Datos clave
| Normativa | Decisión (UE) 2026/1446 de la Comisión, de 30 de junio de 2026 |
|---|---|
| Publicación | 3 de julio de 2026 (Diario Oficial de la UE) |
| Entrada en vigor | 30 de junio de 2026 |
| Afectados | Empresas tecnológicas investigadas bajo el DMA (gatekeepers) y personas físicas cuyos datos obren en poder de la Comisión en esos expedientes |
| Categoría | Protección de Datos |
| Reglamento base | Reglamento (UE) 2022/1925 — Reglamento de Mercados Digitales (DMA) |
| Ejercicio | 2026 |
Si tu empresa figura en un expediente de la Comisión Europea por posible incumplimiento del Reglamento de Mercados Digitales (DMA, Reglamento UE 2022/1925), debes saber que desde el 30 de junio de 2026 existe una norma interna que regula expresamente qué información puede retenerte la Comisión sobre tus propios datos y durante cuánto tiempo.
La Decisión (UE) 2026/1446, publicada en el Diario Oficial el 3 de julio de 2026, no crea nuevas obligaciones de cumplimiento para las empresas en sentido clásico, pero sí define los límites del poder de la Comisión sobre los datos personales que maneja en sus investigaciones. Conocer ese marco es esencial para cualquier empresa o profesional implicado en un procedimiento DMA.
¿Qué establece esta normativa?
La Decisión fija las normas internas de la Comisión Europea para el tratamiento de datos personales en el contexto de investigaciones, ejecución y supervisión previstas en el DMA. Concretamente, regula tres ámbitos:
- Limitación de derechos de los interesados: La Comisión puede restringir el derecho de acceso, rectificación y supresión de datos personales cuando su ejercicio pueda comprometer una investigación en curso.
- Obligaciones de información: Se definen los procedimientos que la Comisión debe seguir para informar a los afectados sobre el tratamiento de sus datos y las restricciones aplicadas.
- Procedimientos internos: Se establecen los mecanismos internos para aplicar estas restricciones de forma reglada, garantizando que sean proporcionales y respeten la esencia de los derechos fundamentales.
Las restricciones no son automáticas ni ilimitadas. La norma exige expresamente que cualquier limitación sea proporcional y que no vulnere el núcleo esencial de los derechos fundamentales reconocidos en la Carta de Derechos Fundamentales de la UE.
| Derecho del interesado | ¿Puede limitarse bajo esta Decisión? | Condición |
|---|---|---|
| Acceso a los propios datos | Sí | Si comprometería la investigación en curso |
| Rectificación de datos | Sí | Si comprometería la investigación en curso |
| Supresión de datos | Sí | Si comprometería la investigación en curso |
| Información sobre el tratamiento | Sí, parcialmente | Sujeta a procedimientos internos definidos en la Decisión |
Impacto económico y operativo
Esta norma no genera costes directos de cumplimiento para las empresas investigadas. Su impacto es de naturaleza procesal y estratégica: afecta a la capacidad de las empresas y sus representantes de conocer y controlar qué datos personales maneja la Comisión sobre ellos durante un expediente DMA.
Las implicaciones operativas concretas son:
- Limitación de la defensa procesal: Si la Comisión restringe el acceso a los datos, los equipos legales de las empresas investigadas pueden tener menos visibilidad sobre la información que maneja el regulador, lo que condiciona la estrategia de defensa.
- Gestión de datos de empleados y representantes: Los datos personales de directivos, abogados internos o representantes que hayan participado en comunicaciones con la Comisión pueden quedar sujetos a estas restricciones sin notificación inmediata.
- Planificación de recursos legales: Las empresas investigadas deben anticipar que las solicitudes de acceso a datos formuladas durante el procedimiento pueden ser denegadas o diferidas, lo que obliga a documentar internamente toda la información disponible desde el inicio del expediente.
¿A quién afecta?
- Grandes plataformas digitales designadas como gatekeepers bajo el DMA (actualmente: Alphabet/Google, Amazon, Apple, ByteDance/TikTok, Meta, Microsoft), que estén o puedan estar sujetas a investigaciones de la Comisión.
- Empleados, directivos y representantes legales de esas plataformas cuyos datos personales (correos, declaraciones, documentos) hayan sido recabados por la Comisión en el marco de un expediente.
- Terceros (proveedores, socios comerciales, denunciantes) cuyos datos personales hayan sido aportados a un expediente DMA y que pretendan ejercer sus derechos ante la Comisión.
- Asesores legales y consultores que gestionen la defensa de empresas investigadas y necesiten conocer el alcance real de los derechos de sus clientes frente a la Comisión.
