A partir del 6 de marzo de 2024, los «guardianes de acceso» designados en virtud de la Ley de Mercados Digitales, en inglés Digital Markets Act (DMA), deben cumplir con los requisitos de la normativa para sus servicios básicos de plataforma identificados o exponerse a cuantiosas multas y otras sanciones.
Esa fecha no solo afecta a las grandes empresas tecnológicas; cualquier empresa que emplee dichos servicios en la Unión Europea (UE) y/o el Espacio Económico Europeo (EEE) debe estar también preparada para la Ley de Mercados Digitales.
En este artículo, analizamos a quién se aplica la Ley de Mercados Digitales, las obligaciones legales impuestas por la normativa y cómo las empresas pueden prepararse para la DMA.
Obligaciones legales impuestas por la Ley de Mercados Digitales
Es importante señalar que la Ley de Mercados Digitales se centra en los guardianes de acceso, que deben trabajar de forma activa para cumplir las obligaciones establecidas por la Comisión Europea (CE). Esto no significa que los usuarios de empresas estén exentos. La normativa también afectará a las empresas con operaciones digitales que dependen de las plataformas y servicios de los guardianes de acceso para recopilar y procesar datos de usuarios de la UE y/o el EEE.
Las exigencias de privacidad de los datos de la DMA tienen un amplio alcance, ya que no solo abarcan las plataformas sino también todos los datos personales recopilados en estas. Además, los guardianes de acceso suelen tener sus propias condiciones de servicio o acuerdos contractuales que las empresas deben seguir al utilizar sus plataformas, lo que puede alinearse con los requisitos de la DMA en materia de transparencia y protección de datos. Además, la Unión Europea y sus estados miembros tienen otras leyes de privacidad de datos que deben cumplir, como el Reglamento General de Protección de Datos (RGPD).
Esto significa que las empresas que utilizan servicios básicos de plataforma no pueden limitarse a ser testigos y deben adaptar sus prácticas y políticas de datos a la DMA. Este paso es necesario para cualquier empresa que desee seguir utilizando estos servicios sin complicaciones legales y sin perder el acceso a la plataforma.
Aunque técnicamente las obligaciones impuestas en virtud de la DMA se aplican a los guardianes de acceso, el cumplimiento de algunas de ellas les requiere imponer exigencias a los clientes de sus plataformas.
Obtener el consentimiento explícito de los usuarios para recopilar sus datos personales
La Ley de Mercados Digitales somete a estrictos controles a las bases legales para que los guardianes de acceso recopilen datos personales, lo que hace que el consentimiento de los usuarios sea fundamental para este proceso. La normativa requiere un consentimiento del usuario acorde al RGPD, que en su artículo 2 (32) lo define como cualquier manifestación libre, específica, informada e inequívoca de la voluntad del usuario por la que, mediante una declaración o una clara acción afirmativa, consiente el tratamiento de sus datos personales.
Por lo tanto, en virtud de la Ley de Mercados Digitales, el consentimiento debe cumplir cuatro criterios clave: debe ser libre, específico, informado e inequívoco.
Libre: El consentimiento se da libremente si la persona que lo da tiene la opción de hacerlo sin estar presionada, coaccionada o manipulada para ello, y no se le penalizará ni se le perjudicará si se niega. El consentimiento no puede ser una condición para acceder a un servicio o producto a menos que el tratamiento de datos personales sea necesario para que dicho servicio o producto funcione. El proceso para retirar el consentimiento debe ser tan sencillo como el de concederlo, lo que permite que las personas cambien fácilmente de opinión.
Específico: El consentimiento no es específico si alguien acepta una recopilación de datos imprecisa o demasiado amplia. Por consentimiento específico se entiende que los usuarios deben aceptar cada fin para el que se recopilan y procesan sus datos personales, y tener acceso a la información de cada uno de ellos para tomar esta decisión. Por ejemplo, si una empresa quiere procesar los datos de una persona con fines publicitarios y analíticos, debe obtener un consentimiento independiente para cada uno de ellos. Si una empresa quiere utilizar los datos para otro fin más adelante, debe obtener un nuevo consentimiento independiente que aborde específicamente este nuevo uso.
