Qui di seguito potete leggere il glossario dei termini che vengono utilizzati con un’accezione tecnica su tutto ciò che riguarda la privacy, la protezione dei dati personali, la GDPR e tutto ciò che vi ruota intorno.
Tenetelo sempre a portata di mano qualora vi servisse !
Ovviamente, non è un glossario esaustivo e le definizioni sono sempre anche il frutto di una interpretazione più o meno personale, leggetele quindi criticamente, ma anche con serenità poiché ogni interpretazione personale è stata evidenziata e che quindi ho avuto cura di non indurre il lettore a dare per assodate delle interpretazioni personali quando rimangono minoritarie.
Indice
Nel 2008 l’Autorità Garante ha emanato delle regole specifiche per gli amministratori di sistema, ponendo obblighi e regole di garanzia sull’uso dei log di sistema: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati…
Nel Codice Privacy era stata fornita una definizione di banca dati:
“qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti”
Nel RGPD la definizione di banca dati scompare sostituita da quella di archivio:
“qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”
Come si vede siamo in presenza di una sostituzione di lemma ma con quasi nessuna variazione di significato: quello che era una banca dati e lo sarà sino a maggio 2018, sarà archivio a partire dal 25 maggio 2018.
Quando ho iniziato insieme con alcuni colleghi a parlare di Privacy assessment abbiamo preso in prestito il termine dall’economia e dalla psicologia del lavoro, l’abbiamo sempre utilizzata per indicare, con Assessment sulla protezione dei dati personali, una analisi basata su elementi oggettivi e con riferimento le norme cogenti in materia; contenente anche valutazioni soggettive. Il risultato di questo lavoro è un elenco nominativo delle criticità riscontrate accompagnato da un possibile piano di attività per la soluzione.
Tale impostazione, a distanza di anni, è stata accolta dal legislatore comunitario che nel Regolamento UE, all’art. 35 ha imposto, in taluni casi, una Valutazione d’Impatto sulla Protezione dei dati personali (anche chiamata PIA, Privacy Impact Assessment o VIP, Valutazione d’Impatto Privacy). Al comma sette si prescrive che la valutazione contenga, almeno:
” a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.”
Nella protezione dei dati personali (come nelle scienze legate all’informatica) il lemma ha perso il suo significato classico e ne ha acquistato uno nuovo: la procedura di autenticazione è quella che permette di identificare l’utente di un sistema e attribuire il comportamento di quell’utente ad una persona fisica identificata. È tale quindi la procedura che consente di accedere ai dati personali solo dopo avere inserito un nome utente e una parola chiave.
L’Allegato B al Codice Privacy prevede regole specifiche sull’autenticazione.
Sono le autorità indipendenti presenti in ciascun Paese dell’UE, aventi i compiti di controllare, sorvegliare e raccomandare il rispetto delle norme sulla protezione dei dati personali e che hanno pure il compito di emanare norme specifiche ad integrazione di quelle esistenti. In Italia è l’Autorità Garante per la protezione dei dati personali, detto da tutti il Garante Privacy.
In Francia si chiama Commissione Nazionale Informatica e Libertà, in Spagna è l’Agenzia Spagnola per la protezione dei dati.
Con il decreto legislativo 196/2003 i dati personali erano stati classificati secondo due criteri convergenti che si integravano: da un lato il primo criterio era oggettivo e riferito alla identificabilità dell’interessato, esistevano così i dati personali generici e quelli identificativi che permettevano di risalire in modo non equivoco ad una persona. Facile richiamare l’esempio di un nome e cognome collegati ad un indirizzo fisico o un codice fiscale.
L’altro criterio invece era quello della criticità dell’informazione, ovvero, la possibilità per l’interessato di essere discriminato o di perdere in dignità, qualora tali informazioni fossero state trattate in modo non rispettoso. È facile comprendere come il criterio che rende certe informazioni critiche o meno è soggettivo. Sono nate così le categorie dei dati c.d. sensibili e quelle dei dati giudiziari. I primi erano i dati relativi alla salute, alle scelte relative alla vita sessuale, e quelle relative all’appartenenza ad organizzazioni di natura sindacale, politica, filosofica e culturale e religiosa, nonché i dati relativi alla salute o idonei a rivelare l’origine etnica e razziale. I dati giudiziari erano invece quelli relativi a procedimenti penali in cui l’interessato ricoprisse la natura di indagato o imputato.