Ejemplo práctico
Imagina que eres el Director Legal de una gran plataforma de distribución de aplicaciones móviles designada gatekeeper bajo el DMA. La Comisión abre una investigación formal por presunto incumplimiento de las obligaciones de interoperabilidad del artículo 6 del DMA.
Durante el procedimiento, la Comisión ha recabado correos electrónicos internos y declaraciones de varios directivos de tu empresa. Uno de esos directivos solicita ejercer su derecho de acceso para conocer exactamente qué datos personales suyos obran en el expediente.
Bajo la Decisión (UE) 2026/1446, la Comisión puede denegar o diferir esa solicitud de acceso si considera que su concesión comprometería la integridad de la investigación en curso. La denegación debe estar justificada, ser proporcional y respetar los derechos fundamentales del directivo. Este escenario, antes regulado de forma difusa, queda ahora formalizado con procedimientos internos definidos, lo que da a las empresas un marco claro —aunque restrictivo— para anticipar la respuesta del regulador.
¿Qué deben hacer las empresas ahora?
- Auditar qué datos personales ha recabado la Comisión: Si tu empresa está bajo investigación DMA, identifica desde el inicio del expediente qué información personal de empleados y representantes ha sido aportada o recabada, antes de que se apliquen restricciones de acceso.
- Documentar internamente toda la información disponible: Dado que las solicitudes de acceso a datos pueden ser denegadas o diferidas, es crítico mantener registros internos completos de todas las comunicaciones y documentos relacionados con el expediente.
- Informar a los empleados afectados: Los directivos, abogados internos y representantes cuyos datos puedan estar en un expediente deben ser informados de que sus derechos de acceso, rectificación y supresión pueden estar temporalmente limitados bajo esta Decisión.
- Revisar los protocolos de respuesta a solicitudes de derechos: Si tu empresa actúa como intermediaria en la aportación de datos a la Comisión, actualiza tus procedimientos internos de protección de datos para reflejar este nuevo marco.
- Consultar con el Delegado de Protección de Datos (DPO): El DPO de la empresa debe conocer esta Decisión y evaluar su impacto en los procedimientos de gestión de derechos de los interesados vinculados a expedientes DMA.
Preguntas frecuentes
¿Qué derechos de protección de datos puede limitar la Comisión en una investigación DMA?
Según la Decisión (UE) 2026/1446, la Comisión puede limitar los derechos de acceso, rectificación y supresión de datos personales, así como el derecho a recibir información sobre el tratamiento. Estas limitaciones solo son aplicables cuando el ejercicio de esos derechos pueda comprometer la investigación en curso, y siempre deben ser proporcionales y respetar la esencia de los derechos fundamentales.
¿Desde cuándo está en vigor esta norma sobre datos en investigaciones DMA?
La Decisión (UE) 2026/1446 entró en vigor el 30 de junio de 2026, aunque fue publicada en el Diario Oficial de la UE el 3 de julio de 2026. Es aplicable a todos los expedientes de investigación, ejecución y supervisión abiertos al amparo del Reglamento de Mercados Digitales (DMA, Reglamento UE 2022/1925).
¿A qué empresas afecta esta Decisión de la Comisión Europea?
Afecta principalmente a las grandes plataformas digitales designadas como gatekeepers bajo el DMA que estén sujetas a investigaciones de la Comisión. También afecta a las personas físicas —empleados, directivos, representantes legales y terceros— cuyos datos personales obren en poder de la Comisión en el contexto de esos expedientes.
¿Puede un empleado de una empresa investigada ejercer sus derechos RGPD frente a la Comisión?
Sí, pero con limitaciones. La Decisión (UE) 2026/1446 establece que la Comisión puede denegar o diferir solicitudes de acceso, rectificación o supresión si su concesión comprometería la investigación. La denegación debe estar justificada, ser proporcional y no vulnerar el núcleo esencial de los derechos fundamentales del solicitante.
¿Qué debo hacer si mi empresa recibe una investigación DMA y hay datos personales de empleados en el expediente?
Lo más urgente es documentar internamente qué datos han sido aportados antes de que se apliquen restricciones de acceso, informar a los empleados afectados de que sus derechos pueden estar temporalmente limitados, y consultar con el DPO de la empresa para adaptar los protocolos de gestión de derechos de los interesados a este nuevo marco normativo.
Fuente oficial
Consultar normativa completa en fuente oficial
Aviso: Este artículo tiene carácter meramente informativo y no constituye asesoramiento legal. Para decisiones específicas, consulte a un profesional cualificado. Fuente: https://eur-lex.europa.eu/./legal-content/AUTO/?uri=OJ:L_202601446