30 Gen DSA e GDPR: una guida operativa alla compliance integrata per le piattaforme online

Autori: Irene Negri, Carmine Perri, Giulio Monga

 

Abstract

L’articolo analizza l’interazione tra Digital Services Act e GDPR alla luce delle Linee guida 3/2025 dell’EDPB, offrendo indicazioni operative per l’adozione di un approccio di compliance integrata da parte dei fornitori di piattaforme online. Sono esaminate le attività di moderazione dei contenuti, gestione dei reclami, comunicazione pubblicitaria, i sistemi di raccomandazione e le specifiche previsioni per la tutela dei minori.

 

Background: Quadro normativo e obiettivi di compliance integrata tra DSA e GDPR

In un contesto in cui i fornitori di “servizi intermediari”[1] sono tenuti sia al rispetto di nuovi obblighi imposti dal Regolamento (UE) 2022/2065 “sui servizi digitali” (“Digital Services Act”, “DSA”)[2], sia alla protezione dei dati personali dei destinatari dei servizi previsti dal Regolamento (UE) 2016/679 (“GDPR”)[3], risulta determinante costruire una compliance integrata tra i due regolamenti, al fine di ridurre i rischi derivanti da eventuali non conformità, evitare duplicazioni e incoerenze operative e prevenire danni per gli utenti.

Il DSA e il GDPR, infatti, rappresentano due pilastri della nuova infrastruttura normativa europea, destinata a ridefinire la responsabilità degli intermediari online e la protezione dei dati personali nell’economia digitale.

In particolare, il DSA, divenuto pienamente applicabile nel febbraio 2024, si applica a fornitori di servizi intermediari, come servizi di cloud computing e web-hosting, marketplace online, app store, social network, motori di ricerca, piattaforme di condivisione di contenuti, piattaforme online di viaggio e alloggio, che si rivolgono a destinatari ubicati in Unione europea. Più di recente, il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato le Guidelines 3/2025 on the interplay between the Digital Services Act and the GDPR (“Linee guida”)[4], sottoposte a consultazione pubblica, che hanno introdotto rilevanti chiarimenti in merito all’interazione tra i due regolamenti suindicati.

Le Linee guida dell’EDPB sono dunque rilevanti per i casi in cui un fornitore di servizi di intermediazione agisca come titolare o responsabile in relazione al trattamento di dati personali di destinatari persone fisiche che siano localizzati in Unione europea.

In particolare, nelle Linee guida dell’EDPB sono analizzate le norme del DSA che riguardano:

1. 1. le indagini su contenuti illegali;
   2. la gestione di reclami e segnalazioni degli utenti;
   3. il divieto di pubblicità basata sulla profilazione di dati particolari;
   4. i sistemi di raccomandazione;
   5. specifiche tutele per i minori.

Tali aspetti costituiscono il fulcro dell’analisi oggetto del presente contributo, nel quale verranno esaminati con l’obiettivo di fornire indicazioni operative ai prestatori di servizi intermediari.

 

Indagini su contenuti illegali

Le attività di moderazione dei contenuti disciplinate dal DSA richiedono una conformità integrata che bilanci le esigenze di enforcement con le tutele previste dal GDPR, soprattutto quando la moderazione si fonda su strumenti automatizzati o modelli di machine learning.

Il DSA non impone ai prestatori di servizi intermediari obblighi generali di monitoraggio delle informazioni che trasmettono o memorizzano, tuttavia, nel caso in cui detti provider pongano in essere iniziative spontanee per identificare e contrastare contenuti illeciti, i conseguenti trattamenti di dati personali dovranno risultare conformi al GDPR[5].

L’EDPB richiama al riguardo i seguenti obblighi di compliance[6]:

• rispetto del principio di minimizzazione nel trattamento di dati personali, soprattutto nel caso in cui vengano utilizzati modelli di machine learning per riconoscere le caratteristiche di contenuti pubblicati;
• individuazione di un’opportuna base giuridica per il trattamento, che può essere individuata nell’interesse legittimo del titolare del trattamento, oppure nell’esecuzione di un obbligo di legge, se sia possibile fare riferimento ad obblighi specifici e circostanziati[7];
• valutazione in merito all’eventuale presenza di decisioni basate esclusivamente su un processo automatizzato, che sono vietate ai sensi dell’art. 22, par. 1 GDPR, a meno che non presentino determinati requisiti[8];
• garanzia di un adeguato livello di trasparenza nei confronti degli interessati in relazione ai trattamenti di dati effettuati. In tale prospettiva, al fine di perseguire efficacemente questo obiettivo, è raccomandabile allineare le informative rivolte agli utenti previste dal DSA e dal GDPR, in modo da evitare incoerenze, privilegiando al contempo una modalità di comunicazione multilivello;
• verifica della necessità di effettuare una valutazione di impatto sul trattamento dei dati personali (DPIA) ai sensi dell’art. 35 GDPR.