Con il regolamento il criterio della criticità viene lievemente mutato infatti i quelli che prima erano i così detti dati sensibili vengono “accorpati” ai dati relativi all’orientamento
sessuale, ai dati genetici, ai dati biometrici e ai dati tesi ad identificare in modo univoco una persona (si parla quindi di impronte digitali, impronta dell’iride, riconoscimento facciale, et cetera). Articolo 9, comma 1:
“[…] dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”
I dati giudiziari, invece sono definiti in termini meno specifici, art. 10:
“[…] dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza”.
Non è un termine tecnico anche se è largamente usato in materia ed ha assunto un significato specifico nell’ambito degli strumenti elettronici. Per cifratura si intende l’applicazione ad una informazione (quasi sempre rappresentata in un documento informatico), di un algoritmo di cifratura, che rende non intellegibile se non applicando la chiave dell’algoritmo, tutte le informazioni contenute.
La comunicazione, nel d.lg. 196/2003, è un’attività definita in modo specifico e il cui significato non è completamente intuitivo l’art. 4 del Codice la definisce infatti come:
“il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”
Pertanto qualsiasi trasmissione di dati personali tra il titolare e il responsabile o tra il titolare e un incaricato, non è una comunicazione. Si aveva quindi una “comunicazione” solo quando il destinatario era un soggetto terzo rispetto al trattamento.
Con il Regolamento tale nozione tecnica pare non esistere più, il concetto di comunicazione non sembra usato con tale accezione e manca tra le definizioni contenute nel Regolamento. Al tempo stesso viene definito formalmente il concetto di destinatario (art. 4 punto 9):
“la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. […]”
Da questa definizione si comprende come la comunicazione non dovrebbe più avere il significato che avrà invece sino al 25 maggio 2018.
Qualsiasi discorso sui dati personali deve tenere conto innanzitutto della definizione di dato personale, l’Unione Europea è arrivata ad una definizione ampia di “dato personale” rendendo così le norme sugli stessi capaci di influenzare moltissimi aspetti delle attività umane. Il diritto dell’UE invece ritiene che la definizione di dato personale è la seguente:
“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”
Con la conseguenza che anche i dati personali non identificativi in modo indiretto (come un indirizzo IP o il numero di targa di un automobile) sono senza possibilità di equivoco dati personali. Il principio infatti è di considerare dato personale qualsiasi dato che sia oggettivamente riconducibile ad un interessato. Questo anche quando la chiave per la riconoscibilità passa attraverso informazioni che siano in possesso di terzi (come avviene per l’indirizzo IP o per il numero di targa di una automobile).
Già il Codice Privacy era scritto tenendo conto del fatto che i dati personali, per loro natura e, ancora di più nella società moderna, esistono per circolare, essere trasmessi e trattati da una molteplicità di soggetti. Pertanto è normale che le comunicazioni di dati personali siano analizzate e studiate con attenzione, il destinatario è, secondo l’art. 4 al numero 9:
la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che posssono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.
La stessa cosa che RGPD, ma in inglese: General Data Protection Regulation.
Nel Codice Privacy è stata introdotta una figura che non può mai necessariamente mancare: l’incaricato, definito dall’art. 30, e per i quali è obbligatoria la designazione per iscritto. La mancata designazione degli incaricati per iscritto è considerata una mancata adozione delle misure minime di sicurezza e questo provoca oltre che una sanzione amministrativa l’integrazione della fattispecie di reato prevista dall’art. 169.
Con il regolamento questa figura scompare e scompare pure l’obbligo della designazione per iscritto (detta anche lettera d’incarico). Tuttavia la figura della persona fisica preposta alle operazioni di trattamento non può venire meno, quando il regolamento vi si riferisce usa l’espressione Autorizzati al trattamento.
