Il 25 maggio 2018 è entrato in vigore il GDPR, il Regolamento UE 679/2016 sulla Privacy.
Come tutti i regolamenti UE, è direttamente esecutivo in tutti gli Stati membri senza la necessità di una normativa nazionale di recepimento.
Il GDPR si applica a tutti coloro che trattano dati di cittadini europei, indipendentemente dall’ubicazione della sede del titolare del trattamento dei dati e si rivolge a tutti i soggetti che effettuano trattamenti, cartacei o digitali, di dati personali.
Ecco una breve panoramica delle principali novità introdotte dal GDPR.
Sommario
- Un nuovo approccio: l’accountability, la privacy by desing e la privacy by default.
- Le principali novità.
2.2. I diritti dell’interessato. I diritti all’oblio e alla portabilità.
2.3 Le informazioni sul trattamento dei dati personali.
2.5 Il registro delle attività di trattamento.
2.6 DPIA – Data Protection Impact Assessment.
2.7 Una nuova figura: il Data Privacy Officer.
1. Un nuovo approccio: l’accountability, la privacy by desing e la privacy by default.
Per molti anni siamo stati abituati a concepire la privacy come una serie di adempimenti formali.
Con il GDPR, la privacy è invece oggetto di un processo aziendale da gestire sin dalla fase ideativa mediante un sistema di gestione specifico. Il GDPR attribuisce, infatti, un ruolo centrale alla responsabilizzazione, c.d. accountability, del titolare e del responsabile del trattamento.
Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al Regolamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Il GDPR introduce così la privacy by design e la privacy by default.
La privacy by design, è l’obbligo basato sulla valutazione del rischio, che va fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi.
In virtù della privacy by default occorre trattare le informazioni personali soltanto per le finalità previste, per lo stretto tempo necessario per esplicare tali finalità (principio di minimizzazione) e garantire che i dati non siano accessibili da un numero indefinito di persone.
2. Le principali novità del GDPR.
2.1 I principi.
Il GDPR ribadisce alcuni principi che già conosciamo e ne introduce alcuni nuovi:
Liceità, correttezza, trasparenza: il consenso è lecito quando:
- l’interessato ha prestato il proprio consenso informato al trattamento;
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o per adempiere un obbligo legale a cui è soggetto il titolare del trattamento;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o per il perseguimento del legittimo interesse del titolare del trattamento.
Il Regolamento richiede che i dati siano facilmente accessibili e che le comunicazioni relative al trattamento siano comprensibili.
Limitazione delle finalità: le finalità devono essere determinate, esplicite e legittime. Il trattamento dovrà essere effettuato con modalità compatibili con tali finalità.
Minimizzazione dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui i dati sono raccolti e trattati.
Esattezza: i dati devono essere esatti e se necessario aggiornati.
Limitazione della conservazione: i dati devono essere conservati per un periodo temporale limitato al conseguimento delle finalità per le quali sono trattati.
Integrità e riservatezza: si devono adottare misure di sicurezza tecniche e organizzative adeguate a proteggere i dati da trattamenti non autorizzati o illeciti, dalla loro perdita o distruzione o dal danno accidentale.
2.2. I diritti dell’interessato. I diritti all’oblio e alla portabilità.
Diritto di accesso: l’interessato ha il diritto di accedere ai suoi dati, cioè ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali.
Sorge in capo all’interessato il diritto di richiedere al titolare del trattamento di prendere visione o estrarre copia, dei vari tipi di documenti a lui riferibili, in applicazione del principio di trasparenza del trattamento dei dati personali.
In caso di richiesta dell’interessato, il titolare del trattamento è tenuto a fornirgli una copia dei dati personali oggetto di trattamento che lo riguardano sia ulteriori informazioni tra cui: le finalità del trattamento; le categorie di dati personali trattati; i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; il periodio di conservazione dei dati personali; la possibilità per l’interessato di esercitare il diritto di rettifica, alla cancellazione, alla limitazione del trattamento; il diritto di opposizione al trattamento; il diritto di proporre reclamo innanzi alle autorità di controllo; le informazioni sull’origine dei dati (ove non siano stati raccolti presso l’interessato); l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione e le informazioni significative sulla logica utilizzata.
Diritto all’oblio: è diritto dell’interessato ad essere dimenticato dall’azienda con cui ha avuto a che fare in precedenza. È diverso dalla cancellazione: occorre eliminare qualsiasi traccia dei dati del destinatario. Il diritto sorge quando:
- I dati non sono più necessari rispetto alle finalità
- L’interessato revoca il consenso
- L’interessato si oppone al trattamento per finalità di marketing
- Il trattamento non è conforme al regolamento
Rispetto alla previgente normativa, il diritto alla cancellazione risulta rafforzato, tant’è che l’interessato può chiedere la cancellazione dei suoi dati anche dopo la revoca.
