El dilema de aplicación del DSA: regulación sistémica en un entorno geopolítico adverso

Bandera de la Unión Europea en representación vectorial 3D, compuesta por polígonos triangulares y redes digitales sobre fondo azul. Derecho digital
Visualización abstracta de la bandera de la UE como objeto digital en 3D. Foto: Alex Sholom / Getty Images
Judith Arnal. Investigadora principal del Real Instituto Elcano y miembro de su Consejo Científico.
Judith Arnal
Darío García de Viedma. Investigador del Real Instituto Elcano.
Darío García de Viedma
Publicado el 12 May 2026 //
Tecnología y economía

Mensajes clave

  • El Reglamento de Servicios Digitales introdujo una obligación sin precedentes: que las plataformas gestionen ex ante los riesgos sistémicos que su diseño algorítmico genera para los procesos democráticos. Dos años después de su plena aplicación, ningún procedimiento sobre esas obligaciones (artículos 34 y 35) ha producido una decisión vinculante.
  • El análisis de los tres casos abiertos en materia de integridad electoral (X, Meta y TikTok) revela cinco dinámicas que frenan la aplicación más ambiciosa del reglamento: el desfase entre los plazos administrativos y los ciclos electorales; la escalada geopolítica como respuesta a la acción regulatoria; la indeterminación normativa sobre qué constituye una mitigación legítima del contenido político; la complejidad probatoria de vincular diseño algorítmico con daño democrático; y las estrategias diferenciadas que las plataformas despliegan para explotar cada una de esas vulnerabilidades.
  • La Comisión ha priorizado las infracciones de transparencia (patrones oscuros, repositorios de publicidad, acceso de investigadores) sobre las obligaciones de riesgo sistémico, en lo que funcionarios europeos han reconocido como una elección estratégica motivada en parte por las sensibilidades geopolíticas del momento.
  • Cada plataforma explota una vulnerabilidad distinta del marco regulatorio: X eleva el coste geopolítico encuadrando la regulación como censura; Meta combina cooperación procedimental en Bruselas con presión política en Washington, aprovechando la indeterminación normativa; TikTok ofrece medidas correctivas visibles que llegan sistemáticamente después de que el riesgo se haya materializado.
  • La inhibición de la aplicación total puede erosionar tanto la capacidad exportadora del modelo regulatorio europeo como la autonomía estratégica de la Unión Europea (UE) en el ámbito digital, en un contexto en el que la simplificación regulatoria del Paquete Ómnibus Digital coincide con presiones externas para moderar el marco normativo. Más allá de la regulación y su aplicación, será necesario idear políticas públicas que reduzcan la dependencia estructural de las democracias europeas respecto a plataformas cuyo diseño no está alineado con el interés público, incidiendo sobre los hábitos de los usuarios y sobre los incentivos para que florezcan plataformas con arquitecturas más saludables para el debate democrático.

Análisis

La Ley de Servicios Digitales (Digital Services Act, DSA) introdujo algo inédito en la regulación de plataformas digitales: la obligación de gestionar los riesgos que su propio diseño genera para los procesos democráticos. Dos años después de su entrada en vigor plena, la Comisión Europea ha abierto al menos 12 procedimientos formales contra plataformas designadas. Sólo uno ha concluido en multa. Ninguno ha producido una decisión vinculante sobre las obligaciones de riesgo sistémico de los artículos 34 y 35, que son precisamente el núcleo de la apuesta regulatoria europea.

Este análisis examina ese patrón a través de tres casos (X, Meta y TikTok) e identifica factores que podrían estar frenando la aplicación más ambiciosa de la DSA, como la complejidad probatoria de evaluar riesgos algorítmicos, la ausencia de criterios normativos claros para juzgar las decisiones de las plataformas sobre el contenido político, el desfase entre los plazos administrativos y los ciclos electorales, y el entorno geopolítico. Esas dimensiones interactúan entre sí y con las estrategias que las propias plataformas despliegan para gestionar su relación con los reguladores. El resultado es un dilema estructural que el diseño formal del reglamento no preveía.

