 25, apartado 2, se aplica sin perjuicio de la Directiva sobre prácticas comerciales desleales 2005/29/CE (DPCD) y el RGPD. El mismo patrón oscuro puede desencadenar tres acciones paralelas: procedimiento del DSC según la DSA, autoridad nacional de protección de los consumidores según la DPCD, y autoridad de protección de datos según el artículo 7 del RGPD para los patrones relacionados con el consentimiento. Las Directrices 03/2022 del CEPD sobre patrones de diseño engañosos siguen siendo el texto de referencia para el solapamiento en materia de protección de datos.
Qué deberían auditar primero los marketplaces
- Banner de cookies — opción de activación/desactivación simétrica, sin premarcado
- Proceso de cancelación — mismo número de clics que la suscripción
- Ventas adicionales del marketplace — sin temporizadores falsos, sin afirmaciones no verificables del tipo "X personas están viendo esto"
- Devoluciones y reembolsos — con la misma visibilidad que la confirmación del pedido
- Cierre de cuenta — accesible en la configuración sin laberintos de teléfono o chatbot
7. Transparencia de la publicidad online — Artículos 26 y 39
Artículo 26 — La obligación universal de etiquetado de anuncios
El artículo 26 de la DSA exige a toda plataforma en línea garantizar que el destinatario pueda identificar, para cada anuncio, de manera clara, concisa e inequívoca: (a) que la información es un anuncio publicitario (etiqueta destacada, opcionalmente estandarizada mediante un acto de la Comisión); (b) la persona física o jurídica en cuyo nombre se muestra el anuncio; (c) la persona que ha pagado por el anuncio si es distinta; (d) información significativa sobre los principales parámetros utilizados para dirigirse al destinatario y cómo pueden modificarse. El considerando 68 deja claro que las etiquetas deben permanecer visibles en cualquier tamaño de pantalla — sin etiquetas "patrocinado" ocultas que solo se revelan tras un clic.
Artículo 28 — Protección de los menores
El artículo 28, apartado 2, de la DSA prohíbe a los proveedores mostrar anuncios basados en la elaboración de perfiles (artículo 4, apartado 4, del RGPD) cuando tengan conocimiento, con certeza razonable, de que el destinatario es menor de edad. Los marketplaces con cuentas restringidas por edad (juguetes, material escolar, videojuegos) necesitan una regla técnica clara que desactive la elaboración de perfiles para las cuentas de menores de 18 años.
Artículo 26, apartado 3 — Sin elaboración de perfiles con datos de categorías especiales
El artículo 26, apartado 3, prohíbe los anuncios basados en la elaboración de perfiles utilizando datos de categorías especiales según el artículo 9, apartado 1, del RGPD (origen racial, opiniones políticas, religión, salud, vida sexual, orientación sexual, datos biométricos, afiliación sindical). Se aplica a todas las plataformas en línea, no solo a las VLOP.
Artículo 39 — Repositorio de anuncios de las VLOP
El artículo 39 de la DSA exige a toda VLOP mantener un repositorio público, consultable y legible por máquina de anuncios que cubra todo el periodo de exhibición y hasta un año después de la última visualización del anuncio — contenido del anuncio, identidad del anunciante, periodo de exhibición, alcance total por Estado miembro y parámetros de segmentación, con acceso API para investigadores. La conclusión preliminar de la Comisión sobre X (Twitter) de julio de 2024 citó explícitamente deficiencias en el repositorio de anuncios del artículo 39. Para los marketplaces con productos de anuncios patrocinados nativos, el repositorio del artículo 39 es el elemento más visible de la infraestructura VLOP.
8. Requisitos de evaluación de riesgo para las VLOP
Artículo 34 — Las cuatro categorías de riesgo
El artículo 34 de la DSA obliga a toda VLOP/VLOSE a identificar, analizar y evaluar diligentemente los riesgos sistémicos derivados del diseño y funcionamiento de su servicio, al menos anualmente y antes de desplegar funciones susceptibles de tener un impacto crítico. Cuatro categorías son obligatorias: (a) difusión de contenido ilegal; (b) efectos sobre los derechos fundamentales (dignidad, privacidad, protección de datos, libertad de expresión, no discriminación, derechos del menor, protección de los consumidores); (c) efectos sobre el discurso cívico, los procesos electorales y la seguridad pública; (d) efectos sobre la violencia de género, la salud pública, los menores y el bienestar físico/mental.
