L’11 settembre 2025 il Comitato Europeo per la Protezione dei Dati ("EDPB”) ha adottato e sottoposto a consultazione pubblica le Linee Guida n. 3/2025 ("Linee Guida") sull’interazione tra il Regolamento (UE) 2022/2065 (“Digital Services Act” o "DSA") e il Regolamento (UE) 2016/679 ("GDPR").
Le Linee Guida perseguono una duplice finalità: da una parte, garantire la certezza del diritto e la prevedibilità del quadro normativo applicabile ai fornitori di servizi intermediari ai sensi del DSA e; dall’altra, salvaguardare i diritti e le libertà delle persone fisiche con particolare riguardo al diritto alla protezione dei dati personali, sancito dall'art. 8 della Carta dei Diritti Fondamentali dell'Unione Europea e dall'art. 16 del Trattato sul Funzionamento dell'Unione Europea (“TFUE”).
In via preliminare, l’EDPB chiarisce che il DSA non deroga né prevale sul GDPR, non configurandosi quale lex specialis ai sensi dell’art. 2(4) del DSA. In conformità alla consolidata giurisprudenza della Corte di Giustizia dell'Unione Europea, i due regolamenti devono essere interpretati e applicati in modo da garantirne la reciproca compatibilità e coerenza sistemica, costituendo due atti giuridici di pari rango gerarchico.
Rimozione di contenuti illegali
L’EDPB entra quindi nel merito affrontando innanzitutto il regime giuridico applicabile alle attività di indagine volontaria (voluntary own-initiative investigations) finalizzate all'individuazione e rimozione di contenuti illegali, poste in essere dai fornitori di servizi intermediari ai sensi dell'art. 7 del DSA. In relazione al trattamento di dati personali connesso allo svolgimento di questa attività, le Linee Guida individuano nell'art. 6(1)(f) del GDPR (e cioè nel legittimo interesse del titolare del trattamento o di terzi) la base giuridica del trattamento (almeno nella generalità dei casi). L'EDPB precisa, tuttavia, che spetta al fornitore di servizi intermediari dimostrare la sussistenza delle condizioni che legittimano il ricorso al legittimo interesse, segnatamente: la legittimità dell'interesse perseguito, la necessità del trattamento per il conseguimento di tale interesse e la prevalenza dello stesso rispetto ai diritti e alle libertà dell'interessato. Questa valutazione deve essere documentata attraverso un Legitimate Interest Assessment (LIA) che fornisca evidenza del bilanciamento effettuato dal titolare tra gli interessi contrapposti, conformemente ai principi di necessità e proporzionalità. Va da sé che qualora la rimozione dei contenuti non derivi dall'esercizio di facoltà discrezionali del fornitore di servizi intermediari ma costituisca adempimento di un obbligo di legge, la base giuridica del trattamento è quella prevista dall'art. 6(1)(c) del GDPR (e cioè adempimento di obblighi di legge).
Meccanismi di notice and action
Le Linee Guida esaminano, poi, le implicazioni dei meccanismi di notifica e azione (notice and action) di cui agli artt. 16 e 17 del DSA, con particolare riguardo al trattamento dei dati personali del soggetto segnalante (notifier) e del destinatario del servizio interessato dal provvedimento restrittivo. Con riguardo al trattamento dei dati del segnalante, l'EDPB stabilisce che i fornitori di servizi di hosting devono applicare il principio di minimizzazione di cui all'art. 5(1)(c) del GDPR, limitando la raccolta alle sole informazioni strettamente necessarie per l'espletamento della procedura (segnatamente le generalità e l’indirizzo e-mail del segnalante). Il meccanismo di notifica deve in particolare essere configurato in modo tale da consentire (ma senza imporre obbligatoriamente) l'identificazione del soggetto segnalante, fatta salva l'ipotesi in cui tale identificazione risulti indispensabile per la valutazione dell'illegittimità del contenuto oggetto di segnalazione. Quanto alla comunicazione dell'identità del segnalante al destinatario del servizio, l'art. 17(3)(b) del DSA prescrive che tale comunicazione possa avvenire esclusivamente se strettamente necessaria per l'esercizio dei diritti di difesa. In tal caso, il fornitore dei servizi intermediari è tenuto ad adempiere preventivamente agli obblighi informativi di cui all'art. 13 del GDPR nei confronti del segnalante, specificando le finalità e la base giuridica della comunicazione a terzi dei suoi dati personali.
