General Data Protection Regulation (GDPR)

Una guida Stripe alla privacy europea e alle modifiche in materia di protezione dei dati

Introduzione

Una panoramica delle nuove leggi sulla privacy e sulla tutela dei dati che entreranno in vigore il 25 maggio 2018, e alcune migliori pratiche per la conformità al GDPR

Il GDPR è la modifica più significativa apportata alla normativa sulla privacy e protezione dei dati negli ultimi decenni. Le società si stanno adoperando per apportare modifiche radicali ai propri sistemi e contratti, e quelle che dispongono di piattaforme conformi e attente alla normativa sulla privacy sono avvantaggiate. Lo scopo di questa guida è aiutare i nostri utenti a comprendere le estese conseguenze del GDPR, le opportunità che esso offre per migliorare le attività di trattamento dei dati e le modalità per rispettare ed essere conformi al GDPR.

Nota: questa guida al GDPR è a solo scopo informativo. Non costituisce una consulenza legale. Si prega di rivolgersi al proprio consulente legale per ricevere adeguate indicazioni su come il GDPR può influenzare la propria attività.

Cos’è il GDPR?

Il Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR) è una nuova legge UE sulla privacy e la protezione dei dati. Esso prevede: l’adozione di linee guida sulla privacy più minuziose all’interno dei sistemi di un’organizzazione, accordi sulla protezione dei dati più articolati e informative più dettagliate e più alla portata del consumatore in relazione alla privacy e alle politiche in tema di protezione dei dati di un’organizzazione.

Il GDPR sostituisce l’attuale quadro normativo sulla protezione del dati dell’UE del 1995 (comunemente noto come "Direttiva sulla Protezione dei Dati"). La Direttiva sulla Protezione dei Dati richiedeva il recepimento nel diritto nazionale degli Stati membri, il che ha generato un panorama legislativo frammentato in materia di protezione dei dati nell’UE. Il GDPR è un regolamento UE che ha effetto giuridico diretto su tutti gli Stati membri dell’UE, ovvero non richiede di essere recepito dal diritto nazionale degli Stati membri perché diventi vincolante. Ciò porterà a maggiore coerenza e a una più omogenea applicazione della legge nell’UE.

Il GDPR può applicarsi alle organizzazioni situate al di fuori dell’UE

Diversamente dalla Direttiva sulla Protezione dei Dati, il GDPR interessa qualsiasi società che svolge attività a livello mondiale, non solo quelle situate nell’UE. Ai sensi del GDPR, le organizzazioni possono rientrare nell’ambito di applicazione se (i) l’organizzazione è stabilita nell’UE o (ii) l’organizzazione non è stabilita nell’UE, ma le attività di trattamento dei dati riguardano persone fisiche dell’UE e l’offerta di beni e servizi a tali persone fisiche, ovvero il monitoraggio del loro comportamento.

Il trattamento dei dati personali è un concetto ampio ai sensi del GDPR

Il GDPR disciplina le modalità con cui i dati personali di persone fisiche dell’UE possono essere trattati dalle organizzazioni. "Dato personale" e "trattamento" sono termini utilizzati di frequente nella normativa, pertanto comprendere il loro significato specifico ai sensi del GDPR fa luce sulla vera portata di questa legge:

  • Dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile. Si tratta di un concetto molto ampio perché include qualsiasi informazione che potrebbe essere utilizzata da sola oppure in combinazione con altre informazioni, per identificare una persona. Dato personale non è solo il nome o l’indirizzo email di una persona. Può anche includere informazioni come le informazioni finanziarie o, in taluni casi, persino l’indirizzo IP. Inoltre, a talune categorie di dati personali viene attribuito un maggior livello di protezione in considerazione della loro natura sensibile. Queste categorie di dati sono le informazioni riguardanti l’origine razziale o etnica di un interessato, le opinioni politiche, il credo religioso e filosofico, l’adesione a sindacati, i dati genetici, i dati biometrici, i dati sanitari, le informazioni sulla vita sessuale o l’orientamento sessuale di una persona, nonché le informazioni sui precedenti penali.

  • Trattamento dei dati personali è l’attività chiave che fa scattare gli obblighi ai sensi del GDPR. Trattamento indica qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. In termini pratici, ciò significa che qualsiasi processo che archivia o consulta dati personali è considerato trattamento.

