Le Linee Guida 3/2025 dell’European Data Protection Board (di seguito, “EDPB”) offrono un’analisi approfondita dell’interazione tra il Regolamento sui Servizi Digitali e GDPR, ma al tempo stesso aprono spazi di riflessione critica su come due regolamenti nati con finalità diverse finiscano per intrecciarsi nella pratica. La moderazione dei contenuti, la pubblicità mirata, i sistemi di raccomandazione e la tutela dei minori diventano campi in cui obblighi e principi si sovrappongono, talvolta rafforzandosi, talvolta generando tensioni interpretative.
Il presente contributo, muovendo dal testo delle Linee Guida, mette a confronto i due strumenti normativi, ne evidenzia le sinergie e le divergenze e valuta le ricadute concrete per piattaforme, utenti e autorità di controllo. L’analisi si chiude con uno sguardo prospettico, interrogandosi sulla capacità dell’Unione europea di mantenere coerenza e armonia applicativa in un contesto regolatorio in continua evoluzione. Premessa Il Regolamento sui Servizi Digitali e il GDPR nascono da matrici normative differenti. Il primo per disciplinare la responsabilità e la trasparenza dei servizi di intermediazione online; il secondo per garantire la protezione dei dati personali e la tutela della privacy come diritto fondamentale. Tuttavia, l’esperienza applicativa dimostra che le due discipline non vivono in compartimenti stagni. Le Linee Guida 3/2025 dell’EDPB si collocano proprio in questo spazio di intersezione, offrendo chiarimenti interpretativi e indicazioni operative su come coordinare obblighi e principi che, pur avendo finalità autonome, si sovrappongono in molteplici ambiti. Il documento evidenzia, ad esempio, come alcuni dei contenuti del Regolamento sui Servizi Digitali possano costituire trattamento di dati personali ai sensi del GDPR, imponendo la scelta di una base giuridica adeguata e il rispetto dei principi di minimizzazione e proporzionalità. Analogamente, le regole sulla pubblicità mirata e sui sistemi di raccomandazione introducono divieti e obblighi di trasparenza che incidono direttamente sulle modalità di profilazione disciplinate dal GDPR, talvolta restringendone ulteriormente l’ambito di liceità. L’analisi che segue prende le mosse proprio da tali indicazioni, esaminando come la moderazione dei contenuti, la gestione delle segnalazioni, la pubblicità mirata, i sistemi di raccomandazione e la tutela dei minori diventino ambiti nei quali obblighi e principi dei due regolamenti si sovrappongono , talvolta rafforzandosi reciprocamente, talvolta imponendo scelte interpretative complesse. Particolare attenzione sarà dedicata alle ricadute pratiche per gli operatori, chiamati a sviluppare modelli di conformità integrata, e per le autorità competenti, che dovranno coordinare poteri e procedure per evitare duplicazioni e contrasti. In prospettiva, la capacità dell’Unione europea di mantenere un equilibrio tra tutela dei diritti fondamentali e innovazione tecnologica dipenderà dalla possibilità di armonizzare questi due strumenti senza sacrificare la chiarezza e l’efficacia del quadro normativo. Il quadro normativo dietro le Linee Guida Prima di procedere all’analisi delle Linee Guida 3/2025 è necessario analizzare, seppur brevemente, il Regolamento (UE) 2022/2065 del 19 ottobre 2022 “relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (“regolamento sui servizi digitali”)”, conosciuto con l’acronimo “ DSA ” e il Regolamento (UE) 2016/679 del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, conosciuto con l’acronimo “ GDPR ” o “ RGPD ”. Entrato in vigore il 17 febbraio 2024, il DSA ha visto alcune disposizioni applicarsi già dal 16 novembre 2022, in particolare quelle relative agli obblighi di comunicazione, agli audit, alla condivisione dei dati e alla vigilanza sulle piattaforme di grandi dimensioni. Esso modifica la Direttiva 2000/31/CE sul commercio elettronico e si inserisce nel più ampio pacchetto normativo per il mercato digitale, accanto al Digital Markets Act (Regolamento (UE) 2022/1925), con l’obiettivo di coniugare tutela dei diritti fondamentali, sicurezza online e promozione di un ecosistema digitale competitivo