Il doppio imperativo di uno spazio digitale sicuro e conforme alla privacy
Il panorama normativo europeo in materia digitale si fonda su due strumenti che, a prima vista, sembrano muoversi in direzioni diverse ma in realtà si completano: il Digital Services Act (DSA) e il General Data Protection Regulation (GDPR). Il primo mira a rendere gli spazi online più sicuri e trasparenti, definendo in modo preciso le responsabilità delle piattaforme nella gestione dei contenuti illegali. Il secondo, invece, tutela uno dei diritti fondamentali dell’individuo: la protezione dei dati personali.
La sfida operativa per le piattaforme online sta nel bilanciare l'incoraggiamento del DSA verso una moderazione proattiva dei contenuti con le stringenti regole su come i dati personali possono essere trattati, imposte dal GDPR. Infatti, ogni misura di moderazione si traduce, inevitabilmente, in un trattamento di dati.
Questi due strumenti non sono, quindi, quadri giuridici in conflitto, bensì concepiti per operare in sinergia, imponendo un sistema di controlli ed equilibri. L’articolo 7 del DSA, in particolare, deve essere interpretato correttamente non come una base giuridica autonoma per il trattamento dei dati ai sensi del GDPR, ma come uno "scudo di responsabilità". In altre parole, la tensione tra i due strumenti non è di natura legale ma operativa. Da un lato il DSA spinge le piattaforme a una moderazione dei contenuti proattiva. Dall’altro, il GDPR le vincola strettamente ai principi di liceità, necessità e proporzionalità nelle operazioni di trattamento dei dati personali. Il contesto risultante è, ovviamente, ad alto rischio, in quanto una moderazione eccessivamente zelante può portare a sanzioni ai sensi del GDPR, mentre una moderazione inadeguata espone a responsabilità e sanzioni ai sensi del DSA.
L’articolo 7 del DSA, la cosiddetta clausola del “buon samaritano”, chiarisce che le indagini volontarie sui contenuti illegali non comportano di per sé la perdita dell’esenzione di responsabilità per il fornitore. Problema che era molto sentito con la vecchia normativa, la Direttiva eCommerce. Questo cambiamento di rotta crea, in effetti, un forte incentivo alla moderazione proattiva. Tuttavia, ciò non vuol dire che il DSA possa essere utilizzato come base giuridica di per sé. Il GDPR continua a richiedere una base giuridica specifica e valida per qualsiasi trattamento di dati, base che andrà ritrovata nell’articolo 6 del Regolamento europeo.
In questo quadro, l’European Data Protection Board (EDPB), ha già chiarito in modo inequivocabile che l’articolo 7 del DSA non costituisce una base giuridica. Per la moderazione dei contenuti, attività di trattamento ad alto impatto, specialmente se basata su strumenti automatizzati, l’EDPB suggerisce il legittimo interesse (art. 6, par. 1, lett. f) del GDPR). Si tratta di una base giuridica che impone comunque una complessa e documentata “valutazione del legittimo interesse” (Legitimate Interest Assessment – LIA), nella quale la piattaforma deve dimostrare che i propri interessi non prevalgono sui diritti e le libertà fondamentali degli individui. In conclusione, per beneficiare dello scudo di responsabilità del DSA per le misure proattive, una piattaforma deve prima superare gli ostacoli di accountability del GDPR.
Non siamo in presenza di un conflitto di norme, bensì di un delicato sistema di pesi e contrappesi che costringe le piattaforme a internalizzare i costi e le responsabilità sia della sicurezza che della protezione dei dati personali. Il fallimento su uno dei due fronti comporta severe sanzioni finanziarie che possono arrivare fino al 6% del fatturato globale annuo per il DSA e al 4% per il GDPR.
Il quadro del DSA per la gestione dei contenuti illegali
Per comprendere appieno il ruolo dell'articolo 7, è essenziale analizzarlo nel contesto degli altri meccanismi di moderazione previsti dal DSA. Il regolamento non tratta tutta la moderazione dei contenuti allo stesso modo, ma stabilisce una chiara gerarchia basata sull'origine dell'azione e sul grado di autonomia della piattaforma. Questa distinzione è il primo passo cruciale per determinare il corretto percorso di conformità al GDPR.