 

Gestione di reclami e segnalazioni degli utenti

I fornitori di servizi di hosting che memorizzano, gestiscono e rendono disponibili online contenuti generati dagli utenti, per essere conformi al DSA devono occuparsi di predisporre sistemi di “segnalazione e azione” per dare la possibilità di notificare la presenza di contenuti illegali[9]. Il considerando 50 del DSA precisa che il meccanismo predisposto dal fornitore “dovrebbe consentire, ma non richiedere, l’identificazione del segnalante”, salvo che ciò sia “necessario per determinare se l’informazione in questione costituisca contenuto illecito”.

Questi sistemi di “segnalazione e azione” sono considerati dall’EDPB perché possono comportare trattamenti di dati personali ulteriori, che i fornitori trattano quali titolari del trattamento. Allo stesso tempo, l’EDPB analizza[10] anche le attività previste dal DSA per la gestione di reclami presentati dai destinatari dei servizi[11] e quando i fornitori adottano misure contro eventuali abusi[12].

Per assolvere agli obblighi di compliance strutturata stabiliti i sia dal DSA che dal GDPR, quindi, è raccomandabile per i fornitori adottare procedure per la gestione dei meccanismi di “segnalazione e azione” e dei reclami, in modo da prevedere quali dati personali possano essere raccolti a seconda dei casi (ossia, nome e/o indirizzo e-mail, oppure nessun dato), quando l’identità del segnalante possa essere rivelata al segnalato[13] e quali informazioni debbano essere fornite a tutti gli interessati coinvolti. A tal fine, appare utile anche l’adozione di form che prevedano in anticipo quali informazioni dovranno essere comunicate dai segnalanti o reclamanti, così da limitare ulteriormente il rischio di raccogliere dati eccessivi.

 

Divieto di pubblicità basata sulla profilazione di dati particolari

Alcune categorie di dati personali, quali, ad esempio, quelli relativi alla salute, oppure a convinzioni religiose o opinioni politiche, definite in modo completo dall’art. 9 GDPR, sono considerate altamente sensibili anche ai fini del DSA. Per tale ragione, il DSA[14] dispone che i fornitori di piattaforme online[15] non possano mai presentare annunci pubblicitari basati su meccanismi di profilazione che sfruttino tali categorie di dati. Il divieto si applica alle pubblicità diffuse tramite una piattaforma soggetta al DSA, indipendentemente dal fatto che la profilazione sia effettuata dal fornitore della piattaforma o da altri soggetti.

In considerazione di queste previsioni, i fornitori di piattaforme dovranno:

• adottare meccanismi di controllo a livello sia tecnico sia contrattuale, per evitare annunci personalizzati vietati;
• coordinare il rispetto degli obblighi di trasparenza in relazione alle comunicazioni pubblicitarie previsti dal DSA[16] con quelli stabiliti dal GDPR.

 

Sistemi di raccomandazione

Piattaforme online e motori di ricerca utilizzano spesso sistemi di raccomandazione[17] per mostrare automaticamente contenuti personalizzati ai propri utenti e richiedono quindi anch’essi un approccio coordinato che consideri gli obblighi di trasparenza previsti dal DSA[18] insieme ai potenziali impatti ai sensi del GDPR.

Grazie ai sistemi di raccomandazione, i contenuti vengono presentati secondo un ordine e un grado di visibilità specifici, sulla base di diversi criteri, che possono includere le attività, le preferenze o i comportamenti degli utenti (quali acquisti, clic o valutazioni).

Sotto il profilo della compliance integrata, l’EDPB precisa che i fornitori di piattaforme devono essere qualificati come titolari del trattamento in relazione ai dati personali trattati dai sistemi di raccomandazione che essi decidono di integrare nei propri servizi e, in quanto tali, sono tenuti ad adempiere ai seguenti obblighi previsti dalla normativa in materia di protezione dei dati personali[19]:

• svolgere e documentare una valutazione dei rischi per i propri utenti connessi all’utilizzo dei sistemi di raccomandazione, con specifico riferimento alle tutele previste dal GDPR^[20];
• identificare misure adeguate per mitigare detti rischi;
• valutare se la presentazione di contenuti specifici agli utenti tramite un sistema di raccomandazione incida in modo significativo sull’interessato sotto il profilo giuridico, economico o sociale e sia dunque soggetta al regime previsto dall’art. 22, par. 1 GDPR. In tali casi, particolare attenzione deve essere posta nel caso dell’offerta di contenuti, servizi o prodotti che possano avere effetti prolungati o permanenti sugli utenti, o influenzarne in modo rilevante il comportamento o le scelte[21];
• ove rendano disponibili funzionalità apposite che permettano di selezionare e modificare i parametri dei sistemi di raccomandazione[22], trattare i dati strettamente necessari esclusivamente al fine di adempiere agli obblighi previsti dal DSA e conservarli solo per il tempo strettamente necessario, evitando di mantenere uno storico delle scelte degli utenti.

 

Specifiche tutele per i minori

Un altro obiettivo fondamentale del DSA è la protezione dei minori online, poiché prevede che i fornitori di piattaforme online debbano garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori[23].

Il DSA precisa, inoltre, che i fornitori di piattaforme online non sono obbligati a trattare “dati personali ulteriori” per verificare l’età dei destinatari dei loro servizi[24].

Al riguardo, l’EDPB fornisce preziose indicazioni nelle Linee guida in commento, stabilendo che[25]:

– la verifica dell’età non è necessaria nei casi in cui una piattaforma sia chiaramente rivolta a minori;

– i fornitori delle piattaforme devono adottare un approccio basato sul rischio e quindi valutare i rischi per i minori presentati dai loro servizi e individuare di conseguenza misure tecniche e organizzative che risultino adeguate ed effettive;

-qualora emerga la necessità di verificare l’età dei destinatari dei servizi, il relativo trattamento di dati personali dovrà essere limitato alle sole informazioni che risultino strettamente necessarie e proporzionate allo scopo perseguito, adottando al contempo soluzioni e tecniche idonee a minimizzare gli effetti negativi per tutti i destinatari dei servizi [26];

-ove tutti i principi del GDPR siano rispettati, l’art. 28 DSA può essere considerato come una norma su cui basare il trattamento di dati personali per la verifica dell’età degli utenti dei servizi ai sensi dell’art. 6, par.1, lett. c) GDPR[27];

– i fornitori non devono conservare in modo permanente l’età o il range di età del destinatario del servizio, ma limitarsi a registrare se il destinatario del servizio soddisfi o meno le condizioni per l’utilizzo del servizio.

 

Conclusioni

Le Linee guida dell’EDPB confermano la necessità di una compliance integrata, capace di disciplinare in modo coerente, nel rispetto di entrambi i regolamenti oggetto di analisi, attività centrali per il business delle società che operano nel contesto digitale come fornitori di servizi di intermediazione, quali la moderazione dei contenuti, la gestione dei reclami, la pubblicità, i sistemi di raccomandazione e la tutela dei minori. In particolare, viene sottolineata l’importanza per i titolari e i responsabili del trattamento di garantire sempre il rispetto dei principi cardine del GDPR, come quello di minimizzazione dei dati, di limitazione della finalità, di trasparenza e di responsabilizzazione, anche in sede di adeguamento a diverse normative.

Infatti, soltanto un approccio strutturato e coordinato, che integri controlli adeguati, valutazioni dei rischi documentate e comunicazioni multilivello, può efficacemente rafforzare la protezione degli interessati e garantire la piena conformità normativa. Questo approccio consente ai fornitori di servizi intermediari di trasformare gli obblighi regolatori in un vantaggio competitivo, rafforzando al contempo la fiducia degli utenti e un ambiente online sicuro, prevedibile e affidabile per tutti i destinatari dei servizi.

 

[1] I “servizi intermediari” sono definiti all’art. 3, lett. g) DSA come segue: “uno dei seguenti servizi della società dell’informazione:

i) un servizio di semplice trasporto (cosiddetto «mere conduit»), consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio o nel fornire accesso a una rete di comunicazione;

ii) un servizio di memorizzazione temporanea (cosiddetto «caching»), consistente nel trasmettere, su una rete di comunicazione, informazioni fornite dal destinatario del servizio, che comporta la memorizzazione automatica, intermedia e temporanea di tali informazioni effettuata al solo scopo di rendere più efficiente il successivo inoltro delle informazioni ad altri destinatari su loro richiesta;

iii) un servizio di memorizzazione di informazioni (cosiddetto «hosting»), consistente nel memorizzare informazioni fornite da un destinatario del servizio su richiesta dello stesso”.

[2] Regolamento (UE) 2022/2065 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali): https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32022R2065.

