La Comisión Europea ha puesto sobre la mesa una de las medidas más delicadas del Digital Markets Act: obligar a Alphabet a compartir con terceros una parte de los datos generados por Google Search en Europa. La propuesta no afecta solo a rankings o estadísticas generales. El expediente DMA.100209 habla de consultas, clics, visualizaciones, posiciones de resultados, metadatos y señales de interacción con la página de resultados.
El objetivo oficial es aumentar la competencia en los motores de búsqueda. Bruselas sostiene que Google acumula una ventaja difícil de replicar porque aprende de miles de millones de búsquedas, clics y respuestas de usuarios. Bajo el artículo 6(11) del DMA, los grandes guardianes de acceso que operan motores de búsqueda deben facilitar a otros buscadores datos anonimizados de ranking, consulta, clic y visualización en condiciones justas, razonables y no discriminatorias.
La parte sensible está en el detalle. Según las medidas preliminares publicadas el 16 de abril de 2026, Alphabet tendría que compartir datos con empresas que operen motores de búsqueda online en la Unión Europea y el Espacio Económico Europeo. La Comisión incluye también a los chatbots de inteligencia artificial con funciones de búsqueda, siempre que encajen en la definición legal de motor de búsqueda online.
Qué datos tendría que compartir Google
La propuesta exige a Alphabet facilitar datos de búsquedas gratuitas y de pago generadas por usuarios en Google Search. No se trata únicamente de saber qué URL aparece por encima de otra. La Comisión plantea un conjunto mucho más amplio.
En el apartado de consultas, Alphabet tendría que compartir la búsqueda introducida por el usuario, las modificaciones realizadas por el propio usuario y las aplicadas por Google mediante autocompletado, sugerencias, autocorrección, filtros avanzados o funciones similares. También entran metadatos como la marca temporal, la ubicación, el idioma, el tipo de dispositivo, el punto de acceso a Google Search y el método de entrada, ya sea texto, voz o imagen.
El documento menciona varios puntos de acceso: la barra del navegador en Chrome y en terceros navegadores, la web de Google Search, la aplicación de Google, el widget, Google Assistant, Gemini, Google Lens, Circle to Search y Text Search en Android. Ese detalle muestra hasta qué punto la búsqueda ya no vive solo en una caja de texto tradicional.
En los datos de visualización se incluyen las URLs y contenidos visuales mostrados en la página de resultados, con independencia de su formato o pestaña. La propuesta cita resultados web, imágenes, vídeos, noticias, foros, libros y otros módulos. También contempla datos sobre el tipo de resultado, si es orgánico o de pago, si aparece en un panel de conocimiento, en una respuesta corta o en otra estructura de la página.
Los datos de clic son todavía más delicados. La Comisión plantea compartir información sobre interacción con la página de resultados: clics, ausencia de clics, clics de vuelta, duración, orden, desplazamientos, swipes, hovers y expansiones. En la práctica, permitiría saber no solo qué se mostró a un usuario, sino cómo reaccionó ante lo que vio.
Los datos de ranking completarían la imagen: posición del resultado en la página, posición relativa frente a otros resultados, área en la que aparece y página en la que se mostró. Para un buscador rival, esa información puede ser muy valiosa. Para la privacidad, abre preguntas difíciles.
La anonimización no elimina todo el debate
La Comisión no plantea entregar estos datos sin protección. Las medidas preliminares incluyen una capa de anonimización técnica y otra contractual. Alphabet tendría que eliminar identificadores directos como cuentas de Google, nombres de usuario, direcciones IP, ID de dispositivo y marcas temporales precisas. Las búsquedas por imagen se sustituirían por marcadores y ciertos tiempos se agruparían en intervalos.
También habría filtros para suprimir consultas largas, raras o con combinaciones poco frecuentes. La propuesta prevé una lista de términos permitidos basada en entidades que hayan aparecido en búsquedas de más de 50 usuarios registrados durante los 13 meses anteriores en el Espacio Económico Europeo. Las ubicaciones se generalizarían mediante país y celdas geográficas, con condiciones mínimas de superficie y número de usuarios.
La Comisión intenta reducir el riesgo de reidentificación, pero el propio diseño de las medidas confirma que ese riesgo existe. Si una búsqueda contiene síntomas médicos concretos, una dirección, un nombre, una situación financiera o una combinación muy específica de términos, anonimizarla no siempre es sencillo. La historia de la privacidad digital ha demostrado varias veces que los conjuntos de datos supuestamente anónimos pueden volverse identificables cuando se cruzan con información externa.