Articolo 7 - La Clausola del 'Buon Samaritano' per le indagini volontarie
L'articolo 7 del DSA, intitolato "Indagini volontarie di propria iniziativa e conformità con la legge", svolge una funzione legale precisa: rimuovere un disincentivo alla moderazione proattiva che esisteva nel precedente quadro normativo della Direttiva sul commercio elettronico (2000/31/CE). Prima del DSA, le piattaforme temevano che la ricerca attiva di contenuti illegali potesse creare una "conoscenza effettiva" ("actual knowledge"), invalidando così il loro scudo di responsabilità e esponendole a contenziosi.
L'articolo 7 neutralizza esplicitamente questo rischio. Stabilisce che i fornitori di servizi intermediari non sono considerati ineleggibili per le esenzioni di responsabilità (previste dagli articoli 4, 5 e 6 del DSA) per il solo fatto di condurre, in buona fede e con diligenza, indagini volontarie di propria iniziativa o di adottare altre misure volte a individuare, identificare e rimuovere contenuti illegali o a disabilitarvi l'accesso. Si tratta di una clausola permissiva, non di un mandato. Permette la sorveglianza volontaria ma non la impone. Il suo scopo è incoraggiare le piattaforme a essere proattive nel mantenere un ambiente online più sicuro, senza penalizzarle per questo sforzo. Tuttavia, è fondamentale sottolineare che questa disposizione riguarda esclusivamente la questione della responsabilità dell'intermediario e non conferisce alcun diritto o base giuridica per il trattamento dei dati personali necessario per condurre tali indagini.
Articolo 9 - Rispondere a ordini giuridici obbligatori
In netto contrasto con la natura volontaria dell'articolo 7, l'articolo 9 del DSA ("Ordini di contrastare i contenuti illegali") disciplina gli obblighi non discrezionali imposti alle piattaforme da ordini legalmente vincolanti. Questi ordini possono essere emessi da autorità giudiziarie o amministrative nazionali competenti, sulla base del diritto dell'Unione o del diritto nazionale.
Quando un fornitore di servizi intermediari riceve un ordine conforme all'articolo 9, non ha la facoltà di scegliere se agire o meno; la conformità è obbligatoria. Il DSA standardizza i requisiti che tali ordini devono soddisfare per essere considerati validi, includendo elementi come la base giuridica, una motivazione chiara, l'identificazione dell'autorità emittente e l'indicazione precisa dei contenuti da rimuovere (ad esempio, tramite URL esatti). Questo assicura chiarezza legale e facilita l'applicazione transfrontaliera. Le piattaforme sono tenute a informare l'autorità emittente del seguito dato all'ordine. Per gestire efficacemente questo flusso di comunicazioni obbligatorie, i fornitori devono designare punti di contatto unici. Questo meccanismo rappresenta un'imposizione diretta dell'autorità statale sulla piattaforma, eliminando qualsiasi margine di discrezionalità operativa nella decisione di rimuovere il contenuto specificato.
Articolo 16 - Il Meccanismo di 'Segnalazione e Azione'
L'articolo 16 del DSA ("Meccanismi di segnalazione e azione") istituisce un dovere reattivo per i fornitori di servizi di hosting, comprese le piattaforme online. A differenza della proattività dell'articolo 7 e della natura obbligatoria dell'articolo 9, l'obbligo ai sensi dell'articolo 16 è innescato da un'azione esterna: una notifica da parte di qualsiasi individuo o entità.
Il testo completo dell'articolo 16 impone ai fornitori di mettere in atto meccanismi "di facile accesso e di agevole utilizzo" che consentano la segnalazione di contenuti considerati illegali. Una volta ricevuta una notifica sufficientemente precisa e motivata, il fornitore acquisisce "conoscenza o consapevolezza effettiva" ai fini della sua responsabilità (ai sensi dell'articolo 6 del DSA). Questo innesca l'obbligo di trattare la segnalazione e di prendere una decisione in merito alle informazioni in essa contenute "in modo tempestivo, diligente, non arbitrario e obiettivo". La piattaforma deve quindi informare senza indebito ritardo il segnalante della sua decisione e delle possibilità di ricorso disponibili. Questo meccanismo, quindi, non è né puramente volontario né imposto da un'autorità, ma rappresenta un dovere di risposta a una sollecitazione esterna, che attiva la responsabilità della piattaforma.
L'analisi comparata di questi tre articoli rivela che il DSA non adotta un approccio monolitico alla moderazione dei contenuti. Al contrario, crea una gerarchia di agenzia e obbligazione che è fondamentale per la conformità. Questa gerarchia può essere così sintetizzata:
1. Azione Discrezionale (Articolo 7): la piattaforma agisce di propria iniziativa, con la massima autonomia. L'azione è permessa e incoraggiata, ma non obbligatoria.
