El pasado 9 de octubre, el Comité Europeo de Protección de Datos (CEPD) y la Comisión Europea aprobaron directrices conjuntas sobre la interacción de la Ley de Mercados Digitales (DMA) y el Reglamento General de Protección de Datos (RGPD) con el fin de aplicar de manera coherente ambas normativas y garantizar la protección de datos en el panorama digital y normativo.
Se advierte de que no se recogen todos los aspectos del RGPD que influyen en el DMA, sino que, se tratan aquellos puntos en los que se solapan ambas normativas y que requieren de aclaraciones y una interpretación común por las autoridades supervisoras de dichas normativas.
Los principales puntos de conexión normativa son:
• El consentimiento:
o Los guardianes de acceso deberán obtener el consentimiento del usuario final informado, libre, específico e inequívoco y, para categorías especiales de datos, será, además, explícito. Dicho consentimiento debe ser obtenido para cada fin, debe ser aceptado o rechazado con la misma facilidad y no podrá ser solicitado al usuario más de 1 vez al año;
o Los guardianes de acceso deben ofrecer opciones de uso de la interfaz con o sin personalización (dependiendo de si han obtenido o no el consentimiento del usuario). La versión no personalizada no tendrá una calidad inferior o funciones limitadas;
o Se establecen excepciones a obtener el consentimiento cuando el tratamiento se base en una obligación legal, protección de intereses vitales o interés público;
• La instalación y uso de aplicaciones o tiendas de aplicaciones de terceros:
o Los guardianes de acceso deben permitir y habilitar estas acciones en sus sistemas operativos, además, deben hacerlo cumpliendo con las obligaciones del RGPD, sin que las medidas adoptadas para ello provoquen una falta de eficacia del DMA.
• La portabilidad de datos personales a petición de los usuarios o terceros autorizados:
o Los guardianes de acceso implementarán medidas para autentificar a los usuarios finales o, en caso de que un tercero autorizado solicite la portabilidad, verificar dicha autorización;
o Se establece que los guardianes de acceso no podrán restringir la portabilidad de datos que conlleven transferencias internacionales de datos solicitadas por usuarios finales o terceros.
• Derecho de acceso de los usuarios profesionales:
o Las directrices señalan que los usuarios profesionales pueden ejercer el derecho de acceso a sus datos y a los de los usuarios finales cuando los servicios se prestan a través de un guardián de acceso. Para ello, el usuario profesional debe recabar el consentimiento del usuario final. Los guardianes de acceso facilitarán la obtención y retirada de dicho consentimiento, además, deben informar a los usuarios de que sus datos serán compartidos con otras entidades que actuarán como responsables independientes.
Por último, las Directrices señalan la relevancia que la cooperación entre autoridades tiene para la correcta aplicación de esta normativa. Dicha cooperación se dará entre las autoridades de protección de datos con la Comisión europea para las consultas que afecten a ambas normativas. Las directrices quedan abiertas a consulta pública para su posterior revisión y adopción.