Disponibile sul sito del Garante Privacy l'aggiornamento, alla versione 1.6.3 con nuove funzionalità, del software per la valutazione di impatto sulla protezione dei dati.

Il software offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

Il software qui presentato non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d'impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d'impatto che va integrata in ragione delle tipologie di trattamento esaminate.

È inoltre bene ricordare che la valutazione d'impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

AdA

Scarica la nuova versione del software

Disponibile sul sito del Garante per la protezione dei dati personali, la procedura on-line per la comunicazione del nominativo del Responsabile della Protezione dei Dati.

In base all'articolo 37, paragrafo 7 del Regolamento UE/2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.

Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP 243 rev. 01 - punto 2.6).

Si ricorda, infatti, che in base all'articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.

Sul sito dell'Autorità è disponibile una procedura online per la comunicazione del nominativo.

Per facilitare i soggetti tenuti all'adempimento, nella sezione dedicata alla procedura, è presente anche un facsimile in formato .pdf - da non utilizzare per la comunicazione al Garante - che consente di familiarizzare con l'adempimento e verificare, prima di iniziare la compilazione online, quali saranno le informazioni richieste.

AdA

Vai alla procedura on-line

Scarica il fac-simile

Scarica le istruzioni per la compilazione

Scarica le Linee guida sui responsabili della protezione dei dati

Il conto alla rovescia è iniziato: il 25 maggio sarà operativo il regolamento europeo sulla privacy e il Consiglio nazionale dei dottori commercialisti ha messo a punto, insieme alla Fondazione della categoria, un vademecum completo di check list per farsi trovare preparati all’appuntamento.

Non si tratta, però, solo di adempimenti. Il documento “Il regolamento Ue/2016/679 General Data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali”, infatti, prospetta al professionista anche la possibilità di lavorare nel settore della privacy. Lo fa nella parte relativa alla nuova figura del Dpo (data protection officer o responsabile della protezione dei dati), ricordando che la tutela della riservatezza rientra tra le materie della formazione professionale e che già da anni «una moltitudine di iscritti all’Albo» svolge attività di consulenza nel campo della privacy. Tanto basta per consentire a quei professionisti di cimentarsi anche nel ruolo di Dpo, perché al momento non sono previste particolari certificazioni. Fondamentale è, invece, che gli aspiranti Dpo tengano «in apposita considerazione i requisiti di indipendenza» prescritti dal regolamento per tale profilo. Per questo «dovranno essere valutate attentamente eventuali situazioni potenzialmente idonee a generare un conflitto di interesse».

Il Dpo non è solo opportunità professionale, ma anche adempimento: la sua nomina non è obbligatoria per i liberi professionisti che operano in forma individuale, tuttavia il Garante - ricorda il vademecum - ne raccomanda la designazione. Indicazione che si unisce alle altre che il documento fornisce per consentire al titolare dello studio di organizzare l’attività in linea con le nuove regole europee. Tutto deve ruotare intorno al principio di accountability, ovvero la predisposizione di modelli organizzativi che consentano l’applicazione del regolamento e, al contempo, riducano al minimo il rischio delle salate sanzioni. Un traguardo che si può raggiungere attraverso una check list che permette un’auto-valutazione del proprio studio. Con l’avvertenza, però, che la sua mera compilazione «non va intesa come strumento sufficiente per ottenere la conformità dell’organizzazione dello studio alle disposizioni del Gdpr» (l’acronimo inglese che indica il regolamento europeo). In attesa, infatti, di un sistema di certificazione della privacy (che il regolamento prevede anche attraverso l’adozione di sigilli e marchi: una sorta di “bollino di qualità”) il titolare dello studio dovrà dimostrare di aver valutato tutti gli aspetti della propria attività e progettato la tutela dei dati di conseguenza.

La check list è di ausilio in questo compito. Si parte con la ricognizione dei dati personali trattati (quelli dei clienti, dei fornitori e dei dipendenti, tirocinanti compresi) e della loro tipologia; si prosegue con le finalità di quei trattamenti e delle basi che li legittimano (per esempio, all’interno di un contratto o dietro un consenso esplicito); si accerta se risultano assicurati i diritti degli interessati (ovvero, dei “proprietari” dei dati, che possono chiedere, per esempio, la rettifica o la portabilità delle informazioni); si verifica se sono state predisposte in modo corretto le autorizzazioni da parte del titolare nei confronti degli incaricati del trattamento (dipendenti, collaboratori e tirocinanti dello studio); si predispongono le misure di protezione (per esempio: antivirus, armadi chiusi a chiave, dispositivi anti-intrusione); si disegna un piano in caso di violazione dei dati (data breach), così da poter valutare con rapidità se il danno deve essere comunicato al Garante (lo si deve fare entro 72 ore).

