Il 9 ottobre 2025 il Comitato Europeo per la Protezione dei Dati (EDPB) e la Commissione Europea hanno pubblicato le prime linee guida congiunte che chiariscono l’interazione tra il Digital Markets Act (DMA) e il Regolamento (UE) 2016/679 (GDPR).
Si tratta di un’iniziativa senza precedenti, frutto della collaborazione tra due delle principali autorità regolatorie europee, finalizzata a favorire un’applicazione coerente delle normative e a garantire maggiore certezza giuridica per gatekeeper, utenti professionali, beneficiari e cittadini.
L’iniziativa si colloca nel quadro della Strategia 2024–2027 dell’EDPB e risponde agli obiettivi delineati nella Helsinki Statement, volti a semplificare la conformità al GDPR e a promuovere uniformità nell’applicazione delle regole. Come ha sottolineato la Presidente dell’EDPB, Anu Talus, queste linee guida rappresentano il frutto di una collaborazione proficua e costituiscono il primo esempio di documento di indirizzo preparato congiuntamente dai due organismi. Secondo la Presidente, l’approccio congiunto aumenta l’utilità pratica delle indicazioni, rendendo più agevole la conformità per le imprese e rafforzando la certezza legale.
Il DMA e il GDPR condividono l’obiettivo di proteggere gli individui nell’ambiente digitale, ma lo fanno perseguendo finalità complementari: il GDPR tutela i diritti fondamentali e la privacy, mentre il DMA interviene sui rischi sistemici dei mercati digitali, promuovendo equità e competitività. Diverse attività disciplinate dal DMA implicano il trattamento di dati personali da parte dei gatekeeper, e alcune disposizioni fanno esplicito riferimento a definizioni e concetti già presenti nel GDPR. Le linee guida congiunte offrono indicazioni pratiche su come implementare le misure previste dal DMA rispettando al contempo i requisiti di protezione dei dati. Un esempio concreto riguarda l’articolo 5(2) del DMA, in relazione al consenso specifico e valido richiesto dal GDPR, fornendo orientamenti su come combinare o utilizzare dati personali in modo lecito nei servizi core delle piattaforme. Le indicazioni riguardano anche altri ambiti con impatto sulla protezione dei dati, tra cui la distribuzione di app di terzi e app store, la portabilità dei dati, le richieste di accesso e l’interoperabilità dei servizi di messaggistica.
Per garantire un ampio coinvolgimento degli stakeholder, l’EDPB e la Commissione hanno lanciato una consultazione pubblica sul testo preliminare delle linee guida, aperta fino al 4 dicembre 2025. Tutti i contributi saranno resi pubblici sul sito del DMA, con un collegamento dal portale dell’EDPB, e le osservazioni raccolte saranno integrate nel testo finale, che sarà adottato congiuntamente dalle due istituzioni.
Il lavoro non si fermerà qui: i due organismi stanno già pianificando ulteriori linee guida congiunte per chiarire il nuovo contesto regolatorio trasversale e garantire un’applicazione coerente delle tutele in materia di dati personali. In particolare, l’EDPB collabora con l’AI Office della Commissione per sviluppare indicazioni relative all’interazione tra l’AI Act e le normative UE sulla protezione dei dati, con l’obiettivo di preservare la coerenza normativa e rafforzare le garanzie di compliance.
Va ricordato che il Digital Markets Act rappresenta uno dei primi strumenti regolatori dell’UE pensati per contrastare le pratiche sleali dei gatekeeper, ovvero le grandi piattaforme digitali che offrono servizi core come motori di ricerca, app store e sistemi di messaggistica, e per rendere i mercati digitali più equi e contestabili.
Su un argomento simile: Linee guida EDPB su indicazioni operative richieste Paesi terzi
