Interazione DMA e GDPR, i pilasti della regolamentazione digitale al test del coordinamento

La Commissione europea e il Comitato europeo per la protezione dei dati (EDPB) hanno pubblicato le linee guida congiunte sul rapporto tra il Digital Markets Act (DMA) e il General Data Protection Regulation (GDPR) che costituiscono due strumenti centrali della regolamentazione digitale europea che, pur con finalità diverse, si intrecciano profondamente. Il documento chiarisce che entrambi gli strumenti, svolgono infatti un ruolo complementare nei loro obiettivi per tutelare il mercato e le persone fisiche, mentre il DMA ha l’obiettivo di contrastare pratiche scorrette e gli effetti dannosi prodotti dai cosiddetti gatekeeper, le grandi piattaforme che fungono da snodo fra imprese e utenti finali, il GDPR mira alla tutela dei dati personali e alla libera circolazione dei dati all’interno dell’Unione.

Una parte sostanziale delle linee guida è dedicata all’articolo 5(2) del DMA, che vieta ai gatekeeper di trattare i dati personali tra diversi servizi senza il valido consenso dell’utente. A tale scopo, ad esempio, i gatekeeper devono offrire agli utenti la possibilità di accedere a un servizio meno personalizzato ma equivalente a quello a cui avrebbero accesso con il consenso al trattamento dei propri dati. Allo stesso modo, il consenso non può essere sollecitato più di una volta all’anno per la stessa finalità e deve poter essere ritirato facilmente, senza svantaggi per l’utente, sottolineando inoltre l’obbligo per le piattaforme di adottare interfacce di consenso neutre e trasparenti, evitando qualsiasi forma di pressione o inganno.

Le linee guida affrontano anche altre disposizioni del DMA. L’articolo 6(4) che obbliga i fornitori di sistemi operativi designati come gatekeeper a consentire l’installazione e l’uso effettivo di applicazioni o store di terze parti collegato agli obblighi di confidenzialità nel GDPR. Inoltre, l’articolo 6(9) del DMA, che introduce un diritto alla portabilità dei dati per gli utenti finali e per terze parti da essi autorizzate, si intreccia con l’articolo 20 del GDPR. Analogamente, l’articolo 6(10) del DMA disciplina l’accesso ai dati da parte di imprese e terze parti, imponendo ai gatekeeper di agevolare la raccolta e la revoca del consenso degli utenti e di informarli chiaramente sui soggetti destinatari dei loro dati. Un ulteriore capitolo è dedicato all’articolo 6(11), che impone ai motori di ricerca di fornire a concorrenti terzi dati anonimi relativi a query, click e visualizzazioni.

Le linee guida trattano infine l’articolo 7 del DMA, che prevede l’interoperabilità dei servizi di comunicazione interpersonale. Qui il documento ricorda che i gatekeeper devono rispettare i principi del GDPR, in particolare la minimizzazione, nonchè principi di necessità e proporzionalità, garantendo che l’interoperabilità non comprometta la sicurezza o la riservatezza degli utenti.

Le linee guida si concentrano inoltre sul coordinamento e l’enforcement. L’EDPB e la Commissione sottolineano l’importanza della cooperazione tra le autorità competenti, richiamando la giurisprudenza della Corte di giustizia sull’obbligo di leale collaborazione e sul principio del ne bis in idem, in particolare in modo da evitare conflitti applicativi e garantire una cooperazione effettiva tra la Commissione, che applica il DMA, e le autorità nazionali di protezione dei dati responsabili del GDPR.

Il progetto di linee guida è attualmente sottoposto a consultazione pubblica aperta dal 9 ottobre 2025 al 4 dicembre 2025. Il documento congiunto costituisce solo uno degli sforzi di coordinamento nella costruzione di un quadro normativo europeo integrato dove le linee guida delle autorità svolgono un ruolo centrale per il coordinamento e l’interpretazione degli strumenti normativi che caratterizzano la regolamentazione digitale europea.

________

*Giovanni De Gregorio, POLLICINO & PARTNERS AIDVISORY

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più