La Comisión Europea y el Supervisor Europeo de Protección de Datos (EDPB) han publicado unas directrices conjuntas que clarifican cómo interactúan la Ley de Mercados Digitales (DMA) y el Reglamento General de Protección de Datos (RGPD) en la Unión Europea, que so,Etel a información pública en https://digital-markets-act.ec.europa.eu/consultation-joint-guidelines-interplay-between-dma-and-gdpr_en, hasta el 4 de diciembre.
Contexto normativo
La DMA y el RGPD persiguen objetivos diferentes pero complementarios:
- DMA: Garantiza mercados digitales justos y competitivos mediante normas armonizadas aplicables a los “guardianes de acceso” (gatekeepers)
- RGPD: Protege a las personas físicas en relación con el tratamiento de datos personales y garantiza su libre circulación en la Unión
Las directrices se centran en las disposiciones de la DMA que presentan solapamientos significativos con las normas del RGPD, requiriendo una interpretación y aplicación coherente de ambos marcos.
Artículo 5(2) DMA: Elección del usuario y consentimiento
Requisitos de elección específica
Los guardianes de acceso tienen prohibido:
- Procesar datos personales de usuarios finales de servicios de terceros con fines publicitarios
- Combinar datos personales de diferentes servicios principales
- Utilizar datos de forma cruzada entre servicios proporcionados por separado
- Registrar automáticamente a usuarios en otros servicios para combinar datos
Excepciones: Estas prohibiciones no aplican cuando se cumplan dos condiciones acumulativas:
- El guardián ha presentado al usuario una elección específica entre el servicio con procesamiento de datos y una alternativa menos personalizada pero equivalente
- El usuario ha dado su consentimiento válido según los Artículos 4(11) y 7 del RGPD
Alternativa menos personalizada pero equivalente
La alternativa debe:
- Mantener el mismo rendimiento, experiencia y condiciones de acceso
- No incluir funcionalidades suprimidas, salvo que la degradación sea consecuencia directa de no procesar los datos
- No diferir en calidad respecto al servicio con consentimiento
- Si el servicio con consentimiento es gratuito, la alternativa también debe serlo en principio
Requisitos del consentimiento bajo el RGPD
El consentimiento debe ser:
- Libre: Sin condicionamiento, presión o incapacidad para ejercer la libre voluntad
- Específico: Con propósitos claramente definidos (ej: personalización de contenido, personalización de anuncios, desarrollo de servicios como propósitos distintos)
- Informado: Con información completa e inteligible sobre el procesamiento
- Inequívoco: Mediante acción afirmativa clara
Diseño de interfaces de consentimiento
Las interfaces deben:
- Presentar opciones de aceptación y rechazo en igualdad de condiciones
- Evitar cajas premarcadas (no constituyen consentimiento válido)
- No usar técnicas manipuladoras o engañosas
- Ser accesibles para personas con discapacidad
- Consolidar solicitudes de consentimiento en un flujo único cuando el RGPD y la DMA requieran consentimiento para los mismos propósitos
Limitaciones a la repetición de solicitudes
- Los guardianes no pueden repetir solicitudes de consentimiento más de una vez al año para el mismo propósito
- La limitación aplica desde que el usuario otorga o rechaza activamente el consentimiento
- Si el usuario abandona la solicitud sin decidir, el guardián puede repetirla
Procesamiento sin consentimiento bajo el Artículo 5(2) DMA
El uso cruzado de datos entre servicios proporcionados conjuntamente o en apoyo mutuo no requiere consentimiento bajo el Artículo 5(2) DMA cuando:
- Los servicios tienen una interconexión funcional estrecha (ej: identificación, pago)
- Solo se procesan datos estrictamente necesarios para la funcionalidad interconectada
- Los datos se limitan a lo temporalmente necesario para realizar la función
Bases legales del RGPD aplicables: Los guardianes pueden procesar datos sin consentimiento bajo el Artículo 5(2) DMA utilizando:
- Artículo 6(1)(c) GDPR: Cumplimiento de obligación legal
- Artículo 6(1)(d) GDPR: Protección de intereses vitales
- Artículo 6(1)(e) GDPR: Interés público o ejercicio de autoridad oficial
Artículo 6(4) DMA: Distribución de aplicaciones y tiendas de aplicaciones
Obligaciones principales
Los guardianes deben:
- Permitir y habilitar técnicamente la instalación y uso efectivo de apps y tiendas de terceros
- No impedir que estas apps soliciten al usuario establecerlas como predeterminadas
- Facilitar técnicamente el cambio a apps predeterminadas de manera sencilla
Medidas permitidas de salvaguarda
Los guardianes pueden implementar medidas estrictamente necesarias y proporcionadas para:
- Proteger la integridad del hardware o sistema operativo
- Permitir que los usuarios protejan su seguridad en relación con apps o tiendas de terceros
Relación con el RGPD
Principio de separación de controladores: Los guardianes como proveedores de sistemas operativos y los desarrolladores de apps son controladores independientes bajo el RGPD, sin establecer relaciones de responsabilidad conjunta o controlador-encargado.
