Il DSA, entrato pienamente in vigore il 17 febbraio 2024, istituisce un quadro uniforme per i servizi di intermediazione nel mercato digitale, volto a creare un ambiente online sicuro e affidabile e a contrastare la diffusione di contenuti illegali e disinformazione. Le norme del DSA riguardano principalmente ai servizi intermediari di mere conduit, caching e hosting, vale a dire i servizi online, semplici siti web, di infrastruttura Internet e piattaforme online (market place, social network, piattaforme di condivisione di contenuti, app store, etc.). Il DSA prevede tuttavia norme specifiche e obblighi più rigorosi per VLOP e VLOSE, ossia piattaforme online e intermediari che hanno più di 45 milioni di utenti al mese. È ben noto ormai come i servizi digitali incidono profondamente sulla nostra quotidianità. Li utilizziamo per comunicare, fare acquisti, ordinare cibo, reperire informazioni, guardare film, ascoltare musica e molto altro, favorendo gli scambi commerciali tra diversi Paesi e permettendo alle imprese di raggiungere nuovi mercati. Tuttavia, accanto ai numerosi vantaggi offerti dalla trasformazione digitale, emergono anche diverse criticità che incidono direttamente sui diritti fondamentali degli utenti, tra cui la protezione dei dati. In tale contesto si inseriscono le Linee Guida dell’EDPB 03/2025 volte a chiarire il rapporto tra il DSA e il GDPR, al fine di garantire un’applicazione coerente e armonizzata delle due normative. Infatti, il rapporto tra DSA e GDPR è di complementarità, non di sostituzione: il primo tutela il corretto funzionamento del mercato digitale, il secondo la protezione dei dati personali. Le linee guida dell’EDPB intendono dunque orientare i fornitori di servizi di intermediazione nell’applicazione del GDPR nei contesti disciplinati dal DSA, promuovendo una lettura coordinata delle due discipline per garantire un ambiente digitale conforme ai principi di liceità, proporzionalità e trasparenza. Tra le principali disposizioni del DSA, vi è la moderazione “volontaria” dei contenuti online e il meccanismo di “notice and action”. Entrambi, tuttavia, comportano molto frequentemente il trattamento dei dati personali. Moderazione “volontaria” dei contenuti online Ai sensi dell’art. 7 del DSA, è prevista la possibilitàper i fornitori di servizi di mere conduit, di caching e di hosting (“Fornitori”) di svolgere indagini volontarie di propria iniziativa o di adottare misure idonee a identificare e rimuovere contenuti illegali o disabilitare l’accesso agli stessi. Queste azioni possono essere svolte mediante l’ausilio di tecnologie di machine learning, in grado di riconoscere le caratteristiche di un determinato contenuto sulla base delle grandi quantità di dati utilizzati per l’addestramento.Ovviamente, ciò comporta il trattamento di dati personali e dunque la necessità dei Fornitori di conformarsi alle disposizioni del GDPR, tra cui quelle relative alla liceità, correttezza e trasparenza nei confronti degli interessati, nonché alla minimizzazione dei dati e agli obblighi di privacy by design by default. A tal fine, l’EDPB chiarisce che le indagini volontarie per identificare e rimuovere i contenuti illegali possono essere svolte sulla base delle seguenti basi giuridiche: In quest’ultimo caso, il Fornitore deve altresì soddisfare tre condizioni cumulative da documentare nel legitimate interest assessment (cd. “LIA”): Meccanismo di “notice and action” o obbligo di motivazione L’articolo 16 del DSA impone ai fornitori di servizi di hosting, comprese le piattaforme online, di istituire meccanismi di segnalazione (cd. “notice and action”) che permettano a chiunque di notificare, in via elettronica, la presenza di contenuti illegali. Ricevuta la segnalazione, il fornitore può decidere se intervenire, ad esempio rimuovendo o limitando il contenuto. Tali sistemi implicano il trattamento di dati personali del “segnalatore”, dei destinatari del servizio e, talvolta, di terzi. In particolare, le Linee Guida richiamano l’esigenza di un trattamento proporzionato e limitato alle finalità del DSA, prevedendo che i fornitori (in qualità di titolari del trattamento) debbano: Il DSA consente inoltre l’uso di sistemi automatizzati per la gestione delle segnalazioni, purché