Il vademecum ricorda, infine, i criteri per la messa a punto dell’informativa da fornire al momento della raccolta dei dati e della richiesta del consenso, nonché dei tempi di conservazione delle informazioni. Ammonendo, da ultimo, che il sistema della privacy va costantemente aggiornato e adeguato all’assetto dello studio.

AdA

Scarica il vademecum completo di check list

Fonte Sole24Ore AC

La CNIL, l'Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d'impatto sulla protezione dei dati (DPIA).

Il software, la cui versione in lingua italiana è stata messa a punto con la collaborazione del Garante per la protezione dei dati personali, offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

Occorre sottolineare che il software è in continua evoluzione, con revisioni introdotte anche sulla base dell'esperienza raccolta e delle segnalazioni degli utenti.

Il software non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d'impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d'impatto che va integrata in ragione delle tipologie di trattamento esaminate.

È inoltre bene ricordare che la valutazione d'impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

AdA

Scarica il software

Il Garante per la protezione dei dati personali mette a disposizione l'aggiornamento 2018 della Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali. Il documento - che traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa - è stato in parte modificato e integrato alla luce dell'evoluzione della riflessione a livello nazionale ed europeo. Il testo potrà subire ulteriori aggiornamenti, allo scopo di offrire sempre nuovi contenuti e garantire un aggiornamento costante.

La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018. Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).

Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci. La presente Guida è soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo.

AdA

Scarica la Guida applicativa

La nomina di un Dpo (data protection officer, in italiano Rpd, responsabile per la protezione dei dati), che secondo il regolamento europeo non è obbligatoria per tutti, è «raccomandata» dal Garante a tutti i titolari «anche alla luce del principio di accountability che permea il regolamento».

Questa una delle indicazioni fornite dal Garante della privacy nelle Faq, pubblicate sul suo sito, relative al comparto privato in vista dell’entrata in vigore del Regolamento (Gdpr) il 25 maggio 2018.

Si ripete, dunque, quello che già era accaduto con la tenuta del «Registro delle attività di trattamento», disciplinato dall’articolo 30 del Gdpr. Una misura prescritta per soggetti o trattamenti di rilevante importanza diventa consigliata alla generalità dei titolari e individuata come modalità favorita per dimostrare il rispetto dei requisiti del Gdpr (in caso di controversie, ispezioni, procedimento davanti al Garante).

Il motivo è facile da intuire: il regolamento è una norma nuova che, almeno rispetto alla legislazione italiana, muta la struttura del sistema privacy. Fino al 25 maggio, i titolari devono dimostrare di avere messo in atto misure minime per la tutela dei dati trattati; dal 25 maggio in poi le misure che permetteranno di dimostrare la compliance con il regolamento devono essere sufficienti (il principio di accountability, appunto).

La sufficienza delle misure andrà misurata ex ante. Il titolare dovrà provare di aver adottato misure tali da rendere i dati e i trattamenti sicuri e legittimi. Il registro in cui annotare trattamenti e regole può certamente costituire una prima prova di ciò; e così un Dpo validamente scelto (garanzia di competenza e professionalità) e dotato delle necessarie strutture e risorse (personale, locali, attrezzature).

Di certo la sua nomina dovrà essere un processo sostanziale e non un obolo formale alle prescrizioni del Gdpr. Quindi, non solo il Dpo designato dovrà possedere i requisiti di «conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati» previsti dall’articolo 37 del regolamento, ma dovrà anche interagire con le funzioni aziendali per assicurare il rispetto della normativa, la gestione delle criticità e, in aggiunta, «fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento» (articolo 39).

Questa inedita figura a metà tra la consulenza e la garanzia è stata individuata fin da subito come una delle novità più evidenti introdotte dal Regolamento. Il Dpo può essere sia un consulente che un dipendente, ma anche in quest’ultimo caso deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici aziendali.

Non ci sono incompatibilità con altri incarichi, ma il Garante evidenzia la necessaria assenza di un «conflitto di interesse» in capo al Dpo. Ciò può creare qualche problema all’interno delle aziende, che in molti casi potrebbero essere portate a nominare responsabile un dipendente che si sta già occupando attivamente di privacy.