e innovativo. Il DSA si articola in un complesso di norme che, da un lato, rafforzano la protezione dei destinatari di servizi, da intendersi nella più ampia accezione di utente e dei loro diritti, e, dall’altro, definiscono in modo chiaro le responsabilità dei prestatori di servizi di intermediazione. La disciplina si applica a una vasta gamma di operatori, che comprende i fornitori di accesso a Internet, i servizi di memorizzazione di informazioni, inclusi l’hosting di siti web e il cloud computing, i registri di nomi di dominio, i mercati online, i negozi di applicazioni, le piattaforme di economia collaborativa, le reti sociali, i servizi di condivisione di contenuti e i portali di prenotazione di viaggi e strutture ricettive. Particolare attenzione, all’interno del DSA è riservata alle piattaforme e ai motori di ricerca di “grandi dimensioni” , ossia quelli utilizzati da oltre il dieci per cento dei circa 45 milioni di consumatori dell’Unione, in ragione del loro impatto sistemico sull’accesso alle informazioni e sulla formazione dell’opinione pubblica. Il DSA, inoltre, affronta in maniera organica la gestione dei contenuti e dei prodotti illeciti , l’incitamento all’odio e la disinformazione, introducendo strumenti che consentono agli utenti un maggiore controllo su ciò che visualizzano e una più chiara comprensione delle logiche pubblicitarie. Viene rafforzata, quindi, la capacità di individuare e rimuovere tempestivamente contenuti illeciti, anche attraverso la cooperazione con i “segnalatori attendibili” (enti riconosciuti dal coordinatore dei servizi digitali dello Stato membro) e la previsione di obblighi di tracciabilità per gli operatori commerciali attivi nei mercati online. Il DSA non si limita alla protezione passiva ma mira a responsabilizzare attivamente gli utenti e le società, riconoscendo il diritto di contestare le decisioni di rimozione o modifica dei contenuti e di ottenere un risarcimento, sia tramite meccanismi di risoluzione alternativa delle controversie, sia mediante ricorso giurisdizionale. Le piattaforme di grandi dimensioni sono inoltre tenute a garantire l’accesso, per autorità e ricercatori, ai dati rilevanti per la valutazione dei rischi online e a fornire trasparenza sugli algoritmi di raccomandazione di contenuti e prodotti. Un capitolo centrale della disciplina riguarda la valutazione e la mitigazione dei rischi sistemici . Le piattaforme e i motori di ricerca di grandi dimensioni devono, infatti, prevenire usi impropri dei propri sistemi, sottoporsi ad audit indipendenti e predisporre procedure di risposta rapida in caso di crisi che minaccino la sicurezza o la salute pubblica. In tali circostanze, la Commissione europea può imporre misure specifiche, richiedendo valutazioni puntuali e l’adozione di interventi proporzionati per prevenire o limitare il contributo dei servizi alla minaccia in corso. Il DSA prevede inoltre garanzie rafforzate per la protezione dei minori e limita l’uso di dati personali sensibili per finalità di pubblicità mirata . Sul piano dell’enforcement, il regolamento attribuisce un ruolo centrale ai coordinatori dei servizi digitali di ciascuno Stato membro e al Comitato europeo per i servizi digitali, riconoscendo alla Commissione poteri di vigilanza diretta nei confronti delle piattaforme e dei motori di ricerca di maggiori dimensioni. Accanto al DSA, il GDPR costituisce l’altro pilastro fondamentale del quadro normativo entro cui si collocano le Linee Guida 3/2025 dell’EDPB . La sua finalità è garantire un elevato livello di tutela delle persone fisiche con riguardo al trattamento dei dati personali, assicurando al contempo la libera circolazione di tali dati all’interno dell’Unione europea. Applicato sin dal 25 maggio 2018, il GDPR è oggi il riferimento imprescindibile per qualsiasi attività di trattamento di dati personali nell’Unione Europea. Il GDPR si applica al trattamento effettuato sia dal settore privato sia dal settore pubblico, con l’eccezione delle attività di prevenzione, indagine e repressione dei reati, disciplinate invece dalla Direttiva (UE) 2016/680. La riforma ha modernizzato e unificato le