Diritto di portabilità: l’interessato ha diritto che i suoi dati vengano trasferiti immediatamente ad un altro titolare. Ad esempio, se abbiamo un account in un social network e vogliamo trasferirlo ad un altro social network dovremo poterlo fare esercitando il diritto alla portabilità: il fornitore del servizio dovrà essere in grado di permetterci l’estrazione totale delle informazioni e il trasferimento dei dati senza difficoltà di alcun tipo verso un altro fornitore.
2.3 Le informazioni sul trattamento dei dati personali.
Addio alle vecchie informative, lunghissime e dense di riferimenti legislativi. Il GDPR impone testi molto semplici, comprensibili e senza riferimenti normativi, da comprendere a prima vista in modo che il consenso sia realmente ‘informato’.
Oltre che per iscritto o con mezzi elettronici, le informazioni possono essere fornite anche oralmente, ma solo se lo chiede l’interessato e se la sua identità è comprovata.
L’informativa deve contenere questi elementi:
- L’identitàe i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- I dati di contatto del responsabile della protezione dei dati, ove applicabile;
- Le finalità del trattamentocui sono destinati i dati personali e la base giuridica del trattamento;
- Se il trattamento è necessario per il perseguimento del legittimo interesse del titolaredel trattamento o di terzi, i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- Gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- Ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzoo a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione;
- Il periodo di conservazione dei datipersonali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- L’esistenza del diritto dell’interessatodi chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- L’esistenza del diritto di revocare il consensoin qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- Il diritto di proporre reclamoa un’autorità di controllo;
- Se la comunicazione di dati personali è un obbligo legale o contrattualeoppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- L’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
2.4 Il consenso.
Scompare la rigidità del consenso formulato per mezzo di un atto formale a cui siamo abituati e si introduce il concetto di inequivocabilità.
Il Regolamento recita: “Il consenso dovrebbe essere espresso mediante un’azione positiva inequivocabile con la quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento, ad esempio mediante dichiarazione scritta, anche elettronica, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in questo contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere dato per l’insieme delle finalità del trattamento. Se il consenso dell’interessato è richiesto con modalità elettronica, la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso“.
La novità rilevante riguarda quindi il modo in cui il consenso viene espresso: non è più necessaria una manifestazione formale ed esplicita ma è fondamentale che il consenso sia manifestato in modo inequivocabile ed espresso attraverso azioni positive.
Questo di fatto dà spazio, entro certi limiti, a forme di consenso desunto da comportamenti concludenti espressi mediante azioni positive da parte dell’interessato (ad es., l’accettazione dei cookies).
Per quanto riguarda il trattamento dei dati sensibili, rimane invece l’obbligo del consenso esplicito. Da questo punto di vista, quindi, il GDPR ha innovato solo il nome: la dicitura “dato sensibile” è stata sostituita da “dato particolare“.
E i dati raccolti ai sensi del D.Lgs. 196/03?
Secondo il Garante, il consenso ottenuto prima della data di efficacia del GDPR mantiene la sua validità se sussistono i requisiti richiesti dal nuovo Regolamento, cioè se sia:
- esplicito, in caso di dati sensibili e a decisioni basate su trattamenti automatizzati;
- libero, specifico, informato e manifestato attraverso dichiarazione azione positiva inequivocabile, se riferito a dati ordinari.
Per i dati raccolti precedentemente al 25/05/2018 è quindi opportuno verificare se la vecchia informativa conteneva tutti gli elementi della nuova informativa. Se l’informativa già fornita nel rispetto del Codice Privacy sia sufficiente a fondare una consapevolezza dell’interessato così come intesa nel GDPR, il consenso già reso continuerebbe ad essere tale anche ai sensi del GDPR e non sarebbe necessario raccoglierlo nuovamente.
Considerata la rilevante differenza esistente tra la vecchia informativa e quella prescritta dal GDPR, sembra difficile prospettare la continuazione tout-court dei trattamenti in corso in virtù di una presunzione di uguaglianza delle due informative.
Una soluzione potrebbe essere quella per cui i titolari del trattamento che intendono continuare ad utilizzare i dati degli interessati, di cui hanno legittimamente acquisito il consenso ai sensi del Codice Privacy, forniscano agli interessati la nuova informativa offrendo agli stessi la possibilità di revocare il consenso originariamente fornito e specificando le eventuali conseguenze di tale revoca.
2.5 Il registro delle attività di trattamento.
Il GDPR prevede che, su richiesta, il titolare o il responsabile del trattamento mettano a disposizione dell’autorità di controllo il Registro delle attività di trattamento.
È così costituito in capo al titolare un obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge. Obbligo che grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare.
Quando è obbligatorio il Registro delle attività di trattamento?
