Innovation Law Insights

Intersezioni digitali: le Linee guida dell’EDPB sull’applicazione coordinata di DSA e GDPR

Il Regolamento (UE) 2022/2065 sui servizi digitali (di seguito, “DSA”) e il Regolamento (UE) 2016/679 (di seguito, “GDPR”) rappresentano due pilastri complementari della nuova infrastruttura normativa europea, destinata a ridefinire la responsabilità degli intermediari online e la protezione dei dati personali nell’economia digitale.

Con l’adozione delle Guidelines 3/2025 on the interplay between the Digital Services Act and the GDPR (di seguito, le “Linee guida”), il Comitato europeo per la protezione dei dati (di seguito, “EDPB”) ha inaugurato un percorso di interpretazione sistematica volto a chiarire come i due regolamenti debbano interagire in modo coerente e reciprocamente integrato.

L’obiettivo dichiarato è duplice:

• assicurare che le disposizioni del DSA che comportino trattamenti di dati personali siano applicate in conformità al GDPR e,
• parallelamente, garantire che l’attuazione del GDPR tenga conto delle nuove dinamiche di responsabilità introdotte dal DSA.

Le Linee guida insistono, inoltre, sulla necessità di una cooperazione strutturata tra Coordinatori dei Servizi Digitali, Autorità Garanti e Commissione europea; essenziale per prevenire sovrapposizioni di competenze, disallineamenti interpretativi e rischi di bis in idem nell’applicazione dei due quadri regolatori.

In questa prospettiva, l’EDPB non si limita a fornire chiarimenti tecnici, ma delinea un modello di governance integrata del digitale, in cui la protezione dei dati personali, la trasparenza dei processi decisionali e la responsabilità delle piattaforme convergono verso un’unica architettura di fiducia e accountability, destinata a diventare la cifra distintiva della regolazione europea dei servizi online.

1. Due facce della stessa medagliaIl DSA e il GDPR rappresentano le due colonne portanti del diritto digitale europeo: il primo mira a costruire uno spazio online sicuro e trasparente, il secondo garantisce che ogni attività digitale rispetti i principi di liceità, proporzionalità e minimizzazione del trattamento. In vigore dal 17 febbraio 2024, il DSA si applica a tutti i fornitori di servizi di intermediazione, imponendo obblighi rafforzati alle Very Large Online Platforms (“VLOPs”) e ai Very Large Online Search Engines (“VLOSEs”). Le Linee guida chiariscono che il DSA non è lex specialis rispetto al GDPR: entrambi, di pari rango, devono essere applicati in modo coerente. L’articolo 2(4)(g) e il considerando 10 DSA confermano che la protezione dei dati personali resta disciplinata dal GDPR e dalla Direttiva ePrivacy. Ogni obbligo del DSA che implichi trattamenti di dati deve dunque rispettare il GDPR; emblematici in tal senso l’articolo 26(3) DSA sul divieto di pubblicità fondata su categorie particolari di dati e l’articolo 28(2) DSA sul rinvio alla profilazione di cui all’articolo 4(4) GDPR. La vigilanza è affidata ai Digital Services Coordinators (“DSC”) negli Stati membri e alla Commissione europea per i grandi operatori, assistiti dall’European Board for Digital Services (“EBDS”). Le Linee guida promuovono una cooperazione strutturata tra EBDS ed EDPB, in base al principio di leale cooperazione, per evitare duplicazioni e conflitti interpretativi. In questo equilibrio, il DSA struttura la responsabilità e la trasparenza delle piattaforme, mentre il GDPR continua a presidiare i diritti fondamentali: due strumenti complementari di una stessa architettura di fiducia nell’ecosistema digitale europeo.