[3] Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati): https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=it.

[4] EDPB, “Guidelines 3/2025 on the interplay between the Digital Services Act and the GDPR”, versione 1.1 dell’11 Settembre 2025: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-32025-interplay-between-dsa-and-gdpr_en. La consultazione pubblica relativa a queste Linee guida è stata chiusa il 31 ottobre 2025 e si attende quindi a breve la pubblicazione della versione definitiva.

[5] Artt. 7 e 8 DSA.

[6] Linee guida EDPB, parr. 12-24.

[7] In questo senso, si veda, ad esempio, la Direttiva (UE) 2019/790 sul diritto d’autore e sui diritti connessi nel mercato unico digitale e che modifica le direttive 96/9/CE e 2001/29/CE (“Direttiva Copyright”): https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019L0790, che impone controlli in merito alla pubblicazione di contenuti protetti dal diritto d’autore.

[8] In particolare, nel caso di decisioni basate esclusivamente su un processo automatizzato, servirà verificare se sia comunque previsto un coinvolgimento umano “significativo” (secondo le indicazioni dell’Article 29 Working Party, “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (WP251rev.01)”, adottate in data 6 Febbraio 2018, pagg. 21-24: https://ec.europa.eu/newsroom/article29/items/612053/en ), e che non ci sia un mero affidamento sulle raccomandazioni algoritmiche generate dal sistema (CGUE, sentenza OQ v Land Hessen, C-634/21, parr. 62 e 73), oppure se il trattamento sia autorizzato per legge.

[9] Artt. 16 e 17 DSA.

[10] Linee guida EDPB, parr. 25-42.

[11] Art. 20 DSA.

[12] Art. 23 DSA.

[13] Ai sensi dell’art. 17, par. 3, lett. b) DSA l’identità del notificante può esser rivelata al segnalato solo “ove strettamente necessario”.

[14] Art. 26, par. 3 DSA.

[15] Le “piattaforme online” sono una sottocategoria dei “servizi intermediari” e sono definite come “un servizio di memorizzazione di informazioni che, su richiesta di un destinatario del servizio, memorizza e diffonde informazioni al pubblico, tranne qualora tale attività sia una funzione minore e puramente accessoria di un altro servizio o funzionalità minore del servizio principale e, per ragioni oggettive e tecniche, non possa essere utilizzata senza tale altro servizio e a condizione che l’integrazione di tale funzione o funzionalità nell’altro servizio non sia un mezzo per eludere l’applicabilità del presente regolamento” (art. 3, lett. i) DSA). Si pensi, ad esempio, ai social networks o alle piattaforme che consentono ai consumatori di concludere contratti a distanza con operatori commerciali.

[16] Art. 26, parr. 1 e 2 DSA.

[17] Un “sistema di raccomandazione” è definito all’art. 3, lett. s) DSA come: “un sistema interamente o parzialmente automatizzato che una piattaforma online utilizza per suggerire informazioni specifiche, tramite la propria interfaccia online, ai destinatari del servizio o mettere in ordine di priorità dette informazioni anche quale risultato di una ricerca avviata dal destinatario del servizio o determinando in altro modo l’ordine relativo o l’importanza delle informazioni visualizzate”.

[18] Art. 27 DSA.

[19] Linee guida EDPB, parr. 80-88.

[20] Nelle Linee guida, l’EDPB indica quali rischi principali da considerare eventuali trattamenti di dati personali su larga scala, la potenziale mancanza di accuratezza e trasparenza in relazione alle inferenze e alla combinazione dei dati personali, attività di valutazione o scoring (come la profilazione), nonché il trattamento di categorie particolari di dati o di dati comunque sensibili o riferiti a soggetti vulnerabili.

[21] L’EDPB, nelle Linee guida, fa riferimento, ad esempio, alle piattaforme che presentano offerte di alloggio o di lavoro.

[22] Art. 27, par. 3 DSA.

[23] Art. 28, par. 1 DSA.

[24] Art. 28, par. 3 DSA.

[25] Linee guida EDPB, parr. 89-96.

[26] L’EDPB raccomanda, ad esempio, di verificare solo il range di età, senza richiedere la specifica data di nascita, e di evitare di raccogliere documenti d’identità o dati che consentano l’identificazione univoca di una persona.

[27] Si veda anche, al riguardo, Commissione europea, “Orientamenti su misure per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori online, a norma dell’articolo 28, par. 4, del regolamento (UE) 2022/2065”, C(2025) 4764 final: https://digital-strategy.ec.europa.eu/it/library/commission-publishes-guidelines-protection-minors.