i segnalatori siano informati in conformità all’ art. 13 del GDPR. Se tali decisioni rientrano nell’ambito dell’art. 22 del GDPR, devono essere rispettate garanzie stringenti, tra cui essere autorizzate da una norma UE o nazionale, tutelare i diritti degli interessati e non basarsi su dati di categoria particolare, salvo consenso esplicito o motivi di interesse pubblico rilevante. Infine, l’art. 17 del DSA obbliga i fornitori di hosting a trasmettere agli utenti una motivazione chiara e dettagliata per ogni decisione di rimozione o limitazione di un contenuto, specificando l’eventuale uso di sistemi automatizzati, la base giuridica dell’intervento e le possibilità di ricorso. Tale obbligo non si applica alle rimozioni disposte dalle autorità competenti. Inoltre, nel quadro delle attività volte a contrastare i contenuti illegali, la Sezione 3 del Capitolo III del DSA impone solo ai fornitori di piattaforme online alcuni obblighi aggiuntivi che possono comportare il trattamento di dati personali. Inoltre, considerando che “l’uso improprio delle piattaforme online attraverso la frequente diffusione di contenuti manifestamente illegali o la frequente presentazione di segnalazioni o reclami manifestamente infondati […] mina la fiducia e danneggia i diritti e gli interessi legittimi delle parti coinvolte”, l’art. 23 del DSA consente alle piattaforme online di sospendere le relative attività nei confronti della persona che si è resa responsabile di un comportamento abusivo (ossia i destinatari che forniscono frequentemente contenuti manifestamente illegali e i segnalanti o i reclamanti che presentano frequentemente segnalazioni o reclami manifestamente infondati). Pur prevedendo garanzie contro l’uso improprio delle piattaforme online, il DSA stabilisce anche che tali garanzie debbano essere “appropriate, proporzionate ed efficaci” e debbano “rispettare i diritti e gli interessi legittimi di tutte le parti coinvolte, inclusi i diritti e le libertà fondamentali applicabili sanciti nella Carta”. A questo riguardo, l’EDPB accoglie con favore le garanzie già individuate dal DSA, in quanto consentiranno di evitare l’adozione di decisioni automatizzate in tali casi, e richiama i fornitori di piattaforme online a tenere conto, nell’identificare le misure per contrastare gli abusi e nel definire nelle loro condizioni d’uso la relativa politica, della necessità di garantire il rispetto di tutti i principi in materia di protezione dei dati stabiliti dall’articolo 5 del GDPR e, in particolare, dei principi di minimizzazione, esattezza, trasparenza e limitazione della conservazione dei dati. Conclusioni L’analisi del rapporto tra DSA e GDPR evidenzia chiaramente come le due normative non vadano considerate in alternativa, bensì in un rapporto di complementarità. Il DSA mira a garantire un ecosistema digitale più sicuro, trasparente e responsabile, mentre il GDPR continua a costituire il riferimento primario per la tutela dei dati personali degli utenti. La moderazione dei contenuti e l’implementazione dei meccanismi di notice and action richiedono quindi un approccio integrato, in cui principi di liceità, proporzionalità, minimizzazione e trasparenza guidino ogni fase del trattamento dei dati. Per le aziende rientranti nell’ambito di applicazione del DSA, emerge la necessità di adottare processi strutturati e misure di governance solide. In concreto, è possibile individuare alcune priorità operative, tra cui:
Ai sensi dell’articolo 20 del DSA, sia i destinatari interessati dalle decisioni riguardanti l’illegalità dei contenuti o la loro incompatibilità con i termini e le condizioni delle piattaforme online, sia gli individui (o enti) che hanno presentato una segnalazione, hanno il diritto di presentare un reclamo per, rispettivamente, contestare una decisione che li riguarda negativamente oppure contestare una presunta azione inadeguata intrapresa sulla base della segnalazione effettuata.
L’EDPB accoglie con favore il fatto che, in entrambi i casi, il DSA preveda che i fornitori di piattaforme online garantiscano che le decisioni di cui all’art. 20 del DSA siano adottate sotto la supervisione di personale adeguatamente qualificato e non esclusivamente sulla base di mezzi automatizzati.