Concetti chiave: titolari del trattamento e responsabili del trattamento

La legge sulla protezione dei dati dell’UE prevede due diversi soggetti che possono elaborare dati personali: il titolare del trattamento dei dati e il responsabile del trattamento dei dati.

Il titolare del trattamento dei dati ("titolare") indica il soggetto che, singolarmente o congiuntamente con altri, determina le finalità e i mezzi del trattamento dei dati personali. Il responsabile del trattamento dei dati ("responsabile") indica il soggetto che elabora i dati personali per conto del titolare.

È importante determinare se il soggetto che elabora i dati personali per ciascuna attività di trattamento dei dati è un titolare o un responsabile del trattamento. Questo esercizio di identificazione consente a un’organizzazione di comprendere quali diritti e obblighi sono connessi a ciascuna delle operazioni di trattamento dei loro dati.

Stripe svolge talune attività di trattamento dei dati per cui agisce in qualità di titolare del trattamento e altre per cui agisce in qualità di responsabile del trattamento. Un buon esempio di questo duplice ruolo è fornito nel momento in cui Stripe elabora le transazioni con carta di credito. Agevolare una transazione richiede il trattamento di dati personali, quali il nome del titolare della carta, il numero della carta di credito, la data di scadenza della carta di credito e il codice CVC. I dati del titolare della carta sono inviati dall’utente Stripe a Stripe tramite l’API di Stripe (o tramite un altro metodo di integrazione, come Stripe Elements). Successivamente, Stripe utilizza i dati per completare la transazione nei sistemi di rete della carta di credito, e questa è una funzione che Stripe esercita in qualità di responsabile del trattamento. Tuttavia, Stripe utilizza i dati anche per adempiere ai propri obblighi normativi (come quello di adeguata verifica della clientela (Know-Your-Customer, "KYC") e in tema di antiriciclaggio (Anti-Money-Laundering, "AML"), e in detto ruolo Stripe è il titolare del trattamento.

Base giuridica per il trattamento dei dati personali nel GDPR

La prossima considerazione è stabilire se una particolare attività di trattamento è conforme al GDPR o meno. Ai sensi del GDPR, ogni attività di elaborazione dei dati, eseguita da un titolare o responsabile, deve fondarsi su una base giuridica. Il GDPR riconosce un totale di sei basi giuridiche per il trattamento dei dati personali delle persone fisiche dell’UE (nel GDPR, le persone fisiche dell’UE sono denominate "interessati"). Le sei basi giuridiche, secondo l’ordine dell’art. 6, paragrafo 1, lettere da a) a f) del GDPR sono:

  1. L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

  2. Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

  3. Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

  4. Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato;

  5. Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri o

  6. Il trattamento è necessario per il legittimo interesse perseguito dall’entità, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.

L’elenco delle ipotesi di trattamenti consentiti dal GDPR e l’elenco contenuto nella Direttiva sulla Protezione dei Dati presentano delle somiglianze. Tuttavia, vi sono anche divergenze significative.

La modifica introdotta dal GDPR, e discussa più di frequente nel raffronto con la Direttiva sulla Protezione dei Dati, è la restrizione dei requisiti per il consenso (punto 1 nell’elenco di cui sopra). I requisiti per il consenso del GDPR comprendono elementi come (i) il consenso deve essere verificabile, (ii) la richiesta per il consenso deve essere presentata in modo chiaramente distinguibile dalle altre questioni e (iii) gli interessati devono essere informati del loro diritto di revocare il consenso. È altresì importante tenere in considerazione che, in relazione al trattamento di dati sensibili, è imposto un requisito per il consenso ancora più elevato ("consenso esplicito").

Un altro elemento rilevante da evidenziare riguarda il legittimo interesse (punto 6 nell’elenco di cui sopra). Quando si basa il trattamento dei dati personali sul "legittimo interesse", un’organizzazione deve essere consapevole del requisito del bilanciamento di interessi associato a tale base giuridica. Per soddisfare il principio di Responsabilizzazione ai sensi del GDPR, un’organizzazione deve documentare la propria conformità al bilanciamento di interessi, il che comprende spiegare il proprio approccio e le argomentazioni fatte prima di concludere che il bilanciamento degli interessi è stato soddisfatto.