Processi decisionali automatizzati
L'EDPB rileva poi che le determinazioni relative alla rimozione di contenuti possono configurare, ricorrendone i presupposti, un processo decisionale automatizzato ai sensi dell'art. 22 del GDPR. Qualora tale processo si svolga in assenza di intervento umano, trovano applicazione le condizioni, i requisiti e gli obblighi previsti dall’art. 22 del GDPR, compresi il diritto dell'interessato di ottenere l'intervento umano, esprimere la propria opinione e contestare la decisione assunta, nonché l'obbligo per il titolare di attuare misure appropriate per tutelare i diritti e le libertà dell'interessato.
Reclami e sospensione
Con riguardo alle disposizioni di cui agli artt. 20 e 23 del DSA, relative rispettivamente ai meccanismi interni di gestione dei reclami (internal complaint-handling systems) e i provvedimenti di sospensione per utilizzo manifestamente illegale o abusivo dei servizi offerti attraverso le piattaforme online, l'EDPB chiarisce che l'operatività di tali strumenti procedurali lascia impregiudicato l'esercizio dei diritti e l'esperimento dei rimedi riconosciuti agli interessati dal GDPR. Le Linee Guida evidenziano, inoltre, la necessità inderogabile di conformarsi ai principi generali sanciti dall'art. 5 del GDPR e, in particolare, ai principi di minimizzazione dei dati, esattezza, trasparenza e limitazione della conservazione. I fornitori di piattaforme online sono pertanto tenuti a garantire che le attività di trattamento effettuate nell'ambito delle procedure di reclamo e sospensione rispettino integralmente tali principi, documentando adeguatamente le misure tecniche e organizzative adottate a tal fine. Con specifico riferimento all'art. 23 del DSA, l'EDPB specifica che l'adozione di misure sospensive nei confronti di un destinatario del servizio non può in alcun modo compromettere o limitare l'esercizio dei diritti riconosciuti dal GDPR. In particolare, rimane pienamente azionabile il diritto alla portabilità dei dati di cui all'art. 20 del GDPR, atteso che il fornitore della piattaforma online mantiene la qualifica di titolare e continua a trattare i dati personali dell'interessato anche durante il periodo di vigenza della sospensione.
Dark patterns
Un ulteriore profilo di particolare rilevanza concerne la disciplina dei modelli di progettazione ingannevoli (deceptive design patterns o dark patterns). L'art. 25 del DSA introduce un divieto generale per i fornitori di piattaforme online e di motori di ricerca online di progettare, organizzare o gestire le proprie interfacce online in modo tale da ingannare o manipolare i destinatari dei loro servizi, ovvero da compromettere o limitare in misura sostanziale la capacità degli stessi di assumere decisioni libere e informate. A questo riguardo, le Linee Guida delineano con precisione i criteri sulla base dei quali trovi applicazione il regime sanzionatorio previsto dal DSA ovvero quello previsto dal GDPR, stabilendo che una pratica di progettazione ingannevole ricade nell'ambito di applicazione del GDPR, con conseguente attribuzione della competenza sulla vigilanza e sulle sanzioni alle autorità per la protezione dei dati personali, qualora sussistano cumulativamente i seguenti presupposti: (i) la pratica in questione comporti il trattamento di dati personali e; (ii) il comportamento dell'utente che il modello di progettazione intende influenzare, manipolare o compromettere riguardi specificamente decisioni relative al trattamento dei propri dati personali. Tale seconda condizione ricorre tipicamente nelle ipotesi in cui l'interfaccia ingannevole sia finalizzata a indurre l'interessato a fornire dati personali ulteriori rispetto a quelli necessari per l'erogazione del servizio, ovvero a prestare un consenso al trattamento non genuinamente libero e informato.
