L’EDPB nel corso della sessione plenaria del 9 ottobre 2025 insieme alla Commissione europea, ha approvato le linee guida congiunte sull’interazione tra la legge sui mercati digitali (DMA) e il Regolamento generale sulla protezione dei dati (GDPR).

Sullo stesso documento è stata anche avviata una consultazione pubblica fino al 4 dicembre 2025. Ecco, dunque, al via una delle tante iniziative congiunte tra EDPB e Commissione, che affermano ancora una volta l’importanza delle interazioni tra norme in materia di dati.

Vediamo meglio.

Linee guida congiunte su DMA e GDPR: gli elementi di novità

Le linee guida congiunte offrono un documento utile agli operatori del settore nonché una preziosa occasione di confronto su temi quanto mai attuali.

Tra gli elementi di novità spicca, con tutta evidenza, la stretta interconnessione tra le due normative, il DMA e il GDPR, che proteggono entrambe i dati degli individui/utenti/interessati nell’attuale panorama digitale.

Di qui, perseguono fini complementari, viste le sfide interconnesse alle quali ciascuno dei due è chiamato ad affrontare.

Da un lato, ci sono i diritti individuali e la protezione dei dati nel caso del GDPR; dall’altro, la equità e la contendibilità dei mercati digitali nell’ambito del DMA.

IL DMA e il trattamento dei dati personali (GDPR)

Ricordiamo che il Digital Markets Act punta a contrastare le pratiche sleali delle grandi piattaforme digitali (come motori di ricerca online, App e WhatsApp) che forniscono servizi di piattaforma fondamentali nei mercati digitali.

Se leggiamo bene la normativa notiamo subito come diverse attività disciplinate dal DMA implichino attività di trattamento dati personali. Infatti, in alcune disposizioni (artt. 5,6,7) il DMA fa espresso riferimento a definizioni e concetti che rimandano al GDPR.

Ecco perché è nata l’esigenza di elaborare delle linee guida congiunte, le quali chiariscano come i gatekeeper possano attuare il DMA in conformità al GDPR.

Alcune ipotesi normative di contatto tra DMA e GDPR

Sempre nel documento in parola, troviamo come spesso fa l’EDPB, alcune ipotesi/esempi concreti.

Tra questi balzano agli occhi quelli in ordine agli elementi che i gatekeeper dovrebbero considerare per conformarsi ai “requisiti di scelta specifica e valido consenso” (art. 5, par. 2, DMA).

Ciò al fine di poter trattare legittimamente i dati personali nei servizi principali della piattaforma.

Non solo, l’EDPB e la Commissione UE affrontano pure altri aspetti normativi, tra cui quelli relativi alla “distribuzione di app e store di terze parti”, alla “portabilità dei dati”, alle “richieste di accesso” dei dati e alla “interoperabilità dei servizi di messaggistica”.

Interazioni tra DMA e GDPR: i punti salienti

Abbiamo inteso che i due regolamenti (DMA e GDPR) interagiscono necessariamente tra loro. Ciò atteso, le linee guida in questione, evidenziano bene come queste interazioni avvengano.

Vediamo le più rilevanti.

Punti di contatto tra DMA e GDPR: il consenso

Pensiamo anzitutto alla tematica del “consenso” che esprime la scelta dell’utente finale.

Il regolamento sui mercati digitali e il regolamento generale sulla protezione dei dati proteggono entrambi le persone nel panorama digitale, ma i loro obiettivi sono complementari in quanto affrontano sfide interconnesse: i diritti individuali e la privacy nel caso del GDPR e l’equità e la contendibilità dei mercati digitali ai sensi del regolamento sui mercati digitali.

Le grandi piattaforma digitali come sappiamo, raccolgono grandi quantità di dati. Quindi inevitabilmente trattano dati personali.

Di qui, come leggiamo nelle linee guida [ndr di libera traduzione] “l’accesso ai dati personali è diventato sempre più un parametro di contendibilità, tenendo conto dell’uso dei dati personali per sviluppare, creare e migliorare servizi altamente mirati”.

Detto accesso e successivo trattamento non possono affatto prescindere dalla conformità al GDPR.

Ecco, dunque, che orientamenti comuni ben chiariscono in che modo i gatekeeper possano attuare le disposizioni del DMA conformemente al GDPR.

D’altra parte, pur perseguendo come sopra anticipato obiettivi diversi sia il DMA (art. 5 par. 2) che il GDPR promuovono il controllo e le scelte degli utenti finali in merito al trattamento dei loro dati personali, limitando la capacità delle grandi piattaforme digitali coinvolte di determinare un legittimo motivo di talune attività di trattamento, da un lato facendo affidamento sul consenso dell’utente finale (artt. 4, par. 11, 6, par. 1 GDPR), e dall’altro garantendo un livello di protezione dei dati personali elevato.