Invece, dice il Garante, è sconsigliabile nominare Dpo chi opera all’interno di strutture che hanno potere decisionale in ordine alle finalità e alle modalità del trattamento dei dati, e quindi (se ne deduce) anche chi ha costruito e gestisce in prima persona il sistema e i documenti privacy di una società. Queste risorse dovranno essere, semmai, il punto di contatto con il Dpo. La scelta della persona da nominare non va quindi sottovalutata. Il responsabile è una professione creata ex novo dal Regolamento; potrebbe diventare uno dei cardini su cui ruota l’intero sistema privacy.

fonte Sole24Ore 85/18 AB

Nel prossimo futuro la privacy parlerà soprattutto il linguaggio europeo. Il Consiglio dei ministri ieri ha, infatti, approvato in via preliminare un decreto legislativo, messo a punto dal ministero della Giustizia, che manda in soffitta l’attuale codice della riservatezza (il Dlgs 196 del 2003) e lascia campo libero al regolamento Ue 679/2016, che diventerà operativo a partire dal 25 maggio.

Da quella data le nuove regole sulla privacy convivranno con una serie di norme interne ora in vigore e ritenute compatibili con l’impianto europeo. Le disposizioni “sopravvissute” sono state messe in fila dal decreto legislativo approvato ieri. Di fatto, però, dal 25 maggio non ci sarà più un testo unico sulla privacy, ma si dovrà fare riferimento al regolamento e al decreto, nel quale non si può, per i vincoli europei, trasfondere anche il regolamento.

A questo punto ciò che è importante è che si arrivi alla scadenza con la nuova privacy con un quadro legislativo il più possibile chiaro. Il rischio era, infatti, che il regolamento europeo si trovasse fianco a fianco con l’attuale normativa nazionale, parte della quale diventerà obsoleta dopo il 25 maggio.

Proprio per evitare tale confusione, il legislatore italiano ha affidato, con la legge di delegazione europea (la legge 163 del 2017), una delega al Governo per armonizzare le disposizioni nazionali sulla privacy in vigore e quelle europee che verranno. La delega prevedeva l’adozione di uno o più decreti legislativi e, alla fine, è stata scelta la strada di un solo provvedimento attuativo.

Il percorso, però, va completato, perché quello pronunciato ieri da Palazzo Chigi è solo il via libera iniziale, a cui dovranno seguire i pareri del Consiglio di Stato, delle commissioni parlamentari competenti e del Garante della privacy.

L’intero percorso dovrà essere ultimato entro il 19 maggio, perché la delega scade in quella data. A quel punto, tra l’altro, mancheranno pochi giorni al debutto del nuovo sistema della privacy in chiave europea e diventerà opportuno dare agli operatori un tempo congruo per orientarsi con il nuovo quadro legislativo di riferimento.

Sulla procedura pesa, però, la formazione del nuovo Parlamento e delle commissioni permanenti. Sui tempi di costituzione di queste ultime, infatti, non c’è certezza.

AdA

fonte Sole24Ore 80/18 AC

Procedure, obblighi e sanzioni: palazzo Chigi detta le regole per un «livello elevato di sicurezza della rete e dei sistemi informativi». Consolida il ruolo centrale della Presidenza del Consiglio come autorità cyber con lo schema di decreto legislativo appena trasmesso alle commissioni parlamentari per il parere prescritto prima dell’ok definitivo.

Il testo definisce le regole per gli «operatori di servizi essenziali e dei fornitori di servizi digitali»: dovranno adeguarsi in modo uniforme per garantire prevenzione, difesa e tenuta contro gli attacchi. In ballo le grandi imprese di energia, trasporti, sanità, fornitura e distribuzione acqua potabile, il settore bancario e le infrastrutture dei mercati finanziari. E le infrastrutture digitali dove per «servizi digitali» il decreto annovera «mercato on line, motori di ricerca on line, servizi di cloud computing».

In caso di inadempienza alle nuove procedure, scattano sanzioni durissime: da un minimo di 12mila fino a 120mila euro - in otto ambiti di applicazione delle norme - ma nel caso di mancato rispetto di istruzioni vincolanti salgono fino a 150mila. Atteso da tempo, il provvedimento attua la direttiva Ue n. 1148/2016 Nis (Network and Information Security). È il seguito coerente e rispecchia in pieno il decreto del 17 febbraio 2017 del presidente del Consiglio, Paolo Gentiloni, sulla nuova architettura nazionale cyber dove al centro si pone il Dis (dipartimento informazioni sicurezza). Il nuovo decreto istituisce il Csirt (Computer Security Incident Response Team) nazionale presso la Presidenza del Consiglio: sostituirà il Cert (Computer Emergency Response Team) nazionale presso il Ministero per lo sviluppo economico e il Cert-Pa operante all’Agenzia per l’Italia digitale.