2. La rilevazione volontaria dei contenuti illegali: equilibrio tra responsabilità delle piattaforme e principi del GDPR

L’articolo 7 DSA consente ai prestatori di servizi di intermediazione digitale – inclusi hosting services, piattaforme online e VLOPs – di individuare e rimuovere volontariamente contenuti illegali senza perdere le esenzioni di responsabilità di cui agli articoli da 4 a 6 DSA, purché nel pieno rispetto del GDPR e dei suoi principi di liceità, correttezza, trasparenza e proporzionalità. Le tecniche di rilevazione basate su machine learning o riconoscimento automatico implicano trattamenti potenzialmente invasivi: l’EDPB avverte che possono equivalere a monitoraggio sistematico, con rischi di errori, bias e indebite restrizioni della libertà di espressione, e impone un controllo umano effettivo che garantisca proporzionalità e legittimità dell’intervento. Le Linee guida distinguono due scenari:

• se il prestatore agisce di propria iniziativa, la base giuridica è l’articolo 6(1)(f) GDPR e dunque il legittimo interesse del titolare, applicabile solo se il trattamento è necessario, proporzionato e non prevalgono i diritti degli interessati, previa documentazione del bilanciamento e informativa chiara ai sensi degli articoli 13 e 14 GDPR;
• se il trattamento deriva da un obbligo di legge, la base è l’articolo 6(1)(c) GDPR, subordinata a norme chiare e proporzionate e alla verifica di conformità con gli articoli 9 e 10 DSA. Il considerando 56 conferma che l’articolo 7 non costituisce base autonoma per profilazione o rilevazione di reati.

Le decisioni automatizzate, dal canto loro, richiedono controllo umano reale, poiché la mera supervisione formale non basta a superare il divieto dell’articolo 22(1) GDPR. Gli articoli 14 e 17 DSA rafforzano la trasparenza, imponendo la statement of reasons per ogni limitazione o rimozione di contenuti, specificando se l’intervento sia automatizzato o volontario. Poiché tali attività comportano criteri di rischio elevato (profilazione, monitoraggio sistematico, decisioni automatizzate), i fornitori devono condurre una Valutazione d'impatto sulla protezione dei dati personali (di seguito, "DPIA") ex articolo 35 GDPR e, se necessario, consultare l’autorità. L’articolo 7 DSA diviene così un banco di prova della digital due diligence: promuove sicurezza e fiducia solo se le piattaforme rispettano pienamente le garanzie del GDPR.

3. Segnalazioni, reclami e abusi: il trattamento dei dati nei meccanismi di “notice and action”

L’articolo 16 DSA impone ai prestatori di servizi di hosting di predisporre meccanismi elettronici di segnalazione dei contenuti illegali (notice and action), accessibili e trasparenti, anche tramite trusted flaggers. Questi processi comportano il trattamento dei dati personali del segnalante (notifier), del destinatario e di eventuali terzi, rispetto ai quali il prestatore agisce come data controller nel pieno rispetto del GDPR.

• I dati raccolti – idealmente solo nome ed e-mail – devono essere limitati al necessario, in linea con l’articolo 5(1)(c) GDPR, garantendo la possibilità di segnalazioni anonime salvo quando l’identità sia essenziale, come per le violazioni del diritto d’autore.
• L’identità del segnalante può essere comunicata solo se strettamente necessaria e previa informativa ai sensi dell’articolo 13 GDPR.
• L’articolo 16(6) DSA consente l’uso di sistemi automatizzati per la gestione delle segnalazioni, ma le decisioni con effetti giuridici devono includere un intervento umano effettivo e rispettare le garanzie dell’articolo 22 GDPR.
• L’articolo 17 DSA rafforza la trasparenza, imponendo una statement of reasons per ogni rimozione o limitazione di contenuti, specificando se l’intervento sia stato automatizzato.
• Gli articoli 20 e 23 DSA completano il quadro: il primo riconosce a segnalanti e destinatari il diritto di reclamo, che non può essere deciso solo algoritmicamente; il secondo consente la sospensione temporanea per abusi, purché basata su dati accurati, proporzionata e conforme ai principi di minimizzazione e correttezza.

4. Dark patterns e diritto all'autodeterminazione digitale

Con l’articolo 25, il DSA introduce un principio cardine: le interfacce digitali devono essere progettate in modo da non compromettere la capacità degli utenti di assumere decisioni autonome e informate. Il design etico diventa così un parametro giuridico, volto a prevenire manipolazioni comportamentali che incidono sulla libertà di scelta e sulla tutela dei dati personali. Le Linee Guida definiscono i deceptive design patterns come schemi di interfaccia che inducono scelte indesiderate, spesso per favorire la raccolta di dati o prolungare l’interazione online. Quando tali pratiche riducono la consapevolezza dell’utente o alterano il consenso, violano i principi di liceità, correttezza e trasparenza del GDPR di cui all' art. 5(1)(a), rendendo il trattamento illecito ab origine, indipendentemente dal consenso formale. Il divieto dell’articolo 25(2) DSA si coordina con il GDPR e con la Direttiva sulle pratiche commerciali sleali, estendendo la tutela anche ai casi in cui la manipolazione non comporti trattamento di dati personali. Quando invece il design influenza la raccolta o l’uso dei dati, la competenza spetta alle autorità privacy, che devono valutarne la conformità ai principi di liceità, minimizzazione e privacy by design. Particolare attenzione è riservata all’addictive design (infinite scrolling, autoplay, gamification), che sfrutta leve psicologiche per prolungare l’uso delle piattaforme e, basandosi sull’analisi di dati comportamentali, ricade pienamente nel perimetro del GDPR.