La geopolítica del enforcement

El enforcement, o implementación de la regulación tecnológica, opera en un entorno atravesado por la geopolítica en dos direcciones. La primera es el uso instrumental de su aplicación: las decisiones regulatorias sobre plataformas digitales se emplean, de manera creciente, como instrumento de presión en dimensiones que van más allá de lo estrictamente tecnológico (comerciales y políticas, sobre todo). La segunda es la influencia del contexto geopolítico sobre las propias decisiones de aplicación: el entorno político internacional en el que esas decisiones van a aterrizar es un elemento digno de consideración por las entidades regulatorias. Ambas dinámicas son observables en el caso de la DSA.

Quien controla las infraestructuras sobre las que circula buena parte del debate público contemporáneo dispone de una palanca de influencia. Algunos de los propietarios de las principales plataformas que usamos son actores con posiciones políticas explícitas y sus gobiernos de origen las han incorporado activamente a sus estrategias de política exterior. Por lo tanto, regular una plataforma deja de ser un acto puramente administrativo.

La DSA y sus obligaciones sistémicas

La DSA, adoptado en octubre de 2022 y plenamente aplicable desde el 17 de febrero de 2024, constituye el instrumento más ambicioso de la UE para regular los servicios y plataformas digitales. La DSA establece un sistema de obligaciones escalonadas. Las Very Large Online Platforms (VLOP) y los Very Large Online Search Engines (VLOSE), es decir, los servicios con más de 45 millones de usuarios activos mensuales en la UE quedan sujetos al régimen más exigente.

Las obligaciones de la DSA pueden agruparse en cuatro bloques:

  • El primero abarca deberes de diligencia aplicables a todos los intermediarios: mecanismos de notificación de contenidos ilegales, transparencia en los términos de servicio y requisitos de información sobre publicidad.
  • El segundo introduce obligaciones reforzadas para las plataformas, entre ellas la trazabilidad de comerciantes, la gestión de reclamaciones y la prohibición de patrones oscuros que manipulen las decisiones de los usuarios.
  • El tercero, y más relevante para este análisis, establece obligaciones de riesgo sistémico para las VLOP y VLOSE: deben identificar, analizar y mitigar los riesgos sistémicos que emanen del diseño o el funcionamiento de sus servicios, incluyendo los riesgos para los procesos electorales, para el discurso cívico y para la integridad informativa.
  • El cuarto regula la transparencia y la rendición de cuentas, incluyendo repositorios de publicidad, acceso de investigadores a datos y transparencia algorítmica en los sistemas de recomendación.

Los artículos 34 y 35 son el corazón de ese tercer bloque. El artículo 34 obliga a las VLOP a realizar evaluaciones de riesgo sistémico al menos una vez al año, identificando los efectos negativos reales o previsibles que sus servicios pueden generar sobre una serie de bienes públicos: los derechos fundamentales, los procesos democráticos, la seguridad y la salud públicas, entre otros. El artículo 35 obliga a adoptar medidas de mitigación razonables, proporcionadas y efectivas frente a los riesgos identificados.

Con la combinación de los artículos 34 y 35, la DSA no se limita a exigir la eliminación de contenidos ilegales una vez detectados, sino que responsabiliza a las plataformas de gestionar ex ante los riesgos que su propia arquitectura técnica y sus sistemas algorítmicos pueden producir a escala.

La supervisión del cumplimiento de estas obligaciones por parte de las VLOP y VLOSE está centralizada en la Comisión Europea, que actúa como autoridad competente para estos servicios. Las multas pueden alcanzar el 6% del volumen de negocios anual global.

