Decreto legislativo 30 giugno 2003, n. 196 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI. Gazzetta Ufficiale del 29 luglio 2003 n.

Transcript

1 Provvedimenti a carattere generale 27 novembre 2008 (Amm. di sistema) Provvedimento a carattere generale 8 aprile 2010 (Videosorveglianza) Provvedimento a carattere generale 01 marzo 2007 (Posta elettronica e Internet) Decreto legislativo 30 giugno 2003, n. 196 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Gazzetta Ufficiale del 29 luglio 2003 n. 174

2 Il trattamento di dati personali in Italia è disciplinato dal D.Lgs 196/2003 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI 2

3 PRINCIPI GENERALI Diritto alla protezione dei dati personali (Articolo 1) Chiunque ha diritto alla protezione dei dati personali che lo riguardano 3

4 FINALITÀ (Articolo 2) Il codice, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali della dignità dell interessato con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. 4

5 PRINCIPIO DI NECESSITÀ NEL TRATTAMENTO DEI DATI (Articolo 3) I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l utilizzazione di dati personali e di dati identificativi 5

6 IMMAGINE ESEMPIO 1 6

7 IMMAGINE ESEMPIO 2 7

8 PRINCIPIO DI FINALITÀ, LICEITÀ E PROPORZIONALITÀ NEL TRATTAMENTO DEI DATI (Articolo 11, comma 1, lett. a,b,c,d,e) I dati personali oggetto di trattamento devono essere: a) trattati in modo lecito e secondo correttezza b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 8

9 DEFINIZIONI (Articolo 4) dato personale DL 6 dicembre 2011, n. 201 ha modificato qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale dato anonimo il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile dati identificativi i dati personali che permettono l identificazione diretta dell interessato 9

10 dati sensibili i dati personali idonei a rivelare l'origine razziale l'origine etnica le convinzioni religiose, filosofiche o di altro genere le opinioni politiche l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale lo stato di salute la vita sessuale 10

11 i dati personali idonei a rivelare dati giudiziari i provvedimenti in materia di casellario giudiziale (all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.p.r.14 novembre 2002, n.313) di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del CPP 11

12 trattamento dei dati qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta la registrazione l'organizzazione la conservazione il blocco la cancellazione la consultazione l'elaborazione la modificazione la selezione la comunicazione la distruzione l'estrazione il raffronto l'utilizzo l'interconnessione la diffusione 12

13 LE FIGURE INDIVIDUATE DAL CODICE IL TITOLARE IL RESPONSABILE L INCARICATO L INTERESSATO 13

14 IL TITOLARE La persona fisica, la persona giuridica, la pubblica amministrazione, qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza 14

15 IL RESPONSABILE La persona fisica, la persona giuridica, la pubblica amministrazione, qualsiasi altro ente, associazione od organismo preposto dal titolare al trattamento di dati personali 15

16 IL RESPONSABILE (Articolo 29) Il responsabile è designato dal titolare facoltativamente Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento Ove necessario per esigenze organizzative, possono essere designati più responsabili I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni e delle proprie istruzioni 16

17 L INCARICATO (Articolo 30) le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile incaricati del trattamento Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite La designazione è effettuata per iscritto e individua puntualmente l ambito del trattamento consentito 17

18 L AMMINISTRATORE DI SISTEMA Provvedimento a carattere generale - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) Figura professionale finalizzata alla gestione e alla manutenzione di un impianto informatico o di sue componenti Necessaria per la definizione una analisi quantitativa e qualitativa del S.I. Ma considera tali anche altre figure Amministratori di basi di dati Gli amministratori di reti Amministratori di apparati di sicurezza Amministratori di sistemi software complessi ATTENZIONE ANCHE: QUANDO L'AMMINISTRATORE NON CONSULTI "IN CHIARO" LE INFORMAZIONI MEDESIME AGLI ACCESSI CASUALI E FORTUITI 18

19 L INTERESSATO (Articolo 4 punto i) la persona fisica, la persona giuridica, l ente o l associazione cui si riferiscono i dati personali DL 6 dicembre 2011, n. 201 ha modificato 19

20 I DIRITTI DELL INTERESSATO Il Codice disciplina (Articolo 7) il Diritto di accesso ai dati personali ed altri diritti. L'interessato ha diritto di ottenere: la conferma dell'esistenza o meno di dati personali che lo riguardano e la loro comunicazione in forma intelligibile l indicazione dell origine dei dati personali delle finalità e modalità del trattamento degli estremi identificativi del titolare, dei responsabili di altre informazioni sul trattamento dei propri dati personali 20