Medidas de mitigación — Artículo 35
El artículo 35 exige medidas de mitigación razonables, proporcionadas y eficaces adaptadas a los riesgos identificados — ajuste de los sistemas de recomendación, desmonetización de categorías de contenido, restricción de la segmentación publicitaria, refuerzo de la moderación, profundización de la cooperación con los alertadores fiables. El plan de mitigación debe documentarse, revisarse anualmente y compartirse con la Comisión y el DSC de establecimiento.
Auditoría independiente — Artículo 37
El artículo 37 exige a toda VLOP/VLOSE someterse, a su propia costa y al menos anualmente, a auditorías independientes del cumplimiento del capítulo III y de los compromisos de los códigos de conducta (artículos 45-47). El auditor debe estar libre de conflictos de interés (sin trabajo de asesoramiento en el mismo ámbito en los 12 meses anteriores) y emitir un dictamen de auditoría — positivo, positivo con observaciones o negativo. Cualquier dictamen distinto de un positivo sin reservas conlleva un informe de aplicación de la auditoría que detalla las medidas correctoras.
Respuesta a crisis — Artículo 36
La Comisión puede, por recomendación del Comité, exigir a las VLOP aplicar medidas específicas de respuesta a crisis durante una circunstancia extraordinaria que amenace la seguridad pública o la salud pública de la UE. El primer protocolo de crisis se activó tras la invasión rusa de Ucrania en 2022; el conflicto entre Israel y Hamás de octubre de 2023 desencadenó cartas de la Comisión a varias VLOP invocando los artículos 34-36.
9. Multas de hasta el 6% de la facturación mundial
El marco sancionador — Artículo 74
El artículo 74 de la DSA faculta a los Estados miembros — y a la Comisión en el caso de las VLOP — a imponer tres tipos de sanciones: multas de hasta el 6% de la facturación mundial anual por infracciones sustantivas; multas de hasta el 1% por información incorrecta o engañosa, falta de respuesta o negativa a la inspección; y multas coercitivas periódicas de hasta el 5% de la facturación mundial media diaria por día hasta que cese la infracción. Para una gran tecnológica con una facturación mundial superior a 200.000 millones de dólares, una multa coercitiva diaria del 5% asciende a decenas de millones de euros al día — diseñada para forzar una rápida subsanación.
Trayectoria de aplicación de la Comisión 2024-2026
- X (anteriormente Twitter) — procedimiento iniciado en diciembre de 2023; conclusiones preliminares en julio de 2024 sobre el engaño relacionado con la marca de verificación azul (art. 25), el repositorio de anuncios (art. 39), el acceso de investigadores (art. 40)
- TikTok — procedimiento iniciado en febrero de 2024 sobre la protección de menores (art. 28), el repositorio de anuncios, el acceso de investigadores, la evaluación de riesgos
- Meta (Facebook, Instagram) — procedimiento iniciado en abril de 2024 sobre publicidad engañosa, transparencia de la publicidad política, deficiencias del mecanismo de reclamaciones
- AliExpress — procedimiento iniciado en marzo de 2024 sobre el riesgo de productos ilegales (art. 34), la transparencia publicitaria, el acceso de investigadores, la trazabilidad de productos
- Temu, Shein — procedimientos iniciados en 2024-2025 sobre productos ilegales, diseño adictivo, riesgo para la protección de los consumidores
Aplicación por los DSC nacionales
Los DSC nacionales gestionan la aplicación cotidiana frente a las no VLOP: ARCOM (Francia) sobre las deficiencias en las notificaciones del artículo 16, la BNetzA (Alemania) sobre las lagunas de KYBC del artículo 30, AGCOM (Italia) sobre la calidad de las declaraciones del artículo 17, Coimisiún na Meán (Irlanda) coordinando los casos relacionados con VLOP para proveedores con sede en EE. UU. establecidos en Dublín.
🛡️ Lee la lista de seguimiento de la aplicación de la DSA
Seguimiento trimestral de todos los procedimientos formales, conclusiones preliminares y multas — con las obligaciones citadas y las medidas correctoras impuestas. Además de una lista de autoevaluación para plataformas pyme.
