Data Protection e Regolamento UE 679/2016
A cura di F. Boccucci (partecipante del Master in Giurista d'Impresa)
Nell’attuale società dell’informazione il concetto di privacy è inscindibilmente legato a quello di diritto alla protezione dei dati personali, il quale, negli ultimi anni, si è consolidato nei testi normativi nazionali ed internazionali, cosicché a seguito di un lungo processo normativo, oggi nell’ordinamento italiano vige il “Codice sulla protezione dei dati personali”[1] introdotto con il D.Lgs. n. 196/2003[2].
Nel maggio 2016 è stato pubblicato sulla Gazzetta ufficiale dell’unione europea il Regolamento n. 679/2016[3] o GDPR (General Data Protection Regulation) che diventerà definitivamente applicabile in via diretta da parte dei giudici nazionali in tutti i Paesi UE a partire dal 25 maggio 2018, momento a partire dal quale dovrà essere garantito il perfetto rispetto delle disposizioni del Regolamento.
LEGGE DI BILANCIO E GDPR
A tal fine il legislatore nazionale con la Legge di Bilancio 2018[4] ha introdotto delle previsioni a carattere rafforzativo delle norme del Regolamento 679/2016.
L’art. 1[5] nel comma 1020 della Legge di Bilancio statuisce che “al fine di adeguare l'ordinamento Italiano al Regolamento (UE) 2016/679 (GDPR), il Garante per la protezione dei dati personali assicura la tutela dei diritti fondamentali e delle libertà dei cittadini”. Nel comma[6] immediatamente successivo si enunciano le modalità attraverso cui il Garante dovrà, appunto, assicurare la tutela dei cittadini in tema di protezione dei dati personali. Sul punto, infatti, dovrà disciplinare le modalità con cui monitorerà l'applicazione del GDPR e vigilerà sulla sua applicazione ed i sistemi di verifica, quali ad esempio l'acquisizione di informazioni dai titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali.
Il Garante, altresì, dovrà predisporre un modello di informativa e delle linee-guida in materia di trattamento dei dati personali fondato sull'interesse legittimo del Titolare.
Un ulteriore comma[7] concerne l’introduzione di una verifica preliminare dell’Autorità e della necessità di un provvedimento autorizzativo per procedere in caso di “trattamenti fondati sull'interesse legittimo che prevedano l'uso di nuove tecnologie o di strumenti automatizzati” ovvero del c.d. prior checking[8] dei dati forniti.
IL REGOLAMENTO EUROPEO 679/16
Il nuovo Regolamento o GDPR in Italia che al suo interno prevede numerosi adempimenti ed obblighi per le imprese e la PA, abrogherà la direttiva 95/46/CE ed andrà a sostituire il Codice Privacy (D.lgs 196/2003).
Lo stesso dovrà essere applicato quando ci si trovi di fronte:
- al trattamento di dati personali effettuato da un Titolare o Responsabile stabilito nella UE, indipendentemente dal fatto che il trattamento sia effettuato o meno nella UE;
- al trattamento di dati personali effettuato da Titolari o Responsabili non stabiliti nell’UE, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione, se il trattamento ha ad oggetto dati personali di interessati che si trovano nella UE e riguarda l’offerta di beni o servizi ai suddetti interessati oppure il monitoraggio del loro comportamento nel territorio della UE;
- al trattamento effettuato da un Titolare stabilito in uno Stato extra UE soggetto al diritto di uno Stato UE in virtù del diritto internazionale pubblico.
Le finalità del Regolamento sono la protezione delle persone fisiche[9] e la regolamentazione della circolazione dei dati personali.
Rispetto alla definizione riportata nel D.lgs. 196 del 2003[10], la nuova definizione di “dato personale”, contenuta nel Regolamento, appare più dettagliata. Infatti rientrano al suo interno tutti i tipi di categorie di dati, quali ad esempio dati personali, dati genetici, dati biometrici e dati relativi alla salute, riferibili ad una persona fisica. Con una specifica normativa, all’art 10 del Regolamento vengono disciplinati i dati giudiziari ovvero il trattamento dei “dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza” per i quali la manipolazione deve avvenire soltanto sotto il controllo dell’autorità pubblica o previa autorizzazione dal diritto dell’Unione o degli Stati membri.