Informado: Para que el consentimiento sea informado o claro, los usuarios deben tener toda la información relevante antes de tomar una decisión. Esto incluye comprender qué datos se recopilarán, para qué fines específicos se utilizarán y quién tendrá acceso a ellos. También se debe informar a los usuarios sobre su derecho a retirar el consentimiento en cualquier momento y sobre las consecuencias de hacerlo.
Inequívoco: No debe haber margen para interpretaciones: el consentimiento es inequívoco si el usuario ha aceptado de forma clara el tratamiento de los datos. Normalmente, se obtiene mediante una acción por parte del usuario, como marcar una casilla o hacer clic en un botón que dice «Acepto las condiciones de servicio». El silencio, la inactividad, el desplazamiento o las casillas preseleccionadas no se consideran un consentimiento inequívoco.
Cuando el consentimiento cumple con todas las condiciones anteriores, es una acción clara y afirmativa en virtud de la Ley de Mercados Digitales y el RGPD.
¿Cómo afecta la obtención del consentimiento explícito a las empresas que utilizan servicios básicos de plataforma?
Las empresas que recopilan y procesan datos personales de usuarios en la UE y/o el EEE deben obtener el consentimiento explícito y válido de los usuarios. Aunque las obligaciones, multas y sanciones en virtud de la DMA van dirigidas a los guardianes de acceso, las empresas no pueden pasar por alto sus prácticas de recopilación de datos. Si no se obtiene un consentimiento válido, no solo se corre el riesgo de perder el acceso a los servicios básicos de plataforma, sino que también podría conllevar sanciones en virtud del RGPD u otras leyes.
Restricciones en la combinación de datos para la elaboración de perfiles
La Ley de Mercados Digitales tiene requisitos estrictos a la hora de combinar datos de usuarios en las distintas plataformas en las que operan los guardianes de acceso y entre plataformas propiedad de un guardián de acceso y de terceros.
El artículo 5 de la DMA establece específicamente que los guardianes de acceso no pueden:
- (a) procesar, con el fin de proporcionar servicios de publicidad online, los datos personales de los usuarios finales que utilizan servicios de terceros y que hacen uso de los servicios básicos de plataforma del guardián de acceso;
- (b) combinar los datos personales del servicio básico de plataforma pertinente con los datos personales de cualquier otro servicio básico de plataforma o de cualquier otro servicio proporcionado por el guardián de acceso o con datos personales de servicios de terceros;
- (c) usar datos cruzados personales del servicio básico de plataforma pertinente en otros servicios proporcionados por separado por el guardián de acceso, incluidos otros servicios básicos de plataforma, y viceversa; ni
- (d) iniciar sesión con los usuarios finales en otros servicios del guardián de acceso para combinar datos personales
a menos que se le haya especificado al usuario final la opción y haya dado su consentimiento válido en virtud del RGPD.
El objetivo es evitar que los guardianes de acceso consigan una ventaja injusta al agrupar los datos de los usuarios de varias fuentes, y proteger la privacidad de los usuarios.
Esta disposición limita la capacidad de los guardianes de acceso y de las empresas de terceros para utilizar datos en distintas plataformas con el fin de crear perfiles de clientes para publicidad personalizada. La elaboración de perfiles de menores ya se prohíbe en el RGPD.
Sin embargo, la Ley de Mercados Digitales no prohíbe por completo la creación de perfiles, y los guardianes de acceso deben ser transparentes sobre cómo crean los perfiles de usuario. Deben proporcionar información auditada sobre los datos que recopilan, cómo se procesan, para qué se utilizan, durante cuánto tiempo se almacenarán para la elaboración de perfiles y el impacto que tendrá la creación de perfiles en los servicios de los guardianes de acceso.
