obblighi e sfide per le aziende digitali

L’Unione europea ha imboccato da tempo la strada della regolamentazione delle grandi piattaforme digitali e dei servizi online. Dopo il Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore nel 2018 e diventato il riferimento globale in materia di protezione dei dati, l’UE ha approvato il Digital Services Act (DSA), applicabile in via definitiva dal febbraio 2024, che mira a creare uno spazio digitale maggiormente rispettoso dei diritti fondamentali degli utenti e a garantire condizioni di parità per le imprese.

Il quadro normativo europeo: due regolamenti, un’unica sfida

Due testi normativi distinti, con obiettivi diversi ma complementari: il primo disciplina il trattamento dei dati personali degli individui, il secondo mira a rendere più sicuro e trasparente l’ecosistema digitale, limitando disinformazione, abusi e contenuti illegali.

Il problema, però, è che spesso gli obblighi previsti dai due regolamenti si sovrappongono, coinvolgendo le stesse aziende e le stesse pratiche operative. Per questo motivo, il Comitato europeo per la protezione dei dati (EDPB) l’11 settembre scorso ha adottato e reso disponibili per la consultazione pubblica le Linee guida 3/2025 sull’interazione tra il DSA e il GDPR. Tra gli obiettivi di queste Linee guida, c’è anche quello di illustrare cosa devono fare concretamente le imprese: dai colossi del web fino ai fornitori di servizi più piccoli, per essere conformi ai due testi normativi.

Compatibilità normativa: quando DSA e GDPR si incontrano

Il DSA non sostituisce il GDPR, né si colloca come fonte di rango superiore. Come ricordano le linee guida, le due normative hanno infatti lo stesso rango e devono essere applicate in maniera compatibile e coerente. In altre parole, una piattaforma che modera contenuti o personalizza pubblicità non può dimenticarsi delle regole sulla privacy: anzi, deve riuscire a rispettare entrambe le cornici normative contemporaneamente.

Per le aziende questo significa rivedere processi, sistemi informatici e interfacce utente, adottando un approccio che tenga insieme la lotta ai contenuti illegali e la protezione dei dati personali.

La gestione dei contenuti tra legalità e privacy

Uno dei nodi principali riguarda la moderazione dei contenuti. Il DSA spinge le piattaforme a individuare, rimuovere o limitare contenuti illegali, ma queste operazioni comportano spesso il trattamento di dati personali.

Le linee guida chiariscono che le aziende possono basarsi su due basi giuridiche del GDPR per giustificare tali trattamenti:

• l’obbligo legale (art. 6(1)(c) GDPR), quando la rimozione è imposta dalla legge;
• l’interesse legittimo (art. 6(1)(f) GDPR), quando l’azienda agisce per tutelare i propri utenti o il proprio servizio.

Ma c’è un punto fondamentale: ogni misura deve essere proporzionata e necessaria. Non basta introdurre filtri automatici o sistemi di segnalazione: occorre valutare i rischi per gli individui e, in molti casi, svolgere una valutazione d’impatto sulla protezione dei dati (DPIA).

Sistemi di segnalazione: raccolta dati responsabile

Il DSA obbliga i fornitori di hosting e le piattaforme a predisporre meccanismi di segnalazione di contenuti illegali (“notice and action”) e sistemi di reclamo interni. Anche qui il nodo è la gestione dei dati.

Le linee guida stabiliscono che:

• le piattaforme devono raccogliere solo i dati strettamente necessari;
• l’identificazione del segnalante deve restare facoltativa, tranne nei casi in cui sia davvero indispensabile per qualificare un contenuto come illegale;
• se l’identità del segnalante viene comunicata all’utente coinvolto, occorre informarlo chiaramente.

Per le aziende, questo si traduce in un delicato esercizio di bilanciamento: garantire efficacia nel contrasto agli abusi, ma senza creare archivi sproporzionati di dati personali.

Design etico: addio ai pattern ingannevoli

Un altro punto in cui DSA e GDPR si incontrano riguarda le interfacce utente. Il DSA vieta l’uso di design ingannevoli (“deceptive design patterns”) per manipolare le scelte degli utenti. Tuttavia, quando tali pratiche comportano il trattamento di dati personali, trova applicazione anche il GDPR.

Per le aziende significa che alcune strategie di marketing digitale – come ad esempio pulsanti nascosti, opzioni pre-selezionate, percorsi tortuosi per scoraggiare gli utenti dal disiscriversi da un servizio – non solo rischiano di violare il DSA, ma anche di costituire una violazione della privacy.