I dati raccolti dal Titolare di trattamento dovranno essere organizzati con modalità specifiche. L’art. 25 dal Regolamento introduce le modalità di gestione della protezione dei dati personali obbligatorie: privacy by design e privacy by default.
Privacy by design[11] significa protezione dei dati fin dalla progettazione, mediante misure tecniche e organizzative. L'obbligo di privacy by design è basato sulla valutazione del rischio (risk based approach), con il quale si determina la misura di responsabilità del Titolare o del Responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.
Privacy by default[12] significa che la tutela della protezione dei dati deve diventare l’impostazione predefinita. Il Titolare del trattamento deve trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
Tutti i titolari e i responsabili di trattamento, con più 250 dipendenti o che effettuano trattamenti a rischio[13], devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30[14].
Si tratta di uno strumento indispensabile per ogni valutazione e analisi del rischio. Il registro deve essere esibito su richiesta al Garante e può essere redatto in forma scritta o elettronica.
ESEMPIO DI MODULISTICA
Nome e dati di contatto del Titolare di trattamento | Nome e dati di contatto del rappresentante del Titolare del trattamento |
Nome e dati di contatto del Responsabile della protezione dei dati | Finalità di trattamento (marketing diretto) |
Descrizione delle categorie di interessi (clienti, lavoratori dipendenti, …) | Descrizione delle categorie di dati personali (dati identificativi, anagrafici, abitudini di consumo, …) |
Categoria di destinatari a cui i dati personali sono stati o saranno comunicati (società UE ed extra UE) | In caso di trasferimento di dai personali vero un paese terzo (indicazione del paese terzo e garanzie di trattamento) |
Termini previsti per la cancellazione dei dati. | Descrizione delle misure di sicurezza tecniche ed organizzative |
L’istituto del consenso[15] ha nel Regolamento un’importanza fondamentale in quanto condizione di liceità del trattamento dei dati personali. Esso è inteso come atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informale e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. A manifestazione di accettazione può avvenire mediante dichiarazione scritta, orale o con mezzi elettronici. In quest’ultimo caso la richiesta all’interessato deve essere chiara, concisa e non deve interferire immotivatamente con il servizio con il servizio per il quale il consenso è espresso. Ai fini del consenso informato, l’interessato dovrebbe essere posto a conoscenza del identità del Titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali.
I requisiti del consenso possono essere così sintetizzati:
- Profilo probatorio: si stabilisce un onere della prova sul Titolare del trattamento il quale deve dimostrare che l’interessato ha acconsentito al trattamento dei propri dati.
- Profilo formale: se la dichiarazione è scritta deve essere redatta in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, specificando le diverse finalità in caso di più materie.
- Profilo dell’efficacia: il consenso è valido fino a quando non viene revocato. Gli artt. 13 e 14 dispongono che tra le informazioni da fornire all’interessato vi sia anche l’esistenza del diritto di revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
Oltre a tale diritto, all’interessato è garantito l’accesso ai propri dati personali per ottenere informazioni sulle finalità e le modalità del trattamento.
Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere la rettifica dei propri dati ovvero l’integrazione dei dati incompleti attraverso la produzione di una dichiarazione integrativa. In alcun casi, ad esempio in cui sia contestata l’esattezza dei dati o vi sia un trattamento illecito dei dati, l’interessato può richiedere la limitazione del trattamento al Titolare dei dati. La limitazione può consistere nel trasferimento temporaneo dei dati selezionati verso altro sistema di trattamento, nel rendere gli stessi inaccessibili agli utenti o rimuoverli momentaneamente.
Una delle principali novità, regolamentata all'art. 17, riguarda il diritto all'oblio con cui l'interessato ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo solo in caso di particolati motivazioni[16].
Il Titolare del trattamento, se ha reso pubblici dei dati personali ed è obbligato a cancellarli, deve adottare le misure ragionevoli per informare i titolari del trattamento, che stanno trattando i dati personali, della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
Tale diritto, garantendo la cancellazione dei dati dagli archivi del Titolare, permette all’individuo di non essere rintracciato.
