Intersezioni digitali: le Linee guida dell’EDPB sull’applicazione coordinata di DSA e GDPR

Il Regolamento (UE) 2022/2065 sui servizi digitali (di seguito, “DSA”) e il Regolamento (UE) 2016/679 (di seguito, “GDPR”) rappresentano due pilastri complementari della nuova infrastruttura normativa europea, destinata a ridefinire la responsabilità degli intermediari online e la protezione dei dati personali nell’economia digitale.

Con l’adozione delle Guidelines 3/2025 on the interplay between the Digital Services Act and the GDPR (di seguito, le “Linee guida”), il Comitato europeo per la protezione dei dati (di seguito, “EDPB”) ha inaugurato un percorso di interpretazione sistematica volto a chiarire come i due regolamenti debbano interagire in modo coerente e reciprocamente integrato.

L’obiettivo dichiarato è duplice:

• assicurare che le disposizioni del DSA che comportino trattamenti di dati personali siano applicate in conformità al GDPR e,
• parallelamente, garantire che l’attuazione del GDPR tenga conto delle nuove dinamiche di responsabilità introdotte dal DSA.

Le Linee guida insistono, inoltre, sulla necessità di una cooperazione strutturata tra Coordinatori dei Servizi Digitali, Autorità Garanti e Commissione europea; essenziale per prevenire sovrapposizioni di competenze, disallineamenti interpretativi e rischi di bis in idem nell’applicazione dei due quadri regolatori.

In questa prospettiva, l’EDPB non si limita a fornire chiarimenti tecnici, ma delinea un modello di governance integrata del digitale, in cui la protezione dei dati personali, la trasparenza dei processi decisionali e la responsabilità delle piattaforme convergono verso un’unica architettura di fiducia e accountability, destinata a diventare la cifra distintiva della regolazione europea dei servizi online.

1. Due facce della stessa medaglia

Il DSA e il GDPR rappresentano le due colonne portanti del diritto digitale europeo: il primo mira a costruire uno spazio online sicuro e trasparente, il secondo garantisce che ogni attività digitale rispetti i principi di liceità, proporzionalità e minimizzazione del trattamento. In vigore dal 17 febbraio 2024, il DSA si applica a tutti i fornitori di servizi di intermediazione, imponendo obblighi rafforzati alle Very Large Online Platforms (“VLOPs”) e ai Very Large Online Search Engines (“VLOSEs”). Le Linee guida chiariscono che il DSA non è lex specialis rispetto al GDPR: entrambi, di pari rango, devono essere applicati in modo coerente. L’articolo 2(4)(g) e il considerando 10 DSA confermano che la protezione dei dati personali resta disciplinata dal GDPR e dalla Direttiva ePrivacy. Ogni obbligo del DSA che implichi trattamenti di dati deve dunque rispettare il GDPR; emblematici in tal senso l’articolo 26(3) DSA sul divieto di pubblicità fondata su categorie particolari di dati e l’articolo 28(2) DSA sul rinvio alla profilazione di cui all’articolo 4(4) GDPR. La vigilanza è affidata ai Digital Services Coordinators (“DSC”) negli Stati membri e alla Commissione europea per i grandi operatori, assistiti dall’European Board for Digital Services (“EBDS”). Le Linee guida promuovono una cooperazione strutturata tra EBDS ed EDPB, in base al principio di leale cooperazione, per evitare duplicazioni e conflitti interpretativi. In questo equilibrio, il DSA struttura la responsabilità e la trasparenza delle piattaforme, mentre il GDPR continua a presidiare i diritti fondamentali: due strumenti complementari di una stessa architettura di fiducia nell’ecosistema digitale europeo.

2. La rilevazione volontaria dei contenuti illegali: equilibrio tra responsabilità delle piattaforme e principi del GDPR

L’articolo 7 DSA consente ai prestatori di servizi di intermediazione digitale – inclusi hosting services, piattaforme online e VLOPs – di individuare e rimuovere volontariamente contenuti illegali senza perdere le esenzioni di responsabilità di cui agli articoli da 4 a 6 DSA, purché nel pieno rispetto del GDPR e dei suoi principi di liceità, correttezza, trasparenza e proporzionalità. Le tecniche di rilevazione basate su machine learning o riconoscimento automatico implicano trattamenti potenzialmente invasivi: l’EDPB avverte che possono equivalere a monitoraggio sistematico, con rischi di errori, bias e indebite restrizioni della libertà di espressione, e impone un controllo umano effettivo che garantisca proporzionalità e legittimità dell’intervento. Le Linee guida distinguono due scenari:

• se il prestatore agisce di propria iniziativa, la base giuridica è l’articolo 6(1)(f) GDPR e dunque il legittimo interesse del titolare, applicabile solo se il trattamento è necessario, proporzionato e non prevalgono i diritti degli interessati, previa documentazione del bilanciamento e informativa chiara ai sensi degli articoli 13 e 14 GDPR;
• se il trattamento deriva da un obbligo di legge, la base è l’articolo 6(1)(c) GDPR, subordinata a norme chiare e proporzionate e alla verifica di conformità con gli articoli 9 e 10 DSA. Il considerando 56 conferma che l’articolo 7 non costituisce base autonoma per profilazione o rilevazione di reati.