Por eso el documento prohíbe a los terceros intentar reidentificar usuarios, enlazar el conjunto con bases de datos auxiliares, reconstruir atributos eliminados o usar los datos para fines distintos a mejorar servicios de búsqueda. También exige separar el acceso a estos datos de bases publicitarias o analíticas, aplicar cifrado en reposo y en tránsito, usar autenticación multifactor resistente al phishing, registrar accesos y borrar los datos tras un máximo de 13 meses.
Hay otro punto relevante: Alphabet tendría que compartir los datos a diario y a nivel de registro mediante una API. La API permitiría a los terceros acceder a datos nuevos sin descargar cada vez el conjunto completo. Esto transforma la obligación en un flujo recurrente de información, no en una entrega puntual.
Competencia frente a privacidad
La tensión de fondo es clara. Para la Comisión Europea, Google Search disfruta de una ventaja estructural porque sus datos de uso alimentan la mejora del buscador. Si otros competidores no pueden acceder a señales parecidas, competir en calidad resulta mucho más difícil. Esta lógica tiene sentido desde la política de competencia: abrir datos puede reducir barreras de entrada.
El problema es que los datos de búsqueda no son equivalentes a estadísticas de tráfico o métricas comerciales comunes. Una búsqueda puede revelar preocupaciones de salud, problemas familiares, dudas legales, orientación política, situación económica, creencias, miedos o intenciones de compra. Incluso cuando se eliminan identificadores, el contexto puede seguir siendo sensible.
Google se ha opuesto con dureza. Clare Kelly, responsable sénior de competencia de la compañía, ha defendido que cientos de millones de europeos confían a Google búsquedas muy sensibles, incluidas preguntas sobre salud, familia y finanzas, y que la propuesta obligaría a entregar esos datos a terceros con protecciones que la empresa considera insuficientes.
La Comisión intenta equilibrar ese riesgo con auditorías independientes, controles de acceso, límites de uso, prohibición de descarga en dispositivos personales, procesos de notificación de brechas y posibilidad de suspensión o terminación urgente si aparece un riesgo grave para la anonimización de los datos personales. También exige que los terceros acrediten planes reales para usar los datos en la mejora de su propio motor de búsqueda.
Aun así, cada nuevo receptor se convierte en una nueva superficie de ataque. No todos los buscadores, startups o servicios de inteligencia artificial tienen la misma madurez en ciberseguridad que una gran tecnológica. El sistema propuesto depende de contratos, auditorías y controles técnicos, pero también de la capacidad real de cada beneficiario para proteger un conjunto de datos extremadamente atractivo.
La consulta pública está abierta hasta el 1 de mayo de 2026 y la Comisión prevé adoptar una decisión final antes del 27 de julio de 2026. Las medidas aún son preliminares y podrían cambiar tras las aportaciones de Alphabet y de terceros. El debate, sin embargo, ya está planteado: Europa quiere más competencia en la búsqueda, pero el precio puede ser abrir una parte muy sensible de la actividad digital de los usuarios.
Preguntas frecuentes
¿La Unión Europea ya ha obligado a Google a compartir estos datos?
No todavía. La Comisión ha publicado medidas preliminares dentro del expediente DMA.100209 y ha abierto una consulta. La decisión vinculante está prevista para antes del 27 de julio de 2026.
¿Qué datos de Google Search podrían compartirse?
Consultas, modificaciones de búsqueda, URLs mostradas, rankings, clics, ausencia de clics, interacciones con la página de resultados, idioma, dispositivo, punto de acceso y ubicación generalizada.
¿Los datos se entregarían con nombres, cuentas o direcciones IP?
La propuesta exige eliminar identificadores directos como cuentas de Google, IPs e identificadores de dispositivo. También prevé medidas de anonimización, aunque reconoce de forma implícita el riesgo de reidentificación al imponer controles técnicos, contractuales y auditorías.
¿Quién podría recibir los datos de búsqueda de Google?
Empresas que operen motores de búsqueda online en la UE o el EEE, incluidos chatbots de inteligencia artificial con funciones de búsqueda si cumplen la definición aplicable y superan los requisitos previstos.