Stando all’art. 30 del GDPR, sono esonerate dall’obbligo di tenuta del registro delle attività del trattamento le imprese con meno di 250 dipendenti a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (c.d. dati sensibili) o i dati personali relativi a condanne penali e a reati.
Il Garante, tuttavia, nella Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, raccomanda: “la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.
Al di là delle dimensioni aziendali, il registro dei trattamenti potrebbe così costituire un valido strumento di gestione della privacy. Esso, infatti, contiene informazioni in merito alle operazioni che l’organizzazione effettua sui dati personali (ad es., come vengono raccolti, elaborati, archiviati e cancellati), le caratteristiche dei dati trattati, le risorse coinvolte, le misure di sicurezza adottate. Può costituire uno strumento di informazione, consapevolezza e condivisione interna, ma anche uno strumento di pianificazione e controllo della politica della sicurezza di dati, consentendo di intervenire in modo mirato sulle criticità e apportare miglioramenti ai processi.
Come compilare il registro delle attività di trattamento
Il registro deve avere forma scritta, anche elettronica.
L’art. 30 del GDPR distingue due registri, il registro dei trattamenti del titolare e il registro dei trattamenti del responsabile elencando le informazioni che ciascuno di essi dovrà contenere.
Al fine di agevolarci nella compilazione del registro, Altalex ci viene in soccorso con 30 quesiti per una check list di verifica avente ad oggetto il registro dei trattamenti del titolare.
Si tratta dei contenuti minimi che devono essere indicati all’interno del registro. Nulla vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.
Un modello di Registro semplificato delle attività di trattamento del titolare per PMI è messo a disposizione dal Garante privacy e può essere scaricato cliccando [QUI].
2.6 DPIA – Data Protection Impact Assessment.
Il GDPR introduce la DPIA, Data Protection Impact Assessment (Documento di Valutazione di Impatto), in sostanza, un’analisi dei rischi generati dal trattamento dei dati a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati.
L’analisi dei rischi generati dal trattamento dei dati deve necessariamente essere svolta in una fase preliminare alla raccolta del dato, prima dell’inizio di ogni operazione di trattamento o comunque già in fase di sviluppo della tecnologia che si occuperà di trattare dati personali, in modo da rispettare il principio della privacy by design.
Quando è obbligatoria la DPIA?
La realizzazione di una valutazione d’impatto sulla protezione dei dati è obbligatoria qualora il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
In particolare, è obbligatoria nei seguenti casi:
- quando un trattamento di dati introduce l’uso di nuove tecnologie automatizzate(valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche);
- trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
- monitoraggio sistematico di aree pubbliche su vasta scala.
Trattandosi di casi ‘in particolare’, l’elenco non va inteso come esaustivo. Vi possono essere operazioni di trattamento a rischio elevato che non trovano collocazione in tale elenco e in tal caso saranno soggetti a valutazioni d’impatto sulla protezione dei dati.
Nei casi di incertezza circa la necessità o meno di una valutazione d’impatto sulla protezione dei dati il WP29 raccomanda di procedere comunque, in quanto detta valutazione è uno strumento utile che assiste i titolari del trattamento a rispettare la legge in materia di protezione dei dati.
9 criteri da prendere in considerazione per valutare la gravità del rischio nel trattamento.
Il Gruppo di Lavoro art. 29 (WP29) propone i seguenti nove criteri che i titolari del trattamento possono utilizzare per stabilire se sia richiesta una valutazione d’impatto sulla protezione dei dati o meno:
- trattamenti valutativi o discoring, compresa la profilazione e attività predittive, in particolare a partire da aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato;
- decisioni automatizzate che producono significativi effetti giuridici o di analoga natura, ad esempio, il trattamento che possa comportare l’esclusione di una persona fisica da determinati benefici ovvero la sua discriminazione;
- monitoraggio sistematico: cioè i trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o la sorveglianza sistematica di un’area accessibile al pubblico;
- dati sensibili o dati relativi a reati e condanne penali;
- trattamenti di dati su larga scala;
- combinazione o raffronto di insieme di dati, per esempio derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti;
- dati relativi a interessati vulnerabili, compresi i minori, i dipendenti, i soggetti con patologie psichiatriche, i richiedenti asilo, gli anziani, i pazienti e ogni interessato rispetto al quale possa identificarsi una situazione di disequilibrio con il rispettivo titolare del trattamento;
- utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative;
- trattamenti che, di per sé, impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di uncontratto, ad esempio lo screening dei clienti di una banca attraverso i dati registrati in una centrale rischi al fine di stabilire se ammetterli o meno ad un finanziamento.