Cumplimiento del RGPD por guardianes:
- Implementar medidas de seguridad apropiadas según el Artículo 32 GDPR
- Ofrecer acceso granular a datos, sensores y servicios
- Permitir a desarrolladores de apps solicitar consentimiento mediante interfaces en el sistema operativo
- Proporcionar almacenamiento seguro y funcionalidades de cifrado
- Habilitar a los desarrolladores para informar sobre los datos que la app puede procesar
Restricciones importantes: Los guardianes no deben:
- Prescribir cómo los desarrolladores cumplen con el RGPD como controladores independientes
- Imponer técnica o contractualmente si, cómo y cuándo los desarrolladores deben solicitar consentimiento
- Restringir los tipos de procesamiento que los beneficiarios pueden realizar como controladores independientes
Artículo 6(9) DMA: Portabilidad de datos para usuarios finales
Alcance de la portabilidad
Categorías de datos incluidas:
- Datos proporcionados activamente por el usuario (ej: datos de identificación)
- Datos generados por la actividad del usuario (ej: listas de reproducción, engagement)
- Datos observados del comportamiento del usuario
- Datos procesados automáticamente por la plataforma (ej: dirección IP, ubicación, configuración del dispositivo)
- Datos procesados exclusivamente en el dispositivo
Datos excluidos: Datos derivados o inferidos creados por el guardián a partir de los datos del usuario.
Características de la portabilidad
Granularidad:
- Selección de subconjuntos específicos de datos por tipo y formato
- Selección de marcos temporales aplicables (pasados y futuros)
- Formato inmediatamente accesible y utilizable
Portabilidad continua y en tiempo real:
- Sincronización constante entre la plataforma y servicios externos elegidos por el usuario
- Posibilidad de solicitar simultáneamente datos históricos y acceso continuo futuro
- Períodos significativos, incluyendo acceso indefinido mientras dure la relación contractual
- Recordatorios no más frecuentes de cada 3 meses para portabilidades de 12 meses o más
Portabilidad de datos personales de terceros
Cuando el conjunto de datos contiene datos personales de individuos distintos al usuario solicitante:
Obligaciones del guardián:
- Proporcionar información sobre los destinatarios a través de un panel de control dedicado
- Ofrecer herramientas para excluir del conjunto de datos partes que contengan datos de terceros
- Advertir al usuario de su responsabilidad respecto a los datos de otros individuos
Responsabilidades del usuario o tercero autorizado:
- Cumplir con el RGPD respecto a los datos personales de otros individuos
- Establecer contacto con dichos individuos cuando sea necesario
- Garantizar bases legales apropiadas para el procesamiento posterior
Terceros autorizados
Procedimientos de autenticación y autorización:
- El guardián debe verificar la identidad del tercero y confirmar la autorización efectiva del usuario
- Mantener pruebas de la autorización obtenida y su duración
- Implementar soluciones técnicas apropiadas (ej: APIs) que permitan autorización mediante inicio de sesión del usuario
Restricciones: Los guardianes no pueden:
- Restringir casos de uso o propósitos comerciales de terceros autorizados
- Condicionar la portabilidad al caso de uso empresarial
- Solicitar información sobre medidas de cumplimiento del RGPD del tercero
- Exigir a terceros estándares de seguridad específicos tras la transmisión de datos
Transferencias internacionales
Países con decisión de adecuación: No se pueden restringir solicitudes de portabilidad.
Países sin decisión de adecuación: El guardián debe:
- Solicitar el consentimiento explícito y específico del usuario conforme al Artículo 49(1)(a) GDPR
- Informar sobre los riesgos posibles de transferencias sin decisión de adecuación
- Asegurar que el consentimiento cumple todos los requisitos del RGPD
Artículo 6(10) DMA: Acceso a datos para usuarios empresariales
Alcance del derecho de acceso
Beneficiarios:
- Usuarios empresariales que utilizan servicios principales de plataforma designados
- Terceros autorizados por usuarios empresariales (procesadores que actúan en su nombre)
Categorías de datos:
- Datos proporcionados activamente por usuarios empresariales
- Datos generados por la actividad del usuario empresarial y de sus usuarios finales
- Datos observados del comportamiento
- Datos procesados automáticamente (ej: dirección IP, ubicación)
- Datos procesados exclusivamente en dispositivo
- Datos agregados y no agregados
Exclusión: Datos derivados o inferidos creados por el guardián.