Es importante destacar que los guardianes de acceso también deben mostrar cómo avisan a los usuarios sobre la creación de perfiles, cómo solicitan el consentimiento de los usuarios y, cómo ofrecen a los usuarios la opción de denegar o retirar el consentimiento para recopilar sus datos y usarlos para ello. Los datos personales de los usuarios que rechazan o retiran su consentimiento no se pueden utilizar para la elaboración de perfiles.
¿Cómo afectan las restricciones en la combinación de datos para la elaboración de perfiles a las empresas que utilizan servicios básicos de plataforma?
Las empresas no pueden combinar datos de usuarios de diferentes plataformas, incluso si esas plataformas son servicios de terceros, con el fin de elaborar perfiles sin el consentimiento explícito del usuario para ese tipo de uso compartido de datos.
Esto significa que las empresas deben disponer de sistemas para garantizar que los datos de los usuarios recopilados en diferentes plataformas permanezcan separados. En resumen, la DMA exige un enfoque más transparente y aislado de la gestión de datos para todos los implicados.
Esto último es especialmente importante en vista de los requisitos de interoperabilidad de la DMA. Los guardianes de acceso deben permitir a los usuarios cambiar entre distintos servicios, acceder a sus datos y transferirlos fácilmente, así como garantizar la compatibilidad e integración con otras plataformas o servicios. Las empresas y los anunciantes con acceso a los datos de los usuarios desde varias plataformas no pueden combinar estos datos para crear perfiles sin el consentimiento válido de los usuarios.
Riesgos asociados al incumplimiento de la Ley de Mercados Digitales
La Ley de Mercados Digitales regula a los guardianes de acceso, y no hay sanciones en virtud de la normativa para otras empresas que la incumplan. Sin embargo, hay posibles repercusiones para las empresas que no gestionen los datos de los usuarios de acuerdo con los requisitos de la normativa.
El incumplimiento puede limitar o suprimir el acceso a los servicios básicos de plataforma, que suelen ser canales importantes para que las empresas conecten con clientes potenciales y aumenten las ventas y los ingresos por publicidad. Las empresas pueden perder el acceso a sus datos y a su audiencia, lo que conlleva una pérdida de ingresos como resultado de dicha eliminación.
Una cuestión distinta, pero igual de importante, es el daño a la reputación. Si no se cumplen las normas de protección de datos de la DMA, puede mermarse la confianza de los clientes, lo que puede dar lugar a tasas de conversión más bajas, a la rotación de clientes y a la pérdida de ingresos.
Cómo pueden prepararse las empresas para la Ley de Mercados Digitales
Comprender la Ley de Mercados Digitales y cómo afecta a las operaciones y los servicios puede ayudar a las empresas a asignar recursos, ya sea en términos de personal o presupuesto, para cumplir con las normativas. De esta forma, las empresas pueden garantizar la seguridad jurídica y aumentar la confianza de los clientes.
Prepararse para la Digital Markets Act requiere que las empresas garanticen la recopilación del consentimiento de los usuarios conforme al RGPD y la directiva ePrivacy, así como la notificación de las preferencias de los usuarios en los sitios web o aplicaciones.
Utilice una plataforma de gestión de consentimiento para obtener el consentimiento válido del usuario
Para garantizar un consentimiento válido del usuario, se debe contar con una política de privacidad clara y de fácil acceso que explique qué datos se recopilarán, cómo se utilizarán y quién puede acceder a ellos.
Los banners de consentimiento de cookies también deben tener un lenguaje sencillo que transmita los datos que se recopilan y con qué fin. Estos banners deben estar diseñados para obtener un consentimiento que se dé libremente sin utilizar manipulación ni lenguaje engañoso.
