PRIVACY: il punto sulle novità introdotte dal regolamento europeo EU/2016/679

Transcript

1 PRIVACY: il punto sulle novità introdotte dal regolamento europeo EU/2016/679 6 dicembre 2017 Relatore : Avv. Emiliano Pellegrino

2 DI COSA PARLIAMO 1. REGOLAMENTO UE: DA QUANDO ENTRA IN VIGORE. 2. I CONCETTI DI PRIVACY BY DEFAULT E PRIVACY BY DESIGN. 3. LA FIGURA DEL DPO. 4. IL REGISTRO DEI TRATTAMENTI. 5. L OBBLIGO DI NOTIFICARE EVENTUALI VIOLAZIONI DEI DATI PERSONALI. 6. I NUOVI DIRITTI DEGLI INTERESSATI. 7. INFORMATIVA E CONSENSO. 8. LE SANZIONI PREVISTE PER LA VIOLAZIONE DELLE NORME DEL REGOLAMENTO UE. 9. COSA DEVE FARE UN AZIENDA PER ADEGUARSI ALLA NUOVA NORMATIVA. privacy. iuropeo EU/2016/679

3 REGOLAMENTO UE (1) LA STORIA Introduzione al GDPR I MOTIVI Il 25 gennaio 2012 la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati. Si tratta di un Regolamento, che andrà a sostituire la direttiva 95/46/CE, e di una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE). A dicembre 2015 è stato approvato il testo definitivo. Il 4 maggio 2016 il nuovo Regolamento è stato pubblicato sulla GUUE L 119 ed il 24 maggio 2016 è entrato ufficialmente in vigore. Libera circolazione delle informazioni nella UE. Regole comuni in tema di privacy all interno dei Paesi aderenti all Unione. Cambia il modo di vedere la privacy in ragione dell evoluzione tecnologica. Non si parla più di privacy come adempimento, ma come processo aziendale. Le banche dati sono un asset aziendale e la privacy compliance diventa uno strumento di maggiore competitività nel mercato. I fornitori in regola saranno preferiti a quelli non in regola.

4 REGOLAMENTO UE (2) Concretamente operativo nei Paesi UE a decorrere dal 25 maggio 2018 Adempimenti obbligatori un biennio di tempo per gli adeguamenti necessari alle proprie politiche del trattamento dei dati. Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell UE, e non richiede alcuna legge di recepimento nazionale. Nel frattempo, resta valida l applicazione del d.lgs. 196/2003, noto come Codice Privacy, e i provvedimenti generali resi dal Garante nei diversi ambiti di competenza (es. videosorveglianza, geolocalizzazione) i quali, con ogni probabilità (salvo interventi normativi del legislatore italiano), rimarranno validi anche dopo la data del 25 maggio 2018.

5 PRIVACY BY DESIGN Il Principio della data protection by design e by default è strettamente legato al principio di accountability (c.d. «responsabilizzazione») e insieme danno concreta attuazione ai principi di cui all art. 5.1 del Regolamento (liceità, correttezza e trasparenza, adeguatezza ecc.). Il regolamento pone con forza l accento sulla responsabilizzazione di titolari e responsabili ossia, sull adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure atte ad assicurare l applicazione del regolamento. Si tratta di una grande novità in quanto viene affidato ai titolari il compito di decidere autonomamente (ex ante) le modalità, le garanzie e i limiti del trattamento dei dati, nel rispetto delle norme e alla luce di alcuni criteri indicati nel regolamento. Data Protection by design L'art. 25 del Regolamento È introduce una modalità i principi di riduzione di privacy del trattamento by design edei privacy dati attuato by default, ex ante, ossia di protezione dei dati sin dal costituita momento dalla della creazione progettazione di processi, e, comunque, prodotti come e servizi impostazione che tengano predefinita. Che cos è? conto, sin dal momento della loro progettazione/ideazione, delle regole e dei principi della protezione dei dati, in modo da minimizzare a priori non solo la raccolta dei dati, ma anche i trattamenti successivi effettuati. Cosa comporta? L applicazione del principio in esame è basato sulla valutazione preventiva del rischio, per cui le aziende dovranno valutare il rischio inerente le loro attività. Con questo approccio, si determina la misura della responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.