21 l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge 21

22 INFORMATIVA (Articolo 13) L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa le finalità e le modalità del trattamento cui sono destinati i dati la natura obbligatoria o facoltativa del conferimento dei dati le conseguenze di un eventuale rifiuto di rispondere i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi i diritti di cui all'articolo 7 gli estremi identificativi del titolare e, se designato del responsabile 22

23 IL CONSENSO (privati) Articolo 23 Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. Il consenso deve essere manifestato in forma scritta quando il trattamento riguarda dati sensibili ESEMPIO DI INFORMATIVA E CONSENSO 23

24 ESCLUSIONE DAL CONSENSO (privati) Articolo 24 Per adempiere a un obbligo normativo Per adempiere a obblighi contrattuali Per dati di pubblici registri, elenchi, atti o documenti Per dati di attività economiche Per dati necessari alla salvaguardia della vita o della incolumità di un terzo Per lo svolgimento delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria Per perseguire un legittimo interesse del titolare o di un terzo (nei casi individuati dal Garante) In associazioni per perseguire scopi statutari Per scopi storici, scientifici, statistici 24

25 SICUREZZA DEI DATI E DEI SISTEMI Obblighi di sicurezza (Articolo 31) I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta 25

26 MISURE MINIME (Articolo 33) Nel quadro dei più generali obblighi di sicurezza di cui all articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime volte ad assicurare un livello minimo di protezione dei dati personali 26

27 TRATTAMENTO SENZA L'AUSILIO DI STRUMENTI ELETTRONICI (Articolo 35) Il trattamento è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati 27

28 TRATTAMENTO CON STRUMENTI ELETTRONICI (Articolo 34) Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell allegato B), specifiche misure minime di sicurezza 28

29 TRATTAMENTO CON STRUMENTI ELETTRONICI (Articolo 34) autenticazione informatica adozione di procedure di gestione delle credenziali di autenticazione utilizzazione di un sistema di autorizzazione aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi tenuta di un aggiornato documento programmatico sulla sicurezza (Abrogato dal DL Semplificazioni ) 29

30 Art. 45 DL Semplificazioni ha abolito all art. 34 del DLgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali, la lett. g) del comma 1 e il comma 1-bis e nel disciplinare tecnico, in materia di misure minime di sicurezza di cui all Allegato B, i paragrafi e

31 Art. 45 DL Semplificazioni Art 34 Comma 1-bis Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del DPR. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'allegato B) in ordine all'adozione delle misure minime di cui al comma 1. 31

32 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo DPS 32

33 I CONTENUTI DEL DPS l elenco dei trattamenti di dati personali la distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati l analisi dei rischi che incombono sui dati le misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento 33

34 I CONTENUTI DEL DPS la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, ecc... La formazione è programmata già al momento dell ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali la descrizione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all esterno della struttura del titolare per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell interessato 34

35 NORME DI TUTELA E GARANZIA il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico il titolare riferisce, nella relazione accompagnatoria del bilancio d esercizio, se dovuta, dell avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza dei dati (DPS) 35

36 DISPOSIZIONI URGENTI PER LO SVILUPPO ECONOMICO, LA SEMPLIFICAZIONE, LA COMPETITIVITÀ, LA STABILIZZAZIONE DELLA FINANZA PUBBLICA E LA PEREQUAZIONE TRIBUTARIA D.LGS 112/2008 I soggetti pubblici o privati che utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale, l'obbligo di redigere il DPS è sostituito dall autocertificazione, sottoscritta dal Titolare, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte redatta dal titolare del trattamento 36

37 Tale misura però, oltre ad essere difficilmente applicabile, comporta un alto livello di responsabilità penale legata ad una falsa dichiarazione nell autocertificazione È NECESSARIO UN ALTO LIVELLO DI CONSAPEVOLEZZA E ATTENZIONE 37

38 SEMPLIFICAZIONE DELLE MISURE DI SICUREZZA CONTENUTE NEL DISCIPLINARE TECNICO DI CUI ALL'ALLEGATO B) AL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI 27 NOVEMBRE 2008 G.U. N. 287 DEL 9 DICEMBRE

39 MISURE SEMPLIFICATE PER APPLICARE LE MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI Le seguenti modalità semplificate sono applicabili dai soggetti pubblici o privati che: utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale (D.lgs 112/2008) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese 39

40 TRATTAMENTO SENZA L'AUSILIO DI STRUMENTI ELETTRONICI MISURE MINIME SEMPLIFICATE agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate 40