Diritti degli interessati ai sensi del GDPR

Ai sensi della Direttiva sulla Protezione dei Dati, agli interessati erano garantiti alcuni diritti fondamentali in relazione ai loro dati personali. I diritti degli interessati continuano ad applicarsi ai sensi del GDPR, fatte salve alcune modifiche a chiarimento. La tabella seguente mette a confronto i diritti delle persone fisiche ai sensi della Direttiva sulla Protezione dei Dati e del GDPR.

Diritto dell’interessato Direttiva sulla Protezione dei Dati GDPR
Richiesta di accesso dell’interessato Gli interessati hanno il diritto di sapere se i loro dati personali sono oggetto di trattamento, quali dati personali che li riguardano sono trattati e in che modo, e quali sono le operazioni di trattamento dei dati. La portata di questo diritto è stata ampliata nel GDPR. Ad esempio, nell’effettuare una richiesta di accesso, gli interessati devono ricevere ulteriori informazioni, comprese le informazioni relative ai loro diritti aggiuntivi sulla protezione dei dati ai sensi del GDPR che prima non esistevano, come il diritto alla portabilità dei dati.
Diritto di opposizione Un interessato può impedire talune operazioni di trattamento dei dati laddove abbia motivi legittimi cogenti. Gli interessati possono altresì opporsi al trattamento dei propri dati personali per finalità di marketing diretto. Il GDPR ha ampliato l’ambito di applicazione di questo diritto rispetto alla Direttiva sulla Protezione dei Dati.
Diritto di rettifica e cancellazione Gli interessati possono richiedere che i dati incompleti siano completati o che i dati inesatti siano rettificati per garantire che il trattamento dei dati sia conforme ai principi di protezione dei dati applicabili. La posizione del GDPR è sostanzialmente la stessa della Direttiva sulla Protezione dei Dati, tuttavia ai sensi del GDPR sono aumentate alcune protezioni a livello procedurale.
Diritto di limitazione Nessun diritto di limitazione del trattamento. Tuttavia, la Direttiva sulla Protezione dei Dati fornisce agli interessati il diritto di richiedere di bloccare i rispettivi dati personali laddove le operazioni di trattamento dei dati non siano conformi ai principi di protezione dei dati, ad esempio quando i dati sono incompleti o inaccurati. Il GDPR offre agli interessati il diritto di richiedere la limitazione del trattamento dei rispettivi dati personali in determinate circostanze, inclusi i casi in cui l’interessato contesti l’accuratezza dei dati.
Diritto di cancellazione ("diritto all’oblio") Gli interessati hanno il diritto di richiedere la cancellazione dei rispettivi dati personali laddove le operazioni di trattamento dei dati non siano state conformi ai principi di protezione dei dati. Pertanto, il diritto è molto ristretto. Il GDPR ha esteso questo diritto in maniera sostanziale. Ad esempio, il diritto di cancellazione può essere esercitato quando i dati personali non risultano più necessari in relazione agli scopi per i quali sono stati raccolti oppure quando l’interessato ritira il consenso al trattamento e non vi sono altre basi giuridiche che supportano la continuazione del trattamento.
Diritto alla portabilità dei dati La Direttiva sulla Protezione dei Dati non menziona in maniera esplicita la "portabilità dei dati" come diritto di un soggetto interessato. Le leggi degli Stati membri dell’UE potrebbero aver implementato diritti aggiuntivi in relazione al diritto di portabilità dei dati a livello nazionale. Gli interessati possono richiedere che i dati personali detenuti da un titolare del trattamento dei dati vengano forniti a loro stessi o a un altro titolare.

Trasferimenti internazionali dei dati

L’argomento del flusso di dati internazionali è stato un tema scottante negli anni recenti e vi sono state notevoli polemiche e riforme normative in quest’area. È quasi certo che le leggi sui flussi internazionali di dati continueranno a evolversi negli anni a venire. Oggi, in base alla legge sulla protezione dei dati dell’UE, devono essere soddisfatti determinati requisiti prima che i dati personali degli interessati possano essere trasferiti all’esterno dell’UE, a meno che l’organizzazione che riceve i dati personali non sia ubicata in una giurisdizione appartenente alla whitelist (vedere qui per le giurisdizioni inserite nella whitelist).