10. Lista de verificación práctica de la DSA para comercio electrónico 2026
La base universal (todo intermediario, artículos 11-17)
- Punto de contacto para autoridades (art. 11) + punto de contacto para destinatarios (art. 12) — canales publicados por separado
- Representante legal en la UE (art. 13) — solo proveedores no comunitarios; indicado en el sitio web
- Transparencia de las condiciones del servicio (art. 14) — lenguaje sencillo; resumen apto para menores si pueden acceder
- Informe de transparencia (art. 15) — anual, legible por máquina; órdenes, notificaciones, moderación por iniciativa propia, reclamaciones
- Notificación y acción (art. 16) — formulario electrónico sencillo; acuse de recibo; divulgación de decisiones automatizadas
- Declaración de motivos (art. 17) — cubre visibilidad, monetización, restricciones de cuenta/contenido; envío a la base de datos de transparencia
Capa de plataforma en línea (añadir los artículos 19-28, salvo exención pyme)
- Autoclasificación de pyme (art. 19); gestión interna de reclamaciones (art. 20) (6 meses, gratuita, bajo supervisión humana)
- Resolución extrajudicial de litigios (art. 21); cola prioritaria de alertadores fiables (art. 22)
- Medidas contra el uso indebido (art. 23) — política de suspensión publicada para infractores reincidentes y notificantes abusivos
- Informes de transparencia semestrales (art. 24) con la métrica de destinatarios activos
- Auditoría de patrones oscuros (art. 25); etiquetado y parámetros de anuncios (art. 26); protección de menores (art. 28) (sin anuncios basados en perfiles)
Capa específica de marketplace (Artículos 30-32)
- KYBC (art. 30) — recopilación, verificación (VIES + registro), publicación, suspensión de comerciantes incumplidores
- Art. 31 — muestreo aleatorio de Safety Gate + propiedad intelectual; art. 32 — notificación directa al comprador cuando un producto inseguro haya llegado a los clientes en los últimos 6 meses
Capa VLOP (Artículos 33-43, solo por encima de 45M de usuarios activos medios mensuales en la UE)
- Evaluación de riesgo (art. 34) + mitigación (art. 35) + auditoría anual independiente (art. 37)
- Exclusión del sistema de recomendación (art. 38); repositorio de anuncios (art. 39) (retención de 12 meses); acceso a datos para investigadores (art. 40)
- Función de cumplimiento independiente (art. 41); informes semestrales reforzados (art. 42); tasa de supervisión (art. 43) (≤ 0,05% de los ingresos netos)
Marco jurídico 2026 — El Reglamento 2022/2065 en contexto
DSA, DMA y el "efecto Bruselas"
La DSA no está sola. La Ley de Mercados Digitales — Reglamento (UE) 2022/1925 — publicada en el DOUE L 265/1 el 12 de octubre de 2022 — entró en aplicación el 2 de mayo de 2023 y complementa la DSA dirigiéndose a los guardianes de acceso con obligaciones ex ante sobre servicios básicos de plataforma. A partir de 2026, los guardianes de acceso designados son Alphabet, Amazon, Apple, Booking, ByteDance, Meta y Microsoft; cada uno fue designado con servicios básicos de plataforma específicos dentro del ámbito de aplicación (por ejemplo, Amazon Marketplace, Apple App Store, Google Search). Los dos reglamentos forman conjuntamente la "constitución digital" de la UE para los servicios en línea.
