DMA: análisis de la Ley de Mercados Digitales de la UE

¿En qué consiste la Ley de Mercados Digitales (DMA)?

La Ley de Mercados Digitales (DMA) es un reglamento que afecta a las organizaciones que hacen negocios dentro de la Unión Europea. La ley, que entró en vigor en noviembre de 2022, aborda las preocupaciones antimonopolio que suscitan las grandes empresas tecnológicas (guardianes de acceso) que controlan gran parte de la actividad en Internet y procesan enormes cantidades de datos de los consumidores.

La DMA tiene por objeto influir en la competencia y garantizar la equidad y la transparencia de los guardianes de acceso. Debido a su enorme influencia en el mercado y los consumidores, la DMA aplica restricciones a una serie de servicios tecnológicos, incluidos motores de búsqueda, servicios en la nube, redes sociales, plataformas para compartir vídeos, redes de publicidad online y otros productos y servicios propiedad de grandes empresas digitales. 

Uno de los principales objetivos de la DMA es igualar las condiciones para las organizaciones más pequeñas en el espacio digital y proteger en mayor medida derechos de los usuarios y los datos. Por ejemplo, se han establecido nuevas restricciones para acceder a los datos y ahora los usuarios pueden desinstalar las aplicaciones preinstaladas en sus teléfonos, navegadores y demás plataformas.

¿Quiénes son los guardianes de acceso bajo la DMA y qué controlan?

Big Tech, gigantes tecnológicos, guardianes de acceso: todos estos términos hacen referencia prácticamente a las mismas empresas. ¿Y cuáles son esas empresas que la Comisión Europea (CE) ha identificado como organizaciones altamente influyentes, con un fuerte impacto en el mercado y la relación entre los consumidores y tantas otras empresas?

Son seis:

• Alphabet (empresa matriz de Google y Android)
• Amazon
• Apple 
• ByteDance (empresa matriz de TikTok)
• Meta (empresa matriz de Facebook, Instagram, WhatsApp y otras) 
• Microsoft (empresa matriz de LinkedIn)

Todas estas empresas tienen su sede en los Estados Unidos, a excepción de ByteDance, que es china. La CE también ha elaborado una lista con 22 plataformas/servicios críticos gestionados por estos guardianes de acceso:

• 1 motor de búsqueda (Google);
• 1 plataforma para compartir vídeos (YouTube);
• 2 grandes servicios de comunicación (Facebook Messenger y WhatsApp, ambos propiedad de Meta);
• 2 navegadores web (Chrome y Safari);
• 3 de los sistemas operativos más populares (Google Android, iOS y Microsoft Windows);
• 3 servicios de publicidad online (Amazon, Google y Meta);
• 4 redes sociales (Facebook, Instagram, LinkedIn y TikTok);
• 6 plataformas de intermediación (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store y Meta Marketplace).

Entre las omisiones cabe destacar el conglomerado coreano Samsung (líder del mercado de dispositivos móviles con Android), el servicio de correo electrónico web de Google, Gmail, y el servicio de correo electrónico web de Microsoft, Outlook.

La CE explicó así su decisión de excluir a estos proveedores y servicios:

“La Comisión ha llegado a la conclusión de que, si bien Gmail, Outlook.com y Samsung Internet Browser alcanzan los umbrales establecidos en la Ley de Mercados Digitales para ser considerados guardianes de acceso, Alphabet, Microsoft y Samsung habían presentado argumentos suficientemente motivados a efectos de demostrar que esos servicios no podían considerarse pasarelas para los respectivos servicios básicos de plataforma. Por lo tanto, la Comisión ha decidido no designar Gmail, Outlook.com y Samsung Internet Browser como servicios básicos de plataforma. Así pues, Samsung no está designada como guardián de acceso con respecto a ningún servicio básico de plataforma”.

¿Cuáles son las obligaciones de los guardianes de acceso a efectos de la DMA?

La Digital Markets Act (LMD por sus siglas en español) ha fijado el 6 de marzo de 2024 como fecha límite para que los guardianes de acceso cumplan con una lista con lo que deberán y no deberán hacer. Estos requisitos tienen por objeto mejorar la privacidad del usuario y ayudar a garantizar una competencia justa en los mercados digitales. 