2. Dovere Reattivo (Articolo 16): l'obbligo della piattaforma di agire è innescato da un soggetto esterno (un utente o un'entità). L'autonomia della piattaforma è limitata alla valutazione e alla decisione sulla segnalazione.
3. Mandato Obbligatorio (Articolo 9): l'agenzia della piattaforma è completamente rimossa. Essa deve agire come un mero esecutore di un ordine legale emesso da un'autorità pubblica.
La corretta categorizzazione di un'attività di moderazione all'interno di questa gerarchia è il nesso causale che determina l'intera catena di conformità al GDPR. L'orientamento dell'EDPB collega direttamente questo livello di agenzia alla scelta della corretta base giuridica del GDPR. Classificare erroneamente un'azione volontaria come un obbligo legale, ad esempio, porterebbe all'adozione di una base giuridica errata e indifendibile per il trattamento dei dati, con conseguenze legali e finanziarie potenzialmente gravi. Pertanto, il primo e più critico passo in qualsiasi flusso di lavoro sulla conformità della moderazione dei contenuti è identificare correttamente la natura dell'evento secondo la gerarchia del DSA.
Il GDPR come unico arbitro per la liceità del trattamento dei dati
Il principio giuridico fondamentale che governa l'interazione tra i due regolamenti è la supremazia del GDPR in materia di protezione dei dati. L'articolo 2, paragrafo 4, lettera g), del DSA stabilisce esplicitamente che il regolamento si applica "fatti salvi" i requisiti del GDPR. L'EDPB ha costantemente ribadito questo punto, chiarendo che il DSA non costituisce una lex specialis che deroga al GDPR.
Ciò significa che il DSA non crea nuove basi giuridiche per il trattamento dei dati, né modifica quelle esistenti nel GDPR. Ogni attività di trattamento di dati personali intrapresa per conformarsi agli obblighi del DSA, o nell'esercizio delle facoltà da esso concesse, deve trovare una giustificazione autonoma e valida all'interno dell'articolo 6 del GDPR (e, se del caso, dell'articolo 9). Questo principio è assoluto e non negoziabile. Pertanto, l'articolo 7 del DSA non può essere invocato come base giuridica per il trattamento dei dati; esso si limita a definire il perimetro della responsabilità dell'intermediario.
Il Legittimo Interesse (Art. 6, par. 1, lett. f) GDPR) come Base per la Moderazione Volontaria
Nelle sue Linee Guida 3/2025 sull'interazione tra DSA e GDPR, l'EDPB indica che la base giuridica appropriata per il trattamento dei dati personali è, nella generalità dei casi, il "legittimo interesse" del titolare del trattamento, ai sensi dell'articolo 6, paragrafo 1, lettera f) del GDPR.
Il legittimo interesse di una piattaforma potrebbe consistere nel suo interesse commerciale a mantenere un ambiente sicuro, affidabile e attraente per gli utenti, nel proteggere i destinatari del servizio da danni (come frodi, discorsi d'odio o disinformazione), e nel salvaguardare la propria reputazione e il proprio marchio. Tuttavia, fare affidamento su questa base giuridica non è una mera formalità. Essa impone al titolare del trattamento l'obbligo di condurre e documentare una Valutazione del Legittimo Interesse (LIA). Questa valutazione non è facoltativa e deve applicare rigorosamente un test in tre parti:
1. Test di Finalità (Purpose Test): il titolare deve identificare e articolare in modo chiaro e specifico l'interesse legittimo perseguito. Non è sufficiente un riferimento generico alla "sicurezza della piattaforma". L'interesse deve essere concreto, attuale e lecito. Ad esempio: "prevenire la diffusione di materiale pedopornografico sul nostro servizio" o "individuare e rimuovere account che conducono campagne di disinformazione coordinate".
2. Test di Necessità (Necessity Test): il titolare deve dimostrare che il trattamento dei dati personali è strettamente necessario per raggiungere tale finalità. Ciò implica una valutazione della proporzionalità: il trattamento è un modo ragionevole per raggiungere l'obiettivo? Esistono alternative meno intrusive per i diritti degli interessati che potrebbero raggiungere lo stesso scopo? Ad esempio, se l'obiettivo è rimuovere contenuti illegali specifici, è necessario scansionare il contenuto di tutte le comunicazioni private degli utenti o è sufficiente analizzare i contenuti pubblici?