In base al GDPR, i trasferimenti internazionali dei dati sono un argomento di complessa gestione poiché la legge continua a evolversi e i meccanismi di trasferimento dei dati disponibili sono in numero esiguo. Nonostante le difficoltà, le organizzazioni devono mantenersi aggiornate con gli sviluppi, dato che il flusso di dati personali in maniera conforme alla normativa rappresenta la colonna portante di qualsiasi azienda tecnologica.

Un meccanismo particolarmente importante per i flussi di dati personali dall’UE agli Stati Uniti è il Privacy Shield. Il Privacy Shield UE-USA e Svizzera-USA è un metodo per garantire che un’organizzazione offra un livello adeguato di protezione dei dati, richiedendo all’organizzazione di certificarsi e registrarsi in base ai requisiti del Privacy Shield. Per questo motivo, Stripe ha ottenuto la certificazione Privacy Shield UE-USA e Svizzera-USA. La certificazione per il Privacy Shield di Stripe è disponibile qui, mentre la nostra Informativa sul Privacy Shield è disponibile qui. Per ulteriori informazioni, visitare la pagina di assistenza sul trasferimento dei dati UE di Stripe qui.

Più in generale, Stripe ha adottato misure di conformità per il trasferimento internazionale dei dati che regolamentano tutte le società a livello globale di Stripe che si occupano del trattamento dei dati personali degli interessati dell’UE. Queste misure si basano sulle Clausole contrattuali standard UE.

Come osservato sopra, i flussi di dati internazionali continuano a essere un’area di potenziale futura riforma normativa. Per questo motivo, stiamo seguendo molto da vicino gli sviluppi legali sulle misure di conformità del trasferimento internazionale dei dati e ci avvaliamo di ogni misura per garantire la conformità del trasferimento internazionale dei dati personali dei soggetti interessati dell’UE. Ciò significa anche che abbiamo creato eccedenze nel nostro programma di conformità per il trasferimento dei dati nella massima misura possibile e stiamo cercando di estenderle con gli strumenti di cui Stripe dispone in base al GDPR.

Non conformità

La conseguenza a cui si fa maggiormente riferimento in caso di non conformità al GDPR è la sanzione massima che può essere imposta a un’organizzazione non conforme. La sanzione massima che può essere imposta è pari al 4% del fatturato globale o a 20 milioni di EURO, a seconda di quale delle due risulti maggiore. Determinati altri tipi di violazioni prevedono una sanzione massima del 2% del fatturato globale oppure 10 milioni di EURO, a seconda di quale delle due risulti maggiore.

Meno frequentemente menzionati sono i poteri delle autorità per la protezione dei dati ("DPA") ai sensi dell’Art. 58 del GDPR. Questi poteri includono la capacità delle DPA di imporre azioni correttive come la limitazione temporanea o definitiva delle attività di trattamento dei dati, compreso il divieto totale del trattamento dei dati, o di ordinare la sospensione del flusso di dati a un destinatario in un Paese terzo.

Stripe e il GDPR

In Stripe, la privacy, la protezione dei dati e la sicurezza dei dati sono al centro di tutte le attività svolte. Lavoriamo continuamente per ristabilire per noi stessi nuovi obiettivi di miglioramento nella sicurezza e nella privacy dei dati e consideriamo il GDPR un’opportunità per l’intero settore di uniformarsi a queste normative e migliorare.

Stripe ha cominciato il suo impegno nella conformità GDPR nel 2016, e attualmente stiamo lavorando per garantire che i nostri servizi siano conformi al GDPR entro la data di entrata in vigore, ossia il 25 maggio 2018.

La conformità GDPR è costituita da diversi elementi. Tra le altre cose, stiamo aggiornando la nostra documentazione e gli accordi per allinearci ai requisiti del GDPR. Stiamo inoltre revisionando le politiche e le procedure interne per assicurarci che aderiscano agli standard GDPR.

La maggior parte degli elementi relativi alla conformità al GDPR sono "interni" all’organizzazione, in quanto riguardano gli aggiornamenti delle modalità di trattamento dei dati personali da parte dell’organizzazione. Questi sono alcuni dei passi che le piattaforme come Stripe stanno intraprendendo per i propri utenti (e per loro stesse) in previsione del GDPR:

  • Esecuzione di un’analisi delle lacune tra i requisiti imposti dalla Direttiva sulla Protezione dei Dati e il GDPR, come applicabile alle attività dell’azienda.