6 PRIVACY BY DEFAULT Data Protection by default Che cos è? Il principio della data protection by default si sostanzia nell adozione di quelle misure tecniche organizzative tra le quali il c.78 individua specificamente la pseudonimizzazione e la minimizzazione funzionali a garantire che vengano trattati solo i dati personali necessari alle finalità perseguite. È una misura di riduzione del trattamento by default finalizzata a impostare a priori la massima protezione dei dati attraverso il loro minimo trattamento, sia in fase di raccolta si in fase di trattamento successivo, secondo i principi di necessità, pertinenza adeguatezza e non eccedenza rispetto alle finalità. Cosa comporta? Per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il processo di trattamento dati garantendo la non eccessività dei dati raccolti. L'introduzione dei principi della data protection by-design e by-default obbliga le imprese a predisporre una valutazione di impatto del trattamento (Privacy impact assessment) ogni volta che le stesse avviano un progetto che prevede un trattamento di dati che per natura, modalità o finalità presenta un elevato rischio per le libertà e i diritti degli interessati.

7 LA FIGURA DEL DPO D.P.O. (Data Protection Officer), artt Regolamento Chi è? È una figura che ha il compito di facilitare l attuazione del regolamento da parte del Titolare/Responsabile del trattamento. Quando è necessario? La sua nomina è obbligatoria per le PA e, nel settore privato, in funzione della pertinenza dei trattamenti effettuati e della tipologia dei dati personali trattati (trattamento su larga scala di categorie particolari di dati personali ovvero monitoraggio regolare e sistematico su larga scala). Cosa fa? Funzione consultiva a favore di Titolare o Responsabile del Trattamento dei dati Sorveglia l osservanza del Regolamento Coopera con l autorità di controllo (Garante) Funge da punto di contatto per l autorità di controllo per questioni connesse al trattamento Sensibilizza e forma il personale interno

8 IL REGISTRO DEI TRATTAMENTI (1) Il Titolare del Trattamento e il Responsabile del Trattamento devono tenere i registri delle attività di trattamento effettuate. Si tratta di un adempimento che rientra tra le misure organizzative obbligatorie. Fornisce un quadro aggiornato dei trattamenti in essere all interno di un azienda o soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta del Garante. CHI DEVE TENERE IL REGISTRO DEL TRATTAMENTO Tutte le imprese o organizzazioni con più di 250 dipendenti. Imprese o organizzazioni con meno di 250 dipendenti qualora il trattamento presenti un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1 (sensibili), o i dati personali relativi a condanne penali e a reati di cui all'articolo 10 (giudiziari).

9 IL REGISTRO DEI TRATTAMENTI (2) IN SINTESI I CONTENUTI - il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; - le finalità del trattamento; - una descrizione delle categorie di interessati e delle categorie di dati personali; - le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; - ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; - ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; - ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 (misure tecniche e organizzative). SANZIONI IN CASO DI VIOLAZIONE Sanzione pecuniaria fino a ,00 o per le imprese fino al 2% del fatturato mondiale totale annuo dell esercizio precedente, se superiore.

10 L OBBLIGO DI NOTIFICA (1) Oggi l Art. 37 del Codice della Privacy disciplina i casi di notifica preventiva al garante. La notificazione è una dichiarazione con la quale un soggetto pubblico o privato (titolare del trattamento) rende nota al Garante per la protezione dei dati personali l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento A chi è trasmessa Al Garante, telematicamente tramite questo sito e utilizzando la procedura indicata nelle istruzioni. In quale momento si presenta La notificazione va effettuata prima che inizi il trattamento dei dati. Quante volte si notifica Una sola volta, indipendentemente dalla durata, dal tipo e dal numero delle operazioni di trattamento, sia che si effettui un solo trattamento, sia che si curino più attività di trattamento con finalità correlate tra loro.

11 L OBBLIGO DI NOTIFICA (2) Quali trattamenti riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. In punto, importante il Provvedimento del Garante del 31 marzo 2004 relativo ai casi da sottrarre all'obbligo di notificazione

12 L OBBLIGO DI NOTIFICA (3) Dal 25 maggio 2018 non sarà più obbligatorio eseguire la notifica al Garante per significare l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali. Nel Regolamento si parla di notifica solamente all articolo 33 in tema di data breach. In particolare, ai sensi del citato articolo In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Nel Regolamento si parla di comunicazione (all autorità o all interessato) nelle seguenti ipotesi: Art. 34 Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo. Art. 37 Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo. Nel Regolamento si parla di consultazione nelle seguenti ipotesi Art Il titolare del trattamento, prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

13 I DIRITTI DEGLI INTERESSATI (1) DIRITTO DI ACCESSO (art. 15) Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. Il titolare deve indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzia applicate in caso di trasferimento dei dati verso Paesi terzi. DIRITTO DI CANCELLAZIONE (DIRITTO ALL OBLIO) (art. 17) Il diritto all oblio si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede l obbligo per i titolari di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi qualsiasi link, copia o riproduzione. L interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento.

