Con l’adozione delle linee guida 3/2025 l’EDPB fornisce importanti indicazioni in merito alla interazione tra la disciplina sulla protezione dei dati personali sancita dal GDPR e il nuovo impianto di regole introdotto dal Digital Services Act (DSA) al fine di fornire una corretta e armonica interpretazione delle norme nella misura in cui alcune disposizioni del DSA comportano trattamenti di dati personali e, pertanto, una significativa interazione con il GDPR.
Indice degli argomenti
Moderazione contenuti e base giuridica per il trattamento dati
Le linee guida riconoscono che gli interventi volti a individuare, identificare e contrastare la diffusione di contenuti illegali ai sensi dell’articolo 7 del DSA – come, ad esempio, la demonetizzazione, la rimozione o la disabilitazione dell’accesso – possono comportare il trattamento di dati personali attraverso diverse tecniche. Esse sottolineano, da un lato, i rischi specifici che tali attività possono generare per le persone, rischi che devono essere opportunamente mitigati nell’ambito della moderazione dei contenuti; dall’altro, chiariscono le condizioni alle quali l’articolo 6, paragrafo 1, lettere c) o f), del GDPR può costituire base giuridica per il trattamento, fornendo anche esempi pratici.
Meccanismi di segnalazione e gestione reclami: il principio di minimizzazione
Il DSA, inoltre, prevede meccanismi di “notice and action” e sistemi interni di gestione dei reclami, che possono implicare, a loro volta, il trattamento di dati personali.
I fornitori di servizi di hosting, in virtù del principio di minimizzazione, sono quindi tenuti a raccogliere le informazioni strettamente necessarie, garantendo che il meccanismo di segnalazione permetta, ma non imponga, l’identificazione del segnalante. Unica eccezione il caso in cui tale identificazione sia indispensabile per qualificare le informazioni come contenuti illegali. Qualora, poi, fosse necessario rivelare l’identità del segnalante al destinatario del contenuto, questi deve esserne preventivamente e chiaramente informato, con tutto ciò che ne deriva in termini di informative. Resta in ogni caso fermo il principio in base al quale le azioni per la tutela dei diritti degli interessati ai sensi del GDPR non sono pregiudicati dai procedimenti di reclamo (articolo 20 DSA) o da misure come la sospensione di un account (articolo 23 DSA) previste dal DSA, dovendosi considerare tali misure cumulative e non alternative.
Dark patterns e interfacce ingannevoli: criteri di valutazione
Con riferimento ai dark patterns, disciplinati dall’articolo 25 del DSA che vieta ai fornitori di piattaforme online l’utilizzo di modelli di progettazione ingannevoli nelle interfacce, ma che, al paragrafo 2 esclude da tale divieto le pratiche disciplinate dal GDPR, le linee guida indicano i criteri per valutare se un’interfaccia rientri nel perimetro del GDPR. Secondo quando stabilito dal testo in esame è necessario verificare se vi sia un trattamento di dati personali e se il comportamento indotto all’utente sia direttamente collegato a tale trattamento. Vengono altresì forniti degli esempi concreti per distinguere i casi coperti o meno dalla disciplina sulla protezione dei dati.
Pubblicità online e trasparenza: integrazione tra le normative
Quanto alla pubblicità online, l’articolo 26 del DSA impone ai fornitori di piattaforme specifici obblighi di trasparenza nei confronti degli utenti riguardo agli annunci mostrati e vieta l’utilizzo di categorie particolari di dati per finalità di profilazione pubblicitaria. Tale divieto integra le previsioni degli articoli 9, paragrafo 1, e 22, paragrafo 4, del GDPR, trovando applicazione anche laddove il trattamento sia basato su una corretta base giuridica. È inoltre evidenziato un punto di raccordo tra le due normative: mentre il DSA prevede la comunicazione delle informazioni pubblicitarie a posteriori, il GDPR, in base al disposto dell’articolo 13, impone la trasparenza nel momento stesso della raccolta dei dati personali con precisi obblighi informativi.
Sistemi di raccomandazione personalizzati e decisioni automatizzate
Un aspetto centrale riguarda i sistemi di raccomandazione, attraverso i quali le piattaforme personalizzano la presentazione dei contenuti. L’EDPB osserva che tali sistemi pongono rilevanti questioni di trasparenza e correttezza, soprattutto per la combinazione e l’interpretazione dei dati personali, nonché per i rischi collegati al trattamento su larga scala di dati sensibili. In alcuni casi, la personalizzazione dei contenuti può configurare una vera e propria “decisione automatizzata” ai sensi dell’articolo 22 GDPR, soprattutto quando la stessa produce effetti significativi sulla persona. Ne consegue, quindi, che i fornitori dovrebbero offrire agli utenti più opzioni, presentandole in modo chiaro, imparziale e senza indurre gli stessi in maniera artificiosa a scegliere la profilazione. Resta ferma la regola secondo cui, se un utente opta per una modalità priva di profilazione, la piattaforma non deve continuare a raccogliere o trattare dati per quello scopo.
Protezione dei minori online e verifica dell’età
Particolare attenzione è poi rivolta alla tutela dei minori. Gli articoli 28, paragrafi 1 e 2, del DSA possono costituire base giuridica per il trattamento ai sensi dell’articolo 6, paragrafo 1, lettera c), del GDPR, purché ne siano dimostrate necessità e proporzionalità. La protezione dei minori online, pur essendo un obiettivo imprescindibile, deve armonizzarsi con il rispetto della privacy di tutti gli utenti. Per questo l’EDPB raccomanda di evitare meccanismi di verifica dell’età che implichino l’identificazione diretta degli utenti o la conservazione permanente di dati relativi all’età stimata.
Gestione rischi sistemici e valutazione d’impatto privacy
Gli articoli 34 e 35 del DSA impongono invece alle piattaforme online di grandi dimensioni e ai motori di ricerca l’obbligo di gestire i rischi sistemici dei propri servizi, inclusi la diffusione di contenuti illegali e gli impatti sui diritti fondamentali, tra cui la protezione dei dati personali. In tale ambito, un’attuazione conforme ai principi di minimizzazione dei dati e quelli di privacy by design e privacy by default previsti dal GDPR risulta essenziale. La rilevazione di rischi sistemici può inoltre rendere obbligatoria una valutazione d’impatto sulla protezione dei dati (DPIA).
Cooperazione tra autorità e prevenzione doppia sanzione
Infine, l’EDPB sottolinea l’importanza di chiarire i rapporti tra i codici di condotta sviluppati nell’ambito del DSA e quelli del GDPR, nonché di garantire un pieno coinvolgimento delle autorità di protezione dei dati laddove pertinente. In questo quadro, la cooperazione fra i coordinatori dei servizi digitali, la Commissione europea e le autorità di protezione dei dati, pur non sempre designate come competenti ai fini del DSA, rappresenta un principio cardine per assicurare la coerenza normativa. Tale cooperazione, nel segno della leale collaborazione, implica la consultazione reciproca ogniqualvolta sia necessario verificare la conformità di un fornitore di servizi intermediari alle discipline in esame. Ciò serve a rafforzare la certezza del diritto, prevenire conflitti interpretativi ed evitare i rischi derivanti da una doppia sanzione (ne bis in idem) nell’applicazione combinata di DSA e GDPR.