Doce procedimientos, una multa: el balance del primer ciclo de aplicación

Entre agosto de 2023 y principios de 2026, la Comisión ha abierto al menos 12 procedimientos formales contra plataformas designadas bajo la DSA. Los casos pueden agruparse en tres bloques: los relacionados con desinformación e integridad electoral, los centrados en protección de menores y diseño adictivo, y los que afectan a la protección del consumidor en mercados digitales. Sólo el primero compromete directamente los artículos 34 y 35, y es también el único en el que no se ha adoptado ninguna decisión final. A principios de 2026, sólo un procedimiento ha concluido en multa: los 120 millones de euros impuestos a X en diciembre de 2025. Funcionarios europeos han reconocido que esa secuencia respondió, al menos en parte, a una elección estratégica deliberada, motivada por las sensibilidades geopolíticas que rodeaban el bloque de integridad electoral. Este documento analiza los tres casos que lo componen.

Caso X

El primer contacto de la Comisión con X bajo la DSA se produjo en octubre de 2023, cuando le remitió una solicitud de información tras el ataque de Hamás a Israel, en relación con la supuesta difusión de contenidos ilegales y desinformación. El 18 de diciembre de 2023, la Comisión abrió un procedimiento formal en cinco áreas: difusión de contenidos ilegales, efectividad de las medidas contra la manipulación informativa, patrones oscuros, transparencia publicitaria y acceso de investigadores a datos.

En julio de 2024, la Comisión emitió conclusiones preliminares sobre tres de esas áreas. La primera era el rediseño del sistema de verificación: el tick azul”, que había señalizado históricamente cuentas verificadas de forma independiente, había pasado a ser accesible mediante suscripción de pago (por siete euros al mes) sin una verificación de identidad real, lo que la Comisión consideró una práctica de diseño engañoso contraria al artículo 25. La segunda era el repositorio de publicidad, que carecía de información esencial exigida por el artículo 39, incluyendo el contenido y la temática de los anuncios y la identidad del pagador, e incorporaba barreras de diseño que limitaban su utilidad. La tercera era el acceso de investigadores a datos públicos, que el artículo 40 exige facilitar: X lo restringía mediante términos de servicio que prohibían métodos como el scraping e imponía barreras económicas desproporcionadas.

En diciembre de 2025, la Comisión adoptó la primera decisión de incumplimiento de la DSA, imponiendo a X una multa de 120 millones de euros: 45 millones por el verificado, 40 millones por el acceso de investigadores y 35 millones por el repositorio de publicidad. Sin embargo, la investigación sobre la gestión de riesgos sistémicos bajo los artículos 34 y 35 permaneció abierta.

El vicepresidente estadounidense, JD Vance, denunció la decisión públicamente en la propia plataforma. El secretario de Estado, Marco Rubio, la calificó de ataque a empresas americanas. El Departamento de Estado impuso restricciones de visado a varios ciudadanos europeos vinculados a la regulación digital y la lucha contra la desinformación, entre ellos el excomisario Thierry Breton y responsables de organizaciones dedicadas al seguimiento de la desinformación en línea. El secretario de Comercio, Howard Lutnick, vinculó explícitamente la reducción arancelaria a la disposición europea a moderar su marco regulatorio digital.

La adquisición de X por parte Elon Musk en 2022 ha convertido la plataforma en un actor político con posicionamiento propio, con medidas como la reducción del 80% de la plantilla de moderación de contenidos, la reinstauración de cuentas suspendidas, la promoción algorítmica de los contenidos del propio propietario y la alineación explícita de la plataforma con movimientos políticos de extrema derecha en varios países europeos.

La estrategia de X puede caracterizarse como confrontacional: encuadrar la intervención regulatoria como un ataque a la libertad de expresión y movilizar apoyo político en su jurisdicción de origen, elevando el coste geopolítico de cualquier acción más ambiciosa sobre los algoritmos.