regole europee in materia di protezione dei dati, rafforzando i diritti degli interessati e attribuendo loro un controllo più effettivo sulle informazioni personali. Parallelamente, ha introdotto un quadro uniforme di obblighi per le imprese, riducendo la frammentazione normativa e favorendo la fiducia dei consumatori. Sul piano dei diritti, il regolamento consolida prerogative già esistenti e ne introduce di nuove: dal diritto di accesso e di informazione chiara e comprensibile, alla portabilità dei dati, fino al diritto alla cancellazione (“diritto all’oblio”). È previsto, inoltre, l’obbligo per titolari e responsabili del trattamento di notificare alle autorità di controllo e, nei casi più gravi, agli interessati, eventuali violazioni di dati personali. Per le imprese, il GDPR stabilisce un corpus normativo unico a livello europeo, applicabile anche a soggetti stabiliti fuori dall’Unione che offrano beni o servizi a persone nell’UE o ne monitorino il comportamento. Tra gli obblighi più rilevanti figurano la designazione di un responsabile della protezione dei dati (DPO) in determinati casi, l’adozione di misure di protezione dei dati fin dalla progettazione e per impostazione predefinita, l’uso di tecniche come la pseudonimizzazione e la cifratura, la conduzione di valutazioni d’impatto nei trattamenti ad alto rischio e la tenuta di registri delle attività di trattamento, con esenzioni limitate per le PMI. Il regolamento introduce anche un meccanismo di “sportello unico” per la gestione dei casi transfrontalieri, affidando alle autorità di controllo nazionali, coordinate dal Comitato europeo per la protezione dei dati, il compito di garantire un’applicazione coerente delle norme. In materia di trasferimenti internazionali, prevede strumenti diversificati, dalle decisioni di adeguatezza della Commissione europea alle clausole contrattuali tipo, dalle norme vincolanti d’impresa ai codici di condotta e sistemi di certificazione. La relazione tra DSA e GDPR assume rilievo concreto ogniqualvolta le attività disciplinate dal primo: (i) moderazione dei contenuti, (ii) la pubblicità mirata o (iii) l’impiego di sistemi di raccomandazione, implichino operazioni di trattamento di dati personali. Ed è proprio in questa zona di intersezione che si collocano le Linee Guida 3/2025 dell’EDPB , attualmente sottoposte a consultazione pubblica, elaborate con l’intento di fornire criteri interpretativi e soluzioni operative per un’applicazione armonizzata dei due regolamenti. L’obiettivo è prevenire sovrapposizioni e conflitti, assicurando un equilibrio sostenibile tra la protezione dei diritti fondamentali e la promozione dell’innovazione digitale. La fase di consultazione rappresenta un momento cruciale per raccogliere osservazioni da parte di operatori, autorità e cittadini, così da affinare il testo e garantire che le indicazioni finali rispondano in modo efficace alle esigenze concrete del mercato e alla tutela dei diritti. Il ruolo delle Linee Guida e l’autorità dell’EDPB Le Linee Guida che si stanno per analizzare, adottate ai sensi dell’articolo 70 para. 1, lett. e) del GDPR, si configurano quale strumento di soft law volto ad assicurare un’ interpretazione e un’ applicazione uniforme della disciplina in materia di protezione dei dati personali in tutti gli Stati membri, in conformità al mandato attribuito all’EDPB. Bisogna però fare un passo indietro e comprendere come può l’EDPB, organo dedicato alla protezione dei dati personali essere rilevante nell’ambito del DSA. Sin dal considerando 10 del DSA è, infatti, chiarito che la protezione delle persone fisiche con riguardo al trattamento dei dati personali resta disciplinata dal diritto dell’Unione in materia, concetto rafforzato dall’ l’articolo 2, par. 4, lett. g), DSA, che ribadisce come il regolamento “lasci impregiudicate” le norme di altri atti dell’Unione che disciplinano aspetti ulteriori della fornitura di servizi di intermediazione trovando, invece applicazione, per le questioni non affrontate, o non pienamente affrontate, da tali altri atti. Situazione che si verifica nel momento in cui i fornitori di servizi di intermediazione