Ley de Servicios Digitales (DSA): cómo afecta a las empresas en España
Cuando se habla de la Ley de Servicios Digitales (Digital Services Act, DSA), casi todo el mundo piensa en Meta, en Google o en TikTok. Es lógico: los titulares siempre van con las grandes. Pero ese reflejo deja fuera una parte incómoda de la norma, y es la que importa aquí. La DSA, junto con la DMA (Digital Markets Act), es el armazón con el que la UE ha decidido gobernar la economía digital de la próxima década. Y ese armazón no se detiene en las plataformas gigantes: roza a cualquier empresa que ofrezca servicios digitales, una pyme con un foro incluida.
Lo que viene a continuación es un repaso a qué pide exactamente la DSA, sobre quién cae en España, qué obligaciones trae consigo y por dónde empezar a adaptarse.
¿Qué es la Ley de Servicios Digitales?
La DSA es el Reglamento UE 2022/2065, y conviene fijarse en la palabra "reglamento": no necesita transposición para aplicarse, es directamente exigible en los 27 Estados. Lo que hace es imponer obligaciones de responsabilidad y transparencia a los prestadores de servicios digitales, una etiqueta que abarca mucho más de lo que parece: proveedores de hosting, plataformas de comercio electrónico, redes sociales y motores de búsqueda entran todos en el mismo paraguas.
¿Para qué? Para que el espacio digital sea más seguro y rinda cuentas. Menos contenido ilegal circulando sin control, menos publicidad engañosa, menos diseños pensados para manipular al usuario. Visto desde fuera suena a declaración de intenciones; visto desde dentro de una empresa, son procesos concretos que hay que tener montados.
Entrada en vigor
El calendario tiene dos hitos que conviene no confundir. En febrero de 2024 la norma pasó a ser aplicable a todas las entidades incluidas en su ámbito. En el caso español, la transposición complementaria y la designación de la autoridad de supervisión nacional se completaron a lo largo de 2025. Es decir: el marco europeo ya está vivo y el engranaje español que lo vigila también.
¿A quién afecta la DSA en España?
Aquí es donde la norma deja de ser abstracta. La DSA ordena a los prestadores en cuatro categorías, y cada escalón añade obligaciones sobre el anterior. Cuanto más alto subes, más te exige.
1. Servicios intermediarios (todos)
El primer escalón es el más amplio y el que más sorprende, porque entra casi cualquiera que transmita, almacene o aloje contenido de terceros. Hablamos de proveedores de hosting, registradores de dominios, servicios de CDN o proveedores de VPN. Si tu negocio toca alguna de estas piezas, ya estás dentro del perímetro.
2. Servicios de alojamiento
Un peldaño más arriba están los servicios que almacenan información de terceros: hosting web, almacenamiento cloud y plataformas de publicación.
3. Plataformas online
Aquí encajan los servicios que difunden información al público a petición del usuario. Es una categoría poblada: marketplaces, redes sociales, plataformas de reseñas, foros y plataformas de vídeo conviven en ella.
4. Plataformas online de gran tamaño (VLOP) y motores de búsqueda de gran tamaño (VLOSE)
La cúspide. Plataformas con más de 45 millones de usuarios activos mensuales en la UE, sujetas a las obligaciones más estrictas de toda la norma. Es el escalón donde sí están los nombres de los titulares, y probablemente no es el tuyo.
¿Afecta a mi pyme?
La pregunta del millón, y la respuesta depende de algo muy concreto: si en tu web entra contenido de otra gente. ¿Tienes comentarios en el blog, reseñas, un foro? ¿Una tienda tipo marketplace donde venden terceros? ¿Una app que aloja contenido de usuarios? Entonces la DSA te afecta de forma directa, sin matices.
Si tu web es corporativa y solo muestra contenido propio, respira: las obligaciones son mínimas. Aun así, merece la pena conocer el marco, porque el día que añadas una sección de opiniones la situación cambia.
Obligaciones principales según categoría
Para todos los servicios intermediarios
El nivel base ya pide cuatro cosas. Hay que designar un punto de contacto único, un canal electrónico tanto para las autoridades como para los usuarios. Si la empresa no está establecida en la UE pero presta servicios aquí, necesita además un representante legal en la UE. Las condiciones generales tienen que ser claras de verdad: deben explicar tus políticas de moderación de contenido, los mecanismos de reclamación y las restricciones que aplicas, sin lenguaje de letra pequeña. Y cierra la lista un informe de transparencia anual sobre las acciones de moderación.
Para servicios de alojamiento (adicional)
Quien aloja contenido suma dos obligaciones. La primera es un mecanismo de notificación y acción: cualquier persona debe poder avisar de contenido ilegal, y el prestador tiene que reaccionar de forma diligente, no archivar el aviso. La segunda es la justificación de restricciones: si eliminas o limitas contenido, le debes al usuario una explicación del motivo y una vía de recurso.