Il senso strategico del provvedimento è fissare l’unicità del comando nella catena decisionale, soprattutto in caso di attacco. Gli operatori di servizi essenziali non sono individuati nel concreto dal testo: lo dovranno fare «entro il 9 novembre 2018» i ministeri di riferimento, definiti «autorità competenti Nis» dei rispettivi settori. Mise (energia e infrastrutture digitali), Infrastrutture (trasporti), Mef (settore bancario e infrastrutture dei mercati finanziari), Salute (assistenza sanitaria), Ambiente (fornitura e distribuzione acqua potabile). Il Dis, invece, è definito «punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi» anche per «garantire la cooperazione transfrontaliera» delle autorità Nis con quelle «degli altri Stati membri» dell’Unione europea.

Dis e ministeri interessati, inoltre, «consultano» e «collaborano» con il Garante per la protezione dati personali e con «l’autorità di contrasto» ai crimini informatici, «organo centrale» del ministero dell’Interno guidato da Marco Minniti, vale a dire la Polizia postale e delle telecomunicazioni presso il dipartimento di Pubblica sicurezza. Prevista anche una «cooperazione a livello nazionale» con Regioni e Province autonome attraverso un «comitato tecnico di raccordo» presso palazzo Chigi composto da rappresentanti delle amministrazioni statali, regionali e provinciali. Certo, la sfida contro la minaccia cyber è immane. Nel 2017 sono state colpite oltre un miliardo di persone nel mondo con danni globali per oltre 500 miliardi di dollari, secondo il Rapporto Clusit 2018 presentato ieri a Milano: la crescita è stata del 240% degli attacchi informatici rispetto al 2011. Ma l’Italia ora deve rendere organica ed efficiente anche la catena produttiva dei sistemi di difesa - e di attacco - in dotazione alle nostre imprese. È il senso di fondo della relazione di recente approvata del Copasir, presieduto da Giacomo Stucchi (Lega), sui sistemi informatici per l’intercettazione dati e comunicazioni, relatori Giuseppe Esposito (Udc) e Angelo Tofalo (M5S).

Dopo casi critici di fughe di dati sensibili per la sicurezza nazionale - il caso Hacking Team del 2015 - il Copasir sottolinea l’urgenza di «accrescere il volume degli investimenti e delle risorse personali, tecnologiche e finanziarie per tutelare il principio della sovranità nazionale nel capo della sicurezza cibernetica». In campo ci sono lo Stato, le imprese pubbliche e private, ma serve garantire una filiera nazionale della sicurezza informatica sotto controllo e priva di punti deboli. Come avvalersi di software e hardware stranieri, tuttora in uso, in grado di riportare ai rispettivi stati di origine informazioni sensibili.

AdA

fonte Sole24Ore 59/18 ML

Con circolare del 19 febbraio 2018, n. 5, l'Ispettorato Nazionale del Lavoro ha fornito nuove indicazioni sull'installazione e utilizzazione di impianti audiovisivi e di altri strumenti di controllo ai sensi dell'art. 4 della legge n. 300/1970.

Le considerazioni riguardano le istanze di installazione e le condizioni del controllo a distanza, ma anche la considerazione dell'interesse alla tutela del patrimonio aziendale, l'uso di telecamere con nuova tecnologia digitale e l'utilizzo di sistemi di trattamento e raccolta di dati biometrici.

Sulla valutazione dei presupposti legittimanti il controllo a distanza dei lavoratori, l'Ispettorato scrive che l'eventuale ripresa dei lavoratori, di norma, dovrebbe avvenire in via incidentale e con carattere di occasionalità ma nulla impedisce, se sussistono le ragioni giustificatrici del controllo (ad esempio tutela della "sicurezza del lavoro" o del "patrimonio aziendale"), di inquadrare direttamente l'operatore, senza introdurre condizioni quali, per esempio, "l'angolo di ripresa" della telecamera oppure "l'oscuramento del volto del lavoratore".