3. Test di Bilanciamento (Balancing Test): questa è la fase più critica. Il titolare deve effettuare un bilanciamento ponderato tra i propri interessi legittimi e gli interessi o i diritti e le libertà fondamentali degli interessati (gli utenti). Questo bilanciamento deve tenere conto di una serie di fattori, tra cui:
◦ La natura dei dati personali: si tratta di dati sensibili? Dati di minori? Dati che gli utenti considererebbero particolarmente privati?
◦ Le ragionevoli aspettative degli interessati: un utente si aspetterebbe ragionevolmente che i suoi post, le sue immagini o i suoi messaggi vengano analizzati da algoritmi per individuare potenziali illegalità?
◦ L'impatto potenziale sugli interessati: quali sono le conseguenze di un errore? Un falso positivo potrebbe portare alla sospensione ingiusta di un account, limitando la libertà di espressione. Un'analisi su larga scala potrebbe creare un "chilling effect", scoraggiando gli utenti dall'esprimere opinioni legittime per paura di essere fraintesi da un algoritmo.
La scelta dell'EDPB di designare il "legittimo interesse" come base per le azioni ai sensi dell'articolo 7 è una decisione regolamentare strategica. Si sarebbe potuto argomentare che l'obiettivo generale del DSA di creare un internet più sicuro costituisca un obbligo legale onnicomprensivo, consentendo alle piattaforme di utilizzare la base più semplice dell'articolo 6, paragrafo 1, lettera c) del GDPR per tutta la moderazione. Invece, le linee guida dell'EDPB tracciano una distinzione netta: le azioni obbligatorie si basano sull'articolo 6(1)(c), mentre quelle volontarie sull'articolo 6(1)(f).
L'articolo 6(1)(f) è unico nel GDPR in quanto è l'unica base che richiede al titolare di condurre e documentare un test di bilanciamento proattivo (la LIA) rispetto ai diritti fondamentali degli individui. L'onere della prova per dimostrare che il bilanciamento è a favore del titolare ricade interamente sulla piattaforma. Questo costringe la piattaforma a giustificare formalmente, sulla base della protezione dei dati, perché la sua decisione commerciale di implementare un sistema di moderazione proattiva (ad esempio, un filtro AI per l'hate speech) è necessaria e proporzionata, e perché i suoi interessi prevalgono sull'impatto sulla privacy di ogni utente i cui dati sono analizzati da quel sistema. Ciò trasforma una scelta aziendale in un esercizio formale e documentato di accountability in materia di protezione dei dati. È un potente meccanismo per integrare la privacy by design nel cuore della moderazione dei contenuti, impedendo alle piattaforme di utilizzare il DSA come giustificazione generale per un monitoraggio invasivo.
L'obbligo legale (Art. 6, par. 1, lett. c) GDPR) come base per l'azione obbligatoria
Quando una piattaforma agisce in risposta a un ordine emesso ai sensi dell'articolo 9 del DSA, la situazione giuridica è molto più lineare. In questo caso, il trattamento dei dati personali non è una scelta discrezionale, ma è necessario per adempiere a un obbligo legale.
Pertanto, la base giuridica corretta e diretta è l'articolo 6, paragrafo 1, lettera c) del GDPR: "il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento". L'obbligo legale è l'ordine stesso, emesso da un'autorità competente. Il trattamento deve essere limitato a quanto strettamente necessario per conformarsi a tale ordine. Ad esempio, se l'ordine richiede la rimozione di un video specifico identificato da un URL, il trattamento dovrebbe limitarsi ai dati associati a quel video e a quell'URL, senza estendersi ad altri contenuti dell'utente. In questo scenario, non è richiesta una LIA, poiché la liceità del trattamento deriva direttamente dalla legge.
La gestione delle categorie particolari di dati (Art. 9 GDPR)
Una delle sfide più significative nella moderazione dei contenuti è la probabilità quasi certa di trattare "categorie particolari di dati personali" (precedentemente noti come dati sensibili). L'articolo 9, paragrafo 1, del GDPR vieta il trattamento di dati che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
Il DSA stesso rafforza questa protezione, con un divieto assoluto di utilizzare categorie particolari di dati per la pubblicità mirata basata sulla profilazione (articolo 26, paragrafo 3), anche in presenza del consenso dell'utente.