41 TRATTAMENTO CON STRUMENTI ELETTRONICI MISURE MINIME SEMPLIFICATE le istruzioni in materia di misure minime di sicurezza previste dall'allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati associato a una parola chiave. Corretto anche il login S.O. qualora sia necessario diversificare l'ambito del trattamento consentito, possono essere assegnati agli incaricati singolarmente o per categorie omogenee corrispondenti profili di autorizzazione, [ ] (Aggiornamento solo se necessario) in caso di prolungata assenza o impedimento dell'incaricato (riferimento alle Linee guida in materia di lavoro per posta elettronica e Internet) 41

42 TRATTAMENTO CON STRUMENTI ELETTRONICI MISURE MINIME SEMPLIFICATE gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale I dati possono essere salvaguardati anche attraverso il loro salvataggio con frequenza almeno mensile 42

43 MISURE SEMPLIFICATE PER APPLICARE LE MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI L Allegato B al Codice (misure minime di sicurezza) è sostituito dal prospetto allegato al provvedimento del Garante, in particolare il DPS, qualora vi sia trattamento effettuato con strumenti elettronici, oltre a dover essere aggiornato soltanto nel caso in cui cambi qualcosa (altrimenti rimane in vigore quello dell anno precedente) deve contenere: Identificazione del titolare del trattamento ed eventuali responsabili Descrizione generale dei trattamenti effettuati (finalità, persone interessate, dati raccolti, destinatari a cui possono essere comunicati i dati, incaricati e relative responsabilità, descrizione delle misure di sicurezza adottate per prevenire i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non conforme alle finalità della raccolta) 43

44 DANNI CAGIONATI PER EFFETTO DEL TRATTAMENTO Art. 15. chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile (inversione onere della prova) il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11(Modalità del trattamento e requisiti dei dati ) 44

45 VIOLAZIONI AMMINISTRATIVE Trattamento illecito di dati (Art ) Alcuni illeciti Omessa o inidonea informativa all'interessato ( Euro) La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b) (Cessazione del trattamento), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da a euro. 45

46 ILLECITI PENALI Trattamento illecito di dati (Articolo 167) salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dal codice è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi se il trattamento riguarda dati sensibili e/o è effettuato da pubblici dipendenti le violazioni sono punite se dal fatto deriva nocumento, con la reclusione da uno a tre anni 46

47 ILLECITI PENALI Trattamento illecito di dati (Art ) chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante, è punito con la reclusione da tre mesi a due anni 47

48 SENTENZA CC N 2043 chiedeva al comune di con domanda del 13 settembre 2002 il riconoscimento della dipendenza da causa di servizio di una patologia da cui era affetto. Il Comitato di verifica con verbale del 30 giugno 2004 esprimeva parere negativo. Con determinazione del 26 luglio 2004 la responsabile area direzionale del comune di.. dottoressa. negava il riconoscimento della dipendenza da causa di servizio in questione. Riportava nell'atto amministrativo diagnosi, cause, natura ed effetti della medesima, e ne disponeva la pubblicazione nell'albo Pretorio del Comune per 15 giorni. Il... ritenendo gravemente leso il proprio diritto alla riservatezza si rivolgeva al Tribunale di Cagliari chiedendo la condanna del Comune e della dottoressa. al risarcimento dei danni non patrimoniali da lui subiti a seguito della illegittima divulgazione dei dati personali e sensibili in quanto riguardanti la sua salute. Resistevano i convenuti. Il Tribunale accertava la dedotta illiceità del comportamento dei convenuti, in violazione dell'articolo 2 della Costituzione e delle disposizioni di cui al decreto legislativo n.196 del Li condannava in solido al risarcimento dei danni non patrimoniali cagionati all'attore, dà liquidarsi in via equitativa, e pertanto definiti in 16000,00 48

49 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of o personal data and on the free movement of such data (General Data Protection Regulation) Presentazione del 25 gennaio 2012 I regolamenti UE sono immediatamente esecutivi

50 LE MAGGIORI NOVITÀ DELLA PROPOSTA restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico); viene introdotto il principio dell'applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell'ue, se relativi all'offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE si stabilisce il diritto degli interessati alla "portabilità del dato" (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il "diritto all oblio", ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l esercizio della libertà di espressione, per consentire la ricerca storica) 50

51 LE MAGGIORI NOVITÀ DELLA PROPOSTA scompare l'obbligo per i titolari di notificare i trattamenti di dati personali, sostituito da quello di nominare un "data protection officer" (incaricato della protezione dati) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti; viene introdotto il requisito del "privacy impact assessment" (valutazione dell'impatto-privacy) oltre al principio generale detto "privacy by design" (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software); si stabilisce l'obbligo per tutti i titolari di notificare all'autorità competente le violazioni dei dati personali si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali 51