Reglamentos conexos que los marketplaces deben tener en cuenta
- RGPD — Reglamento (UE) 2016/679 — supervisado por las autoridades nacionales de protección de datos y coordinado por el CEPD; se solapa con los artículos 26-28 de la DSA sobre elaboración de perfiles y consentimiento
- Directiva sobre la privacidad electrónica 2002/58/CE — cookies y comunicaciones electrónicas; sigue aplicándose a la espera del Reglamento de privacidad electrónica
- Directiva DPCD 2005/29/CE — prácticas comerciales desleales; herramienta principal para las comunicaciones comerciales engañosas, se solapa con el artículo 25 de la DSA sobre patrones oscuros
- Directiva sobre derechos de los consumidores 2011/83/UE — derecho de desistimiento de 14 días, información precontractual, modelo de formulario de desistimiento
- Directiva Ómnibus 2019/2161 — protección de los consumidores modernizada, transparencia de los marketplaces, divulgación de la clasificación pagada (relevante para la transparencia del sistema de recomendación del artículo 27 de la DSA)
- Reglamento sobre seguridad de los productos 2023/988 — aplicable desde el 13 de diciembre de 2024; los marketplaces en línea tienen obligaciones específicas de trazabilidad y notificación
- Reglamento TCO 2021/784 — contenido terrorista en línea; retirada en 1 hora tras una orden de la autoridad
- Reglamento eIDAS 910/2014 (revisado por el 2024/1183) — identificación electrónica; origen de la referencia al documento de identidad en el artículo 30 de la DSA
Autoridades de los Estados miembros
Cada Estado miembro ha designado un Coordinador de Servicios Digitales. Algunos ejemplos con los que se encontrarán los marketplaces online en 2026:
| País | Autoridad DSC | Alcance en la aplicación 2026 |
|---|---|---|
| Alemania | Bundesnetzagentur (BNetzA) | KYBC, marketplaces de comercio electrónico |
| Francia | ARCOM | Notificación y acción, protección de menores |
| Italia | AGCOM | Declaración de motivos, transparencia publicitaria |
| España | CNMC | KYBC de marketplaces, transparencia del sistema de recomendación |
| Irlanda | Coimisiún na Meán | Coordinación relacionada con VLOP (muchos proveedores estadounidenses) |
| Países Bajos | ACM | Casos de marketplaces transfronterizos |
| Polonia | UKE (Oficina de Comunicaciones Electrónicas) | DSC nacional; vinculado a Allegro |
El cumplimiento no es opcional en 2026. La Comisión ha pasado del diálogo preparatorio (2023) a los procedimientos formales (2024), a las conclusiones preliminares (2024-2025) y ahora a las primeras multas (2026). Zunapro agrupa un paquete de cumplimiento de la DSA — motor KYBC, gestor de notificaciones del artículo 16, plantillas de declaración de motivos del artículo 17 y exportador de la base de datos de transparencia — junto con integraciones de marketplace. Ver el paquete de cumplimiento de la DSA →
Cómo cumplir con la DSA — Paso a paso para 2026
1. Clasifica tu servicio
- Intermediario / alojamiento / plataforma en línea / VLOP — revisa las definiciones del artículo 3
- Exención pyme del art. 19 — menos de 50 empleados y menos de 10 millones de euros de facturación, y no designado como VLOP
- ¿Cerca de los 45M de usuarios activos medios mensuales en la UE? — la preparación pre-VLOP se vuelve urgente
2. Designa los contactos obligatorios
- Punto de contacto para autoridades (art. 11) + punto de contacto para destinatarios (art. 12) — canales publicados por separado
- Representante legal en la UE (art. 13) — solo proveedores no comunitarios; contrato vinculante; indicado en el sitio web
3. Publica la capa de transparencia
- Divulgaciones en las condiciones del servicio (art. 14) (normas de moderación, vías de recurso, uso de decisiones algorítmicas)
- Informe anual de transparencia (art. 15); cifra de destinatarios activos (art. 24, apartado 2) actualizada cada seis meses
4. Configura la notificación y acción y la declaración de motivos
- Implementa un formulario web según el artículo 16 con el esquema de cuatro campos; clasificación (manifiestamente ilegal vs. complejo; prioridad para alertadores fiables)
- Genera declaraciones según el artículo 17 para cada decisión restrictiva; envíalas a la base de datos de transparencia de la Comisión mediante API pública
5. Construye el flujo de trabajo KYBC (marketplaces)
- Recopila el conjunto cerrado de datos del artículo 30, apartado 1, al incorporar al comerciante; valida el IVA mediante VIES y el registro mediante BRIS
- Ciclo de reverificación de 30 días; publica una página de perfil del comerciante accesible desde cada anuncio; activa el muestreo Safety Gate + propiedad intelectual del artículo 31
6. Conéctate a través de Zunapro (integración en 10 minutos)
- Inicia sesión en Zunapro y abre el módulo Europa / DSA
- Elige tu perfil de rol — pyme, plataforma en línea, marketplace, pre-VLOP
- Conecta las fuentes de identidad — VIES, BRIS, eIDAS, Safety Gate
- Activa la ingesta de notificaciones y los metadatos publicitarios — simples interruptores por canal
- Ponte en marcha — la primera ejecución del informe de transparencia se genera en un ciclo
Centraliza tu cumplimiento de la DSA en un único panel de la UE
Los artículos 11-43 mapeados en módulos listos para desplegar — KYBC, ingesta de notificaciones, plantillas de declaración de motivos, envío a la base de datos de transparencia, repositorio de anuncios (VLOP) y API para investigadores (VLOP). Un panel, un registro de auditoría, todos los Estados miembros.