Caso Meta

El 30 de abril de 2024, cinco semanas antes de las elecciones al Parlamento Europeo, la Comisión abrió un procedimiento formal contra Facebook e Instagram en cuatro áreas. La primera era la gestión de publicidad engañosa, campañas de desinformación y comportamientos inauténticos coordinados, con implicaciones para el discurso cívico y los derechos fundamentales. La segunda era el tratamiento del contenido político en los sistemas de recomendación, en particular la decisión de Meta de reducir la visibilidad del contenido político en los feeds de los usuarios, que la Comisión consideró potencialmente contraria a las exigencias de transparencia de la DSA. La tercera era el diseño de los mecanismos de notificación de contenidos, que complicaba innecesariamente el proceso de completar una denuncia. La cuarta, y más urgente en términos electorales, era la decisión de Meta de cerrar CrowdTangle, una herramienta de seguimiento en tiempo real del comportamiento viral de contenidos en sus plataformas, ampliamente utilizada por investigadores y periodistas para monitorizar riesgos electorales en redes sociales.

En octubre de 2025, la Comisión emitió conclusiones preliminares concluyendo que Meta había incumplido su obligación de facilitar el acceso de investigadores a datos públicos, cuyas herramientas eran “gravosas” y producían “datos parciales o poco fiables”, y que Facebook e Instagram incorporaban patrones oscuros en sus sistemas de notificación de contenidos que disuadían a los usuarios de completar denuncias. A principios de 2026, no se ha impuesto ninguna multa a Meta bajo la DSA y la investigación sobre desinformación y riesgos electorales permanece abierta.

El caso Meta es una buena ilustración de esta tensión que la DSA parece no poder resolver. Meta decidió reducir la visibilidad del contenido político en sus algoritmos de recomendación, alegando que era una respuesta a la preferencia de sus usuarios, y como medida de mitigación de riesgos bajo el artículo 35. El reglamento exige a las plataformas mitigar los riesgos sistémicos para el discurso cívico, lo que puede requerir intervención activa contra la desinformación; pero también exige transparencia y control de los usuarios sobre los sistemas de recomendación, lo que implica que la plataforma comunique y justifique sus decisiones algorítmicas. Una plataforma que suprime algorítmicamente el contenido político puede simultáneamente presentar esa decisión como reducción de desinformación y como respuesta a las preferencias de los usuarios, sin que la DSA ofrezca criterios ejecutables para evaluar cuál de esas interpretaciones es correcta. El informe de riesgo sistémico de Meta de 2025 muestra como la empresa presentó cambios de política que eliminaron determinadas salvaguardas de moderación como respuestas a una supuesta sobreaplicación de las reglas anteriores y, por tanto, como cumplimiento de las obligaciones de mitigación del artículo 35. En un contexto en el que las operaciones de desinformación rusa siguen activas en el espacio informativo europeo, la ausencia de criterios normativos claros genera una situación de incertidumbre que deja  a las plataformas como encargadas de decidir la interpretación de la norma, sin por ello estar seguras de su cumplimiento.

A diferencia de X, Meta ha adoptado en sus interacciones con los reguladores europeos una postura de cooperación procedimental, participando en las investigaciones y ajustando elementos de su marco de cumplimiento de forma incremental. Paralelamente, en Washington ha etiquetado la regulación europea como discriminatoria. Cuando la Comisión impuso a Meta una multa de 200 millones de euros en 2025 por infracciones separadas bajo la Ley de Mercados Digitales (DMA), la empresa la calificó públicamente de “arancel” para perjudicar a empresas estadounidenses exitosas, adoptando literalmente el vocabulario de la Administración Trump. Esta doble postura permite a la plataforma mantener una relación funcional con los reguladores europeos mientras alimenta la presión política externa sobre el marco regulatorio europeo.

Caso TikTok

El procedimiento contra TikTok emergió en el contexto de la crisis política en torno a las elecciones presidenciales rumanas de noviembre de 2024. En la primera vuelta, Călin Georgescu, un candidato ultranacionalista con simpatías prorrusas que había rondado el 5% en los sondeos, llegó inesperadamente en primer lugar. El Tribunal Constitucional rumano anuló por unanimidad los resultados de la primera vuelta, convirtiendo a Rumanía en el primer Estado miembro de la UE en cancelar una elección invocando injerencia exterior. Las investigaciones apuntaron al sistema de recomendaciones de TikTok: pruebas realizadas con cuentas nuevas que interactuaban igualmente con todos los candidatos mostraron que el contenido favorable a Georgescu aparecía más de cinco veces más frecuentemente que el de su principal rival en la pestaña “Para ti” de la plataforma.