  • Revisione e aggiornamento delle procedure, delle politiche e degli strumenti interni, dove necessario.

  • Revisione della mappatura dei dati e delle pratiche di inventario dei dati e aggiornamenti necessari, per la conformità agli obblighi di conservazione dei record ai sensi del GDPR.

  • Esecuzione di un’analisi delle lacune specifica per la gestione della revisione della privacy e della protezione dei dati per soddisfare i requisiti di valutazione dell’impatto della protezione dei dati.

  • Aggiornamento dell’approccio ai trasferimenti internazionali dei dati.

  • Aggiornamento dei contratti per l’adeguamento agli obblighi dell’Art. 28 del GDPR in relazione alle parti contraenti dell’azienda.

  • Analisi e, dove necessario, revisione dei tipi di rapporti con i fornitori per soddisfare i requisiti del GDPR e garantire che questi soggetti terzi ricevano ed eseguano il trattamento dei dati personali in maniera legittima.

  • Aggiornamento del Programma aziendale di conformità della privacy attraverso la formazione continua dei dipendenti, in modo da applicare le modifiche imposte dal GDPR.

Principio di Responsabilizzazione

Gli utenti di Stripe devono consultare i propri consulenti legali per comprendere l’ambito completo degli obblighi imposti dal GDPR. Come regola generale, un’organizzazione con sede in UE, o un’organizzazione che esegue il trattamento dei dati personali degli interessati dell’UE, è soggetta al GDPR.

Un principio di primaria importanza nel GDPR da tenere in considerazione è il Principio di Responsabilizzazione. Il Principio di Responsabilizzazione precisa che il titolare del trattamento dei dati deve essere in grado di dimostrare che le attività di trattamento dei dati siano conformi ai principi di protezione dei dati stabiliti nel GDPR. Il modo più semplice per dimostrare la propria conformità consiste nel documentare e comunicare il proprio approccio alla conformità al GDPR.

In Stripe, la conformità è stata il prodotto della collaborazione di più persone all’interno dell’organizzazione, incluso il personale delle operazioni utente, delle vendite, del settore tecnico, della sicurezza e dell’ufficio legale. In base alla nostra esperienza, le partnership interfunzionali e la documentazione di facile lettura sono straordinariamente utili ai fini del processo di globale conformità al GDPR.

Una checklist GDPR per la propria azienda

Con il 25 maggio 2018 ormai prossimo, è possibile che le organizzazioni di piccole e medie dimensioni si trovino ad affrontare problematiche particolari nel prepararsi al GDPR. Tenendo in considerazione questa eventualità, abbiamo riunito alcuni degli elementi chiave di un programma di conformità GDPR in una checklist per gli utenti.

Trovare un punto di incontro: riunisciti con i colleghi del reparto tecnico, dell’assistenza clienti e dell’ufficio legale per discutere e comprendere in maniera rapida il significato del GDPR e il modo in cui esso influisce sulla vostra organizzazione.

Delineare una visione chiara di ciò che sta accadendo ai dati personali della propria organizzazione: un esercizio di mappatura dei dati potrebbe essere di aiuto per scoprire come vengono memorizzati e trattati i dati personali dai sistemi della tua azienda. Le seguenti domande potrebbero farti da guida:

  • Quali categorie di dati personali vengono trattate? (ad esempio, informazioni finanziarie, informazioni sanitarie, informazioni di marketing, ecc.)
  • Per quali categorie di interessati vengono trattati i dati personali? (ad esempio, titolari di carte di credito, bambini, pazienti, ecc.)
  • Per quale motivo vengono trattati questi dati?
  • Come e perché sono stati raccolti questi dati?
  • In che modo si stanno proteggendo questi dati?
  • Questi dati vengono inviati a soggetti terzi? In questo caso, è stata prevista la divulgazione a tali soggetti terzi nell’Informativa sulla privacy o in altre forme di notifica dell’azienda? Si sa chi siano questi soggetti terzi? Per quanto tempo vengono conservate le informazioni sugli interessati?

Mappatura su base giuridica: consulta le 6 basi giuridiche sopra menzionate. Per ciascuna operazione di trattamento dei dati identificata nella mappa dei dati, esegui un collegamento con una base giuridica. Questo collegamento fornirà la mappa della base giuridica.

