Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Interazione tra Digital Services Act e GDPR: le nuove linee guida dell’EDPB (2025)

La crescente regolamentazione europea del mondo digitale richiede coerenza tra sistemi normativi anche di fonte eterogenea. Il Digital Services Act (DSA), applicabile dal febbraio 2024, introduce obblighi specifici per piattaforme, motori di ricerca e intermediari digitali che implicano un coinvolgimento normativo ed interpretativo anche in materia di trattamento di dati personali; si rileva quindi un profilo critico: come si deve coordinare con la predetta normativa il GDPR (e le relative previsioni di diritto)?

L’EDPB (European Data Protection Board), nella riunione plenaria del 12 settembre 2025, ha adottato le Linee Guida 3/2025, sull’interazione tra DSA e GDPR, al fine di chiarire come interpretare e applicare coerentemente i due testi.

Cosa prevedono le linee guida: ambito e obiettivi

Le linee guida 3/2025 si propongono di armonizzare l’applicazione del DSA insieme al GDPR nei casi in cui il DSA richieda o preveda attività che comportano trattamento di dati personali.

Obiettivi principali:

  • chiarire i casi in cui un operatore digitale che è soggetto al DSA deve rispettare obblighi del GDPR;
  • definire i criteri per la scelta della base giuridica adeguata al GDPR in contesti DSA;
  • indicare come gestire meccanismi tipici del DSA (notice-and-action, reclami, sistemi di raccomandazione, pubblicità) in modo conforme al GDPR;
  • stimolare la cooperazione tra autorità competenti del DSA e autorità di protezione dei dati per evitare conflitti applicativi.
  • Le linee guida sono attualmente in fase di consultazione pubblica (scadenza commenti: 31 ottobre 2025) per ricevere osservazioni da stakeholder e operatori interessati.

 

Elementi centrali delle linee guida

Le linee guida affrontano una serie di scenari specifici dove il DSA e il GDPR si intersecano. Ecco i casi più rilevanti.

1. Notice-and-action e reclami (reporting di contenuti illegali)

Il DSA richiede ai provider di attivare meccanismi di segnalazione per contenuti illegali (notice-and-action). Tali sistemi possono implicare la raccolta di dati personali del segnalante o dell’interessato. Le linee guida chiariscono:

  • la raccolta dei dati personali deve essere limitata al necessario;
  • se l’identità del segnalante deve essere rivelata, occorre informarlo preventivamente;
  • la base giuridica più indicata è quella del “legittimo interesse” (nel rispetto del bilanciamento con i diritti dell’interessato).

2. Sistemi di raccomandazione (recommender systems)

Molte piattaforme usano algoritmi per suggerire contenuti personalizzati. Questi sistemi sollevano questioni relative a profiling, trasparenza e possibile decisione automatica. Le linee guida suggeriscono di:

  • valutare se l’algoritmo configura una decisione automatica ai sensi dell’art. 22 GDPR, specialmente se l’effetto sull’interessato è significativo;
  • offrire alternative all’uso del recommender (es. modalità senza profilazione);
  • non indurre l’utente a preferire con strumenti di design manipolativo la versione profilata della piattaforma (nudging), viziando così indirettamente la piena libertà delle sue scelte.

3. Pubblicità e profilazione

Il DSA introduce regole stringenti per la trasparenza delle pubblicità sulle piattaforme digitali. Le linee guida chiariscono:

  • non è permesso promuovere forme di pubblicità profilata che sia basata sulla raccolta di dati particolari (art. 9 GDPR) riconducibili ai minori, in quanto soggetti vulnerabili;
  • la pubblicità deve essere trasparente: l’utente deve capire quando e come viene profilato;
  • devono essere garantite misure tecniche e organizzative per proteggere i dati usati per targeting.

4. Protezione dei minori e age assurance

Le linee guida riconoscono che processi come la verifica dell’età (age assurance) possono incidere sulla privacy. Devono essere adottati criteri:

  • minimizzazione: raccogliere solo il dato strettamente necessario;
  • proporzionalità: evitare sistemi che permettono identificazione permanente;
  • trasparenza sulle modalità e finalità di raccolta

5. Rischi sistemici e obblighi per grandi piattaforme

Il DSA impone a Very Large Online Platforms (VLOPs) e motori di ricerca di valutare i rischi sistemici e attuare misure mitigative. Le linee guida affermano che:

  • queste misure devono essere compatibili con i principi del GDPR, quali privacy by design e by default;
  • se emerge un rischio significativo/elevato per i dati personali, sarà necessario effettuare una Data Protection Impact Assessment (DPIA).

6. Cooperazione tra autorità

Un punto cruciale è la necessità di coordinamento e dialogo tra le autorità che applicano il DSA (ad es. Digital Services Coordinators) e i Garanti per la protezione dei dati:

  • le autorità DSA e le autorità privacy dovrebbero consultarsi reciprocamente quando un atto coinvolge entrambe le normative;
  • la “cooperative enforcement” è incoraggiato per evitare conflitti e duplicazioni.