Non appare fondamentale specificare il posizionamento predeterminato e l'esatto numero delle telecamere da installare ma le riprese effettuate devono necessariamente "essere coerenti e strettamente connesse" con le ragioni legittimanti il controllo e dichiarate nell'istanza, da verificare in sede di eventuale accertamento ispettivo. È invece scarsamente utile una analitica istruttoria basata su planimetrie perché nel corso del breve periodo non sono assolutamente rappresentative del contesto lavorativo e dei mutamenti di merci e impianti produttivi.

L'attività di controllo, ricorda l'Ispettorato al personale ispettivo, è legittima se strettamente funzionale alla tutela dell'interesse dichiarato, interesse che non può essere modificato nel corso del tempo nemmeno se vengano invocate le altre ragioni legittimanti il controllo stesso ma non dichiarate nell'istanza di autorizzazione.

AdA

Scarica la circolare 5/2018

Industria 4.0 e l’esplosione dei big data testimoniano come nella “società dei sensori” i dati personali si siano trasformati in tracce pervasive, suscettibili di identificare i singoli. Un volume impressionante di informazioni che solleva il problema di come assicurare trasparenza e controllo sul loro utilizzo.

Gli strumenti di regolamentazione volontaria previsti dal Gdpr (General data protection regulator, il regolamento europeo 2016/679), come marchi e sigilli oppure codici deontologici e certificazione privacy, sono la segnaletica di affidabilità generale per la corretta gestione del traffico delle tracce individuali. La certificazione, a cui possono ricorrere sia i soggetti privati sia quelli pubblici, rende manifesta la conformità al regolamento nei riguardi di partner commerciali, Autorità di controllo, clienti e consumatori.

Diventa quindi comprensibile l’attesa per l’approvazione delle relative linee guida ad opera del Gruppo di lavoro dell’articolo 29, l’organo consultivo della Commissione Ue sulla privacy. Il tema è stato inserito nell’agenda del 6 e 7 febbraio, penultima riunione prima dello scioglimento del Gruppo, sostituito dal Comitato dell’articolo 68.

Il sistema della certificazione è un processo che culmina in un attestato (il “certificato”) rilasciato da un ente indipendente e accreditato (“ente di certificazione”), secondo il quale l’azienda assegnataria risulta soddisfare determinati requisiti indicati in un apposito schema di verifica (“schema di certificazione”), approvato in precedenza da un ente autonomo di supervisione (“Organismo di accreditamento”), secondo metodi e procedure indicati in norme tecniche, di contenuto generale e valide per chiunque.

Il Gdpr recepisce questo meccanismo, impostandolo su uno schema di certificazione approvato dall’Autorità di controllo competente oppure dall’Organismo nazionale di accreditamento (per l’Italia, Accredia). Dall’altro lato, il Gdpr prevede alcune disposizioni integrative, specifiche per la “certificazione privacy”.

In sintesi, si stabilisce che i soggetti con potere di accreditamento possono essere l’organismo nazionale di accreditamento o l’Autorità di controllo (da noi è il Garante privacy) oppure entrambi. Il riconoscimento di una competenza alternativa tra organismo di accreditamento e autorità di controllo può giustificarsi con la constatazione che l’attuale situazione degli organismi di accreditamento presso gli Stati membri appare troppo variegata per poter consentire una soluzione uniforme. Di contro, la terza opzione della competenza congiunta non sembra trovare un ragionevole fondamento. Spetterà agli Stati membri, in base al Gdpr, scegliere l’opzione ritenuta ottimale per il contesto nazionale.

I criteri di accreditamento sono quelli previsti dallo standard En-Iso/Iec 17065/2012, integrati con quelli che il Garante stabilirà: una scelta di campo rispetto agli schemi sui sistemi di gestione delle informazioni, della famiglia Iso 27000. Gli enti di certificazione, pertanto, dovranno dimostrare competenza sia in tema di standard Iso 17065 sia riguardo alla disciplina della privacy. Per questo, se un ente di certificazione si fosse già accreditato in base alla norma En-Iso/Iec 17065/2012 per aspetti estranei al Gdpr e successivamente intendesse estendere l’ambito del proprio accreditamento anche alla privacy, dovrebbe dimostrare di soddisfare gli ulteriori requisiti previsti dal Garante.

Il futuro “certificato Gdpr” (articolo 43 del regolamento) non è garanzia assoluta di rispetto della norma, ma rappresenta comunque un’attestazione la cui attendibilità è supportata da verifiche periodiche di compliance, sanzioni per il caso di trasgressioni, possibilità per terzi di effettuare reclami e di riceverne adeguato riscontro.

AdA

fonte Sole24Ore 28/18 RI e RI