Condiciones para compartir datos personales
El acceso a datos personales de usuarios finales requiere:
- Que los datos estén directamente conectados con el uso efectuado por usuarios finales de productos o servicios del usuario empresarial
- Consentimiento previo (opt-in) del usuario final según el RGPD
Base legal: Artículo 6(1)(c) GDPR para el guardián (obligación legal establecida por la DMA).
Mecanismos de acceso
Obligación del guardián de proporcionar mecanismos:
- Interfaces online dedicadas para que usuarios empresariales obtengan consentimiento de usuarios finales
- Permitir a usuarios empresariales configurar la interfaz para reflejar información necesaria sobre datos solicitados y propósitos de uso
- Garantizar que obtener consentimiento no sea más gravoso que para los propios servicios del guardián
- Proporcionar interfaz dedicada para que usuarios finales retiren su consentimiento
Verificaciones del guardián:
- Autenticar al usuario empresarial o tercero autorizado
- Verificar la autorización efectiva del tercero por el usuario empresarial
- Mantener registro del consentimiento del usuario final
- No evaluar la validez del consentimiento (responsabilidad del usuario empresarial)
Características del acceso
Granularidad:
- Acceso a cualquier dato empresarial y de usuario final dentro del alcance del Artículo 6(10)
- Nivel de granularidad que proporcione máxima utilidad
- Posibilidad de seleccionar marcos temporales personalizables
Acceso continuo y en tiempo real:
- Sincronización de datos entre la plataforma y servicios externos
- Posibilidad de solicitar simultáneamente datos históricos y acceso continuo futuro
- Períodos significativos, incluyendo acceso indefinido
- Soluciones técnicas apropiadas (ej: APIs) fácilmente accesibles
- Recordatorios antes de expiración del período o cada 3 meses para accesos de 12 meses o más
Formato: Datos en formato que permita acceso y uso inmediato y efectivo.
Arquitectura de elección online
Las interfaces deben:
- Evitar fatiga de consentimiento mediante integración fluida en el recorrido del usuario
- Presentarse de manera neutral y objetiva sin sesgar elecciones
- No utilizar información incompleta o engañosa
- Implementar opciones como resúmenes de consentimientos activos cuando sean múltiples
Artículo 6(11) DMA: Acceso a datos anonimizados de búsqueda
Objetivo y alcance
Finalidad: Nivelar el campo de juego en el mercado de motores de búsqueda mediante acceso a datos de consultas, clics y visualizaciones.
Beneficiarios: Empresas terceras que proporcionan motores de búsqueda online o procesadores contratados por ellas.
Condición: Los datos que constituyan datos personales deben estar anonimizados.
Requisitos de anonimización
Definición de anonimización según el RGPD:
- Información que no se relaciona con una persona identificada o identificable
- Tener en cuenta todos los medios que razonablemente puedan utilizarse para identificar a la persona
- Considerar factores objetivos como costes, tiempo requerido, tecnología disponible
Enfoque de anonimización:
- Medidas técnicas apropiadas que resulten en alteración de los datos (indispensables)
- Complementadas por medidas organizativas, administrativas y contractuales para mitigar el riesgo residual de identificación
- La probabilidad de identificación debe ser insignificante
Medidas técnicas de alteración de datos
Pueden incluir:
- Eliminación de datos susceptibles de identificar al usuario final (ej: ubicación precisa, consultas buscadas pocas veces, tiempo preciso y secuencia de clics)
- Aplicación de adición de ruido o perturbación (ej: técnicas de privacidad diferencial)
- Uso de métodos de agregación
Medidas complementarias mediante acto de ejecución
La Comisión puede especificar mediante acto de ejecución según el Artículo 8(2) DMA:
Medidas sobre guardianes:
- Requisitos técnicos específicos para alteración de datos
- Restricciones de uso de datos (incluyendo prohibición de intentar reidentificar usuarios)
- Controles de acceso
- Retención/almacenamiento de datos
- Obligaciones de reporte general y de incidentes
- Monitorización interna y supervisión
- Auditorías independientes
Medidas sobre terceros destinatarios:
- Obligaciones contractuales impuestas por el guardián como condición de acceso
- Limitaciones a la cesión posterior de datos
- Notificación a la autoridad de protección de datos en caso de presunta infracción del RGPD
- Cesación del intercambio de datos en caso de violación
- Derecho contractual a ordenar eliminación de datos
Consideraciones de aplicabilidad:
- Las medidas deben ser verificables y duraderas
- Deben permanecer exigibles incluso tras cambios de circunstancias (ej: fusión, cierre de la empresa tercera)
Condiciones de acceso
- Términos justos, razonables y no discriminatorios
- Las medidas no deben constituir carga desproporcionada para los destinatarios
- Procesos oportunos, transparentes y objetivos
Artículo 7 DMA: Interoperabilidad de servicios de comunicaciones interpersonales
Marco general
Obligación: Los guardianes designados respecto a sus servicios de comunicaciones interpersonales independientes del número (NIICS) deben ofrecer interoperabilidad a proveedores terceros que lo soliciten.