Implicazioni pratiche per le aziende e piattaforme digitali

Le linee guida portano alcune raccomandazioni operative:

  • chi gestisce piattaforme digitali e servizi intermediari deve rivedere le proprie policy di trattamento dati sotto la lente DSA + GDPR;
  • è utile predisporre una mappatura dei processi DSA (reclami, moderazione contenuti, algoritmi) per individuare i rischi privacy;
  • anticipare la consultazione pubblica: ogni stakeholder può inviare commenti entro il 31/10/2025.

Per esempio, se una piattaforma decide di avviare investigazioni proprie su contenuti sospetti (anche se non richieste da legge), deve farlo nel rispetto della privacy, evitando la raccolta indiscriminata di dati e garantendo trasparenza.

Limiti e sfide interpretative

Alcuni campi d’azione restano di non semplice gestione. Occorre:

  • definire quando un sistema di raccomandazione diventa “decisione automatica” non è sempre chiaro;
  • bilanciare gli obblighi del DSA con le restrizioni del GDPR quando le norme divergono;
  • garantire che i codici di condotta previsti dal DSA siano compatibili con quelli GDPR.

Tuttavia, le linee guida rappresentano un primo strumento di orientamento in un panorama regolatorio in evoluzione.

Le linee guida EDPB 3/2025 per le aziende

Le linee guida EDPB 3/2025 segnano un passo importante nel percorso di coerenza normativa tra il DSA e il GDPR, offrendo chiarezza su casi pratici e obblighi emergenti per chi opera nel digitale.

Per le aziende che operano come intermediari o piattaforme online, è fondamentale:

  1. aggiornare le proprie policy privacy tenendo conto delle nuove indicazioni;
  2. predisporre valutazioni dei rischi (DPIA) per i processi critici;
  3. mantenere trasparenza nei confronti degli utenti, con informative chiare;
  4. partecipare alla consultazione pubblica per contribuire alla versione finale delle linee guida.

 

Le nuove linee guida EDPB chiariscono come il Digital Services Act (DSA) e il GDPR devono funzionare insieme. Per le aziende digitali questo significa tradurre la teoria in prassi concreta.

Ecco una checklist di azioni da implementare subito:

1. governance e policy interne

  • Aggiornare la privacy policy per includere i nuovi processi previsti dal DSA (es. reclami, segnalazioni, moderazione).
  • Mappare i trattamenti di dati connessi a obblighi DSA nel registro dei trattamenti GDPR.
  • Designare un referente interno che coordini tra compliance DSA e compliance GDPR.

2. sistemi di segnalazione e reclami

  • Raccogliere solo i dati strettamente necessari dei segnalanti.
  • Informare chiaramente l’utente su come verranno trattati i dati.
  • Definire la base giuridica (solitamente legittimo interesse o obbligo legale).

3. algoritmi e sistemi di raccomandazione

  • Offrire all’utente la possibilità di usare il servizio senza profilazione.
  • Evitare design manipolativi che spingano verso scelte più invasive per la privacy.
  • Valutare se serve una DPIA (Valutazione d’Impatto) per sistemi ad alto rischio.

4. pubblicità e targeting

  • Vietato usare dati particolari (art. 9 GDPR) per pubblicità mirata.
  • Garantire trasparenza: spiegare quando e come l’utente viene profilato.
  • Adottare misure tecniche per proteggere i dataset di advertising.

5. protezione dei minori

  • Implementare sistemi di verifica età proporzionati e trasparenti.
  • Evitare la raccolta eccessiva di dati personali durante l’age assurance.
  • Impostare per default misure di protezione rafforzate sui profili dei soggetti

6. collaborazione con le autorità

  • Stabilire un flusso di comunicazione con il Digital Services Coordinator e con il Garante Privacy.
  • Preparare procedure per gestire richieste di entrambe le autorità senza conflitti.

7. formazione e consapevolezza

  • Formare i team IT, legali e marketing sugli obblighi congiunti DSA+GDPR.
  • Sensibilizzare i dipendenti sui rischi legati a sistemi di sorveglianza algoritmica e data breach.

Di questo non si comprende il senso: se si fa riferimento ai dati particolari dei minori, o se l’elemento critico è più radicalmente il divieto di profilare soggetti vulnerabili come possono essere i minori.

Ipotizzo che la prima lettura sia quella più ragionevole. Ho riscritto il testo in quella direzione.

Le nuove linee guida EDPB rendono sempre più importante una gestione integrata tra privacy e piattaforme digitali.
Affidati a Frareg per analizzare i tuoi processi, aggiornare le policy aziendali e garantire la piena conformità a DSA e GDPR.
 Approfondisci con i nostri corsi per la privacy