entrino in contatto con i dati personali degli utilizzatori, utenti assumendo la qualifica di titolari del trattamento ai sensi dell’articolo 4 paragrafo 1 n.7 del GDPR, con i conseguenti obblighi di liceità, trasparenza e accountability . In tali circostanze il DSA non sostituisce il GDPR, ma si intreccia con esso, soprattutto nelle aree in cui emergono profili di sovrapposizione tra obblighi di trasparenza, gestione dei contenuti e tutela dei diritti fondamentali. In questo contesto, il ruolo dell’EDPB diventa cruciale. Sebbene il DSA attribuisca agli Stati membri la facoltà di designare autorità competenti diverse dalle autorità di protezione dei dati (ad esempio autorità delle comunicazioni, dei media o della concorrenza), resta imprescindibile un meccanismo di cooperazione istituzionale. L’EDPB sottolinea infatti che, nei casi in cui l’applicazione del DSA richieda una valutazione della conformità al GDPR, le autorità competenti devono consultare e cooperare sinceramente con le autorità di protezione dei dati, e viceversa. Tale cooperazione non è meramente formale. Essa risponde a esigenze di efficienza, di prevenzione di conflitti normativi. Difatti, in assenza di coordinamento, vi sarebbe il rischio di duplicazione di procedimenti e sanzioni, con conseguenti incertezze giuridiche sia per i titolari del trattamento sia per i fornitori di servizi di intermediazione. Un ulteriore livello di interazione si realizza attraverso il European Board for Digital Services (EBDS), composto dai Digital Services Coordinators (DSC) e presieduto dalla Commissione europea . L’EBDS, come riportato sia dalle linee guide all’interno del paragrafo 2.9.2. che si stanno analizzando può cooperare con altri organismi dell’Unione, tra queste l’EDPB, laddove le questioni trattate incidano sulla tutela dei dati personali. Tale cooperazione rappresenta un passaggio strategico per garantire consistenza regolatoria trasversale tra DSA e GDPR, soprattutto in relazione ai rischi sistemici derivanti dai servizi delle piattaforme online di dimensioni molto grandi (VLOPs) e dei motori di ricerca di dimensioni molto grandi (VLOSEs). In definitiva, le Linee Guida dell’EDPB non solo orientano l’applicazione del GDPR, ma fungono anche da punto di raccordo con il nuovo ecosistema regolatorio delineato dal DSA. Esse rafforzano il principio di sincera cooperazione tra autorità, promuovono la certezza del diritto e contribuiscono a evitare frammentazioni interpretative che potrebbero compromettere l’efficacia complessiva del sistema europeo di tutela dei diritti fondamentali nel contesto digitale. Ambiti di intersezione e di conflitto Il rapporto tra il DSA e il GDPR, come interpretato dalle Linee Guida 3/2025 dell’EDPB, rappresenta uno dei nodi del diritto digitale europeo contemporaneo . Entrambi i testi normativi condividono la finalità di garantire un ecosistema digitale sicuro e rispettoso dei diritti fondamentali , ma perseguono tale obiettivo con strumenti e logiche differenti. Il DSA nasce come regolamento di mercato, volto a disciplinare la responsabilità e gli obblighi dei prestatori di servizi di intermediazione, con particolare attenzione alla moderazione dei contenuti, alla trasparenza delle procedure e alla prevenzione dei rischi sistemici. Il GDPR, invece, è un regolamento di tutela dei diritti individuali, che pone al centro la protezione dei dati personali e la proporzionalità dei trattamenti. Le Linee Guida 3/2025 si collocano esattamente in questo spazio di intersezione, cercando di armonizzare due regimi che, pur complementari, non sempre si sovrappongono in modo lineare. Uno dei primi ambiti affrontati riguarda le indagini volontarie promosse dalle piattaforme ai sensi dell’articolo 7 DSA. Questa disposizione consente ai prestatori di servizi di avviare, di propria iniziativa, attività investigative finalizzate all’individuazione e alla rimozione di contenuti illeciti. L’intento è quello di incentivare condotte proattive e responsabili , rafforzando la sicurezza dell’ambiente digitale. Tuttavia, tale facoltà incontra limiti precisi: da un lato, il divieto di imporre obblighi generali di