Alcance de la interoperabilidad: Funcionalidades básicas enumeradas en el Artículo 7(2) DMA, sin coste y a petición.
Oferta de referencia: Publicación obligatoria con detalles técnicos y condiciones generales de interoperabilidad (Artículo 7(4) DMA).
Procesamiento de datos personales necesarios
Artículo 7(8) DMA establece que el guardián debe:
- Recopilar e intercambiar únicamente datos personales estrictamente necesarios para proporcionar interoperabilidad efectiva
- Garantizar pleno cumplimiento con el RGPD y la Directiva ePrivacy
Categorías de datos personales:
- Contenido de mensajes: Intercambiados entre servidores del guardián y otros proveedores
- Datos técnicos de interoperabilidad: Necesarios para que usuarios finales de diferentes NIICS puedan comunicarse entre sí
- Datos para preservar seguridad: Requeridos para mantener el nivel de seguridad en servicios interoperables
Preservación del nivel de seguridad
Artículo 7(3) DMA: El nivel de seguridad, incluyendo cifrado de extremo a extremo cuando aplique, debe preservarse en todos los servicios interoperables.
Cifrado de extremo a extremo (E2EE):
- Tecnología que cifra datos en el dispositivo del remitente y los descifra en el dispositivo del destinatario
- Solo remitente y destinatario pueden acceder a los datos de contenido, excluyendo a terceros incluidos los operadores
Implementación de E2EE interoperable:
- Requiere cooperación activa entre guardián y proveedor solicitante
- Protocolo bien definido para gestión e intercambio de claves criptográficas
- Certificación de claves entre guardianes y proveedores
- Medidas para proteger metadatos de comunicación
- Minimización de metadatos para gestión efectiva de claves de cifrado
- Verificación criptográfica de autenticidad del canal de comunicación
Resolución de identidades entre NIICS
Métodos de resolución:
- Obtención de identidades “fuera de banda” (ej: por email, verbalmente)
- Asegurar que usuarios del guardián han solicitado usar funcionalidades interoperables antes de habilitar comunicación
- Concienciación de usuarios sobre posibilidad de comunicación entre NIICS
Libre elección del usuario (Artículo 7(7) DMA):
- Usuarios deben permanecer libres de decidir si usar funcionalidades interoperables
- Libertad de participar en conversaciones con usuarios de NIICS terceros
- Opción de ser descubiertos por usuarios de NIICS terceros
- Especificación de proveedores NIICS (nuevos controladores) que accederán a datos personales
Gestión de múltiples proveedores interoperables:
- Evitar fatiga de elección solicitando decisiones en momentos de discontinuidad (ej: suscripción, actualización)
- Sistemas simples de gestión de interoperabilidad donde usuarios puedan revisar o modificar elecciones
- Integración en el momento de inicio de comunicación
Limitaciones geográficas
Alcance territorial de la DMA: Artículo 1(2) DMA limita su aplicación territorial.
Verificación de ubicación:
- Información sobre recopilación y procesamiento debe proporcionarse adecuadamente
- Interoperabilidad debe ofrecerse cuando hay indicaciones objetivas de uso habitual en la Unión (ej: número de plan de numeración de Estado Miembro)
- Cuando tal información no está disponible: dirección IP ofuscada indicando país es en principio suficiente
- No se debe monitorizar continuamente la ubicación del usuario
- Solo registrar si el usuario está “dentro” o “fuera” del ámbito territorial de la DMA
- Datos procesados para verificación deben almacenarse por período muy limitado
- No reutilizar datos para otros propósitos
- Considerar restricciones de la Directiva ePrivacy
Medidas según el Artículo 7(9) DMA
El guardián puede tomar medidas estrictamente necesarias, proporcionadas y justificadas para garantizar que proveedores terceros no pongan en peligro la integridad, seguridad y privacidad de sus servicios.