La lista de ejemplos de lo que deberán hacer se centra en un ecosistema más amplio y en el intercambio de información. La lista de ejemplos de lo que no podrán hacer se centra en impedir el tratamiento preferencial, los silos, el seguimiento excesivo y la limitación de las opciones a disposición de los usuarios.

¿Cómo está siendo la reacción de los guardianes de acceso a la DMA?

Los gigantes tecnológicos han reaccionado de diversas maneras. Google ha anunciado que va a aplicar nuevos cambios, tal como explican en una publicación de su blog: “Nuestro objetivo es implementar modificaciones que se ajusten a las nuevas normativas, a la vez que se preserva la experiencia del usuario y se ofrecen productos valiosos, innovadores y seguros para los usuarios europeos”.

Microsoft acogió con agrado la decisión de la CE de investigar la posibilidad de introducir exenciones en la DMA para servicios como Bing, Edge y Microsoft Ads. Por lo demás, aceptaron su designación como guardianes de acceso.

La recepción de la DMA por parte de Apple y TikTok fue menos positiva. Apple expresó su preocupación por la DMA con respecto a los riesgos de privacidad y seguridad. El comunicado de Apple recoge, no obstante, su compromiso de “mitigar estos impactos y continuar ofreciendo los mejores productos y servicios a nuestros clientes europeos”. 

ByteDance, empresa matriz de TikTok, afirmó que cumpliría los criterios, pero, al mismo tiempo, se mostró “en profundo desacuerdo con esta decisión” y cuestionó su inclusión en la lista. Además, se mostraron “decepcionados con que no se hubiera llevado a cabo ninguna investigación de mercado antes de tomar la decisión”.

La respuesta de Meta fue más limitada. Uno de sus portavoces comentó lo siguiente: “Estamos evaluando las designaciones de la Comisión y proporcionaremos más información a su debido tiempo mientras trabajamos para cumplir con la Digital Markets Act”.

¿Qué exige la DMA a los guardianes de acceso?

Los guardianes de acceso afrontan tres categorías de cambios y nuevas responsabilidades:

• interoperabilidad y no discriminación;
• portabilidad y acceso a los datos; y
• transparencia y creación de perfiles.

Requisitos de interoperabilidad y no discriminación de la DMA

Una gran parte de los requisitos de la DMA está destinada a ampliar el ecosistema digital de una manera saludable y sostenible. Los guardianes de acceso deberán garantizar la interoperabilidad de sus plataformas y servicios con terceros. Se requieren comunicaciones e integraciones con las plataformas de los guardianes de acceso. De esta forma, se evita que tengan una ventaja excesiva y se promueve la competencia. Los guardianes de acceso no pueden favorecer sus servicios por encima de los de competidores más pequeños.

Los requisitos de no discriminación se centran en un trato justo para todas las empresas, de forma que no se otorgue un trato preferente a los productos y servicios de los guardianes de acceso o de sus socios favorecidos.

Requisitos de portabilidad y acceso a los datos de la DMA

Según la nueva ley de privacidad europea, los guardianes de acceso no pueden impedir que los usuarios cambien de servicios o proveedores de servicios. Estos deben tener control sobre sus datos y ser capaces de transferirlos a otro servicio o plataforma, lo que se conoce como portabilidad de datos bajo muchas leyes de privacidad.

Los usuarios, las empresas y demás terceros también deben poder tener acceso en tiempo real a los datos que generan en las plataformas de los guardianes de acceso si se lo piden. El acceso a los datos o las solicitudes de acceso a los datos por parte de los interesados son una forma de hacerlo.

Requisitos de transparencia y creación de perfiles de la DMA

Los guardianes de acceso tienen que proporcionar información clara y auditada sobre cómo se elaboran los perfiles de los consumidores en sus plataformas. Al igual que muchas leyes de privacidad incluyen requisitos sobre el procesamiento de datos, incluidos los fines y el intercambio, la Ley de Mercados Digitales requiere que se proporcione información sobre el propósito, la duración y el impacto de la elaboración de perfiles de los consumidores.