sorveglianza, sancito dall’articolo 8 DSA, che tutela la libertà di comunicazione e impedisce controlli indiscriminati; dall’altro, i principi del GDPR, che impongono liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione. Le Linee Guida chiariscono che la base giuridica per il trattamento dei dati personali può essere individuata nel legittimo interesse del prestatore, purché sorretto da un test di bilanciamento documentato, oppure in un obbligo legale derivante da ordini chiari e proporzionati delle autorità competenti. Particolare attenzione è riservata all’uso esclusivo di sistemi automatizzati: l’articolo 22 GDPR vieta decisioni unicamente automatizzate con effetti giuridici o similmente significativi, salvo eccezioni tassative. Ne consegue che le piattaforme devono garantire un controllo umano effettivo, condurre una valutazione d’impatto sulla protezione dei dati e, se necessario, consultare preventivamente l’autorità di controllo. In questo ambito, la convergenza tra DSA e GDPR è evidente, ma la tensione si manifesta nel rischio che la spinta alla proattività degeneri in forme di sorveglianza generalizzata. Le procedure di “notice and action ” e la gestione dei reclami costituiscono un secondo terreno di interazione. Gli articoli 16 e 17 del DSA introducono meccanismi che consentono a utenti, soggetti qualificati o autorità di segnalare contenuti ritenuti illeciti, imponendo alle piattaforme obblighi di valutazione e comunicazione dell’esito. L’articolo 20 del DSA prevede sistemi interni di reclamo gratuiti e accessibili, mentre l’articolo 23 DSA disciplina l’uso abusivo delle piattaforme, consentendo la sospensione degli utenti che pubblicano contenuti manifestamente illegali o presentano segnalazioni infondate. In tutti questi casi, il trattamento di dati personali è inevitabile, e di conseguenza, i dati personali del segnalante e del destinatario devono essere trattati nei limiti funzionali alla gestione della segnalazione, con divieto di raccolta eccedente e obbligo di informativa. Le Linee Guida sottolineano che la rivelazione dell’identità del segnalante è consentita solo quando strettamente necessaria e proporzionata, e deve essere accompagnata da un’idonea informativa. In questi casi il GDPR interviene imponendo i principi di minimizzazione, esattezza e limitazione della conservazione. La tensione nasce dal fatto che il DSA privilegia la tracciabilità e la completezza, spingendo verso una conservazione dei dati più lunga, mentre il GDPR impone di ridurre al minimo i dati trattati e i tempi di conservazione. Analoga frizione si registra nella sospensione per uso abusivo: il DSA consente la sospensione, ma il GDPR richiede che tali decisioni si fondino su dati accurati e aggiornati, pena la violazione dei diritti fondamentali. Un ulteriore profilo riguarda le interfacce e i cosiddetti dark patterns (tecniche ingannevoli utilizzate dalle piattaforme online per manipolare il comportamento degli utenti, spesso a loro insaputa o senza il loro consenso). L’articolo 25 del DSA vieta schemi di progettazione ingannevoli che inducano l’utente a fornire più dati del necessario o a prestare un consenso non libero mentre l’EDPB sottolinea che un consenso ottenuto in tali condizioni non è valido ai sensi dell’articolo 7 GDPR e che l’architettura dell’interfaccia deve rispettare i principi di data protection by design e by default. La convergenza è chiara, ma la divergenza si manifesta nel rischio che la conformità si riduca a un adempimento formale, senza garantire una reale libertà di scelta. L’interfaccia deve invece essere concepita come strumento di tutela sostanziale dei diritti, soprattutto per gli utenti vulnerabili come i minori. La pubblicità online e il targeting , disciplinati dall’articolo 26 DSA, rappresentano un ambito in cui il legislatore europeo ha introdotto obblighi di trasparenza che si affiancano a quelli del GDPR, creando un doppio livello informativo, contestuale alla fruizione dell’annuncio e preventivo rispetto al trattamento. Di particolare rilievo è il divieto assoluto di targeting basato su categorie particolari di dati e sui minori, che va oltre quanto