Art. 26 GDPR — Contitolari del trattamento

Commento

La nozione di contitolarità

L'art. 26 GDPR disciplina la contitolarità del trattamento, che si configura quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento. La nozione è sostanziale, non formale: emerge quando più soggetti partecipano alle decisioni chiave, anche se uno solo svolge materialmente le operazioni. La CGUE ha chiarito i contorni in pronunce consolidate (Wirtschaftsakademie, Fashion ID, Jehovan todistajat): la contitolarità sussiste anche se i soggetti contribuiscono in misura disuguale e per fasi diverse del trattamento. La qualificazione è cruciale perché determina obblighi diretti verso gli interessati.

Determinazione congiunta di finalità e mezzi

La determinazione congiunta di finalità e mezzi è il test sostanziale. Finalità: scopo perseguito col trattamento. Mezzi: modalità tecniche e organizzative. La CGUE ha precisato che basta condividere finalità o mezzi essenziali per integrare contitolarità. Esempi: piattaforme social e operatori di fan page (Wirtschaftsakademie), siti web che includono plug-in social (Fashion ID), comunità religiose nella raccolta porta-a-porta (Jehovan todistajat). Il test non è la dimensione del contributo, ma la partecipazione decisionale.

Accordo di contitolarità (par. 1)

Il par. 1 prevede che i contitolari determinino in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi del Regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato e alle informazioni di cui agli artt. 13-14. L'accordo è scritto e deve riflettere adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Le linee guida EDPB 7/2020 hanno fornito template. L'accordo non è opponibile all'interessato per limitare i suoi diritti: opera solo nei rapporti interni.

Trasparenza verso l'interessato (par. 2)

Il par. 2 prevede che il contenuto essenziale dell'accordo sia messo a disposizione dell'interessato. È regola di trasparenza: l'interessato deve sapere come è strutturata la contitolarità e a chi rivolgersi. La pubblicazione del contenuto essenziale nell'informativa (artt. 13-14) è prassi standard. L'EDPB ha consigliato la pubblicazione in sezione dedicata della privacy policy o tramite link a documento estratto. La non pubblicazione è violazione dell'art. 12 e del par. 2.

Diritti dell'interessato verso ciascun contitolare (par. 3)

Il par. 3 prevede che, indipendentemente dalle disposizioni dell'accordo, l'interessato possa esercitare i propri diritti ai sensi del GDPR nei confronti di e contro ciascun contitolare. È regola di favor verso l'interessato: la complessità interna della contitolarità non può ridurre le tutele. L'interessato può scegliere quale contitolare contattare, e quello deve gestire o trasferire la richiesta. La responsabilità in solido per i danni ex art. 82 opera anche nella contitolarità.

Casi tipici e prassi

Sul piano applicativo, la contitolarità è frequente in: piattaforme social (operatori di fan page), siti con plug-in (like button, advertising tags), partnership commerciali (joint marketing), gruppi societari (HR condivisa), ricerche scientifiche multi-istituzionali, settori regolamentati (consorzi bancari, antiriciclaggio). Il Garante italiano ha sanzionato titolari che hanno operato di fatto come contitolari senza accordo scritto né trasparenza verso interessati. La compliance richiede mapping delle relazioni e definizione formale dei ruoli.

Regola pratica e checklist operativa

Compliance art. 26: (i) mapping dei flussi e qualificazione dei ruoli; (ii) per contitolarità, siglare accordo scritto con responsabilità chiare; (iii) pubblicare contenuto essenziale; (iv) garantire single point of contact per interessati; (v) procedura di rivalsa interna per danni; (vi) registrare nella privacy policy e nel registro art. 30. Le piattaforme social sono il fronte applicativo più sviluppato.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.