La Comisión reaccionó con relativa rapidez: antes incluso de que el Tribunal Constitucional anulara los resultados, emitió una orden de conservación de datos y, en diciembre de 2024, abrió un procedimiento formal bajo los artículos 34 y 35, centrado en el funcionamiento de los sistemas de recomendación de TikTok y su posible papel en la amplificación coordinada de contenidos durante la campaña.

No obstante, a principios de 2026, la investigación sobre los riesgos sistémicos vinculados a las elecciones rumanas permanece abierta. Lo que sí se resolvió, en diciembre de 2025, fue el procedimiento paralelo sobre transparencia publicitaria, que concluyó con compromisos vinculantes aceptados por la Comisión. TikTok, propiedad de la empresa china ByteDance, adoptó tras la apertura del procedimiento una serie de medidas reactivas: despliegue de moderadores adicionales, activación del sistema de alerta temprana de la UE contra la desinformación, creación de un centro de información electoral y refuerzo del etiquetado de contenido político en Rumanía. Eurodiputados rumanos han señalado que el ritmo del procedimiento es incompatible con los ciclos electorales, dado que varias campañas podrían celebrarse antes de que se adopte una decisión final

Dinámicas estructurales

Los tres casos permiten identificar dinámicas que han marcado este primer ciclo de aplicación de la DSA y que, previsiblemente, seguirán condicionando su desarrollo en los próximos años.

La primera es el desfase temporal entre los plazos del enforcement administrativo y la velocidad de los procesos electorales. En el caso rumano, el presunto riesgo sistémico (la amplificación algorítmica de un candidato durante una campaña corta) se materializó antes de que la Comisión hubiera abierto ningún procedimiento. La investigación, iniciada en diciembre de 2024, permanecía abierta más de un año después. La DSA no prevé mecanismos de respuesta rápida calibrados para ese desfase.

La segunda dinámica es la escalada geopolítica como respuesta al enforcement. Los costes diplomáticos (o amenazas) actúan como factor anticipatorio en las decisiones de aplicación más ambiciosas.

La tercera dinámica es la indeterminación normativa dentro del propio marco de la DSA. Los artículos 34 y 35 exigen a las plataformas mitigar los riesgos sistémicos para el discurso cívico, pero el reglamento no establece criterios claros para evaluar cuándo una decisión algorítmica sobre la visibilidad del contenido político constituye una medida de mitigación legítima o una restricción indebida del debate público. Esa ambigüedad no es neutral, sino que permite a las plataformas presentar cambios en sus políticas de moderación, incluyendo retrocesos respecto a salvaguardas anteriores, como cumplimiento de las obligaciones de mitigación, sin que los reguladores dispongan de parámetros normativos claros para rebatir esa caracterización.

La cuarta dinámica es la complejidad probatoria inherente a la evaluación de riesgos algorítmicos. Los artículos 34 y 35 exigen demostrar que el diseño o el funcionamiento de un servicio genera riesgos sistémicos para los procesos democráticos, lo que requiere establecer un nexo causal entre la arquitectura técnica de la plataforma y un daño a escala. Esa demostración es especialmente difícil en el ámbito electoral. En el caso rumano, las pruebas disponibles son indicativas, pero no resuelven la pregunta que un procedimiento administrativo necesita responder: si la amplificación fue producto del diseño del sistema de recomendación o reflejo de preferencias orgánicas de los usuarios.

