La DMA introduce obligaciones ex ante para las grandes plataformas digitales (“gatekeepers”) que prestan servicios esenciales como motores de búsqueda, tiendas de apps, sistemas operativos, mensajería, etc., con el fin de hacer los mercados digitales más contestables y equitativos. Ver anteriores entradas, aquí, también aquí, aquí, para más detalles.

Por su parte, el GDPR está orientado a proteger los derechos fundamentales de las personas físicas en lo relativo al tratamiento de sus datos personales.

Rio Arno, Luminaria, di San Rainieri, 2024

Muchas obligaciones de la DMA (por ejemplo, la combinación de datos de usuarios, la portabilidad, el acceso a datos a terceros, interoperabilidad) implican necesariamente un tratamiento de datos personales al que se aplica el GDPR. También algunas derivan o remiten a definiciones ya existentes en el GDPR.

Ante esta superposición, se detectaron posibles riesgos de solapamiento, inseguridad jurídica o conflicto: por ejemplo, ¿cómo puede un “gatekeeper” cumplir al mismo tiempo con la obligación de datos de la DMA y garantizar los principios del GDPR (licitud, minimización, finalidad, consentimiento, etc.)? Por ello, la Comisión y la EDPB están elaborando directrices que clarifiquen la interacción entre ambas normativas.

El borrador de directrices fue publicado en borrador/con consulta el 9 de octubre de 2025. La consulta pública estará abierta hasta el 4 de diciembre de 2025 para que empresas, asociaciones, usuarios y ciudadanos presenten sus comentarios. A partir de las respuestas, la versión final se prevé adopción en 2026.

Objetivos de las directrices conjuntas

1. Proveer claridad y seguridad jurídica para los gatekeepers, usuarios empresariales, usuarios finales y autoridades sanitarias/protección de datos.

2. Facilitar que la aplicación de la DMA sea coherente con el GDPR, de modo que las obligaciones de la DMA no deriven en vulneraciones del GDPR, y que el GDPR no sirva de excusa para eludir obligaciones de la DMA.

3. Orientar al cumplimiento operativo con  pautas prácticas para, por ejemplo, la validez de consentimiento bajo el GDPR cuando la DMA exige combinación o reutilización de datos de usuarios, cuestiones de portabilidad de datos, acceso de terceros, interoperabilidad de servicios de mensajería, etc.

4. Promover la cooperación regulatoria entre autoridades de competencia (que supervisan la DMA) y autoridades de protección de datos (que supervisan el GDPR) para evitar interpretaciones divergentes y asegurar un enfoque coherente.

Contenidos principales

Mongolfiera

Las directrices hacen especial hincapié en varias disposiciones de la DMA que implican tratamiento de datos personales, y analizan su compatibilidad o condiciones desde la perspectiva del GDPR. Entre los puntos destacados:

• La obligación del artículo 5(2) de la DMA (por ejemplo, combinación de datos para publicidad dirigida) o del artículo 6(4) DMA (por ejemplo, medidas para tiendas de apps alternativas). En estos casos, los agentes designados como gatekeepers tendrán que comprobar que los tratamientos de datos cumplen con los requisitos de consentimiento, licitud, transparencia, propósito, etc., conforme al GDPR.

• Portabilidad de datos (artículo 6(9) DMA) y acceso por usuarios empresariales (artículo 6(10) DMA): las directrices explican cómo esos derechos o obligaciones de datos bajo la DMA deben implementarse respetando las garantías del GDPR, incluyendo la protección de datos de múltiples individuos, la autenticación de usuarios, la internacionalización de transferencias, etc.

• Provisión de datos de búsqueda u otro tipo de datos anonimizados al amparo del artículo 6(11) de la DMA: las directrices indican que el anonimizado debe cumplir criterios efectivos de anonimización para que no se vulneren derechos, garantizando al mismo tiempo la competencia. El borrador dedica un bloque a cuándo los datos pueden considerarse auténticamente anónimos y, por tanto, fuera del ámbito del GDPR. Señala criterios técnicos y jurídicos de efectividad de la anonimización (evaluación de riesgo de reidentificación, utilización de técnicas robustas, documentación). Marca un umbral alto para considerar datos como anónimos; la mera pseudonimización no bastaría, con el consiguiente impacto directo en proyectos de investigación y en las unidades de datos de las plataforma

• Interoperabilidad de servicios de mensajería (artículo 7 DMA): se analiza desde el prisma de la minimización, integridad y seguridad de los datos bajo el GDPR. Las directrices analizan la obligación de interoperabilidad técnica y funcional entre servicios de mensajería desde la perspectiva del GDPR: diseño por defecto y privacidad por diseño, limitación de datos transmitidos, consentimiento de usuarios cuando se exija, y medidas para evitar filtración de metadatos sensibles. En consecuencia, los requisitos técnicos de interoperabilidad deben integrarse  con controles de acceso, cifrado y políticas de retención compatibles con el GDPR

• También se incluye un apartado sobre la “base legal” aplicable cuando la DMA exige compartir datos o permitir acceso, y cómo esto se encaja con el artículo 6 GDPR (licitud del tratamiento) o con otras bases legales (por ejemplo, obligación legal) cuando proceda. Las directrices, en borrador, recuerdan que hay que respetar el régimen de transferencias del GDPR (decisiones de adecuación, cláusulas contractuales, salvaguardas suplementarias) y que el DMA no exonera a los gatekeepers de estas obligaciones. Esto implica que los equipos jurídicos de las plataformas deben mapear flujos de datos y asegurar cláusulas y medidas técnicas para las transferencias competentes.

• Se propone un marco de cooperación entre autoridades de competencia (aplicación del DMA) y autoridades de protección de datos (aplicación del GDPR) para resolver fricciones, intercambiar información y coordinar enfoques sancionadores o de supervisión. El documento sugiere canales y mecanismos de coordinación.