5. Pubblicità, profilazione e algoritmi di raccomandazione

Il DSA fa della trasparenza un principio strutturale della nuova economia digitale: gli articoli 26, 27 e 38 delineano un sistema volto a rendere le logiche algoritmiche alla base della pubblicità e della raccomandazione dei contenuti comprensibili, controllabili e conformi al GDPR.

• L’articolo 26 impone ai fornitori di piattaforme di indicare, per ogni annuncio, l’identità del soggetto pubblicitario, i parametri di targeting e le modalità per modificarli, introducendo una trasparenza operativa che integra gli articoli 13 e 14 GDPR. Restano invariati i requisiti di liceità, consenso e diritto di opposizione del GDPR e della direttiva ePrivacy. Il DSA prevede inoltre un divieto assoluto di pubblicità basata su categorie particolari di dati (art. 26(3)), anche in presenza di consenso esplicito, sottraendo i dati sensibili alla logica del mercato e tutelando la dignità digitale. Le misure di sicurezza e riservatezza ex art. 26(4) devono garantire la minimizzazione dei flussi informativi e l’effettiva applicazione del principio di privacy by design.
• L’articolo 27 estende tali obblighi ai sistemi di raccomandazione, imponendo di esplicitare nei terms of service i criteri che determinano la priorità dei contenuti e di consentire all’utente di modificarli. Quando tali sistemi si basano su dati personali, configurano una forma di profiling ai sensi dell’articolo 4(4) GDPR, soggetta alle garanzie degli articoli 5, 12–14 e 22, che assicurano trasparenza sulla logica e sugli effetti del processo.
• L’articolo 38 impone infine a VLOPs e VLOSEs di offrire almeno un’opzione non basata su profilazione, presentata senza nudging e accompagnata dal divieto di raccogliere dati per finalità predittive, in attuazione dell’articolo 25 GDPR. Nel complesso, questi articoli disegnano un modello di informational accountability fondato sulla trasparenza algoritmica come strumento di sovranità digitale, equilibrio tra libertà di scelta, protezione dei dati e fiducia nell’ambiente online.

6. Proteggere i minori nello spazio digitale

La protezione dei minori è uno dei cardini del DSA, che impone ai fornitori di piattaforme accessibili ai minori di garantire elevati standard di privacy, sicurezza e tutela mediante misure tecniche e organizzative proporzionate ai rischi. L’articolo 28 DSA introduce un principio di responsabilità proattiva: le piattaforme devono prevenire e mitigare i rischi derivanti dai propri servizi – come esposizione a contenuti dannosi, raccolta indebita di dati o pratiche di addictive design – attraverso strumenti come standard tecnici, codici di condotta o parental control, nel rispetto dei principi di necessità e minimizzazione. L’articolo 28(3) esclude l’obbligo di trattare dati aggiuntivi per accertare l’età, evitando pratiche di identificazione sistematica. Il paragrafo 2, invece, vieta la pubblicità basata su profilazione quando la piattaforma sia “ragionevolmente certa” che l’utente è un minore, in coerenza con gli articoli 9(1) e 26(3) DSA, per prevenire lo sfruttamento della vulnerabilità cognitiva e tutelare la dignità digitale senza imporre nuove raccolte di dati. Quando le misure di protezione comportano trattamenti di dati, la base giuridica può derivare dall’articolo 6(1)(c) GDPR, purché il trattamento sia strettamente necessario e proporzionato; l’uso di dati biometrici o categorie particolari resta escluso salvo le eccezioni dell’articolo 9(2). L’EDPB raccomanda sistemi di privacy-preserving age assurance – come autocertificazione, conferma genitoriale o zero-knowledge proofs – che consentano verifiche non invasive e senza conservazione dei dati. La conformità all’articolo 28 si realizza così attraverso la data protection by design and by default, evitando che la tutela dei minori si traduca in nuovi rischi di profilazione. Per le VLOPs, tali obblighi si integrano con quelli di valutazione e mitigazione dei rischi sistemici previsti dagli articoli 34 e 35 DSA.