Ejemplos de medidas:
- Funcionalidades de bloqueo para usuarios del guardián
- Prevención técnica de envío de mensajes de ciertos usuarios de otros proveedores
- Bloqueo de múltiples identidades asociadas a un individuo (ataques Sybil multiplataforma)
- Intercambio de información (incluyendo datos personales) entre guardián y proveedor para análisis de mensajes o comportamiento (ej: identificación de spam o abuso)
Requisitos de proporcionalidad:
- Evaluar si el procesamiento es realmente necesario para garantizar integridad, seguridad y privacidad
- Verificar si los objetivos pueden lograrse por medios menos restrictivos
- Evitar o minimizar formas intrusivas de perfilado de usuarios
- Considerar nivel de detalle de perfiles, impacto del perfilado y salvaguardas de equidad, no discriminación y precisión
Evaluaciones de impacto
La implementación de interoperabilidad bajo el Artículo 7 DMA probablemente cumple criterios para requerir una evaluación de impacto de protección de datos según el Artículo 35 GDPR, incluyendo:
- Evaluación de riesgos para derechos y libertades de interesados
- Medidas apropiadas, oportunas y efectivas para abordar riesgos identificados
Coordinación, cooperación y consulta
Marco de cooperación
Base legal: Principio de cooperación leal establecido en el Artículo 4(3) del Tratado de la Unión Europea (TUE).
Actores:
- Comisión Europea (autoridad única de aplicación de la DMA)
- Autoridades nacionales de protección de datos (supervisión del RGPD)
- Supervisor Europeo de Protección de Datos (EDPB)
Obligaciones de consulta
Cuando la Comisión examina el cumplimiento de la DMA: Debe consultar con las autoridades de protección de datos cuando el examen también implique evaluar la coherencia con el RGPD.
Cuando autoridades de protección de datos examinan el cumplimiento del RGPD: Deben consultar con la Comisión cuando el examen también implique evaluar la coherencia con la DMA.
Interlocutor principal: Cuando un guardián tiene un “establecimiento principal” según el Artículo 4(16) GDPR, el interlocutor debe ser en principio la autoridad de control principal relevante.
Plazos de respuesta
- Las solicitudes de información o cooperación deben responderse en un plazo razonable
- Se consideran las necesidades de investigación y obligaciones aplicables en cada caso
- La autoridad consultante puede continuar su investigación si no recibe respuesta en plazo razonable o si la autoridad consultada no objeta
Evitar doble enjuiciamiento (ne bis in idem)
Principio: Artículo 50 de la Carta de Derechos Fundamentales de la UE prohíbe duplicación de procedimientos y sanciones de naturaleza penal por los mismos hechos contra la misma persona.
Aplicación práctica: Coordinación entre Comisión y autoridades de protección de datos es necesaria para evitar:
- Duplicación de procedimientos
- Sanciones múltiples por la misma conducta
- El Recital 86 DMA requiere que la Comisión considere multas y sanciones impuestas por decisión final en otros procedimientos
Grupo de Alto Nivel (HLG)
Composición: Artículo 40 DMA establece un Grupo de Alto Nivel compuesto por diversos organismos europeos, incluidos EDPB y EDPS.
Funciones:
- Proporcionar asesoramiento y experiencia en áreas de competencia de sus miembros
- Discutir cuestiones generales de implementación o aplicación de la DMA
- Promover enfoque regulatorio coherente entre diferentes instrumentos normativos
- Restricción: No puede involucrarse en procedimientos o investigaciones en curso de la Comisión bajo la DMA
Descripciones auditadas de técnicas de perfilación
Artículo 15 DMA: Los guardianes deben presentar a la Comisión, dentro de los 6 meses posteriores a su designación, descripciones auditadas independientemente de técnicas de perfilación de consumidores.
Transmisión al EDPB: La Comisión debe transmitir estas descripciones al EDPB (Artículo 15(1) DMA).
Uso por autoridades de protección de datos: Según el Artículo 36(3) DMA, esta información debe usarse por el EDPB y las autoridades nacionales de protección de datos para fines del RGPD, incluyendo informar la aplicación del RGPD.