Moltissime organizzazioni, nel passato, hanno scoperto l’esistenza di obblighi specifici in tema di protezione dei dati personali perché hanno saputo di dovere redigere un documento noto come Informativa nel quale, eventualmente (ma non sempre) doveva essere contenuta una parte per la raccolta del consenso.
L’informativa è il documento più semplice da scrivere, quando siano disponibili tutte le informazioni relative al sistema di protezione e trattamento dei dati personali, ed è il documento impossibile da scrivere quando queste informazioni manchino in parte o del tutto. Infatti, ogni affermazione contenuta nell’informativa impegna chi la scrive poiché deve essere vera e completa. Le sanzioni in caso di violazione di questi obblighi possono essere estremamente salate anche perché si moltiplicano per il numero di interessati coinvolti dalla violazione.
Con il regolamento gli obblighi sono stati mantenuti ma le informazioni che il titolare deve fornire sono cambiate (quindi si dovranno modificare le informative).
Colui al quale si riferiscono i dati personali. In alcuni casi si è detto, con una lieve forzatura, che è il proprietario dei dati personali, certamente è quello che su di essi ha diritti molto ampi: ha diritto a conoscere come e dove sono distribuiti i dati personali che lo riguardano e ha diritto, innanzitutto, a conoscere le informazioni che riguardano il trattamento dei propri dati, previste dal legislatore (sia nazionale che europeo), è la così detta informativa.
Tale operazione di trattamento è una novità normativa introdotta dal regolamento che la definisce in modo specifico all’art. 4 e n. 3, come:
il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro.
Sul piano giuridico è una operazione spesso collegata all’opposizione del trattamento regolata dall’art. 21 del Regolamento. Sul piano pratico spesso è l’apposizione di un tag ad un elemento di un database che impedisce una od un gruppo di operazioni di informatiche a tutti gli utenti o anche ad alcune categorie di utenti del database.
Le misure di sicurezza sono gli accorgimenti predisposti dal titolare dei trattamenti (cfr. supra) per impedire trattamenti indesiderati e illeciti.
Il Codice Privacy le classifica in misure minime di sicurezza (art. 33) e sono quelle prescritte dall’Allegato B al Codice Privacy e nelle misure idonee.
In molti casi abbiamo sentito errate distinzioni tra le due categorie di misure di sicurezza, quella corretta è la seguente: le misure minime di sicurezza sono quelle prescritte dall’Allegato B, tassative, obbligatorie, che devono essere adottate così come prescritto dal testo dell’Allegato B. Le misure idonee, invece, sono obbligatorie, ma devono essere adottate:
Le misure minime dell’Allegato B comprendono questi temi:
È il principio profondamente connaturato già dal d.lg. 196/2003, per cui gli aspetti della protezione dei dati personali vanno presi in considerazione sin dalle prime fasi di progettazione, e non sono un elemento accessorio che si aggiunge. In verità questo principio si accompagna a qualsiasi attività umana che deve rispettare dei principi giuridici, ed è un leit motiv tipico delle società che hanno un ufficio legale ben attrezzato: in una grande gruppo per il quale ho lavorato ci siamo sempre lamentati del fatto che le vulcaniche operazioni pensate dalla società commerciale venissero sottoposte per la formalizzazione solo dopo rendendole talvolta impossibili.
Nel caso della protezione dei dati personali questo principio di precauzione si accompagna anche condizioni specifiche della materia:
Questi due criteri hanno sempre fatto parte del bagaglio tecnico degli esperti della protezione dei dati personali e nel RGPD (cfr. infra) sono formalizzati nel testo dell’art. 25:
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1.Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica. 3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
Sin dalle prime norme in tema di protezione dei dati personali è stata guardata con sospetto la classificazione delle persone sulla base dei dati personali raccolti su di loro, ed ha quindi imposto garanzie e tutele per chi volesse compiere tale operazione di profilazione.