7. Governare il rischio e costruire fiducia

Gli articoli 34 e 35 DSA introducono un principio cardine della nuova governance digitale: le VLOPs e i VLOSEs devono individuare, valutare e mitigare i rischi sistemici generati dai propri servizi. È un cambio di paradigma: dalla responsabilità reattiva a quella proattiva, fondata sulla prevenzione degli impatti collettivi che le architetture algoritmiche possono produrre su società, democrazia e diritti fondamentali. Il DSA individua varie categorie di rischio – diffusione di contenuti illegali, effetti negativi sui diritti fondamentali, minacce alla salute e alla sicurezza, violenza di genere, danni al benessere psico-fisico – rendendo il “rischio sistemico” una responsabilità strutturale. Poiché tali rischi derivano spesso dal trattamento di dati personali, la gestione deve rispettare i principi di liceità, trasparenza e proporzionalità del GDPR. Il legame tra le due normative è evidente: la DPIA dell’articolo 35 GDPR integra la valutazione dei rischi sistemici dell’articolo 34 DSA, divenendo indispensabile quando l’impatto sociale nasce da un trattamento di dati. L’articolo 35 DSA impone misure ragionevoli, proporzionate ed efficaci, coerenti con i principi di privacy by design ex art. 25 GDPR e sicurezza del trattamento ex art. 32 GDPR, tra cui test periodici, revisione degli algoritmi e tutela dei minori ex art. 35(1)(j) mediante age assurance e parental control. Gli articoli da 45 a 47 DSA completano il quadro: i codici di condotta – in parallelo all’articolo 40 GDPR – favoriscono una cooperazione tra autorità, imprese e società civile, traducendo gli obblighi legali in standard verificabili e basati su rendicontazione periodica; l’articolo 46 rafforza la trasparenza nel settore pubblicitario, mentre l’articolo 47 introduce un principio di accessibilità universale e inclusiva delle interfacce digitali.

Autore: Giulio Napolitano

 

La Commissione del Senato italiano pubblica il testo aggiornato del Disegno di Legge n. 1136 sulla tutela dei minori nell’ambiente digitale

La Commissione del Senato italiano ha recentemente pubblicato il testo aggiornato del Disegno di Legge n. 1136 (il “Disegno di Legge”), intitolato “Disposizioni per la tutela dei minori nell’ambiente digitale”.

Il Disegno di Legge si concentra su aspetti chiave della protezione dei minori online, in particolare sull’età minima per esprimere un consenso valido e sulla partecipazione dei minori ad attività promozionali online.

Sebbene il Disegno di Legge sia ancora in discussione presso il Senato – e dunque soggetto a modifiche o a una possibile mancata approvazione nella sua interezza – esso rappresenta comunque un chiaro segnale dell’orientamento legislativo verso una maggiore tutela dei minori nell’ambiente digitale in Italia.

Principali novità introdotte dal Disegno di Legge

1. Età minima per la registrazione sui social network e sulle piattaforme di condivisione video

L’articolo 2 del Disegno di Legge introduce una nuova disposizione che fissa a 15 anni l’età minima per poter creare un account sui social network e sulle piattaforme di condivisione video. Si tratta di un inasprimento rispetto alla normativa attuale, che consente la registrazione ai minori che abbiano superato l'età di anni 14.

I contratti conclusi in violazione di tale limite di età saranno considerati nulli e privi di effetto, e qualsiasi trattamento dei dati personali derivante dovrà dunque considerarsi illecita.

Il Disegno di Legge affronta inoltre il tema dell’identificazione degli utenti, che dovrà avvenire tramite un “mini-wallet” digitale nazionale, la cui attuazione è prevista entro il 30 giugno 2026. Questo sistema, in linea con l’EU Digital Identity Wallet, mira a garantire meccanismi di identificazione sicuri e affidabili, mantenendo al contempo elevati standard di tutela della privacy.