Non meno interessante è tutta la questione espressa nelle Linee guida in parola, su come “garantire le scelte user-friendly e design del consenso”.

Sul punto, in estrema sintesi pur rinviando al documento (2.3.) leggiamo testualmente [ndr cit] “Quando il gatekeeper richiede l’autorizzazione ai sensi dell’articolo 5, paragrafo 2, della legge sui dati digitali, dovrebbe presentare in modo proattivo all’utente finale una soluzione di facile utilizzo per fornire, modificare o revocare l’autorizzazione in modo esplicito, chiaro e diretto, accessibile anche alle persone con disabilità”; rievocando peraltro la legge e annesse implicazioni dell’accessility act.

Punti di contatto tra DMA e GDPR: le misure di sicurezza

Le misure dei gatekeeper volte a salvaguardare l’integrità dell’hardware o del sistema operativo del medesimo e/o applicate per consentire agli utenti finali di proteggere la loro sicurezza da una minaccia (art. 6, par. 4 DMA) devono essere coerenti con l’obbligo di queste grandi piattaforme digitiali di cui all’art. 32 del GDPR onde garantire un livello di sicurezza dei dati personali adeguato al rischio.

Inoltre, sulle misure come la cifratura delle connessioni di rete, che potrebbero non essere strettamente correlate alla protezione dell’integrità del dispositivo o del suo sistema operativo, o alla possibilità per gli utenti finali di proteggere la propria sicurezza, possono essere necessarie per il rispetto da parte del gatekeeper degli obblighi di cui all’articolo 32 GDPR.

Di qui, misure ben mirate assolvono, ad esempio, alla capacità di ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico.

Punti di contatto tra DMA e GDPR: diritti di portabilità e accesso

Il DMA impone ai gatekeeper di “fornire agli utenti finali e ai terzi autorizzati da un utente finale, su loro richiesta e gratuitamente, l’effettiva portabilità dei dati forniti dall’utente finale o generati attraverso l’attività dell’utente finale nel contesto dell’uso del pertinente servizio di piattaforma di base, anche fornendo gratuitamente strumenti per facilitare l’esercizio efficace di tale portabilità dei dati, e anche fornendo un accesso continuo e in tempo reale a tali dati” (ex art. 6, par. 9).

In altre parole, l’utente finale può anche autorizzare terzi ad accedere ai dati che l’utente finale ha fornito o generato. Ecco un nuovo modello di business.

Per converso, il diritto alla portabilità dei dati previsto dall’art. 20 del GDPR si applica ai dati personali che sono stati trattati con mezzi automatizzati sulla base del consenso dell’interessato o al fine di eseguire un contratto dallo stesso stipulato.

La portabilità dei dati agli utenti finali o a terzi dagli stessi autorizzati, imposta ai gatekeeper deve essere continua e in tempo reale, consentendo anche senza ulteriori costi.

Idem per il diritto di accesso ai dati dicono le linee guida in parola, deve essere su base ininterrotta nel senso di continuo e in tempo reale.

Il tutto al fine di facilitare “il multihoming e il passaggio da un servizio all’altro da parte degli utenti finali e di consentire la creazione di servizi innovativi”. La portabilità dei dati in tempo reale e continua, d’altronde, è fondamentale per promuovere l’innovazione dei servizi, specie di terze parti.

Focus sull’uso incrociato dei dati: prospettive a confronto

Approfondiamo ancora un tema inerente all’uso incrociato dei dati personali e che evidenzia bene le due prospettive quella DMA e quella del GDPR a confronto.

Intanto capiamo cosa si intenda per “uso incrociato” dei dati. Si tratta di quell’ipotesi in cui i dati personali vengono “usati” e quindi trattati tra i servizi di gatekeeper forniti insieme o a sostegno reciproco.

Prossime tappe

La consultazione in questione, aperta sino al 4 dicembre 2025, costituisce una grande opportunità, per le parti interessate, di commentare e fornire feedback sul tema.

Il testo finale comprenderà i contributi ricevuti in questo arco temporale.

Il tutto si pone in linea di continuità con la strategia 2024-2027 e gli obiettivi della dichiarazione di Helsinki di intesa a semplificare la conformità al GDPR e rafforzarne la coerenza.

L’obiettivo è dunque chiaro: agevolare l’applicazione coerente del regolamento sui mercati digitali e del GDPR, aumentando la certezza del diritto per i gatekeeper, gli utenti commerciali, i beneficiari e le persone fisiche.

Stiamo a vedere.