Para plataformas online (adicional)
El escalón más cargado. Las plataformas necesitan un sistema de reclamación interno para que los usuarios recurran las decisiones de moderación, y acceso a resolución extrajudicial de litigios como alternativa a los tribunales. Tienen que colaborar con alertadores de confianza (trusted flaggers), entidades reconocidas que señalan contenido ilegal. Si terceros venden en tu plataforma, entra la trazabilidad de comerciantes: verificar su identidad antes de dejarles operar. Se exige también transparencia en publicidad, etiquetándola con claridad y explicando los criterios de segmentación. Y un límite que no admite interpretación: nada de usar datos de menores para publicidad personalizada.
Sanciones por incumplimiento
Conviene mirar las cifras antes de decidir que esto puede esperar. La DSA contempla multas de hasta el 6 % de la facturación global anual para las infracciones más graves. Para incumplimientos de información o cooperación, la horquilla baja al 1 % de la facturación, lo que sigue sin ser una cantidad simbólica para casi ninguna empresa.
La autoridad competente en España, pendiente de designación formal definitiva, será la que supervise el cumplimiento y aplique esas sanciones. Que el organismo aún no esté cerrado del todo no significa que la obligación esté en pausa: la norma ya es exigible.
Cómo adaptarse: plan de acción para pymes
No hay un único plan, hay tres situaciones según cuánto contenido ajeno gestiones. Localiza la tuya.
Si tienes una web corporativa sin contenido de usuarios
Tu exposición es mínima y el trabajo, manejable. Revisa que tus condiciones de uso y tu política de privacidad estén actualizadas, y deja visible un punto de contacto para notificaciones. Con eso cubres lo esencial.
Si tienes un blog con comentarios o un foro
Aquí ya hay tarea de fondo. Necesitas un mecanismo de notificación para que cualquiera pueda reportar contenido ilegal, y detrás de ese botón, un proceso interno real para revisar esos avisos y actuar. Cada vez que elimines algo, justifica y comunica la decisión al usuario. Y cierra el ciclo con un informe anual de transparencia, que puede ser perfectamente sencillo.
Si tienes un marketplace o plataforma donde terceros venden o publican
El caso más exigente. Antes de dejar operar a un comerciante hay que verificar su identidad: nombre, dirección, registro mercantil, NIF. A eso se suma un sistema de notificación y acción robusto, un sistema de reclamación interno, publicidad etiquetada con sus criterios de segmentación explicados y la regla firme de no usar datos de menores para publicidad personalizada. Y, como en los demás casos, informes de transparencia.
DSA y RGPD: cómo se complementan
Una confusión habitual: pensar que la DSA reemplaza al RGPD o lo solapa. No es así, conviven y se reparten el terreno. El RGPD regula cómo tratas los datos personales: cómo los recoges, los almacenas, los usas y los eliminas. La DSA regula otra capa distinta: cómo gestionas el contenido de tu plataforma y cómo proteges a los usuarios frente a contenido ilegal y publicidad engañosa.
La buena noticia para quien ya tiene el RGPD en orden es que parte de una base sólida y de una cultura de cumplimiento ya instalada. Lo que la DSA añade encima son obligaciones específicas sobre moderación de contenido, transparencia y trazabilidad de terceros.
Impacto en el e-commerce español
Si vendes online, esto baja a tierra muy rápido. En los marketplaces, dejar que terceros vendan en tu plataforma implica verificar su identidad y garantizar la trazabilidad; Amazon, eBay o Wallapop ya cumplen, pero el marketplace de nicho que opera con menos recursos es justo el que tiene trabajo por delante. En publicidad online se exige más transparencia sobre quién paga los anuncios y por qué se le muestran a cada usuario. Las reseñas falsas quedan dentro de las prácticas manipuladoras que la norma prohíbe, igual que los dark patterns, esos diseños web pensados para engañar. Y crece la responsabilidad sobre los productos que venden terceros en tu plataforma, algo que cambia el cálculo de riesgo de cualquier tienda con catálogo abierto.
Cómo Tangram Consulting puede ayudarte
En Tangram Consulting trabajamos con empresas para traducir la regulación digital europea a decisiones concretas de negocio, y para dejar sus plataformas alineadas con la DSA, el RGPD y el resto del marco. Si quieres saber con exactitud qué te toca a ti según tu modelo de servicio, escríbenos a través del formulario de contacto y lo revisamos contigo.
Lo que no conviene posponer
La Ley de Servicios Digitales no es un asunto reservado a las grandes plataformas, y ese es el punto de partida que más cuesta interiorizar. Para la mayoría de pymes españolas el impacto real es asumible: condiciones de uso al día, un mecanismo de notificación de contenido y, si operas un marketplace, verificación de la identidad de los comerciantes. El error caro no es la complejidad de la norma, es ignorarla: las sanciones tienen peso y la supervisión irá a más en los próximos años. Adaptarse ahora, con margen, sale mucho más barato que hacerlo a contrarreloj.