Le decisioni automatizzate, dal canto loro, richiedono controllo umano reale, poiché la mera supervisione formale non basta a superare il divieto dell’articolo 22(1) GDPR. Gli articoli 14 e 17 DSA rafforzano la trasparenza, imponendo la statement of reasons per ogni limitazione o rimozione di contenuti, specificando se l’intervento sia automatizzato o volontario. Poiché tali attività comportano criteri di rischio elevato (profilazione, monitoraggio sistematico, decisioni automatizzate), i fornitori devono condurre una Valutazione d’impatto sulla protezione dei dati personali (di seguito, “DPIA”) ex articolo 35 GDPR e, se necessario, consultare l’autorità. L’articolo 7 DSA diviene così un banco di prova della digital due diligence: promuove sicurezza e fiducia solo se le piattaforme rispettano pienamente le garanzie del GDPR.

3. Segnalazioni, reclami e abusi: il trattamento dei dati nei meccanismi di “notice and action”

L’articolo 16 DSA impone ai prestatori di servizi di hosting di predisporre meccanismi elettronici di segnalazione dei contenuti illegali (notice and action), accessibili e trasparenti, anche tramite trusted flaggers. Questi processi comportano il trattamento dei dati personali del segnalante (notifier), del destinatario e di eventuali terzi, rispetto ai quali il prestatore agisce come data controller nel pieno rispetto del GDPR.

• I dati raccolti – idealmente solo nome ed e-mail – devono essere limitati al necessario, in linea con l’articolo 5(1)(c) GDPR, garantendo la possibilità di segnalazioni anonime salvo quando l’identità sia essenziale, come per le violazioni del diritto d’autore.
• L’identità del segnalante può essere comunicata solo se strettamente necessaria e previa informativa ai sensi dell’articolo 13 GDPR.
• L’articolo 16(6) DSA consente l’uso di sistemi automatizzati per la gestione delle segnalazioni, ma le decisioni con effetti giuridici devono includere un intervento umano effettivo e rispettare le garanzie dell’articolo 22 GDPR.
• L’articolo 17 DSA rafforza la trasparenza, imponendo una statement of reasons per ogni rimozione o limitazione di contenuti, specificando se l’intervento sia stato automatizzato.
• Gli articoli 20 e 23 DSA completano il quadro: il primo riconosce a segnalanti e destinatari il diritto di reclamo, che non può essere deciso solo algoritmicamente; il secondo consente la sospensione temporanea per abusi, purché basata su dati accurati, proporzionata e conforme ai principi di minimizzazione e correttezza.

4. Dark patterns e diritto all’autodeterminazione digitale

Con l’articolo 25, il DSA introduce un principio cardine: le interfacce digitali devono essere progettate in modo da non compromettere la capacità degli utenti di assumere decisioni autonome e informate. Il design etico diventa così un parametro giuridico, volto a prevenire manipolazioni comportamentali che incidono sulla libertà di scelta e sulla tutela dei dati personali. Le Linee Guida definiscono i deceptive design patterns come schemi di interfaccia che inducono scelte indesiderate, spesso per favorire la raccolta di dati o prolungare l’interazione online. Quando tali pratiche riducono la consapevolezza dell’utente o alterano il consenso, violano i principi di liceità, correttezza e trasparenza del GDPR di cui all’ art. 5(1)(a), rendendo il trattamento illecito ab origine, indipendentemente dal consenso formale. Il divieto dell’articolo 25(2) DSA si coordina con il GDPR e con la Direttiva sulle pratiche commerciali sleali, estendendo la tutela anche ai casi in cui la manipolazione non comporti trattamento di dati personali. Quando invece il design influenza la raccolta o l’uso dei dati, la competenza spetta alle autorità privacy, che devono valutarne la conformità ai principi di liceità, minimizzazione e privacy by design. Particolare attenzione è riservata all’addictive design (infinite scrolling, autoplay, gamification), che sfrutta leve psicologiche per prolungare l’uso delle piattaforme e, basandosi sull’analisi di dati comportamentali, ricade pienamente nel perimetro del GDPR.

5. Pubblicità, profilazione e algoritmi di raccomandazione

Il DSA fa della trasparenza un principio strutturale della nuova economia digitale: gli articoli 26, 27 e 38 delineano un sistema volto a rendere le logiche algoritmiche alla base della pubblicità e della raccomandazione dei contenuti comprensibili, controllabili e conformi al GDPR.