Sapere come rispettare le modalità di esercizio dei diritti degli interessati:

  • Avere la capacità di utilizzare le informazioni della mappatura dei dati per rispondere alle richieste di accesso del soggetto interessato.
  • Dalla mappa dei dati, conoscere la posizione dei dati personali all’interno del sistema (e il riferimento incrociato in altri sistemi) per soddisfare le richieste di esclusione, di modifica e di cancellazione.
  • Conoscere i formati dei dati utilizzati dal proprio sistema e comprendere come si sta rispondendo alle richieste di portabilità dei dati.

Violazione dei dati e risposta agli incidenti: quando si discute con i colleghi del reparto tecnico/sicurezza dell’organizzazione, è necessario assicurarsi di conoscere il piano di risposta agli incidenti. Effettuare delle simulazioni a tavolino in modo che ciascun soggetto coinvolto nelle risposte agli incidenti sappia come comportarsi in caso di incidente di sicurezza. Idealmente, il team di risposta agli incidenti dovrà essere una macchina perfetta, pronta a eseguire il piano di risposta all’incidente quando la situazione si verifica.

Ci sono molti altri elementi che potrebbero essere aggiunti a questa checklist, e dovrai cooperare con i tuoi esperti interni e i consulenti esterni per definire un elenco personalizzato per le tue esigenze. Ad esempio, potrebbe essere necessario effettuare valutazioni dell’impatto sulla protezione dei dati, nominare un responsabile della protezione dei dati, gestire e rivedere le pratiche riguardanti il marketing e le altre comunicazioni aziendali e rivedere i processi di gestione e contrattazione con i fornitori, solo per fare alcuni esempi.

Se disponi di una solida base per la mappatura delle attività di elaborazione dei dati, ti assicuri un grande vantaggio per qualsiasi successiva questione di conformità con il GDPR che puoi incontrare.

Di seguito, troverai alcune risorse aggiuntive che abbiamo consultato e trovato utili, e speriamo che siano altresì utili per te.

Risorse aggiuntive

Il GDPR è citato in molti luoghi differenti ed è difficile tenere traccia delle risorse valide disponibili on-line. Ecco alcune risorse che consultiamo per tenerci aggiornati sugli sviluppi del GDPR:

  • Tutto inizia con il testo legale: il testo legale completo del GDPR è riportato qui e la Direttiva sulla Protezione dei Dati è disponibile qui.

  • L’Autorità di Vigilanza: esiste un’Autorità di Protezione dei Dati (Data Protection Authority, DPA) in ogni Stato membro dell’UE e molti di essi hanno pubblicato utili linee guida sull’implementazione del GDPR. Troverai un elenco delle DPA qui.

  • Gruppo di lavoro Articolo 29 (Working Party article 29 o WP29), che sarà presto sostituito dal Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB): il WP29 è un organo consultivo composto da un rappresentante della DPA di ciascuno Stato membro dell’UE, il Garante europeo della protezione dei dati e la Commissione europea. A partire dal 25 maggio 2018, il WP29 diventerà l’EDPB. L’EDPB includerà il responsabile di una DPA di ciascuno Stato membro dell’UE e il Garante europeo della protezione dei dati.

    Il WP29 ha pubblicato centinaia di linee guida e opinioni e ha aperto svariati argomenti per la consultazione. Le linee guida e le opinioni più recenti si concentrano su come implementare al meglio gli elementi GDPR nella struttura della conformità di un’organizzazione. La redazione del WP29 è qui.

    Il vecchio sito web del WP29 disponeva di molte risorse aggiuntive che purtroppo non sono facilmente accessibili ora con il nuovo formato del sito web. Il sito web archiviato con materiali aggiuntivi è disponibile qui.

  • Alcune DPA, studi legali, organizzazioni per la tutela della privacy come la IAPP e molte altre organizzazioni, ONG (organizzazioni non governative) e società ospitano eventi relativi al GDPR. È molto probabile che altre organizzazioni abbiano domande molto simili alle tue riguardo all’implementazione del GDPR. Queste costituiscono eccellenti opportunità per unirsi alla comunità GDPR e trovare insieme una risposta a tali domande.

Torna alle guide
You’re viewing our website for Singapore, but it looks like you’re in the United States. Switch to the United States site