DSA e GDPR: Contenuti Illeciti, Reclami, Dark Pattern e Minori
Recentemente l’European Data Protection Board (EDPB) ha pubblicato le prime linee guida specifiche sull’interazione tra il Digital Services Act (DSA) e il General Data Protection Regulation (GDPR). Questi orientamenti sono fondamentali per chiarire come garantire la protezione dei dati personali nell’ambito del DSA, che introduce norme dettagliate per moderare contenuti digitali, segnalare illeciti e tutelare gli utenti online.
CONTENUTI ILLECITI E INDAGINI VOLONTARIE
Un tema centrale riguarda la gestione dei contenuti illeciti online. Le piattaforme sono autorizzate a svolgere indagini volontarie per individuare contenuti illegali, come hate speech, materiale terroristico o violazioni del copyright. Il GDPR richiede che tali attività di trattamento dati personali abbiano una base giuridica valida. L’EDPB indica in generale l’interesse legittimo come fondamento (art. 6.1.f GDPR), previa esecuzione di un “legitimate interest assessment” (LIA), per assicurare che la tutela della piattaforma non prevarichi i diritti degli utenti. Nel caso in cui la rimozione sia imposta dalla legge, si applica la base dell’adempimento di obblighi legali (art. 6.1.c GDPR).
Questa attività deve essere proporzionata e cauta, evitando trattamenti eccessivi o inutili. Inoltre, se si utilizzano sistemi automatizzati che possono avere impatti rilevanti sulla persona (es. rimozione automatica di contenuti), si applicano le restrizioni previste dall’art. 22 GDPR per le decisioni completamente automatizzate, garantendo procedure di revisione umana.
NOTICE-AND-ACTION E RECLAMI INTERNI
Il DSA introduce sistemi obbligatori di segnalazione di contenuti illeciti (notice-and-action) che richiedono di raccogliere dati personali sia del segnalante sia del segnalato. L’EDPB raccomanda che l’identificazione del segnalante rimanga facoltativa, salvo casi eccezionali di giustificata necessità, per esempio nei procedimenti di enforcement del diritto d’autore. Quando i dati del segnalante vengono comunicati al destinatario della segnalazione, questa operazione deve essere limitata al minimo indispensabile e sempre accompagnata da una preventiva informativa al segnalante stesso in conformità alle disposizioni del GDPR.
Per quanto riguarda i reclami interni, i fornitori devono garantire una gestione con supervisione umana che assicuri trasparenza, accuratezza dei dati trattati e misure di minimizzazione, evitando abusi e garantendo il diritto di difesa degli utenti.
DARK PATTERNS E INTERFACCE INGANNEVOLI
Le linee guida evidenziano il divieto di utilizzare “dark patterns” o interfacce ingannevoli progettate per manipolare le scelte degli utenti. Tali pratiche comprendono, per esempio, la configurazione di default dei sistemi di raccomandazione che favorisce la profilazione invasiva o induce ad accettare condizioni meno favorevoli. Questi comportamenti sono contrari al principio di trasparenza e limitano la libertà decisionale, violando anche il GDPR. Le piattaforme devono pertanto implementare design chiari, corretti e non manipolativi.
PUBBLICITÀ E PROFILAZIONE
I sistemi di raccomandazione personalizzata e profilazione degli utenti sono ampiamente usati nelle piattaforme digitali per personalizzare contenuti e pubblicità. Le linee guida raccomandano di valutare attentamente se tali sistemi costituiscano decisioni automatizzate con effetti significativi, soggette alle garanzie previste dall’art. 22 GDPR, compresa la possibilità per l’utente di chiedere interventi umani o scegliere modalità non profilate.
Inoltre, è importante garantire la trasparenza sui dati raccolti e sulle modalità di profilazione utilizzate, nonché la possibilità di opt-out o accesso a modalità alternative, evitando influenze indebite nelle decisioni degli utenti.
TUTELA DEI MINORI
Il documento dedica particolare attenzione alla protezione dei dati personali dei minori, riconoscendo l’esigenza di adottare misure specifiche per evitare che pratiche come la pubblicità mirata e la profilazione possano danneggiare i diritti dei minori. Le piattaforme devono implementare garanzie rafforzate, come limitazioni nella profilazione e maggiori controlli sulla pubblicità rivolta o visibile ai minori, in linea con quanto previsto dal DSA e dal GDPR.
Queste linee guida dell’EDPB rappresentano un passo cruciale per un’applicazione coerente e integrata tra DSA e GDPR, ottenendo un equilibrio efficace tra sicurezza digitale, tutela della privacy e diritti fondamentali degli utenti online, con particolare riguardo ai contenuti illeciti, la governance delle segnalazioni, la trasparenza delle interfacce, la profilazione e la protezione dei minori.
Approfondisci qui
