GDPR > Articolo 26 - Contitolari del trattamento

GDPR

Vigente al 20/1/2023

1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.

2. L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato.

3. Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1, l'interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

Corte di Giustizia UE, Sentenza n.C-604/22 del 07/03/2024

L’art. 4, punto 7, e l’art. 26, paragrafo 1, del GDPR devono essere interpretati nel senso che:

da un lato, un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme, da essa stabilito, relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a detto consenso, deve essere qualificata come «contitolare del trattamento», ai sensi di tali disposizioni se, tenuto conto delle circostanze particolari del caso di specie, essa influisce, per scopi che le sono propri, sul trattamento di dati personali di cui trattasi e determina, pertanto, congiuntamente con i suoi membri, le finalità e i mezzi di un tale trattamento. La circostanza che tale organizzazione di settore non abbia essa stessa accesso diretto ai dati personali trattati dai suoi membri nell’ambito di dette norme non osta a che essa possa assumere la qualità di contitolare del trattamento, ai sensi delle disposizioni summenzionate;
dall’altro, la contitolarità di detta organizzazione di settore non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online.

Corte di Giustizia UE, Sentenza del 05/12/2023

L’art. 4, punto 7, e l’art. 26, paragrafo 1, del GDPR devono essere interpretati nel senso che la qualificazione di due enti come contitolari del trattamento non presuppone né l’esistenza di un accordo tra di essi sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali di cui trattasi né l’esistenza di un accordo che fissi le condizioni relative alla contitolarità del trattamento.