14 I DIRITTI DEGLI INTERESSATI (2) DIRITTO DI LIMITAZIONE DEL TRATTAMENTO (art. 18) È esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento, bensì anche se l interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell art. 21 del regolamento. Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante). DIRITTO ALLA PORTABILITA DEI DATI (art. 20) Sono portabili solo i dati trattati con il consenso dell interessato o sulla base di un contratto stipulato con l interessato (quindi non si applica ai dati il cui trattamento si fonda sull interesse pubblico o sull interesse legittimo del titolare, per esempio), e solo i dati che siano stati forniti dall interessato al titolare.

15 INFORMATIVA E CONSENSO (1) Contenuti dell informativa. I contenuti dell informativa sono elencati in modo tassativo negli artt. 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto a quanto prevede il Codice privacy. In particolare, il titolare deve sempre specificare: Ø la propria identità e quella dell'eventuale rappresentante nel territorio italiano; Ø le finalità del trattamento; Ø i diritti dell interessato e se questi possa o meno rifiutare di fornire i dati e le conseguenze; Ø l identità del responsabile del trattamento, se nominato; Ø l identità del responsabile della protezione dei dati (DPO), se nominato; Ø la base giuridica del trattamento (consenso, obbligo di legge, adempimento di un contratto); Ø l eventuale trasferimento dei dati all estero (es. a una filiale o società del gruppo) e, in caso affermativo, attraverso quali strumenti ciò avviene (es. se esiste una decisione di adeguatezza della Commissione europea; o si utilizzato delle BCR di gruppo; o sono state inserite specifiche clausole modello, ecc.); Ø il periodo di conservazione dei dati o i criteri seguiti per individuare tale periodo (es. fino alla cessazione del contratto tra titolare e interessato); Ø il diritto di presentare reclamo all autorità di controllo (Garante privacy); Ø se il trattamento comporta processi decisionali automatizzati (inclusa la profilazione), la logica di tali processi decisionali e le conseguenze previste per l interessato. (!) NOTA. Il regolamento non richiede invece di precisare le modalità del trattamento. Ogni volta che le finalità del trattamento cambiano, il regolamento impone di informare l'interessato prima di procedere al trattamento ulteriore.

16 INFORMATIVA E CONSENSO (2) Tempi dell informativa. L informativa deve essere fornita all'interessato Ø prima di effettuare la raccolta dei dati, se raccolti direttamente presso l'interessato (art. 13); Ø entro un termine ragionevole non superiore a 1 mese dalla raccolta, o dalla comunicazione dei dati (a terzi o all interessato), nel caso di dati non raccolti presso l interessato (art. 14). In questo caso, l'informativa deve comprendere anche le categorie dei dati oggetto di trattamento. Modalità dell informativa. Il regolamento precisa più in dettaglio rispetto al Codice privacy le caratteristiche dell informativa, che deve essere: Ø concisa, trasparente, intellegibile per l interessato e facilmente accessibile, mediante l utilizzo di un linguaggio chiaro e semplice; il c. 58 prevede, altresì, che per i minori occorre prevedere delle informative idonee; Ø data in linea di principio per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto dei servizi on-line: v. art. 12, paragrafo 1, e c. 58); al riguardo, la Commissione dovrebbe definire in futuro delle icone, valide in tutta l UE, per presentare i contenuti dell informativa in modo sintetico, ma sempre in combinazione con l informativa stessa. Casi di esonero. Sono parzialmente diversi i requisiti che il regolamento prevede per l esonero dall informativa.

17 INFORMATIVA E CONSENSO (3) Il titolare non è tenuto a informare l'interessato, quando: Ø il trattamento è effettuato per attività a carattere esclusivamente personale e domestico; Ø l'interessato dispone già delle informazioni; Ø comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; Ø l'ottenimento o la comunicazione (a terzi o all interessato) sono espressamente previsti dal diritto dell'unione o dello Stato membro cui è soggetto il titolare; Ø i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell Unione o degli Stati membri. (!) NOTA È opportuno che i titolari dei trattamenti verifichino la rispondenza delle informative attualmente utilizzate ai criteri sopra illustrati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni necessarie entro il 25 maggio I titolari, una volta adeguata l informativa, potranno, dunque, continuare o iniziare a utilizzare queste modalità di rilascio, comprese le icone che l Autorità ha in questi anni suggerito nei suoi provvedimenti (videosorveglianza, banche, ecc.), in attesa della definizione di icone standardizzate da parte della Commissione. Dovranno essere adottate anche le misure organizzative interne per garantire il rispetto della tempistica: il termine di 1 mese per l informativa è un termine massimo. Poiché spetterà al titolare valutare lo sforzo sproporzionato richiesto dall informare una pluralità di interessati, qualora i dati non siano stati raccolti presso questi ultimi, e salva l esistenza di specifiche disposizioni normative nei termini di cui all art. 23, paragrafo 1, del regolamento, sarà utile fare riferimento ai criteri evidenziati nei provvedimenti con cui il Garante ha riconosciuto negli anni l esistenza di tale sproporzione (si veda, ad es., il provvedimento del 26 novembre 1998).