Los guardianes de acceso también deben garantizar que se realizan esfuerzos para obtener el consentimiento del usuario y ofrecer opciones para que los usuarios puedan retirar o denegar el consentimiento para la recopilación y el uso de los datos. En general, el objetivo es sensibilizar e informar a los consumidores sobre qué datos proporcionan a las empresas, cómo se utilizan y cuáles son sus derechos de privacidad.

¿Cuáles son las ventajas de la Ley de Mercados Digitales europea?

Aunque la DMA se dirige a las grandes empresas tecnológicas, son muchas las organizaciones que se benefician de sus requisitos. 

Consumidores: acceso a más y mejores servicios, más opciones para cambiar de proveedor, acceso directo a servicios, precios más competitivos, mayor protección de datos.

Empresas: mayor equidad en el mercado para las empresas más pequeñas que dependen de los servicios proporcionados por los guardianes de acceso.

Guardianes de acceso: mantener las oportunidades de innovación e implementar nuevos productos y servicios. Mayor claridad sobre las prácticas empresariales permitidas.

Empresas tecnológicas emergentes e innovadoras: nuevas oportunidades para ser competitivas en plataformas online y en el ecosistema digital sin tener que cumplir con los costosos términos y condiciones de terceros que frenan el crecimiento.

¿Qué supone la DMA para la privacidad del usuario y la gestión del consentimiento?

La privacidad de los usuarios y la protección de datos son objetivos clave de la Ley de Mercados Digitales, por lo que el impacto de la ley será sustancial. La DMA restringe los fundamentos jurídicos que los guardianes de acceso pueden utilizar para tratar datos personales. Estas organizaciones pueden alegar una obligación legal, un interés vital o un interés público, pero tendrán que poder respaldarlos. El consentimiento del usuario es también un fundamento jurídico viable, pero debe obtenerse de forma válida.

El marketing basado en el consentimiento subraya la importancia y las ventajas de obtener el consentimiento explícito e informado del usuario y de garantizarle el control sobre sus datos antes de recopilarlos y tratarlos en operaciones de marketing, de modo que la DMA lo apoya aún más. 

Requisitos de la DMA para obtener el consentimiento válido del usuario

Para algunos fines del tratamiento de los datos personales de usuarios, los guardianes de acceso tienen que obtener un consentimiento válido y tienen prohibido utilizar prácticas de diseño manipuladoras para obtenerlo (p. ej., patrones oscuros). Entre las actividades que requieren consentimiento previo se incluyen la publicidad online o la combinación de datos personales de diferentes servicios. También se debe informar a los usuarios de que pueden rechazar su consentimiento y de las consecuencias de hacerlo. 

Requisitos de la DMA para compartir datos personales

La Ley de Mercados Digitales pretende eliminar las ventajas competitivas desleales y los silos de información entre las organizaciones tecnológicas con plataformas que recopilan y procesan los datos personales de los consumidores. Exige que los guardianes de acceso compartan los datos (con limitaciones) que recopilan, previa solicitud, con otras empresas o anunciantes que operan en sus plataformas. Esto ayuda a que estas pequeñas empresas utilicen los datos de los usuarios para enviar publicidad dirigida o para personalizar los servicios. 

El intercambio de datos debe ser razonable y no puede hacerse de forma preferente, y la privacidad del usuario y la protección de datos deben ser una prioridad.

Derechos de portabilidad de datos según la DMA

El derecho a la portabilidad de los datos no es común a todas las leyes de privacidad, pero forma parte del RGPD y la DMA. Los guardianes de acceso deben permitir que los usuarios soliciten sus datos personales (normalmente en un formato de uso común) y los puedan transferir a otras plataformas o servicios. Este derecho no solo permite a los usuarios mantener el control sobre sus datos sin penalizarlos por abandonar una plataforma o interrumpir el uso de un servicio, sino que también ayuda a fomentar la competencia entre los proveedores de plataformas y demás para proporcionar mejores experiencias y servicios a los usuarios.

Transparencia y control de usuarios según la DMA

Las leyes de privacidad obligan a que los usuarios sean informados sobre la recopilación y el uso de datos, y la DMA no es una excepción. Los consumidores deben ser capaces de tomar decisiones informadas sobre el acceso a los datos y su uso, y estas notificaciones sobre qué datos se recopilan, para qué se utilizan y con quién se pueden compartir lo permiten.

