L’EDPB ha adottato le prime linee guida dedicate all’interazione tra Digital Services Act e GDPR.

Il documento, ora in consultazione pubblica, fornisce chiarimenti per evitare incoerenze applicative e guidare piattaforme e intermediari online nella gestione dei trattamenti di dati personali richiesti dal nuovo quadro regolatorio digitale

Analizziamo quelli che sono i punti salienti.

DSA e GDPR: obiettivi diversi ma complementari

È bene ricordare, innanzitutto, che il GDPR tutela le persone rispetto al trattamento dei dati personali, mentre il DSA mira a garantire un ecosistema digitale sicuro e trasparente, in cui siano protetti anche diritti fondamentali come la libertà di espressione.

Le due normative operano in parallelo: il DSA non deroga al GDPR e non funge da lex specialis, ma introduce obblighi che spesso comportano trattamenti di dati personali.

La giurisprudenza della Corte di Giustizia dell’Unione Europea ha infatti precisato che, quando due atti dell’UE dello stesso livello gerarchico non stabiliscono la prevalenza dell’uno sull’altro, essi devono essere applicati in maniera compatibile, consentendo un’applicazione coerente delle norme (Malta contro Commissione, T-653/16, ECLI:EU:T:2018:241, par. 137-140).

È quindi necessario un approccio coerente che eviti riduzioni del livello di protezione e garantisca uniformità nell’applicazione dei diritti e degli obblighi previsti da entrambe le normative.

Contenuti illeciti e indagini volontarie

Le piattaforme possono adottare iniziative proprie per individuare e rimuovere contenuti illegali. Queste attività, spesso basate su algoritmi e sistemi di machine learning, comportano trattamenti ad alto rischio, come il monitoraggio massivo o il rischio di errori e falsi positivi.

Secondo l’EDPB, quando tali attività sono volontarie, la base giuridica più idonea è l’art. 6, par. 1, lett. f) del GDPR, che richiede un attento bilanciamento tra interessi legittimi e diritti degli interessati.

Perché il ricorso all’interesse legittimo sia lecito, occorre soddisfare tre condizioni cumulative:

1. l’interesse perseguito deve essere legittimo;
2. il trattamento dei dati deve risultare necessario per realizzare tale finalità;
3. gli interessi o i diritti e le libertà fondamentali degli interessati non devono prevalere su quello del titolare.

L’interesse a individuare e contrastare contenuti illeciti al fine di proteggere i destinatari del servizio è senz’altro legittimo, specie quando tali contenuti possono essere diffusi al pubblico attraverso piattaforme online.

Tuttavia, i titolari devono dimostrare che tali obiettivi non possano essere raggiunti in maniera altrettanto efficace mediante soluzioni meno invasive per il diritto alla protezione dei dati.

Nel bilanciamento, è essenziale considerare se il trattamento fosse ragionevolmente prevedibile per gli interessati e se coinvolga minori.

I fornitori di servizi di intermediazione devono inoltre informare chiaramente gli utenti circa lo specifico interesse legittimo perseguito e le misure concrete previste per rilevare, identificare e rimuovere (o disabilitare l’accesso a) contenuti illeciti, nel rispetto del principio di minimizzazione.

Se, invece, le attività derivano da obblighi normativi specifici, come in materia di diritto d’autore o a seguito di ordini delle autorità, il riferimento diventa l’art. 6, par. 1, lett. c).

Nei casi in cui la rimozione dei contenuti sia affidata a sistemi algoritmici senza una reale supervisione umana, entra in gioco il divieto dell’art. 22, par. 1, che vieta le decisioni interamente automatizzate con effetti significativi sugli interessati.

Notice-and-action e reclami interni

I sistemi di segnalazione dei contenuti illeciti previsti dal DSA implicano la raccolta di dati sia del segnalante sia dei soggetti coinvolti.

Le linee guida sottolineano che l’identificazione del segnalante deve rimanere facoltativa, salvo nei casi in cui sia indispensabile, ad esempio per violazioni di proprietà intellettuale.

L’eventuale comunicazione dei dati del segnalante al destinatario del contenuto deve avvenire solo se strettamente necessaria e proporzionata e con informativa preventiva.

Anche i sistemi automatizzati di gestione delle segnalazioni devono rispettare i principi di trasparenza previsti dal GDPR e fornire agli interessati informazioni chiare sulle motivazioni delle decisioni e sulle modalità di ricorso.