2. Consenso dei minori nel contesto dei servizi della società dell’informazione

Oltre alle regole specifiche per i social network, il Disegno di Legge propone di modificare l’articolo 2-quinquies del Codice Privacy italiano, innalzando da 14 a 16 anni l’età minima generale per esprimere un consenso valido al trattamento dei dati personali nel contesto dei servizi della società dell’informazione.

Di conseguenza, il Disegno di Legge introduce un modello a doppio livello, in cui l'età per prestare validamente il consenso vale a seconda della tipologia di servizio:

• 15 anni per la registrazione sui social network e sulle piattaforme di video-sharing;
• 16 anni per gli altri servizi online.

Al di sotto di tali soglie, il consenso dovrà essere espresso dal titolare della responsabilità genitoriale o dal tutore.

3. Regolamentazione delle attività promozionali svolte online da minori

Il Disegno di Legge affronta anche il crescente fenomeno delle attività promozionali e di influencer marketing svolte da minori per il tramite di piattaforme social network e di condivisione video.

Pur non stabilendo un quadro normativo dettagliato, il Disegno di Legge prevede che l’Autorità per le Garanzie nelle Comunicazioni (AGCOM), debba emanare, entro 180 giorni dall’entrata in vigore della legge, specifiche linee guida che definiscano:

• l’ambito delle attività promozionali svolte online da minori;
• i requisiti di trasparenza e correttezza;
• le misure di tutela dei minori e dei loro diritti fondamentali;
• le regole in materia di comunicazioni commerciali e di product placement, garantendo che ogni intento promozionale sia chiaramente dichiarato.

Queste linee guida, nell'ottica del Disegno di Legge, dovranno avere funzione integrativa e complementare l’attuale quadro regolamentare dell’AGCOM in materia di influencer marketing, introducendo regole più mirate per gli influencer di età compresa tra i 15 e i 18 anni, con l’obiettivo di ridurre l’esposizione dei minori a contenuti dannosi o rischiosi.

In ogni caso, considerata la rapida crescita del fenomeno e la sua vicinanza a settori sensibili, è probabile che l’AGCOM emani comunque orientamenti specifici sugli influencer minorenni, al di là della approvazione del Disegno di Legge.

4. Misure per rafforzare la sicurezza digitale dei minori

Il Disegno di Legge prevede inoltre che il Fondo per la sicurezza digitale dei minori, istituito presso il Ministero delle Imprese e del Made in Italy, finanzi campagne di informazione e sensibilizzazione rivolte sia ai minori sia ai genitori. Tali iniziative mirano a promuovere un uso responsabile di Internet, la diffusione di strumenti di parental control e la prevenzione dei rischi online.

Conclusioni

Pur essendo ancora una mera proposta suscettibile di modifiche significative o di non essere adottata nella sua interezza, il Disegno di Legge n. 1136 rappresenta un passo importante nell’evoluzione della normativa italiana sulla tutela dei minori in ambito digitale. Infatti, le misure proposte riflettono un più ampio orientamento legislativo verso un rafforzamento della verifica dell’età, del consenso informato e della regolamentazione della presenza commerciale dei minori online.

Pertanto, a prescindere dall’adozione di questa specifica legge, sarà importante monitorare da vicino il dibattito parlamentare e i futuri sviluppi legislativi, al fine di identificare tempestivamente le ulteriori iniziative che, come esposto sopra, è lecito attendersi alla luce della crescente importanza attribuita alla protezione dei minori online.

Autore: Federico Toscani

 

Gaming and Gambling

Gibson contro Betfair – Una causa storica sul gioco d’azzardo arriva alla Corte d’Appello inglese

Il 7-8 ottobre 2025, la Corte d’Appello inglese (Court of Appeal, CoA) ha esaminato il ricorso presentato da un giocatore d’azzardo, Lee Gibson, contro la decisione dell’Alta Corte che aveva respinto la sua domanda di rimborso delle perdite di gioco (pari a 1,5 milioni di sterline) nei confronti di Betfair.

Il sig. Gibson aveva avanzato pretese per violazione di obblighi di legge, violazione contrattuale (inclusi termini impliciti relativi alle Licensing Conditions and Codes of Practice – LCCP) e negligenza.