Bajo la nueva normativa europea, los guardianes de acceso deben explicar claramente las técnicas de creación de perfiles, y se debe pedir a los usuarios su consentimiento antes de que las organizaciones utilicen publicidad dirigida. Los usuarios también deben poder rechazar o retirar su consentimiento en cualquier momento.

Cumplimiento de la DMA y plataformas de gestión del consentimiento

Todas las empresas que recopilan y utilizan datos personales de los consumidores tienen la responsabilidad de informar a los usuarios sobre la recopilación y el uso de los datos, así como de obtenerlos de una forma que cumpla con las normativas (por ejemplo, con consentimiento) y gestionarlos y compartirlos de forma segura. Esto incluye a los guardianes de acceso y a las organizaciones de terceros que utilizan sus servicios. 

Aún queda mucho por determinar con respecto a cómo los guardianes de acceso y demás terceros, como los anunciantes, lograrán exactamente el cumplimiento y el buen uso de los datos, y cuáles serán los requisitos legales y técnicos exactos. Sin embargo, las leyes de privacidad existentes, como el RGPD, ya proporcionan sólidos requisitos y prácticas recomendadas para las empresas que hacen negocios en la UE, y esta Digital Markets Act funciona en conjunto con las normativas existentes (y posiblemente futuras).

Los terceros que utilicen las plataformas y los servicios de los guardianes de acceso, como sitios web y aplicaciones, serán fundamentales para recabar el consentimiento del usuario antes de que se recopilen y utilicen sus datos personales. Si bien los guardianes de acceso tendrán que cumplir con la DMA, estas pequeñas empresas que utilizan sus plataformas y hacen negocios a través de ellas estarán en primera línea, por así decirlo, con la participación de los usuarios, la obtención del consentimiento, etc. 

Una plataforma de gestión del consentimiento puede ser una herramienta clave para obtener el consentimiento de los usuarios conforme al uso de sus datos. Actualmente, ya hay empresas de todos los tipos y tamaños que utilizan plataformas de gestión del consentimiento (CMP, por sus siglas en inglés), como la solución de consentimiento de Cookiebot™ y Usercentrics CMP, con el fin de obtener un consentimiento válido y cumplir con las leyes de privacidad de datos.

Usercentrics, la empresa matriz de Cookiebot™, está siguiendo de cerca la situación para garantizar que las soluciones proporcionadas cumplan con la Ley de Mercados Digitales y otras regulaciones relevantes, ahora y en el futuro.

Desafíos en la implementación de la DMA y futuras implicaciones

Aunque los guardianes de acceso y otras organizaciones ya tienen que cumplir con las normativas de privacidad existentes, la Ley de Mercados Digitales requerirá esfuerzos adicionales y probablemente presentará algunos desafíos. 

Es probable que se necesiten adaptaciones de las prácticas de recopilación y procesamiento de datos, actualizaciones y cambios tecnológicos, y otras acciones para cumplir con los requisitos de la DMA. Los reguladores desempeñarán un papel importante a la hora de velar por el cumplimiento de los requisitos y garantizar que las actuaciones de los guardianes no se queden en meras palabras.

La Ley de Mercados Digitales y su papel en el mundo digital

La DMA representa un mayor fortalecimiento de los derechos de los consumidores en relación con sus datos personales, además de garantizar la protección de los datos y de dichos derechos. Las obligaciones que los guardianes de acceso identificados tienen de cumplir con la DMA y las restricciones impuestas a estas empresas también contribuyen a equilibrar las condiciones de los mercados digitales y ayudan a que las organizaciones más pequeñas puedan competir a nivel mundial. Esto también fomentará una mayor innovación y permitirá mejorar las experiencias online de los usuarios. El objetivo de la DMA es ayudar a crear un ecosistema digital más transparente y centrado en el usuario.

Nos aseguraremos de mantenerte al día sobre la implementación de esta normativa y las implicaciones de otras leyes de privacidad. Para recibir actualizaciones directamente en tu bandeja de entrada, suscríbete a nuestra newsletter.

Usercentrics (Cookiebot™) no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.