DMA e GDPR: linee guida congiunte di EDPB e Commissione europea per chiarire le intersezioni normative

Il Comitato europeo per la protezione dei dati (EDPB) e la Commissione europea hanno approvato le prime linee guida congiunte dedicate all’interazione tra il Digital Markets Act (DMA) e il Regolamento generale sulla protezione dei dati (GDPR).
L’obiettivo del documento è fornire un quadro chiaro e coerente sull’applicazione coordinata delle due normative europee, rafforzando la certezza giuridica per i gatekeeper, gli utenti commerciali, i beneficiari e i cittadini.

L’iniziativa si inserisce nel quadro della Strategia EDPB 2024–2027 e della recente Dichiarazione di Helsinki, che promuove una maggiore coerenza normativa e semplifica la conformità al GDPR. Come sottolineato dalla Presidente dell’EDPB, Anu Talus, “queste linee guida rappresentano il risultato di una cooperazione proficua tra l’EDPB e la Commissione europea: per la prima volta le due istituzioni elaborano congiuntamente un documento di orientamento, semplificando la compliance per le imprese e aumentando la certezza giuridica”.

Il DMA e il GDPR condividono l’obiettivo di tutelare gli individui nello spazio digitale, affrontando però sfide complementari: la protezione dei diritti e della privacy nel caso del GDPR, e la garanzia di correttezza e contendibilità dei mercati digitali nel caso del DMA.
Le linee guida chiariscono in che modo i gatekeeper — le grandi piattaforme che forniscono servizi digitali essenziali — possano applicare le disposizioni del DMA nel rispetto del diritto europeo in materia di protezione dei dati personali.

In particolare, il documento illustra come garantire la validità del consenso e la libera scelta degli utenti ai sensi dell’articolo 5(2) del DMA e del GDPR, nonché come gestire il trattamento e la combinazione dei dati personali nei servizi principali delle piattaforme digitali.
Ulteriori sezioni riguardano la portabilità e l’accesso ai dati, la distribuzione di app di terze parti, l’interoperabilità dei servizi di messaggistica e l’uso dei dati da parte di soggetti terzi.

EDPB e Commissione hanno inoltre avviato una consultazione pubblica sulla prima versione delle linee guida, aperta fino al 4 dicembre 2025. Tutti i contributi ricevuti saranno pubblicati sul sito del DMA e collegati al portale dell’EDPB al termine della consultazione. La versione definitiva del documento sarà adottata congiuntamente dalle due istituzioni, tenendo conto dei commenti pervenuti.

Questa collaborazione segna un passo significativo verso una regolazione più integrata e coerente del digitale in Europa. In continuità con questa iniziativa, l’EDPB e la Commissione — in particolare l’AI Office — stanno già lavorando a nuove linee guida sull’interazione tra l’AI Act e il diritto europeo in materia di protezione dei dati, con l’obiettivo di garantire tutele uniformi e trasparenti per cittadini e operatori economici.