Versione HTML di base
Articolo 25
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1.
Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del
contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà
delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del
trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudoni
mizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel
trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli
interessati.
2.
Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati,
per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale
per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In
particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un
numero indefinito di persone fisiche senza l'intervento della persona fisica.
3.
Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per
dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
Articolo 26
Contitolari del trattamento
1.
Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi
sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive
responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo
all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13
e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato
membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
2.
L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati.
Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato.
3.
Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1, l'interessato può esercitare i propri diritti ai
sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.
Articolo 27
Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti
nell'Unione
1.
Ove si applichi l'articolo 3, paragrafo 2, il titolare del trattamento o il responsabile del trattamento designa per
iscritto un rappresentante nell'Unione.
2.
L'obbligo di cui al paragrafo 1 del presente articolo non si applica:
a) al trattamento se quest'ultimo è occasionale, non include il trattamento, su larga scala, di categorie particolari di dati
di cui all'articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e a reati di cui all'articolo 10, ed è
improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del
contesto, dell'ambito di applicazione e delle finalità del trattamento; oppure
b) alle autorità pubbliche o agli organismi pubblici.
4.5.2016
L 119/48
Gazzetta ufficiale dell'Unione europea
IT