Activar el cumplimiento de la DSA →Preguntas frecuentes sobre la Ley de Servicios Digitales 2026
¿Cuándo se aplica la Ley de Servicios Digitales a los vendedores online?
El Reglamento (UE) 2022/2065 — la Ley de Servicios Digitales — entró en vigor el 16 de noviembre de 2022 y se aplica plenamente a todos los servicios intermediarios de la UE desde el 17 de febrero de 2024. Las plataformas en línea de muy gran tamaño (VLOP) y los motores de búsqueda en línea de muy gran tamaño (VLOSE) designados están sujetos a las obligaciones reforzadas desde el 25 de agosto de 2023.
Todo marketplace online, servicio de alojamiento o intermediario que se dirija a usuarios de la UE — independientemente de dónde esté establecido el proveedor — entra en el ámbito de aplicación desde el 17 de febrero de 2024. Los proveedores no comunitarios deben designar un representante legal según el artículo 13 en un Estado miembro.
¿Qué es una plataforma en línea de muy gran tamaño (VLOP) según la DSA?
Una plataforma en línea de muy gran tamaño (VLOP) es una plataforma en línea con más de 45 millones de destinatarios activos medios mensuales en la UE, designada formalmente como tal por la Comisión Europea en virtud del artículo 33 de la DSA. La primera oleada (abril de 2023) designó 17 VLOP y 2 VLOSE, entre ellas Amazon Store, AliExpress, Booking.com, Zalando, Google Shopping, Apple App Store y Google Play.
Las VLOP se enfrentan a obligaciones más estrictas: evaluaciones anuales de riesgo sistémico (artículo 34), auditorías independientes (artículo 37), respuesta a crisis (artículo 36), acceso a datos para investigadores (artículo 40), repositorio público de anuncios (artículo 39) y una tasa de supervisión del 0,05% pagada a la Comisión Europea.
¿Qué significa la transparencia de comerciantes (KYC) para los marketplaces online?
El artículo 30 de la DSA — conocido como la obligación 'Know Your Business Customer' (KYBC) — exige que todo marketplace en línea que permita a los consumidores celebrar contratos a distancia con comerciantes verifique y publique la información esencial del comerciante antes de permitirle utilizar la plataforma.
Los datos requeridos incluyen razón social, número de registro mercantil, identificador de IVA, dirección, teléfono, correo electrónico, datos de la cuenta de pago y una autocertificación de cumplimiento de la normativa de seguridad de productos de la UE. Los marketplaces deben hacer 'todo lo posible' para verificar estos datos a través de fuentes fiables (VIES, registros mercantiles nacionales a través de BRIS) y suspender a los comerciantes que no cumplan.
¿Con qué rapidez debe retirarse el contenido ilegal según la DSA?
La DSA no impone un plazo legal único de retirada, pero el artículo 16 exige a los proveedores de alojamiento actuar 'de manera oportuna, diligente, no arbitraria y objetiva' al recibir una notificación suficientemente fundamentada. El Reglamento TCO 2021/784 exige por separado actuar en 1 hora para el contenido terrorista tras una orden de la autoridad.
En la práctica, se espera que el contenido manifiestamente ilegal (material de abuso sexual infantil, contenido terrorista, productos claramente falsificados) se retire en cuestión de horas; los casos complejos (presunta infracción de derechos de autor, difamación) requieren una revisión humana en cuestión de días. Los alertadores fiables (artículo 22) tienen prioridad — sus notificaciones deben tramitarse sin demora indebida y antes que las notificaciones ordinarias.
¿Qué es un mecanismo de notificación y acción?
El artículo 16 de la DSA exige a todo proveedor de alojamiento — incluidos los marketplaces en línea — operar un mecanismo electrónico de notificación y acción fácil de usar y accesible que permita a cualquier persona o entidad señalar elementos específicos de contenido presuntamente ilegal. La notificación debe contener una explicación de por qué el contenido es ilegal, la URL/ubicación precisa, los datos de contacto del notificante y una declaración de buena fe sobre su exactitud.
