
In consultazione pubblica fino al 31 ottobre le Linee guida 3/2025 sull'interazione tra il DSA e il GDPR, adottate dall’European Data Protection Board l’11 settembre scorso.
L’European Data Protection Board (EDPB) fornisce uno strumento volto a garantire un’interpretazione coerente ed armonizzata del Regolamento sulla protezione dei dati personali (Reg. UE 2016/679, GDPR) e del Digital Service Act (Reg. UE 2022/2065, DSA) che perseguono gli obiettivi diversi, ma complementari, di favorire un ambiente online sicuro e tutelare i dati personali. Ciò, a maggior ragione, che il DSA espressamente non pregiudica l’applicabilità del GDPR né vi deroga quale lex specialis (art. 2 par. 4 lett. g).
Fatte queste necessarie premesse, di seguito, si inquadrano brevemente i principali punti di incontro tra le due discipline evidenziati dall’EDPB nelle Guidelines 3/2025:
Contenuti illeciti e indagini volontarie
L’art. 7 del DSA permette ai fornitori di servizi intermediari di condurre, in buona fede e con diligenza, indagini volontarie per rilevare e rimuovere contenuti illegali. Le attività di individuazione, rimozione o limitazione di contenuti illegali ben possono implicare un trattamento di dati personali che, pertanto, deve essere fondato su un’adeguata base giuridica ai sensi del GDPR. L’EDPB punta sul legittimo interesse ex art. 6, par. 1) lett. f) del GDPR per le indagini volontarie e sull’obbligo legale di cui all’art. 6 par. 1 lett. c) del GDPR per la moderazione imposta dalla normativa nazionale o dell’UE (es. Direttiva 2019/790/UE sul copyright).
Il Board segnala che tali operazioni potrebbero rendere indispensabile l’esecuzione di una valutazione d’impatto ai sensi degli artt. 35-36 del GDPR, e, in presenza di un processo automatizzato, anche il rispetto della normativa di cui all’art. 22 del GDPR.
Meccanismi di segnalazione e azione e reclami interni
L’art. 16 del DSA impone ai fornitori di servizi di hosting e alle piattaforme di predisporre meccanismi di “notice and action” di facile accesso e uso, consentendo la presentazione di segnalazione dei contenuti illegali esclusivamente per via elettronica. Ciò può comportare un trattamento dei dati personali del segnalante e del destinatario interessato che impone di bilanciare le esigenze di moderazione dei contenuti e di rispetto della privacy. A mero titolo esemplificativo, si ricordino gli obblighi di trasparenza in merito alle attività di moderazione (es. obbligo di fornire una motivazione chiara e specifica delle restrizioni e delle relative conseguenze), la limitazione del trattamento ai soli dati strettamente necessari e pertinenti, l’identificazione del notificante limitata al solo caso in cui sia indispensabile per determinare la natura illegale del contenuto.
Non solo. In conformità anche con lo stesso GDPR, l’art. 20 del DSA prevede che i sistemi di gestione interna dei reclami debbano garantire il diritto di opposizione e la presenza di personale adeguatamente qualificato, così escludendo strumenti totalmente automatizzati.
Dark pattern e modelli di progettazione ingannevoli
L’art. 25 del DSA vieta ai fornitori di piattaforme online l’uso di dark patterns, ovvero interfacce progettate per manipolare le scelte dell’utente che ben possono implicare anche il trattamento dei dati personali. Basti pensare a design ingannevoli progettati per carpire il consenso ai cookie nelle interfacce di piattaforme social.
Sistemi di raccomandazione
Un "sistema di raccomandazione" è un sistema parzialmente o completamente automatizzato utilizzato dalle piattaforme online per presentare contenuti specifici e personalizzati agli utenti della piattaforma con un certo ordine o importanza relativa (art. 38 del DSA). Ciò può implicare decisioni automatizzate con effetti significativi per gli utenti ai sensi dell’art. 22 del GDPR e, in via generale, impattare sui dati personali. Il DSA, quindi, impone alle piattaforme di garantire agli utenti trasparenza informativa, facoltà di modificare le opzioni preferite dei parametri e opzioni “non basate sulla profilazione”.
Pubblicità sulle piattaforme online e profilazione
L’art. 26 del DSA introduce obblighi di trasparenza pubblicitaria in tempo reale e vieta annunci che implichino una profilazione basata su categorie particolari di dati di cui all’art. 9 del GDPR. Giova evidenziare che, a differenza del GDPR che impone obblighi di trasparenza informativi antecedenti al trattamento dei dati personali, il DSA prevede un obbligo informativo, di fatto, successivo alla diffusione dell’annuncio. Da ciò ne consegue una trasparenza garantita in via complementare da ambedue le discipline.
Tutela dei minori
L’ art. 28 del DSA garantisce un elevato livello di tutela per i minori, vietando il trattamento dei loro dati per fini pubblicitari e imponendo misure di sicurezza e protezione che, in ogni caso, devono essere necessarie e proporzionate. La base giuridica per il trattamento dei dati personali dei minori ritenuta idonea dall’EDPB è l’art. 6 paer. 1 lett. c) del GDPR. Si segnala che il DSA introduce un aspetto innovativo non presente espressamente nelle disposizioni a tutela dei minori del GDPR, prevedendo che il rispetto degli obblighi di cui all’art. 28 del DSA non possa obbligare i fornitori di piattaforme online a trattare dati personali ulteriori per verificare l’età dell’utente. Ciò, per esempio, implica la limitazione dell’impiego di meccanismi di verifica dell’età ai soli casi strettamente necessari.
Rischi sistemici e DPIA
Le piattaforme di grandi dimensioni (VLOPs e VLOSEs) devono valutare e mitigare i rischi sistemici legati alla diffusione di contenuti illegali e alle violazioni dei diritti fondamentali; ciò potrebbe implicare l’esecuzione della DPIA ai sensi dell’art. 35 del GDPR.
Codici di condotta e cooperazione tra autorità
L’EDPB sottolinea l’importanza di coordinare i codici di condotta sviluppati ai sensi del DSA con quelli previsti dall’art. 40 del GDPR, coinvolgendo le autorità di protezione dei dati nella loro elaborazione. Inoltre, il Board riconosce come la cooperazione tra Digital Services Coordinators, Commissione Europea e autorità di protezione dei dati sia essenziale al fine di assicurare un’applicazione coerente dei due Regolamenti.
In conclusione, le Linee Guida 3/2025 dell’EDPB riconoscono l’interconnessione tra DSA e GDPR che impone ai prestatori di servizi di intermediazione una particolare attenzione per garantire un’applicazione coerente ed armonizzata di entrambe le discipline. Occorrerà attendere l’esito della consultazione pubblica per conoscere ulteriori dettagli.