Casa " Blog " GDPR incontra ISS: come i tribunali interpretano i ruoli di responsabile del trattamento dei dati

Blog
GDPR incontra ISS: come i tribunali interpretano i ruoli di responsabile del trattamento dei datiGDPR incontra ISS: come i tribunali interpretano i ruoli di responsabile del trattamento dei dati">

GDPR incontra ISS: come i tribunali interpretano i ruoli di responsabile del trattamento dei dati

Alexandra Blake, Key-g.com
da 
Alexandra Blake, Key-g.com
5 minuti di lettura
Consulenza legale
Aprile 14, 2025

The intersection of the General Data Protection Regulation (GDPR) and Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes and means of processing personal data. Yet when digital platforms—many of which qualify as ISS—interact with users and third-party content providers, the lines of responsibility blur.

Recent case law from the Court of Justice of the European Union (CJEU) has significantly expanded the interpretation of joint controllership, placing new obligations on platform operators, website owners, and service providers engaged in collaborative data processing. Below, we explore key judgments and their implications for platform accountability.

Facebook Fan Page Case (C-210/16): The Birth of Joint Controllership

In Wirtschaftsakademie Schleswig-Holstein v Facebook Ireland, the CJEU held that an administrator of a Facebook Fan Page was a joint controller together with Facebook for the processing of visitor data. The administrator used Facebook Insights, a tool that provides anonymized statistics about user engagement.

Key Findings:

  • Even though the page administrator could not access personal data directly, the CJEU found that it influenced the purposes and means of data processing by configuring the page and selecting target demographics.
  • The decision introduced a broad and functional definition of joint controllership, emphasizing actual influence over data use, not just access.

Implications:

  • Organizations embedding third-party services or analytics tools on their websites may be jointly liable for data processing.
  • ISS providers offering configurable services (such as page customization, advertising preferences, or tracking settings) must assess joint responsibilities under Article 26 GDPR.

Fashion ID Case (C-40/17): Social Plugins and Shared Responsibility

In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, the CJEU addressed whether a website that embeds a Facebook “Like” button is a joint controller for the transmission of personal data to Facebook.

Key Findings:

  • The operator of a website is a joint controller for the collection and transmission of personal data (such as IP addresses and browser information) to Facebook.
  • The operator is not a controller for subsequent processing carried out solely by Facebook.

Implications:

  • This ruling highlights the granular nature of joint controllership, limited to specific stages of data processing.
  • Websites using embedded tools must disclose data transfers in their privacy notices and, where required, obtain valid consent for third-party data collection.

Jehovan Todistajat Case (C-25/17): Offline Application of Joint Controllership

Although not focused on an ISS, the Jehovan Todistajat case further solidified the broad scope of joint controllership. Members of the religious community collected personal data during door-to-door preaching without formal documentation or centralized storage.

Key Findings:

  • The religious community and individual members were joint controllers under GDPR, even without formal coordination or access to the full dataset.
  • The Court emphasized the importance of common purposes in establishing controllership, even where technical means are fragmented.

Implicazioni per la ISS:

  • Piattaforme e affiliati che collaborano, anche informalmente, alla raccolta di dati degli utenti possono essere ritenuti congiuntamente responsabili.
  • Strutture di elaborazione informali o decentralizzate fanno non protegge le entità dagli obblighi di contitolarità.

Bundeskartellamt contro Meta (Causa T-201/22): La concorrenza incontra il GDPR

Sebbene ancora in fase di sviluppo giudiziario, il caso dell'autorità tedesca garante della concorrenza contro Facebook (ora Meta) sfida il raccolta eccessiva di dati pratiche in entrambi GDPR e diritto della concorrenza. La CGUE dovrà chiarire se dominio della piattaforma e consenso dell'utente interagire nel rispetto dei principi di protezione dei dati.

Tendenza emergente:

  • I tribunali e le autorità di regolamentazione trattano sempre più tracciamento a livello di piattaforma e consolidamento dei dati tra i servizi come potenzialmente abusivi o illegali quando non accompagnati da un consenso informato e liberamente espresso.

Punti chiave per i fornitori di ISS

  1. Valutare proattivamente la corresponsabilità del trattamento
    Ogni collaborazione che coinvolga strumenti condivisi, plugin o funzionalità di analisi può creare responsabilità congiunte. Formalizza gli accordi e chiarisci i ruoli attraverso contratti e politiche sulla privacy.
  2. Fasi di elaborazione del segmento
    La responsabilità può applicarsi solo a determinate fasi del trattamento. Identificare chiaramente dove la vostra organizzazione inizia o contribuisce alla raccolta e al trasferimento dei dati.
  3. Rafforzare i meccanismi di trasparenza e consenso
    Integrazione di strumenti di terze parti? Divulgateli in modo evidente e ottenete il consenso dell'utente laddove legalmente richiesto, soprattutto per il marketing e la profilazione.
  4. Implementare gli accordi di Joint Controller (JCA)
    Ai sensi dell'articolo 26 del GDPR, i contitolari del trattamento devono stabilire un Accordo di Contitolari del Trattamento, assegnando responsabilità e fornendo un punto di contatto per gli interessati.
  5. Segui gli sviluppi legali oltre la protezione dei dati
    Le questioni della contitolarità del trattamento si intersecano ora con il diritto della concorrenza, la protezione dei consumatori e la regolamentazione delle piattaforme. Rimani aggiornato sulle tendenze giuridiche più ampie che interessano i servizi digitali.

Conclusione

La giurisprudenza in evoluzione della CGUE ha stabilito fermamente che I servizi della società dell'informazione possono condividere le responsabilità di controllo con gestori di siti web, partner e persino utenti, a seconda della natura dell'interazione dei dati. Per i consulenti legali e i team di conformità, non è più sufficiente classificare una piattaforma come un host neutrale. L'influenza effettiva su come i dati vengono raccolti e utilizzati è ora il fattore decisivo.

Man mano che l'ambiente normativo diventa più complesso ai sensi del Digital Services Act, del regolamento ePrivacy e dell'applicazione continua del GDPR, i fornitori di ISS devono adottare un approccio completo e documentato alla governance dei dati e alle responsabilità del titolare del trattamento.

Hai bisogno di aiuto per rivedere le tue relazioni di elaborazione dati o per redigere accordi di contitolarità conformi al GDPR? Il nostro team di protezione dei dati fornisce consulenza a piattaforme e fornitori di servizi digitali in tutta l'UE sulla strutturazione di pratiche di dati lecite e trasparenti. Contattaci per una consulenza.

it_IT Italiano
it_IT Italiano en_GB English (UK) ru_RU Русский de_DE Deutsch pl_PL Polski fr_FR Français el Ελληνικά tr_TR Türkçe ko_KR 한국어 zh_CN 简体中文 ja 日本語 uk Українська sk_SK Slovenčina ro_RO Română nl_NL Nederlands pt_PT Português sv_SE Svenska fi Suomi cs_CZ Čeština es_ES Español ar العربية