Los proveedores deben confirmar la recepción sin demora indebida, tomar una decisión de manera oportuna, comunicar la decisión con su motivación según el artículo 17 (declaración de motivos), e informar al usuario sobre las vías de recurso, incluida la gestión interna de reclamaciones (artículo 20) y la resolución extrajudicial de litigios (artículo 21).
¿Qué patrones oscuros prohíbe la DSA?
El artículo 25 de la DSA prohíbe a las plataformas en línea diseñar, organizar o gestionar sus interfaces de manera que engañen o manipulen a los destinatarios, o que de otro modo distorsionen o menoscaben materialmente su capacidad de tomar decisiones libres e informadas.
Los ejemplos señalados por la Comisión y las Directrices 03/2022 del CEPD incluyen: botones visualmente destacados para una opción frente a enlaces diminutos para la opción contraria, avisos insistentes repetidos para reconsiderar una cancelación de suscripción, opciones de suscripción a la compartición de datos activadas por defecto, temporizadores de cuenta atrás falsos y procesos de cancelación confusos. La DSA complementa las normas existentes de la Directiva sobre prácticas comerciales desleales (DPCD) y se aplica incluso cuando el patrón oscuro no infringe el RGPD.
¿Qué transparencia publicitaria exige la DSA?
El artículo 26 de la DSA exige a toda plataforma en línea etiquetar claramente cada anuncio, identificar a la persona física o jurídica en cuyo nombre se muestra el anuncio, identificar a la persona física o jurídica que ha pagado por el anuncio (si es distinta), y divulgar los parámetros significativos utilizados para dirigirse al destinatario específico — incluido si se ha utilizado la elaboración de perfiles según el artículo 4, apartado 4, del RGPD.
El artículo 28 prohíbe los anuncios dirigidos a menores mediante la elaboración de perfiles. El artículo 39 impone una obligación adicional a las VLOP: un repositorio público y legible por máquina de anuncios, mantenido durante al menos un año después de la última visualización del anuncio, con acceso API para investigadores.
¿Qué es una evaluación de riesgo sistémico según la DSA?
El artículo 34 de la DSA obliga a toda VLOP y VLOSE a evaluar, al menos anualmente y antes de desplegar nuevas funciones significativas, los riesgos sistémicos derivados del diseño, funcionamiento y uso de su servicio.
Cuatro categorías de riesgo son obligatorias: (1) difusión de contenido ilegal; (2) efectos sobre los derechos fundamentales (privacidad, libertad de expresión, no discriminación, derechos de los menores); (3) efectos sobre el discurso cívico, los procesos electorales y la seguridad pública; (4) efectos sobre la violencia de género, la salud pública, los menores y el bienestar físico/mental. El artículo 35 exige medidas de mitigación razonables, proporcionadas y eficaces. Los auditores independientes según el artículo 37 verifican tanto la evaluación como la mitigación.
¿A cuánto ascienden las multas de la DSA?
El artículo 74 de la DSA faculta al Coordinador de Servicios Digitales (o a la Comisión Europea en el caso de las VLOP) a imponer multas de hasta el 6% de la facturación mundial anual del proveedor por incumplimiento de obligaciones sustantivas. Pueden imponerse multas coercitivas periódicas de hasta el 5% de la facturación mundial media diaria por incumplimiento continuado. La falta de suministro de información correcta conlleva multas de hasta el 1% de la facturación mundial.
La Comisión ya ha abierto procedimientos formales contra varias VLOP, entre ellas X, TikTok, Meta, AliExpress, Temu y Shein; X recibió una conclusión preliminar en julio de 2024 por el engaño relacionado con la marca de verificación azul, deficiencias en el repositorio de anuncios y bloqueos al acceso de datos para investigadores.
¿Se aplica la DSA a los pequeños marketplaces y microempresas?
Sí — la DSA se aplica a todos los intermediarios que ofrecen servicios en la UE, pero las obligaciones se calibran según el tamaño. El artículo 19 exime a las microempresas y pequeñas empresas (menos de 50 empleados y 10 millones de euros de facturación) de las obligaciones más gravosas de "plataforma en línea", como la gestión interna de reclamaciones (artículo 20), la resolución extrajudicial de litigios (artículo 21), los alertadores fiables (artículo 22), las medidas contra el uso indebido (artículo 23) y la capa de trazabilidad de comerciantes del artículo 30.