18 INFORMATIVA E CONSENSO (4) Il regolamento conferma che ogni trattamento deve trovare fondamento in una idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti dal Codice privacy (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). Consenso Il consenso è certamente una delle basi giuridiche più problematiche, soprattutto in assenza degli altri presupposti di liceità. Un consenso acquisito in modo errato risulta invalido e rende il trattamento dei dati illecito, esponendo il titolare a pesanti sanzioni amministrative. CHE COSA CAMBIA? Per i dati sensibili (art. 9) il consenso deve essere esplicito; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati, compresa la profilazione (art. 22). Non deve essere necessariamente documentato per iscritto, né è richiesta la forma scritta, anche se questa è modalità idonea a configurare l inequivocabilità del consenso e il suo essere esplicito (per i dati sensibili); inoltre, il titolare (art. 7.1) deve essere in grado di dimostrare che l interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni: prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

19 INFORMATIVA E CONSENSO (5) COSA NON CAMBIA? Deve essere, in tutti i casi: libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle prespuntate su un modulo). Deve essere manifestato attraverso dichiarazione o azione positiva inequivocabile (v. c. 39 e c. 42 del regolamento). (!) NOTA. Il consenso raccolto anteriormente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, e ciò se si vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all interessato (art. 7.2), per esempio all interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (v. c. 43, art. 9, altre disposizioni del Codice: artt. 18, 20).

20 LE SANZIONI L impianto sanzionatorio previsto dal Regolamento occupa, per l interesse di titolari e responsabili, un posto sicuramente di rilievo. Mentre le sanzioni penali rimangono di competenza di ogni singolo Stato, le sanzioni amministrative sono disciplinate dagli articoli 83.4, 83.5 e 83.6 del Regolamento. Ogni autorità di vigilanza deve garantire che la sanzione sia effettiva, proporzionata e dissuasiva. Nel fissarne l ammontare, si dovranno considerare, inter alia, la natura, la gravità e la durata della violazione, il carattere intenzionale o colposo dell'infrazione; il grado di responsabilità di titolare o responsabile, anche sotto il profilo tecnico e le misure organizzative attuate per prevenire le violazioni; le categorie di dati oggetto della violazione e ogni altro fattore aggravante o attenuante applicabile alle circostanze del caso. Sono soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell esercizio precedente, se superiore, le violazioni (o la non corretta applicazione), ad esempio, degli obblighi del titolare o del responsabile di cui agli articoli: 8 (consenso dei minori); 11 (trattamento che non richiede l identificazione); 25 (principi e misure di data protection by design e by default); 28 (mansioni e responsabilità del responsabile del trattamento); 30 (tenuta dei registri delle attività del trattamento; 32 (adozione di misure di sicurezza adeguate); 33 (notifica alla DPA di una violazione di dati); 35 (valutazione di impatto); 37 (designazione del DPO). Sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell esercizio precedente, se superiore, sono invece previste per le violazioni in materia di principi base del trattamento (artt. 5, 6, 7 e 9), condizioni per il consenso, diritti degli interessati (artt. da 12 a 22), trasferimento di dati personali all estero (artt. da 44 a 49), mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'autorità di vigilanza.

21 COSA DEVE FARE L AZIENDA Mappatura dei ruoli e dei trattamenti effettuati e definizione dei livelli di accesso ai dati. Analisi delle procedure operative interne e redazione di informative e consensi in relazione ai trattamenti effettuati (relazione con personale dipendente, clienti, fornitori, potenziali clienti, ). Definizione delle clausole privacy in relazione del servizio, definizione degli iter di qualifica tecnico professionale in funzione dei servizi offerti. Analisi del portale per la definizione di informative e consensi in caso di registrazione utente; definizione dei cookies e redazione informative e consensi in relazione alle tipologie di cookies utilizzati; notificazione al Garante in caso di utilizzo di cookies di profilazione. Definizione dei processi per la conservazione dei dati in relazione alle finalità per cui sono trattati. Valutazione di impatto sui servizi in funzione delle garanzie offerte dai fornitori. Verifica delle clausole contrattuali e delle garanzie offerte dal fornitore/cliente estero in caso di trasferimento dati all estero. Redazione dei regolamenti interni per i trattamenti dei dati personali e l utilizzo della strumentazione elettronica (navigazione internet, posta elettronica, ecc.).