Se l’appello dovesse avere successo, potrebbe aprire la strada a una moltitudine di azioni legali in Inghilterra contro tutti gli operatori di gioco, incoraggiando i clienti a cercare di recuperare le proprie perdite.
Sebbene si preveda che l’appello venga respinto, la sentenza fornirà in ogni caso un commento giuridico fondamentale su questioni di grande rilievo per l’industria del gioco d’azzardo.

Fatti

La causa del sig. Gibson verteva sulla questione se Betfair avesse violato i propri obblighi di licenza e se tale violazione potesse dare origine a un diritto d’azione personale in sede contrattuale o extracontrattuale.
In particolare, Gibson sosteneva che le politiche di gioco responsabile di Betfair fossero inadeguate e che l’operatore avrebbe dovuto fare di più per valutare la sua capacità di sostenere le perdite.

La Corte d’Appello si è mostrata sensibile all’obiettivo politico di proteggere i giocatori vulnerabili, ma ha osservato che Gibson aveva superato tutti i controlli antiriciclaggio e appariva in grado di permettersi le proprie perdite. Gli esperti sentiti al processo avevano descritto le politiche di Betfair come “leader nel settore”.

Tuttavia, le questioni di diritto su cui ora la Corte dovrà pronunciarsi hanno portata generale per tutti gli operatori.

La Corte d’Appello dovrà decidere:

• se Betfair sapesse o dovesse sapere che il sig. Gibson era un giocatore problematico e se tale conoscenza possa far sorgere obblighi contrattuali o di responsabilità civile;
• se la conformità alle LCCP possa essere implicita come termine contrattuale;
• se sia giusto o ragionevole imporre all’operatore un dovere di diligenza generale, sia nel caso concreto sia in considerazione delle difficoltà nel riconoscere i giocatori problematici;
• la questione della “illegalità” (cioè se tutte le scommesse debbano essere considerate nulle in caso di violazione della licenza da parte di Betfair). Riguardo a tale elemento la Corte si è mostrata scettica, osservando che tale impostazione avrebbe conseguenze ampie e probabilmente non volute.

Si prevede che la sentenza venga pubblicata nei prossimi mesi.

Implicazioni per gli operatori

L’esito dell’appello probabilmente confermerà l’attuale orientamento giurisprudenziale, secondo cui gli operatori di gioco non sono generalmente responsabili delle perdite dei clienti, salvo che vi siano prove chiare che l’operatore fosse a conoscenza di un problema di gioco e non sia intervenuto adeguatamente.

Ciò significa che:

• rimane elevata la soglia probatoria per le richieste di rimborso basate su presunte violazioni dei doveri di gioco responsabile da parte dell’operatore;
• per difendersi da tali pretese, gli operatori dovrebbero:
  1. mantenere politiche di gioco responsabile solide;
  2. conservare registrazioni dettagliate degli interventi e dei controlli antiriciclaggio;
  3. garantire formazione continua del personale e revisione periodica delle politiche.

Tuttavia, la causa del sig. Gibson resta specifica ai fatti concreti. È possibile che il suo appello venga respinto, ma che la Corte riconosca parzialmente la validità di alcuni principi giuridici. Ciò è particolarmente rilevante poiché, dal ricorso del sig. Gibson, le politiche di gioco responsabile, il quadro normativo e le aspettative di conformità si sono evoluti.

Se desiderate discutere il caso più approfonditamente, vi invitiamo a contattare gli autori di questo articolo o il vostro consueto referente DLA Piper.

Autori: Jeremy Sher, Siona Spillett, Giulio Coraggio, Benjamin Fellows

 

Technology, Media and Telecommunications

Avvio di una consultazione pubblica del BEREC sul Draft Work Programme 2026

Il BEREC (Body of European Regulators for Electronic Communications) ha recentemente avviato una consultazione pubblica in vista dell'adozione del proprio programma di lavoro per il 2026, prevista per dicembre 2025.

L'obiettivo della consultazione in oggetto è di raccogliere osservazioni da parte dei soggetti interessati rispetto al Draft BEREC Work Programme, ossia la bozza del programma di lavoro del BEREC per il 2026, nella quale sono delineate le priorità identificate dallo stesso per il 2026.

Tra gli obiettivi generali perseguiti dal Work Programme, vi è l'allineamento con le priorità stabilite in materia di comunicazioni elettroniche da parte della Commissione europea.