Il Regolamento offre anche una definizione normativa all’art. 4, n. 4 dicendo che si intende:
qualsiasi forma di trattamento automatizzato didati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica
Il lemma è attestato e riportato dal Vocabolario Treccani che offre una definizione estremamente più sintetica:
profilaziones. f. Stesura di un profilo, mediante l’identificazione e la raccolta dei dati personali e delle abitudini caratteristiche di qualcuno.
Viene definita dall’art. 4, punto 5 come:
“il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
In altre parole il numero di targa di una automobile è un dato personale pseudonimizzato, infatti il numero di targa contrassegna un veicolo intestato ad una persona fisica. Tuttavia l’accesso a tali informazioni aggiuntive sono conservate separatamente e l’accesso è protetto da misure tecniche in modo da garantirne il livello di protezione previsto dalla legge. Analogamente si può dire per il “Codice assistito” che le Aziende Sanitarie attribuiscono ai cittadini italiani che vengono curati tramite loro.
Il titolare dei trattamenti si è detto che è l’organizzazione nel suo complesso, e si sottintende che tale ruolo è incarnato nella persona che, secondo i principi della rappresentanza organica, ha i compiti di occuparsi di tale tema (che è quasi sempre collegato all’amministrazione dell’organizzazione in senso stretto).
Il “rappresentante del titolare” invece è un soggetto eventuale e dovuto al caso di un titolare dei trattamenti che non è stabilito nel territorio dell’Unione Europea, la nozione è definita innanzitutto nell’art. 4 al numero 17, dove si dice che il rappresentante è:
“la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;”
Successivamente l’articolo 27 precisa alcune condizioni che rendono obbligatoria la nomina del rappresentante del titolare che, quindi, non è un altro titolare, ma un soggetto che rappresenta le posizioni, gli interessi e i doveri oltre che i diritti del titolare dei trattamenti.
Sempre l’articolo 27 spiega che il rappresentante non deve essere nominato qualora il titolare sia un ‘autorità pubblica od un organismo pubblico, relegando quindi questa situazione, essenzialmente, ai gruppi imprenditoriali con impresa controllante situata fuori dall’Unione, e che abbiano scelto di mantenere la titolarità dei trattamenti in capo alla “casa madre”.
Nel marzo 2007 l’Autorità Garante ha emanato delle regole per tutti i datori di lavoro che chiedano ai propri dipendenti l’uso di strumenti elettronici interconnessi in rete. Queste regole si sono poi arricchite di altri provvedimenti speciali e decisioni che hanno contribuito a delineare un quadro normativo sul tema. Il RGPD su questo punto delinea delle regole generali ma consente ampie deroghe (*in melius* come nei contratti collettivi) da parte dei singoli stati membri.
Qui il provvedimento generale, “Lavoro: le linee guida del Garante per posta elettronica e internet…”
Figura nata per affiancare il titolare dei trattamenti e svolgere compiti aventi limiti ed obiettivi ma liberi nelle modalità di esecuzione e spesso, con un ruolo organizzativo e di coordinazione degli incaricati (oggi con il regolamento figura scomparsa quasi del tutto).
Può essere un soggetto “interno” e quindi un dipendente dell’organizzazione titolare, o un soggetto “esterno”. Oggi è affiancato, spesso e volentieri, dal Responsabile Protezione Dati ma è comunque un soggetto imprescindibile nell’ambito della definizione delle regole per il trattamento dei dati. Nel d.lg. 196/2003, l’articolo che si occupa di definirne le caratteristiche generali è il 29, nel RGPD si tratta invece dell’art. 28. In inglese è chiamato data processor e in francese è il Sous-traitant.
L’abbreviazione in uso (non solo in queste pagine web) per Regolamento Generale Protezione Dati personali, è il Regolamento UE 2016/679, succede al decreto legislativo 196/2003 che era reso necessario – inizialmente – da due direttive comunitarie. È composto di 99 articoli e 173 punti introduttivi. È molto usata anche l’alternativa anglofona GDPR.