Trasparenza pubblicitaria: nuovi standard per gli annunci

La pubblicità è forse l’ambito più sensibile. Il DSA obbliga le piattaforme a garantire trasparenza sugli annunci: ogni utente deve sapere perché vede un certo messaggio e quali parametri sono stati usati per mostrarglielo.

Inoltre, viene ribadito un divieto drastico: non si possono presentare annunci basati su profilazione che utilizzi categorie particolari di dati (origine etnica, opinioni politiche, religione, salute, orientamento sessuale). Le aziende dovranno quindi rivedere le proprie pratiche di targeting pubblicitario, eliminando ogni utilizzo di dati ex sensibili.

Algoritmi di raccomandazione: più controllo agli utenti

Un altro punto di estrema attenzione è quello dei sistemi di raccomandazione, che scelgono cosa mostrare a ciascun utente in base alla profilazione dello stesso. Il DSA obbliga le piattaforme a garantire maggiore trasparenza e a offrire almeno un’opzione che non si basi sulla profilazione.

Per le aziende, questo può tradursi in due azioni:

• sviluppare algoritmi che possano svolgere la loro funzione di referral senza sfruttare i dati personali;
• presentare le opzioni in modo neutrale, senza condizionare l’utente a compiere la scelta più vantaggiosa per la piattaforma.

Protezione minori: sicurezza senza sorveglianza

Particolare attenzione è riservata ai minori. Il DSA vieta l’uso dei loro dati per fini pubblicitari e impone standard elevati di sicurezza. Le linee guida sottolineano che ogni misura di protezione deve essere necessaria e proporzionata, evitando sistemi che comportino un’identificazione eccessiva degli utenti al di sotto di determinate soglie d’età.

Per esempio, i meccanismi di verifica dell’età non devono trasformarsi in strumenti di sorveglianza permanente. Le aziende dovranno quindi bilanciare la tutela dei minori con il rispetto della privacy di tutti gli utenti.

Grandi piattaforme: valutazione rischi sistemici

Le piattaforme di grandi dimensioni (le “Very Large Online Platforms”, cosiddette VLOPs e le “Very Large Online Search Engines”, dette VLOSEs) hanno un obbligo specifico: svolgere valutazioni dei rischi sistemici legati ai propri servizi. Questo include i rischi per i diritti fondamentali, compreso il diritto alla protezione dei dati.

Se emergono rischi significativi, diventa quasi inevitabile condurre anche una DPIA ai sensi del GDPR, per valutare e mitigare l’impatto dei trattamenti di dati personali.

Per le aziende, questo significa costruire team interdisciplinari, con esperti legali, tecnici e di compliance, e adottare soluzioni concrete come la pseudonimizzazione dei dati, la minimizzazione dei dati raccolti e la trasparenza verso gli utenti.

Governance condivisa: codici di condotta e autorità

Le linee guida insistono anche sulla necessità di sviluppare codici di condotta settoriali, soprattutto in materia di pubblicità online. Le aziende sono chiamate a partecipare attivamente, non solo per dimostrare buona volontà, ma anche per influenzare gli standard che poi dovranno rispettare.

Infine, un punto cruciale: la cooperazione tra Autorità. Il DSA prevede figure come i coordinatori nazionali dei servizi digitali e il nuovo European Board for Digital Services, che dovranno dialogare con le Autorità garanti della privacy. Le aziende, di conseguenza, dovranno prepararsi a interazioni con più soggetti di controllo e a meccanismi di vigilanza incrociata.

Verso la compliance integrata: strategie operative

Le linee guida dell’EDPB non lasciano dubbi: per le aziende, la sfida è essere conformi sia al DSA sia al GDPR, evitando inutili duplicazioni di attività e studiando meccanismi operativi che possano integrare le azioni, in un’ottica di compliance coordinata.

Ciò implica:

• implementare sistemi di moderazione proporzionati e trasparenti;
• raccogliere solo i dati indispensabili nei meccanismi di segnalazione;
• bandire design ingannevoli e targeting basato su dati sensibili;
• offrire opzioni di raccomandazione realmente alternative;
• proteggere i minori con criteri di necessità e proporzionalità;
• condurre valutazioni d’impatto e gestire i rischi sistemici;
• partecipare attivamente a codici di condotta condivisi.

Anche in questo caso, il criterio guida è quello dell’accountability degli attori economici, ai quali viene richiesto non solo di rispettare tutelare la riservatezza delle persone, ma anche di garantire un ambiente online più sicuro e trasparente.

Siamo ormai nell’era della compliance integrata, in cui protezione dei dati, cybersecurity e responsabilità delle aziende sono tutti elementi da incastrare in un unico progetto coordinato di conformità.