Per la moderazione dei contenuti, il divieto dell'articolo 9(1) può essere superato solo se si applica una delle eccezioni elencate nell'articolo 9(2). Per la moderazione volontaria ai sensi dell'articolo 7 del DSA, trovare un'eccezione applicabile è estremamente complesso. Il "consenso esplicito" (art. 9, par. 2, lett. a)) è impraticabile su larga scala per la scansione di tutti i contenuti degli utenti. L'eccezione più plausibile, sebbene soggetta a un esame molto rigoroso, è quella per "motivi di interesse pubblico rilevante" (art. 9, par. 2, lett. g)). Tuttavia, questa eccezione richiede che l'interesse pubblico sia previsto dal diritto dell'Unione e preveda misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato. Ciò crea un ostacolo legale significativo per le piattaforme che intendono moderare proattivamente contenuti che rientrano in queste categorie sensibili, richiedendo una base giuridica nazionale o europea molto solida e specifica che vada oltre le disposizioni generali del DSA.
Un quadro operativo per una conformità integrata
Per fornire chiarezza operativa, è utile strutturare il processo di conformità in base alla gerarchia più sopra identificata. La tabella seguente mappa l'evento scatenante della moderazione al quadro giuridico applicabile e alla documentazione richiesta, fungendo da guida pratica per i team legali e di conformità. Questo strumento distilla l'analisi complessa del rapporto in una checklist operativa, riducendo il rischio di errori legali e standardizzando i processi interni.
| Fattore scatenante della moderazione | Articolo DSA rilevante | Descrizione dell'azione | Base giuridica primaria del GDPR | Documentazione/azione GDPR richiesta |
| Indagine volontaria | Art. 7 | Ricerca proattiva e di propria iniziativa di contenuti illegali tramite sistemi propri della piattaforma (es. filtri AI, team di revisione umana). | Art. 6(1)(f) - Legittimo Interesse | Valutazione del Legittimo Interesse (LIA) obbligatoria e documentata per ogni attività di trattamento. Potenziale DPIA. Se sono coinvolti dati di categorie particolari, deve essere identificata e soddisfatta una condizione dell'Art. 9(2) (es. interesse pubblico rilevante). |
| Ordine di un'autorità | Art. 9 & 10 | Ordine obbligatorio e legalmente vincolante da parte di un'autorità giudiziaria o amministrativa di agire contro un contenuto o fornire informazioni. | Art. 6(1)(c) - Obbligo Legale | Mantenere un registro dell'ordine legale. Verificare la validità dell'ordine. Nessuna LIA richiesta. Il trattamento deve essere limitato a quanto necessario per conformarsi all'ordine. |
| Notifica di utente/entità | Art. 16 | Dovere reattivo innescato da una segnalazione da parte di un individuo o di un'entità che asserisce che un contenuto specifico è illegale. | Art. 6(1)(f) - Legittimo Interesse (per il trattamento della segnalazione) e/o Art. 6(1)(c) - Obbligo Legale (se la notifica crea un obbligo ai sensi del diritto nazionale). | Documentare la segnalazione e il processo decisionale. Garantire la trasparenza nei confronti del segnalante e del fornitore del contenuto (Art. 17 DSA). Applicare la minimizzazione dei dati raccolti dal segnalante. |
Mitigazione del rischio, trasparenza e accountability
Oltre a scegliere la base giuridica corretta, una strategia di conformità completa deve includere diversi elementi chiave:
- Valutazioni d'impatto sulla Protezione dei Dati (DPIA): per qualsiasi trattamento che presenti un rischio elevato per i diritti e le libertà delle persone fisiche, l'articolo 35 del GDPR rende obbligatoria una DPIA. L'EDPB ha esplicitamente indicato che attività come il monitoraggio sistematico su larga scala o l'uso di nuove tecnologie (come l'IA per la moderazione) rientrano probabilmente in questa categoria. Una DPIA deve valutare sistematicamente la necessità e la proporzionalità del trattamento, analizzare i rischi per gli interessati e identificare le misure per mitigarli. È uno strumento essenziale di accountability.
• Trasparenza e diritti degli utenti: la conformità non è solo un esercizio interno. Sia il DSA che il GDPR impongono obblighi di trasparenza. Le piattaforme devono fornire motivazioni chiare e specifiche agli utenti quando i loro contenuti vengono limitati o rimossi (articolo 17 del DSA). Le informative sulla privacy (ai sensi degli articoli 13 e 14 del GDPR) devono essere aggiornate per descrivere in dettaglio le attività di moderazione, le loro finalità e le basi giuridiche invocate. Gli utenti devono avere accesso a sistemi di gestione dei reclami interni efficaci (articolo 20 del DSA) e ad altri meccanismi di ricorso.