• L’articolo 26 impone ai fornitori di piattaforme di indicare, per ogni annuncio, l’identità del soggetto pubblicitario, i parametri di targeting e le modalità per modificarli, introducendo una trasparenza operativa che integra gli articoli 13 e 14 GDPR. Restano invariati i requisiti di liceità, consenso e diritto di opposizione del GDPR e della direttiva ePrivacy. Il DSA prevede inoltre un divieto assoluto di pubblicità basata su categorie particolari di dati (art. 26(3)), anche in presenza di consenso esplicito, sottraendo i dati sensibili alla logica del mercato e tutelando la dignità digitale. Le misure di sicurezza e riservatezza ex art. 26(4) devono garantire la minimizzazione dei flussi informativi e l’effettiva applicazione del principio di privacy by design.
• L’articolo 27 estende tali obblighi ai sistemi di raccomandazione, imponendo di esplicitare nei terms of service i criteri che determinano la priorità dei contenuti e di consentire all’utente di modificarli. Quando tali sistemi si basano su dati personali, configurano una forma di profiling ai sensi dell’articolo 4(4) GDPR, soggetta alle garanzie degli articoli 5, 12–14 e 22, che assicurano trasparenza sulla logica e sugli effetti del processo.
• L’articolo 38 impone infine a VLOPs e VLOSEs di offrire almeno un’opzione non basata su profilazione, presentata senza nudging e accompagnata dal divieto di raccogliere dati per finalità predittive, in attuazione dell’articolo 25 GDPR. Nel complesso, questi articoli disegnano un modello di informational accountability fondato sulla trasparenza algoritmica come strumento di sovranità digitale, equilibrio tra libertà di scelta, protezione dei dati e fiducia nell’ambiente online.

6. Proteggere i minori nello spazio digitale

La protezione dei minori è uno dei cardini del DSA, che impone ai fornitori di piattaforme accessibili ai minori di garantire elevati standard di privacy, sicurezza e tutela mediante misure tecniche e organizzative proporzionate ai rischi. L’articolo 28 DSA introduce un principio di responsabilità proattiva: le piattaforme devono prevenire e mitigare i rischi derivanti dai propri servizi – come esposizione a contenuti dannosi, raccolta indebita di dati o pratiche di addictive design – attraverso strumenti come standard tecnici, codici di condotta o parental control, nel rispetto dei principi di necessità e minimizzazione. L’articolo 28(3) esclude l’obbligo di trattare dati aggiuntivi per accertare l’età, evitando pratiche di identificazione sistematica. Il paragrafo 2, invece, vieta la pubblicità basata su profilazione quando la piattaforma sia “ragionevolmente certa” che l’utente è un minore, in coerenza con gli articoli 9(1) e 26(3) DSA, per prevenire lo sfruttamento della vulnerabilità cognitiva e tutelare la dignità digitale senza imporre nuove raccolte di dati. Quando le misure di protezione comportano trattamenti di dati, la base giuridica può derivare dall’articolo 6(1)(c) GDPR, purché il trattamento sia strettamente necessario e proporzionato; l’uso di dati biometrici o categorie particolari resta escluso salvo le eccezioni dell’articolo 9(2). L’EDPB raccomanda sistemi di privacy-preserving age assurance – come autocertificazione, conferma genitoriale o zero-knowledge proofs – che consentano verifiche non invasive e senza conservazione dei dati. La conformità all’articolo 28 si realizza così attraverso la data protection by design and by default, evitando che la tutela dei minori si traduca in nuovi rischi di profilazione. Per le VLOPs, tali obblighi si integrano con quelli di valutazione e mitigazione dei rischi sistemici previsti dagli articoli 34 e 35 DSA.

7. Governare il rischio e costruire fiducia

Gli articoli 34 e 35 DSA introducono un principio cardine della nuova governance digitale: le VLOPs e i VLOSEs devono individuare, valutare e mitigare i rischi sistemici generati dai propri servizi. È un cambio di paradigma: dalla responsabilità reattiva a quella proattiva, fondata sulla prevenzione degli impatti collettivi che le architetture algoritmiche possono produrre su società, democrazia e diritti fondamentali. Il DSA individua varie categorie di rischio – diffusione di contenuti illegali, effetti negativi sui diritti fondamentali, minacce alla salute e alla sicurezza, violenza di genere, danni al benessere psico-fisico – rendendo il “rischio sistemico” una responsabilità strutturale. Poiché tali rischi derivano spesso dal trattamento di dati personali, la gestione deve rispettare i principi di liceità, trasparenza e proporzionalità del GDPR. Il legame tra le due normative è evidente: la DPIA dell’articolo 35 GDPR integra la valutazione dei rischi sistemici dell’articolo 34 DSA, divenendo indispensabile quando l’impatto sociale nasce da un trattamento di dati. L’articolo 35 DSA impone misure ragionevoli, proporzionate ed efficaci, coerenti con i principi di privacy by design ex art. 25 GDPR e sicurezza del trattamento ex art. 32 GDPR, tra cui test periodici, revisione degli algoritmi e tutela dei minori ex art. 35(1)(j) mediante age assurance e parental control. Gli articoli da 45 a 47 DSA completano il quadro: i codici di condotta – in parallelo all’articolo 40 GDPR – favoriscono una cooperazione tra autorità, imprese e società civile, traducendo gli obblighi legali in standard verificabili e basati su rendicontazione periodica; l’articolo 46 rafforza la trasparenza nel settore pubblicitario, mentre l’articolo 47 introduce un principio di accessibilità universale e inclusiva delle interfacce digitali.