Il meccanismo dei reclami interni e la sospensione degli utenti per abusi reiterati devono essere gestiti da personale qualificato e non solo da algoritmi, garantendo sempre minimizzazione, accuratezza e trasparenza dei trattamenti.

Un primo esempio riguarda le piattaforme che forniscono servizi di condivisione di contenuti online, il cui scopo principale, o uno dei principali, è memorizzare e rendere accessibili al pubblico grandi quantità di opere protette da copyright o altri contenuti tutelati caricati dagli utenti, organizzandoli e promuovendoli a fini di profitto.

In base alla Direttiva UE 2019/790 (Copyright Directive), la società è responsabile per atti di comunicazione non autorizzata al pubblico, inclusa la messa a disposizione di opere protette da copyright, a meno che non dimostri di aver adempiuto a specifiche condizioni.

Tra queste, le piattaforme devono, secondo elevati standard professionali, adottare ogni sforzo ragionevole per garantire l’indisponibilità e prevenire il ricaricamento di opere specifiche su segnalazione dei titolari dei diritti.

Pur potendo essere necessario trattare dati personali per effettuare questi controlli, tali trattamenti non devono comportare l’identificazione dei singoli utenti né l’elaborazione di dati personali se non nei limiti previsti dalla Direttiva 2002/58/CE e dal GDPR.

Dark patterns e interfacce ingannevoli

Il DSA vieta l’uso di design che manipolano le scelte degli utenti. Secondo l’EDPB, per valutare se un modello ingannevole rientri anche nell’ambito di applicazione del GDPR occorre verificare se vi sia trattamento di dati personali e se il comportamento dell’utente che viene influenzato riguardi tale trattamento.

Schemi che cercano semplicemente di orientare tutti i destinatari di un servizio verso l’acquisto di un prodotto con tecniche di leva emotiva – come il messaggio “Sono rimasti solo pochi prodotti disponibili” – potrebbero non rientrare nel GDPR.

Diverso è il caso in cui l’utente sia spinto a fornire dati personali aggiuntivi che altrimenti non avrebbe comunicato, ad esempio: “Sono rimasti solo pochi prodotti disponibili. Inserisci subito il tuo indirizzo e-mail per prenotare”.

In questo scenario, l’interfaccia manipolativa ricade sotto il GDPR, poiché induce un trattamento di dati personali non necessario e contrario ai principi di liceità e trasparenza sanciti dall’art. 5.

Se il destinatario del servizio è invece una persona giuridica, come un utente business, il GDPR non si applica, nella misura in cui non siano coinvolti dati relativi a persone fisiche.

In ogni caso, anche laddove un pattern ingannevole non ricada nel GDPR o nella Direttiva sulle pratiche commerciali sleali (UCPD), si applica l’art. 25, par. 1, DSA, che introduce un divieto generale di interfacce ingannevoli per i fornitori di piattaforme online.

Pubblicità e profilazione

Un altro ambito di particolare rilievo è quello della pubblicità online. Il DSA impone obblighi di trasparenza sugli annunci e vieta espressamente la profilazione basata su categorie particolari di dati.

Questo divieto si applica anche nei casi in cui il trattamento sarebbe altrimenti legittimo secondo il GDPR, rafforzando così la protezione contro discriminazioni e targeting abusivi.

Le piattaforme, inoltre, non devono orientare gli utenti verso l’opzione di raccomandazione basata sulla profilazione, ma garantire una scelta libera ed effettiva.

Un esempio indicato dalle linee guida EDPB riguarda una società che utilizza informazioni dedotte dalle convinzioni religiose di un utente, ricavate dalla geolocalizzazione (come visite a luoghi di culto) o dalle abitudini di acquisto (come l’acquisto di determinati prodotti alimentari), per prevedere stili di vita e comportamenti di consumo e successivamente presentare pubblicità basata su tali previsioni.

Questo tipo di profilazione riguarda categorie particolari di dati, il cui trattamento deve rispettare rigorosamente i principi di protezione dei dati previsti dal GDPR e le indicazioni del DSA, al fine di evitare discriminazioni o utilizzi impropri degli interessati.

Tutela dei minori

Uno degli obiettivi centrali del DSA è rafforzare la protezione dei minori online. L’articolo 28 infatti vieta alle piattaforme di mostrare pubblicità basata sulla profilazione quando hanno la ragionevole certezza di avere davanti un utente minorenne e impone al tempo stesso misure adeguate e proporzionate per garantire un alto livello di privacy e sicurezza.