• Accountability e Governance: in linea con il principio di accountability del GDPR, le piattaforme devono mantenere registri completi delle loro attività di moderazione, delle LIA, delle DPIA e delle decisioni prese. Questa documentazione è fondamentale per dimostrare la conformità alle autorità di controllo. Ciò richiede una solida struttura di governance interna in cui i team legali, di privacy e di sicurezza (Trust & Safety) collaborino strettamente.
I requisiti legali, profondamente tecnici e procedurali, impongono un cambiamento di paradigma fondamentale. La conformità efficace deve essere progettata e integrata nei sistemi di moderazione fin dal loro concepimento, piuttosto che essere un approccio reattivo basato su policy. LIA documentate, potenziali DPIA, minimizzazione dei dati nei meccanismi di segnalazione, supervisione umana per le decisioni automatizzate che producono effetti significativi e una solida rendicontazione sulla trasparenza non sono funzionalità che possono essere aggiunte a posteriori a un sistema preesistente. Ad esempio, un modello di moderazione AI addestrato su set di dati inutilmente ampi non può essere reso retroattivamente conforme al principio di minimizzazione. Un sistema di sospensione completamente automatizzato senza un processo di revisione umana significativo integrato è fondamentalmente non conforme all'articolo 22 del GDPR in molti contesti. Pertanto, la conformità deve essere un vincolo di progettazione fondamentale fin dalle prime fasi di sviluppo del prodotto e del sistema. Esperti legali e di privacy devono essere integrati nei team di ingegneria e di prodotto per garantire che gli strumenti di moderazione siano costruiti per essere conformi by design. Questo modello operativo, spesso chiamato "Privacy by Design" (un principio fondamentale del GDPR), deve ora essere ampliato a "Privacy and Safety by Design", riflettendo il duplice obbligo imposto dal nuovo quadro normativo europeo.
Conclusione e raccomandazioni strategiche
L'analisi dettagliata dell'interazione tra l'articolo 7 del DSA e il GDPR porta a conclusioni nette e operative per i fornitori di servizi intermediari.
1. L'articolo 7 del DSA è uno scudo di responsabilità, non una base giuridica. La sua funzione è quella di incoraggiare le indagini volontarie sui contenuti illegali, chiarendo che tali attività non comportano automaticamente la perdita delle esenzioni di responsabilità. Non costituisce, in alcun modo, una base giuridica autonoma né per l'atto di moderazione in sé, né per il trattamento dei dati personali ad esso associato.
2. La giustificazione per il trattamento dei dati risiede esclusivamente nel GDPR. Qualsiasi trattamento di dati personali effettuato nel contesto della moderazione dei contenuti deve trovare la sua liceità all'interno del quadro normativo del GDPR.
3. La base giuridica dipende dalla natura dell'azione. Per le azioni volontarie e proattive intraprese ai sensi dell'articolo 7 del DSA, la base giuridica corretta è l'articolo 6, paragrafo 1, lettera f) del GDPR (Legittimo Interesse). L'uso di questa base impone l'obbligo non derogabile di condurre e documentare una Valutazione del Legittimo Interesse (LIA).
4. L'obbligo legale si applica alle azioni obbligatorie. Per le azioni intraprese in risposta a un ordine legale vincolante ai sensi dell'articolo 9 del DSA, la base giuridica corretta è l'articolo 6, paragrafo 1, lettera c) del GDPR (Obbligo Legale).
5. Le categorie particolari di dati richiedono una cautela eccezionale. Il trattamento di dati sensibili ai sensi dell'articolo 9 del GDPR è di norma vietato e richiede l'identificazione di una delle specifiche e restrittive eccezioni previste, rappresentando una sfida legale significativa per la moderazione proattiva.
La raccomandazione strategica finale per gli intermediari online è di superare un approccio frammentato alla conformità legale. Una strategia di successo e difendibile richiede la creazione di un quadro di governance integrato in cui i team di sicurezza, legali e di privacy collaborino per implementare una metodologia di "Privacy and Safety by Design" in tutti i prodotti e le operazioni. Questo approccio proattivo e integrato, che considera la conformità come un requisito di progettazione fondamentale piuttosto che un controllo a posteriori, è l'unico modo per navigare efficacemente nel complesso e rischioso ambiente normativo creato dall'interazione tra il DSA e il GDPR.