previsto dal GDPR. Qui la convergenza riguarda la trasparenza, ma la divergenza si manifesta nella diversa ampiezza dei divieti: il DSA introduce limiti più stringenti, imponendo un ripensamento dei modelli di business pubblicitario. I sistemi di raccomandazione , disciplinati dagli articoli 27 e 38, costituiscono un altro nodo critico. Il DSA impone trasparenza sui parametri utilizzati e l’offerta di almeno un’opzione alternativa non basata su profilazione, presentata in modo neutro. Tuttavia, il GDPR considera la profilazione e le decisioni automatizzate come trattamenti ad alto rischio, imponendo valutazioni d’impatto e, in alcuni casi, la consultazione preventiva delle autorità. Ne deriva che una piattaforma può risultare conforme al DSA pur non rispettando pienamente il GDPR, con un rischio di compliance parziale. La tensione è evidente: il DSA si concentra sulla trasparenza e sulla libertà di scelta, il GDPR sulla liceità sostanziale del trattamento. Come anticipato, un ulteriore argomento su cui l’EDPB si sofferma è la tutela dei minori , prevista dall’articolo 28 DSA, il quale introduce un regime di protezione rafforzato che vieta targeting pubblicitario e impone misure tecniche e organizzative idonee a garantire un ambiente digitale sicuro. Le Linee Guida sottolineano che tali misure devono essere necessarie e proporzionate, evitando sistemi di verifica dell’età eccessivamente invasivi. Qui la convergenza riguarda l’obiettivo di protezione, ma la divergenza emerge nella mancanza di parametri tecnici vincolanti nel DSA, che può condurre a soluzioni incompatibili con i principi di minimizzazione e proporzionalità del GDPR. Le piattaforme di grandi dimensioni e i rischi sistemici, disciplinati dagli articoli 34 e 35 DSA, offrono un esempio aggiuntivo di convergenza e divergenza. Il DSA impone valutazioni periodiche dei rischi per l’integrità dello spazio digitale, mentre il GDPR richiede la DPIA per trattamenti ad alto rischio. Si tratta di strumenti distinti, con finalità diverse, ma che spesso si sovrappongono, generando oneri duplici e margini di incertezza. Le Linee Guida insistono sulla necessità di un approccio integrato, in cui le due valutazioni siano concepite come strumenti complementari e non come adempimenti separati. Infine, i codici di condotta mostrano la differenza di respiro dei due regimi. Gli articoli 45 - 47 DSA prevedono codici volti a regolare l’ecosistema digitale nel suo complesso, mentre l’articolo 40 GDPR disciplina codici settoriali, concepiti per chiarire l’applicazione del regolamento in contesti specifici. La divergenza riguarda sia le finalità sia le procedure di approvazione, che non sono coordinate, con il rischio. Impatti pratici L’intreccio tra DSA e GDPR, per come delineato dalle Linee guida 3/2025 dell’EDPB, impone alle piattaforme un salto di qualità organizzativo , in cui la compliance non è più una compliance segmentata per silos funzionali con la privacy da una parte e la moderazione e trasparenza algoritmica dall’altra, ma richiede una regia unica, capace di coordinare valutazioni d’impatto, governance dei dati, progettazione delle interfacce e controlli sull’affidabilità dei sistemi automatizzati. In termini concreti, ciò significa creare un programma di conformità integrata che unisca nel medesimo ciclo di pianificazione e revisione sia la DPIA sia la valutazione dei rischi sistemici, con registri dei rischi, responsabilità e metriche condivise. L’obiettivo operativo non è la mera adesione a obblighi formali, bensì l’adozione di pratiche verificabili che riducano i rischi per i diritti e rendano trasparenti le scelte che incidono sui contenuti e sui dati. Per gli utenti, l’effetto immediato è un ampliamento delle garanzie visibili avendo a loro disposizione informative più ricche e contestuali, spiegazioni sui parametri dei sistemi di raccomandazione, opzioni non basate su profilazione presentate senza deterrenti e divieti rafforzati sul targeting pubblicitario (soprattutto quando in gioco vi sono categorie particolari di dati o minori). Questo aumento di tutele, però, porta con sé il rischio di ipertrofia informativa, ovvero di