Las obligaciones básicas — puntos de contacto (artículos 11-12), representantes legales para proveedores no comunitarios (artículo 13), transparencia de las condiciones del servicio (artículo 14), notificación y acción (artículo 16) y declaraciones de motivos (artículo 17) — siguen aplicándose a todos.
¿Cómo interactúa la DSA con la Ley de Mercados Digitales (DMA)?
La Ley de Servicios Digitales (Reglamento 2022/2065) y la Ley de Mercados Digitales (Reglamento 2022/1925) forman un paquete normativo complementario. La DSA regula cómo todos los intermediarios gestionan el contenido, la transparencia y los derechos de los usuarios, independientemente del poder de mercado. La DMA impone normas de competencia ex ante a un conjunto más reducido de 'guardianes de acceso' — actualmente Alphabet, Amazon, Apple, Booking, ByteDance, Meta y Microsoft — que controlan "servicios básicos de plataforma" como marketplaces, tiendas de aplicaciones, navegadores, motores de búsqueda y servicios publicitarios.
Un marketplace de comercio electrónico puede ser a la vez una VLOP de la DSA y un guardián de acceso de la DMA (Amazon Marketplace es ambas cosas); los equipos de cumplimiento normalmente gestionan un único programa integrado que cubre ambos reglamentos y su solapamiento con el RGPD.
¿Quién hace cumplir la DSA en cada Estado miembro?
Cada Estado miembro de la UE debe designar uno o más Coordinadores de Servicios Digitales (DSC) — reguladores independientes responsables de la supervisión de la DSA en su territorio. Algunos ejemplos son ARCOM (Francia), Bundesnetzagentur (Alemania), AGCOM (Italia), CNMC (España), Coimisiún na Meán (Irlanda) y UKE (Polonia).
La Comisión Europea supervisa directamente a las VLOP y VLOSE. El Comité Europeo de Servicios Digitales — compuesto por todos los DSC y presidido por la Comisión — coordina la aplicación transfronteriza y resuelve los conflictos jurisdiccionales. En caso de solapamiento en materia de protección de datos, el Comité Europeo de Protección de Datos (CEPD) y las autoridades nacionales de protección de datos cooperan a través de los procedimientos del artículo 60 del RGPD.
¿Necesito un representante legal en la UE?
Si tu servicio está establecido fuera de la UE pero se ofrece a destinatarios de la UE, sí — el artículo 13 de la DSA exige designar un representante legal establecido en uno de los Estados miembros en los que ofreces servicios. El representante recibe las decisiones, multas y solicitudes de información de la DSA en nombre del proveedor y es responsable solidario del incumplimiento.
El representante de la DSA es conceptualmente similar al representante del artículo 27 del RGPD, pero los dos roles no son intercambiables. La mayoría de los vendedores no comunitarios designan dos representantes separados o un único proveedor especializado que ofrece ambos servicios bajo un único contrato.
¿Cuánto tiempo lleva la integración de la DSA con Zunapro?
Aproximadamente 10 minutos para una configuración básica de pyme / plataforma en línea — incluidas las páginas de contacto de los artículos 11/12, la auditoría de las condiciones del servicio del artículo 14, el formulario de notificación del artículo 16 y las plantillas de declaración de motivos del artículo 17. El stack completo de marketplace con KYBC del artículo 30, verificación VIES + BRIS y muestreo Safety Gate del artículo 31 suele completarse en un día laborable.
Para las plataformas que se acercan al umbral de 45M de usuarios activos medios mensuales en la UE, Zunapro prepara previamente los módulos VLOP — repositorio de anuncios, exclusión del sistema de recomendación, API para investigadores, plantillas de evaluación de riesgo listas para auditoría — de modo que una designación de la Comisión pueda incorporarse dentro del plazo legal de 4 meses sin desarrollo de emergencia.
Haz que tu marketplace cumpla con la DSA en un único panel
El Reglamento 2022/2065 mapeado de extremo a extremo — verificación KYBC, notificación y acción, declaración de motivos, transparencia publicitaria, plantillas de evaluación de riesgo y envío a la base de datos de transparencia. Estándar azul y dorado de la UE. Actívalo hoy mismo.
🇪🇺 Activar el cumplimiento de la DSA →¿Necesita ayuda con esto?
Servicio relacionado: Marketplace