Più nello specifico, il Draft BEREC Work Programme prevede una serie di progetti pianificati dal BEREC in attuazione dei cinque principi fondamentali individuati con la Strategia BEREC per il periodo 2026-2030. Tali principi – definiti come "strategic priorities" – sono i seguenti:

(1) "Promoting full connectivity and the Digital Single Market";

(2) "Supporting competition-driven and open digital ecosystem";

(3) "Empowering end-users";

(4) "Contributing to environmentally sustainable, secure and resilient digital infrastructures";

(5) "Strengthening BEREC's capabilities and continuous improvement".

Le iniziative previste nell'ambito della prima strategic priority – "Promoting full connectivity and the Digital Single Market" – sono in generale volte a promuovere la connettività in relazione a tutte le infrastrutture chiave (terrestri, spaziali e sottomarine), incluse le reti fisse, mobili, satellitari e cloud, nonché le infrastrutture digitali e le nuove tecnologie. Tra le iniziative pianificate dal BEREC si annoverano una call for input avente ad oggetto le interfacce di programmazione delle applicazioni (Application Programme Interfaces – API) per le funzionalità delle reti mobili; l'adozione di un "Fact Finding Report" avente ad oggetto gli indicatori di concorrenza e le esperienze regolamentari nelle diverse giurisdizioni e il "BEREC Report on Virtual Worlds and Web 4.0" che analizzerà il potenziale impatto economico e regolamentare dei mondi virtuali, del metaverso e delle tecnologie immersive.

Nell'ambito della seconda strategic priority – "Supporting competition-driven and open digital ecosystem" – il BEREC intende promuovere ecosistemi digitali aperti e concorrenziali, sul presupposto espresso nel draft che mercati aperti e competitivi sono dei driver fondamentali per l'innovazione, gli investimenti e il benessere degli utenti finali. In quest'ottica, il BEREC intende fornire il proprio contributo nell'implementazione del c.d. Data Act (reg. UE 2023/2854) e cooperare con la Commissione nell’attuazione e nell'analisi degli sviluppi relativi all'implementazione del Digital Markets Act. Tra le iniziative previste dal BEREC si annovera inoltre la pubblicazione di una relazione relativa all'IA che analizzerà come l’uso dell’IA possa influire sulle dinamiche competitive, su un'Internet aperta e su come esso possa incidere sui diritti degli utenti.

Con riguardo alla strategic priority "Empowering end-users", il BEREC – con l'obiettivo, appunto, di "rafforzare" la posizione degli utenti finali – si propone, tra l'altro, di redigere un report che analizzi le difficoltà che gli utenti incontrano in relazione ai processi di portabilità dei numeri e di recesso dai contratti. Il BEREC dichiara inoltre di voler proseguire le attività correlate all'implementazione del Regolamento "Open Internet" (reg. UE 2015/2120) e delle Linee Guida Open Internet del BEREC.

Nella quarta sezione del Draft, con riferimento alla priorità "Contributing to environmentally sustainable, secure and resilient digital infrastructures", il BEREC elenca i progetti correlati all'obiettivo di contribuire alla promozione di infrastrutture digitali sostenibili, sicure e resilienti. Tra le iniziative, si annovera la raccolta di input da parte degli operatori di comunicazioni elettroniche per elaborare un futuro codice di condotta a livello europeo per la sostenibilità delle reti di telecomunicazioni.

L’obiettivo "Strengthening BEREC's capabilities and continuous improvement" riguarda infine l’evoluzione interna dell’organismo, che punta a potenziare l'efficienza, risultati di alta qualità, trasparenza e sostenibilità ambientale anche attraverso la cooperazione con le altre istituzioni.

In conclusione, il documento individua alcune potenziali aree di lavoro per il 2027, tra le quali figura il monitoraggio dell’interconnessione tramite Protocollo Internet (IP), l’approfondimento della mobilità connessa e automatizzata, nonché la valutazione dell’impatto ambientale del network sharing.

I soggetti interessati a partecipare alla consultazione pubblica possono presentare i propri contributi entro il 3 novembre 2025.

Su un simile argomento può essere interessante l’articolo “Avvio di una consultazione pubblica del BEREC sull'Outline Work Programme 2026”.

Autori: Massimo D'Andrea, Flaminia Perna, Matilde Losa

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Italia Società Tra Avvocati S.r.l. (DLA Piper Italia S.T.A .) tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.