essere posti di fronte a diritti frammentati su pagine diverse, linguaggio tecnico poco accessibile, percorsi tortuosi per esercitare i propri diritti e reclami. In tale prospettiva la sfida per gli operatori economici non è banale, questa infatti si concretizza nel tradurre la trasparenza normativa in trasparenza esperienziale tramite: l’uso interfacce che preannunciano gli effetti delle scelte; riepiloghi sintetici dei trattamenti rilevanti; prevedere preferenze persistenti e sempre modificabili, predisporre un sistema di notifiche chiare sulle decisioni e sui rimedi disponibili. Le autorità di controllo, dal canto loro, sono chiamate a creare un circuito di cooperazione che riduca duplicazioni e conflitti interpretativi. La coesistenza di valutazioni di rischio ecosistemiche e di valutazioni d’impatto sui trattamenti rende necessaria una capacità tecnica condivisa su algoritmi, modelli di raccomandazione, pratica di moderazione e gestione di interfacce . In termini pratici, ciò significa sviluppare metodi comuni di audit, Linee Guida tecniche per l’analisi dei sistemi automatizzati e protocolli di scambio informativo che consentano di leggere, con lo stesso linguaggio, i risultati delle diverse valutazioni eseguite dalle piattaforme. L’efficacia del quadro regolatorio dipenderà dalla qualità di questo coordinamento e dalla stabilità interpretativa che saprà assicurare agli operatori. Per rendere operativa la conformità integrata, le piattaforme dovrebbero muoversi su un percorso concreto e verificabile: istituendo un comitato interno con responsabilità trasversali su privacy, moderazione, pubblicità e raccomandazioni, con mandate chiari e potere decisionale sul rischio; allineando la redazione di un DPIA e la valutazione dei rischi sistemici in un’unica roadmap, con un registro dei rischi che mappi eventi, impatti sui diritti e misure di mitigazione, evitando analisi parallele scollegate; imponendo controlli preventivi su raccolta, parametri e conservazione, con “no‑go” tecnici per trattamenti eccedenti, e default orientati alla minimizzazione; progettando informative “vicine” all’azione dell’utente (annunci, raccomandazioni, decisioni di moderazione), con riepiloghi sintetici e link di approfondimento, evitando testi generici e dispersivi; offrendo un’esperienza non profilata realmente utilizzabile, senza penalizzazioni prestazionali e documentare l’assenza di raccolte ulteriori non necessarie; adottando sistemi in grado di rilevare l’età degli utenti raccogliendo solo i dati indispensabili, cancellazione rapida e alternative graduali in base al rischio, evitando soluzioni invasive; documentando logiche, fonti dati, obiettivi e metriche; implementare controlli di bias, explainability e supervisione umana quando l’impatto sui diritti è significativo. offrendo portali unificati per richieste GDPR, reclami DSA, opt‑out e contestazioni, con SLA pubblici e tracciabilità delle decisioni. calibrando l’accesso e la conservazione alla stretta necessità di audit e difesa delle decisioni, evitando accumuli che superino le finalità e i tempi giustificabili. definendo degli Indicatori Chiave di Prestazione di tutela (tempo di risposta ai diritti, tasso di errori nelle decisioni automatizzate, qualità delle spiegazioni, fruibilità dell’opzione non profilata) e sottoporli a revisione periodica. Un’implementazione coerente passa anche da scelte tecniche misurabili . Nelle interfacce, l’evitamento dei design ingannevoli richiede test di usabilità con utenti reali, analisi di confondibilità delle etichette e monitoraggio dei tassi di consenso e opt‑out per individuare anomalie dovute al layout. Nei sistemi di raccomandazione, occorre separare le feature di ranking essenziali da quelle di profilazione, con toggling esplicito, audit trail delle modifiche e valutazioni ex‑ante dei possibili effetti significativi. Nella pubblicità, la trasparenza contestuale va resa machine‑readable e human‑readable, con parametri di targeting e identità del responsabile disponibili in tempo reale e con strumenti di disattivazione granulari e persistenti. L’impatto organizzativo si riflette su ruoli e responsabilità: la funzione privacy deve evolvere verso una capacità di leggere modelli e interfacce; i team di prodotto devono interiorizzare i principi di liceità e minimizzazione; le funzioni legali devono presidiare il bilanciamento tra enforcement e diritti; le funzioni di sicurezza e rischio devono integrare le dimensioni “ecosistema” e “trattamento”. La formazione continua su principi, casi d’uso e scelte progettuali diventa un fattore di conformità sostanziale, più che un adempimento. In prospettiva, la maniera in cui piattaforme e autorità gestiranno questi impatti determinerà tanto l’efficacia delle norme quanto la fiducia nel mercato digitale europeo. Se un’applicazione incoerente o frammentata produrrebbe incertezza e arretramento delle tutele, un coordinamento effettivo, sorretto da strumenti tecnici condivisi e da trasparenza comprensibile agli utenti, può invece trasformare il binomio DSA/GDPR in un modello di riferimento internazionale. Considerazioni conclusive L’analisi condotta mostra che l’interazione tra DSA e GDPR non è un semplice esercizio di coordinamento normativo, ma il cuore della nuova governance digitale europea . Le Linee Guida 3/2025 dell’EDPB hanno chiarito che i due regolamenti non possono essere letti isolatamente. Come si è osservato nei paragrafi precedenti ogni obbligo di trasparenza, ogni procedura di moderazione, ogni sistema di raccomandazione o di pubblicità online ha inevitabili ricadute sul trattamento dei dati personali. La vera posta in gioco non è dunque la mera conformità formale, ma la capacità di costruire un modello unitario in cui sicurezza dell’ecosistema e tutela dei diritti individuali si rafforzino reciprocamente. Il punto centrale è che il DSA e il GDPR incarnano due logiche diverse ma complementari : il primo guarda all’integrità dello spazio digitale e alla responsabilità delle piattaforme, il secondo alla protezione dei dati e alla libertà degli individui. Le tensioni che emergono, dalla conservazione dei dati nelle procedure di notice and action, alla verifica dell’età dei minori, fino alla duplicazione tra risk assessment e DPIA, non sono meri dettagli tecnici, ma il riflesso di questa differenza di prospettiva. Le Linee Guida insistono sul fatto che la conformità non può essere parziale: non basta rispettare il DSA se ciò comporta violazioni del GDPR, né viceversa. La sfida è trasformare le divergenze in complementarità, evitando che la trasparenza si riduca a formalismo e che la protezione dei dati diventi un ostacolo all’efficacia dell’enforcement. Sul piano pratico, ciò significa che le piattaforme devono adottare un approccio integrato alla compliance, gli utenti devono poter esercitare diritti realmente comprensibili e le autorità devono cooperare in modo strutturato, sviluppando competenze tecniche comuni. Sul piano politico e istituzionale, significa che l’Europa sta sperimentando un modello di regolazione che unisce enforcement sistemico e tutela individuale, e che può diventare un riferimento internazionale. Non è un caso che l’EDPB abbia scelto di sottoporre le Linee Guida 3/2025 a consultazione pubblica, aperta fino al 31 ottobre 2025, con la pubblicazione integrale dei contributi ricevuti. Questa scelta conferma che la costruzione di un quadro regolatorio coerente non è solo un compito delle istituzioni, ma un processo partecipativo che coinvolge il singolo cittadino e non solo la comunità accademica. La legittimazione delle regole passa anche attraverso questa apertura al confronto. In definitiva, il punto non è se il DSA e il GDPR siano perfettamente armonizzati, ma se la loro interazione riesca a garantire un equilibrio dinamico tra sicurezza collettiva e libertà individuali. Le Linee Guida 3/2025 sembrerebbero indicare la strada con: un approccio integrato, sostanziale e partecipato, che trasformi la complessità normativa in un elemento di forza del modello europeo. È in questa prospettiva che il binomio DSA - GDPR può diventare non solo un insieme di obblighi, ma un vero e proprio paradigma di governance digitale fondato sulla trasparenza, sulla proporzionalità e sulla tutela effettiva dei diritti fondamentali.