Si parla da anni di sistema informativo e non di sistema informatico perché se il sistema informatico è semplicemente l’insieme degli apparati “informatici” il sistema informativo comprende tutti gli strumenti e le persone che sono in grado di svolgere la raccolta, l’organizzazione, l’elaborazione l’archiviazione e ogni utilizzo dei dati personali e delle informazioni. Il lemma è stato segnalato pure dal Thesaurus della Biblioteca Nazionale Centrale di Firenze.
Nel Codice Privacy si fa attenzione e distinzione tra gli strumenti elettronici e quelli “cartacei” o “tradizionali”. In altre parole la norma consapevolmente è stata resa necessaria innanzitutto dall’evoluzione dell’informatica e le regole che sono ispirate dai principi di cautela e necessità si rendono doverose per le potenzialità dell’informatica e della telematica che rendono possibili operazioni di trattamento prima solo astrattamente possibili ma concretamente irrealizzabili (o realizzabili ma in modo del tutto diseconomico).
Nel RGPD invece tale consapevolezza è ormai così profonda che si da per scontato che qualsiasi informazione o dato personale sia anche presente in formato elettronico. Nel Codice Privacy infatti si da una definizione di strumenti elettronici:
“gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento”
Nel RGPD la distinzione e contrapposizione cartaceo/elettronico è totalmente assente, in una sola occasione si parla di “strumenti di trattamento” e mai compare la parola cartaceo.
Invenzione lessicale della norma italiana, titolare del trattamento è un’espressione che traduce l’espressione inglese controller e quella francese responsable du traitement, in italiano il titolare del trattamento è:
“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”
Per chi si occupa della materia è una definizione ormai data per scontata dato che è interiorizzata, eppure uno degli aspetti che si sottovalutano è che quando abbiamo un dato personale (cfr. supra) abbiamo sempre almeno una operazione di trattamento, infatti è trattamento:
“qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”
Con URI, si indica l’acronimo Uniform Resource Identifier e indica un elemento riconosciuto di una rete (per lo più informatica). Con riferimento ad Internet (che è una rete) è stata definita e classificata da The Internet Society:
A Uniform Resource Identifier (URI) is a compact string of characters for identifying an abstract or physical resource. (da RFC2396)
Nell’ambito della protezione dei dati personali quello che deve essere sottolineato è che un elemento URI non è sempre un dato personale, sebbene, associato ad un dato personale, può sempre contribuire a determinare il profilo di un interessato.
Sono esempi di URI le URL, gli indirizzi di posta elettronica o anche, fuori dall’ambito prettamente informatico, un numero di telefono.
In Italia, fu Stefano Rodotà, primo “Garante privacy” ad osservare che l’attività di videosorveglianza e registrazione delle immagini è una operazione di trattamento e che comporta quindi, dati i moderni strumenti tecnologici, degli obblighi aggiuntivi e specifici. Emanò così il vecchissimo “Decalogo sulla videosorveglianza” che a novembre di quest’anno compirà diciassette anni.
Da allora si sono succeduti più provvedimenti generali che pongono regole specifiche e consentono particolari deroghe (tra cui le informative sintetiche tramite cartelli). Nel resto dell’UE ci sono spessissimo provvedimenti analoghi da parte delle altre autorità indipendenti.
In Italia attualmente, sul punto, vige il provvedimento generale dell’8 aprile 2010.
È un gruppo di lavoro in seno all’Unione Europea, collegato alla Commissione Europea ma indipendente da essa, composto innanzitutto da rappresentanti delle autorità garanti di ogni Paese europeo.
Ha il compito di emanare raccomandazioni e linee guida, negli anni moltissimi sono stati gli interventi determinanti quando ancora la normativa di riferimento, in ogni Paese membro era una legge nazionale: si ricordano linee guida determinanti sulle Rfid, sul trasferimento dei dati personali verso Paesi terzi dell’Unione Europea, e sul concetto di dati biometrici.
Oggi sarà uno degli organismi che, delineando linee guida interpretative del RGPD fornirà indicazioni alle organizzazioni e alle autorità Garanti in ciascuno stato membro.