Las empresas que buscan un enfoque simplificado para gestionar estos requisitos de consentimiento pueden utilizar una plataforma de gestión de consentimiento (CMP) como Usercentrics CMP. Usercentrics es un socio de CMP certificado por el modo de consentimiento de Google, y la CMP ayuda a las empresas a recopilar y documentar el consentimiento válido del usuario para cumplir con los requisitos normativos. Esto ayuda a las empresas a cumplir con la ley, evitar multas y mantener la confianza de los clientes a medida que dichas empresas crecen. Usercentrics CMP se integra con muchos sistemas de gestión de contenidos o CMS populares, lo que simplifica la configuración.
¿Desea configurar o pasarse a una CMP para prepararse para la Ley de Mercados Digitales? Inicie su prueba gratuita de 30 días de Usercentrics CMP.
Realice auditorías de privacidad de datos y comprobaciones de cumplimiento periódicas
Un calendario sistemático de auditorías internas puede servir como red de seguridad para supervisar el cumplimiento conforme evolucionan la DMA y otras normativas relevantes. Estas auditorías deben centrarse en las evaluaciones del impacto en la protección de datos o DPIA para evaluar los detalles de cómo se procesan, almacenan y comparten los datos de los usuarios en virtud de la Ley de Mercados Digitales.
Es igual de importante evaluar las prácticas de datos de los proveedores y socios externos. Si gestionan datos originados en las plataformas de una empresa, sus políticas de procesamiento de datos también deben ajustarse a las normativas. Cualquier error por su parte puede tener repercusiones en la relación comercial y posibles consecuencias legales. Muchas leyes de privacidad de datos requieren contratos con terceros que participen en el procesamiento de datos para definir las responsabilidades de acceso, protección y uso de datos.
Evolución al marketing basado en el consentimiento
Las empresas deben revisar sus estrategias de marketing como respuesta a las estrictas directrices de la Ley de Mercados Digitales sobre elaboración de perfiles de usuarios y las restricciones al retargeting. En lugar de depender de la segmentación basada en datos de usuarios combinados, las empresas deben adoptar el marketing basado en el consentimiento y explorar otras estrategias, incluida la publicidad contextual.
Este cambio hacia el contexto en lugar de la orientación específica del usuario se alinea mejor con el requisito de la DMA de consentimiento explícito del usuario para el uso de datos. También abre el camino para que las empresas mantengan estrategias publicitarias eficaces sin poner en riesgo la confianza de los usuarios. El marketing basado en el consentimiento protege la privacidad de los usuarios y ofrece una interacción más transparente entre la empresa y el consumidor, lo que puede dar lugar a relaciones de marca más sólidas y fiables.
Cree un enfoque sólido para la gestión de datos
Las empresas que recopilan datos de los usuarios en varias plataformas deben priorizar las estrategias de gestión de datos que protegen la privacidad de los usuarios y cumplen las distintas normativas. Cada paso del recorrido de los datos (recopilación, almacenamiento, uso y eliminación) debe examinarse para garantizar que están protegidos y que no se comparten con terceros innecesarios ni con otras personas o empresas no autorizadas. Las empresas también deben asegurarse de que no se combinan los datos de distintas plataformas para elaborar perfiles y ofrecer publicidad personalizada.
Comunicar la importancia de alinearse con la Ley de Mercados Digitales en la empresa
Conseguir que todos los miembros de la empresa se preparen para la DMA es una forma eficaz de tenerla presente en las operaciones diarias y reducir el riesgo de infringir sus requisitos.
Los equipos de cara al público, como el de marketing, ventas y éxito del cliente y que comparten mensajería unificada sobre la alineación con la DMA, refuerzan el compromiso de la empresa con la privacidad de los usuarios, las prácticas éticas y el cumplimiento legal.
Para lograrlo, los equipos internos necesitan una formación completa para saber cómo cumplir con la Ley de Mercados Digitales y poder acceder a temas de debate específicos sobre la DMA para reuniones con clientes y presentaciones de ventas.