Pubblicità online e profilazione
Merita particolare attenzione anche l'interpretazione fornita dall'EDPB in ordine alla portata applicativa dell'art. 26(3) del DSA, che vieta la presentazione di pubblicità basata su profilazione realizzata mediante l'utilizzo di categorie particolari di dati personali di cui all’art. 9(1) del GDPR. L'EDPB sottolinea che tale disposizione introduce un divieto assoluto e incondizionato che opera ancora una volta in via complementare rispetto al regime del GDPR, precludendo tale attività di trattamento anche in presenza del consenso esplicito dell'interessato ex articolo 9(2)(a) del GDPR.
Sistemi di raccomandazione dei contenuti
Con riferimento alla disciplina dei sistemi di raccomandazione, l'EDPB fornisce un'interpretazione qualificatoria di particolare rilievo, stabilendo che la presentazione di contenuti personalizzati agli utenti mediante algoritmi di raccomandazione integra profilazione ai sensi dell'articolo 4(4) del GDPR. Le Linee Guida evidenziano inoltre che la presentazione algoritmica di contenuti specifici può costituire una “decisione che incide in modo analogo significativo” sull'interessato ai sensi dell'articolo 22(1) del GDPR. Questa qualificazione trova applicazione segnatamente nelle ipotesi in cui i contenuti raccomandati possano produrre conseguenze significative per gli individui, quali effetti economici o sociali rilevanti, ovvero influenzare in modo duraturo o permanente le loro scelte comportamentali. Per le piattaforme online di dimensioni molto grandi ("VLOPs") e i motori di ricerca online di dimensioni molto grandi ("VLOSEs"), l'art. 38 del DSA impone l'obbligo di fornire almeno un sistema di raccomandazione non basato sulla profilazione. L'esercizio di tale opzione da parte dell'utente comporta il divieto assoluto per i VLOPs e VLOSEs di procedere alla raccolta e al trattamento dei dati personali dell’utente medesimo per finalità di profilazione.
Tutela dei minori
Anche per quanto riguarda la tutela dei minori, le Linee Guida riaffermano l'applicabilità integrale dei principi fondamentali sanciti dal GDPR, con particolare riguardo all'implementazione dei sistemi di verifica e accertamento dell'età (age assurance mechanisms). L'EDPB sottolinea che tali meccanismi devono essere progettati e implementati nel rispetto dei principi di necessità, minimizzazione, proporzionalità e protezione dei dati fin dalla progettazione (privacy by design) di cui all'art. 25 del GDPR. In concreto, le Linee Guida consigliano l’adozione di quei sistemi che non comportino l'identificazione univoca degli utenti né la conservazione permanente dei dati relativi all'età o alla fascia d'età degli interessati.
Rischi sistemici
Con riguardo alla gestione dei rischi sistemici, gli artt. 34 e 35 del DSA introducono per i fornitori di VLOPs e VLOSEs obblighi specifici di valutazione e mitigazione che presentano significative interconnessioni con il quadro normativo in materia di protezione dei dati personali. Le Linee Guida chiariscono che, allorquando vengano identificati rischi sistemici concernenti i diritti fondamentali di protezione dei dati personali che non siano limitati a singoli utenti, l'effettuazione di una valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR risulterà con ogni probabilità necessaria.
Cooperazione tra autorità
Infine, l’EDPB conclude la sua analisi con alcune indicazioni generali in materia di governance e di enforcement del quadro normativo integrato DSA-GDPR. In applicazione del principio di leale cooperazione di cui all'articolo 4(3) del TFUE, le Linee Guida stabiliscono l'obbligo per le autorità competenti per l'applicazione del DSA e le autorità per la protezione dei dati Personali di istituire meccanismi strutturati di consultazione e cooperazione reciproca nelle materie di competenza concorrente, anche per la promulgazione di appositi codici di condotta. Nell'ordinamento italiano, tale modello cooperativo ha trovato già parziale applicazione mediante strumenti di coordinamento quali il Protocollo d'Intesa sottoscritto in data 12 aprile 2023 tra l'Autorità per le Garanzie nelle Comunicazioni e il Garante per la Protezione dei Dati Personali, nonché tramite l'istituzione di tavoli tecnici congiunti permanenti.