La quinta dinámica son las estrategias diferenciadas que las plataformas despliegan frente al marco regulatorio, y que interactúan con las cuatro dinámicas anteriores amplificando sus efectos. X ha adoptado una postura confrontacional que eleva el coste geopolítico de la acción regulatoria, encuadrando cualquier intervención como censura y movilizando apoyo político en su jurisdicción de origen. Meta combina cooperación procedimental en Bruselas con presión política en Washington, explotando la indeterminación normativa de los artículos 34 y 35 para presentar retrocesos en sus salvaguardas de moderación como cumplimiento de las obligaciones de mitigación. TikTok ha optado por un cumplimiento reactivo que ofrece medidas correctivas visibles tras cada crisis, pero que llega sistemáticamente después de que el riesgo se haya materializado, aprovechando el desfase temporal del enforcement. Cada estrategia explota una vulnerabilidad distinta del marco regulatorio, lo que sugiere que las dinámicas identificadas no operan de manera aislada: las plataformas las combinan y las instrumentalizan en función de su posición política y de la jurisdicción de su propietario.

Conclusiones

La aplicación de las disposiciones más ambiciosas de la DSA, las que obligan a las plataformas a gestionar los riesgos sistémicos que su propia arquitectura genera para los procesos democráticos, ha quedado pendiente, mientras se resolvían las infracciones de transparencia. ¿Qué tendencias se divisan para la gobernanza digital europea?

La primera es la tendencia a la inhibición del enforcement más ambicioso. Cuando actuar sobre los riesgos más consecuentes (los que afectan a los algoritmos de recomendación y a los sistemas de amplificación de contenidos) conlleva costes geopolíticos elevados y ambigüedades normativas difíciles de resolver, la lógica institucional lleva a priorizar las áreas de menor coste y con un resultado más predecible. Este patrón podría consolidarse en un escenario en el que las plataformas absorben las multas por violaciones de transparencia como coste asumible de operar en el mercado europeo, sin que las disposiciones más consecuentes de la DSA lleguen a producir efectos vinculantes sobre su arquitectura algorítmica.

La segunda es la relación entre aplicación y la capacidad exportadora del modelo regulatorio europeo. La tesis del “Efecto Bruselas” descansa sobre la premisa de que el tamaño del mercado europeo obliga a las empresas globales a adaptar sus productos y servicios a los estándares de la UE, que terminan así convirtiéndose en referencia global. Esa dinámica funciona cuando los estándares europeos se aplican de manera consistente. Si la aplicación es percibida como condicionada por factores extrajurídicos, su potencial de influencia normativa se reduce.

La tercera tendencia concierne a la autonomía estratégica en el ámbito digital. La presión de Washington para que Europa modere su marco regulatorio tecnológico, articulada tanto a través de la retórica de libre expresión como de instrumentos más directos como los aranceles o las restricciones de visado, forma parte de un debate más amplio sobre quién establece las reglas que gobiernan las infraestructuras de comunicación pública en las democracias occidentales. El Digital Omnibus de noviembre de 2025, que abre un proceso de simplificación del marco regulatorio digital de la UE en ese mismo momento, es un elemento de ese debate que merece ser leído también con esa clave.

Los artículos 34 y 35 de la DSA siguen siendo una apuesta regulatoria sin equivalente en otras jurisdicciones: de la eliminación reactiva de contenidos ilegales a la gestión ex ante de los riesgos que el propio diseño algorítmico de los servicios genera para los procesos democráticos. Su éxito dependerá de cómo logre mitigar estas y otras dinámicas que vengan a frenarlo.

Además de la regulación y su aplicación, será necesario idear políticas públicas que nos ayuden a reducir la dependencia estructural de las democracias europeas respecto a plataformas cuyo diseño no está alineado con el interés público. Esto es más fácil que otros retos de soberanía tecnológica ya que no requiere desarrollar fábricas de semiconductores ni modelos de inteligencia artificial propios, sino incidir sobre los hábitos de los usuarios y sobre el modelo de incentivos para que florezcan las plataformas con arquitecturas más saludables para el debate democrático. Hemos de preguntarnos más a menudo cómo articular esa palanca.