Su questo punto l’EDPB ha chiarito che non serve identificare in modo univoco gli utenti, ad esempio chiedendo un documento ufficiale. L’età può essere stimata anche con modalità meno invasive e più rispettose della riservatezza.

Se una piattaforma decide di introdurre sistemi di verifica, questi dovranno essere calibrati sul livello di rischio e improntati alla minimizzazione dei dati.

Può bastare chiedere all’utente di confermare di avere superato una certa soglia di età e solo in caso di dubbio procedere con controlli ulteriori. In ogni caso, non dovrebbero essere conservati dati come la data di nascita o la fascia d’età, ma semplicemente la conferma che l’utente soddisfa i requisiti per accedere al servizio.

L’adozione di tecnologie che limitano la quantità di dati raccolti e garantiscono la protezione dei dati dall’inizio (privacy by design) è fondamentale. Ad esempio, soluzioni basate su tecnologie di Protezione della Privacy (PETs), come la pseudonimizzazione e la crittografia, sono strumenti potenti per minimizzare i rischi associati alla violazione dei dati.

Per i servizi di dimensioni molto grandi (VLOP) valgono regole più stringenti. La valutazione dei rischi sistemici prevista dal DSA richiede anche misure specifiche per i minori, tra cui strumenti di parental control, funzioni per segnalare abusi e meccanismi di supporto dedicati.

Nel complesso, l’approccio richiesto è quello di un equilibrio tra sicurezza e tutela della privacy. La verifica dell’età deve ridurre i rischi senza trasformarsi in una sorveglianza generalizzata degli utenti, come ha ricordato l’EDPB nel suo Statement on Age Assurance.

Rischi sistemici e DPIA

Le very large online platforms (VLOP) e i grandi motori di ricerca devono gestire i rischi sistemici, compresi quelli per la privacy.

In questi casi, l’EDPB evidenzia che sarà quasi sempre obbligatorio condurre una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR, con la possibilità di consultare preventivamente l’autorità di controllo se i rischi residui risultano elevati.

La recente decisione del Tribunale UE

Sul fronte dei grandi intermediari digitali, un recente pronunciamento del Tribunale dell’Unione Europea ha aggiunto un tassello importante per la governance dei dati e la compliance normativa. I casi T-55/24 (Meta Platforms Ireland vs Commission) e T-58/24 (TikTok Technology vs Commission) hanno visto l’annullamento delle decisioni della Commissione europea che fissavano le supervisory fees per il 2023.

La motivazione centrale è procedurale: la metodologia adottata per calcolare il numero medio di utenti mensili attivi, parametro essenziale per determinare il contributo richiesto alle piattaforme, avrebbe dovuto essere definita tramite un atto delegato e non con decisioni attuative.

La sentenza non elimina l’obbligo di versamento dei contributi, ma stabilisce un periodo transitorio di 12 mesi durante il quale le tariffe restano in vigore, dando alla Commissione il tempo necessario per riformare la procedura.

Non è previsto un rimborso immediato per le somme già corrisposte.

L’esito rafforza il principio secondo cui qualsiasi parametro che incida in maniera sostanziale sul quantum delle tariffe deve essere adottato con una procedura trasparente, soggetta a controllo parlamentare e del Consiglio, rafforzando così accountability e certezza giuridica nel quadro del Digital Services Act.

Cooperazione tra autorità

Le linee guida insistono sulla necessità di una cooperazione tra i Digital Services Coordinators e le autorità privacy, anche quando queste ultime non siano formalmente designate nel DSA.

Tale collaborazione è essenziale per evitare conflitti interpretativi, per garantire coerenza e per scongiurare il rischio di doppie sanzioni per i medesimi fatti.

Conclusioni

Le linee guida EDPB 3/2025 segnano un passaggio di fondamentale importanza nel nuovo ecosistema normativo digitale europeo.

Per DPO, legali e responsabili compliance, il messaggio è chiaro: il DSA non sostituisce il GDPR, ma lo integra, introducendo nuovi obblighi che richiedono una governance dei dati personali sempre più attenta.

La sfida sarà quella di applicare queste regole senza abbassare il livello di protezione, trovando un equilibrio tra sicurezza digitale, libertà di espressione e tutela della privacy.