Nella maggior parte dei casi, un titolare del trattamento può considerare che un trattamento che soddisfi due criteri debba formare oggetto di una valutazione d’impatto sulla protezione dei dati. Maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d’impatto sulla protezione dei dati, indipendentemente dalle misure che il titolare del trattamento ha previsto di adottare. Tuttavia, in alcuni casi, un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno di questi criteri richieda una valutazione d’impatto sulla protezione dei dati.
Per contro, un trattamento può corrispondere ai casi di cui sopra ed essere comunque considerato dal titolare del trattamento un trattamento tale da non “presentare un rischio elevato”. In tali casi il titolare del trattamento deve giustificare e documentare i motivi che lo hanno spinto a non effettuare una valutazione d’impatto sulla protezione dei dati, nonché includere/registrare i punti di vista del responsabile della protezione dei dati.
L’art. 35 del GDPR elenca i casi in cui la valutazione d’impatto sulla protezione dei dati non è sia richiesta.
2.7 Una nuova figura: il Data Privacy Officer.
Il GDPR introduce la figura del Data Privacy Officer (DPO), o Responsabile della protezione dei dati personali.
È richiesto al DPO di conoscere a fondo la normativa e la prassi sulla protezione dei dati, di possedere requisiti di professionalità, indipendenza e autonomia di spesa. Il DPO è il referente che il Garante contatterà in caso debba acquisire informazioni o formulare contestazioni rivolte a chi tratta i dati personali in azienda. Tra i compiti del DPO, citiamo la sorveglianza dell’osservanza del Regolamento, la responsabilità di informare e consigliare chi gestisce il trattamento dei dati sull’eventuale non conformità delle soluzioni adottate e sulle possibili azioni di miglioramento.
Il DPO può essere un dipendente o una persona esterna all’azienda.
Quando è obbligatoria la nomina del DPO?
La nomina è obbligatoria se chi tratta i dati è un soggetto pubblico.
Nel settore privato è obbligatoria:
- quando le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematicodegli interessati su larga scala;
- quando consistono nel trattamento, su larga scala, di dati sensibili o giudiziari.
È regolare il monitoraggio:
- che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
- ricorrente o ripetuto a intervalli costanti;
- che avviene in modo costante o a intervalli periodici.
È sistematico il monitoraggio:
- che avviene per sistema;
- predeterminato, organizzato o metodico;
- che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
- svolto nell’ambito di una strategia.
A titolo esemplificativo, rientrano nell’obbligo di nominare il DPO:
- gli operatori di telecomunicazione;
- gli operatori che effettuano profilazione per finalità di marketing comportamentale;
- la localizzazione tramite app;
- i programmi di fidelizzazione;
- l’utilizzo di telecamere a circuito chiuso.
Nei trattamenti su larga scala rientrano i trattamenti di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato. Si esclude che si tratti di trattamento su larga scala quello riguardante i dati dei pazienti svolto dal singolo professionista sanitario o dati relativi a condanne penali o reati dei clienti svolti dal singolo avvocato.
Vengono esplicitati quattro elementi da tenere in considerazione per valutare se il trattamento viene effettuato o meno su larga scala:
- il numero degli interessati coinvolti;
- la quantità dei dati e/o il tipo dei dati oggetto di trattamento;
- la durata o la permanenza del processo di trattamento dei dati;
- l’estensione geografica del trattamento.
Alcuni esempi di trattamento di dati su larga scala sono i seguenti:
- trattamento di dati relativi a pazienti svolto da un ospedale;
- trattamento di dati di viaggio di soggetti che utilizzano un sistema di trasporto pubblico (ad es., il loro tracciamento attraverso titoli di viaggio);
- trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo;
- trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca;
- trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
- trattamento di dati (contenuti, traffico, ubicazione) da parte di fornitori di servizi telefonici o telematici.
In ultima analisi, per verificare l’obbligatorietà della nomina di un DPO occorrerà valutare:
- se le attività di trattamento effettuate, per loro natura, ambito di applicazione e/o finalità, richiedono un monitoraggio regolare e sistematico degli interessati;
- in caso affermativo, se tale monitoraggio è effettuato su larga scala;
- se tale monitoraggio si può considerare attività principale.
La violazione dei dati personali è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Il Data Breach Notification è obbligo di informare tempestivamente (entro 72 ore dall’accaduto) le autorità delle eventuali violazioni dei sistemi di sicurezza che possano determinare in maniera accidentale o illecita la distruzione e conseguente perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati.
Sarà opportuno dotarsi di un software di monitoraggio (c.d. software sentinella) che permetta di rilevare tempestivamente le violazioni.
Le violazioni delle regole di trattamento dei dati personali danno luogo a conseguenze molto pesanti:
- Fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi;
- Fino al 4% del fatturato complessivo (consolidato) per i gruppi societari.
Bibliografia e sitografia:
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, 17/IT WP 248 rev.01
ALTALEX, Registro dei trattamenti privacy: ecco la check list