Il diritto all’oblio incontra però delle eccezioni, infatti esso non può intervenire se il trattamento dei dati è effettuato nell’esercizio del diritto alla libertà di espressione e di informazione, per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento, per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il Titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, in caso di utilizzo dei dati a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente, nel caso in cui il diritto all’oblio rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento ed infine per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
RESPONSABILITÀ CIVILE e SANZONI
Principio cardine alla base del Regolamento è il diritto ad ottenere un risarcimento del c.d. “danno da trattamento”. L’art. 82 prescrive di fatti che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del trattamento o dal Responsabile del trattamento”. Le posizioni di responsabilità dei soggetti interessati vengono così distinte:
- Il Titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento;
- Il Responsabile del trattamento risponde del danno causato solo se non ha adempiuto gli obblighi del Regolamento specificatamente diretti a responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare del trattamento.
La responsabilità civile di questi soggetti è solidale e dunque rispondono ciascuno per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato, salvo la previsione specifica di azioni di regresso reciproche nei limiti della quota di responsabilità.
Oltre alla responsabilità civile, il Regolamento disciplina il sistema sanzionatorio amministrativo.
Ai sensi dell’art. 58 del Regolamento il Garante può, in caso di violazione:
- Rivolgere avvertimenti sull’eventualità che i trattamenti dei dati previsti possano violare gli obblighi del Regolamento;
- Rivolgere ammonimenti in caso di violazione degli obblighi del Regolamento.
Inoltre, a seconda delle circostanze dei casi, in aggiunta alle misure di ammonimento il Garante può infliggere una sanzione amministrativa pecuniaria.
In caso di violazione di obblighi[17] del Titolare e del Responsabile, dell’organismo di certificazione e dell’organismo di controllo le sanzioni pecuniarie arrivano fino a 10 milioni di euro o al 2% del fatturato dell’impresa. In caso di violazione degli interessi[18] e delle condizioni del trattamento fino a 20 milioni di euro e al 4% del fatturato dell’impresa. L’onere della prova è a carico del presunto autore della violazione in quale può esonerarsi dimostrando che l’evento dannoso non è a lui imputabile.
Sul punto occorre sottolineare la sottesa problematica relativa all’applicazione delle sanzioni amministrative, previste a livello europeo, confliggenti con le sanzioni penali, previste nel nostro ordinamento, per la trasgressione dei medesimi istituti[19].
Da questa sommaria analisi si può dedurre che il nuovo Regolamento EU, tra le numerose novità e gli adempimenti generici lascia, alle imprese e agli enti pubblici l’onere, di integrare le disposizioni legislative con norme e policy interne.
[1] C.d. Codice Privacy.
[2] Dall’ emanazione del D.lgs. 196/03 Codice in materia di protezione dei dati personali Allegato B misure minime numerosi sono stati li interventi nazionali sul tema:
- Provvedimento del 27 novembre 2008 misure minime di amministrazione di sistema;
- D.l. n. 5 del 9 febbraio2012 in cui vi è la soppressione DPI contenuto nell’allegato B;
- D. Lgs 69 delle 2012 disposizione per violazioni privacy in ambito servizi di comunicazioni elettroniche;
- Regolamento UE 910del 2014 EIDAS identità digitale;
- Direttiva UE 680 del 2016 tutela privacy in ambito di prevenzione, contrasto e repressione crimini;
- Direttiva UE 1148 del 2016 sicurezza reti e sistemi informativi;
[3] Il Regolamento, unitamente alla Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini, è parte del c.d. Pacchetto protezione dati, l'insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'Unione Europea.
[4] (L. n. 205 del 27 dicembre 2017 G.U. n.302 del 29-12-2017 – Suppl. Ordinario n. 62)
[5] Art. 1 comma 1020 LdB: “Al fine di adeguare l'ordinamento interno al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché' alla libera circolazione di tali dati, di seguito denominato «Regolamento RGPD», il Garante per la protezione dei dati personali assicura la tutela dei diritti fondamentali e delle libertà dei cittadini.”
[6]Art. 1 comma 1021 LdB: “Ai fini di cui al comma 1020, il Garante per la protezione dei dati personali, con proprio provvedimento da adottare entro due mesi dalla data di entrata in vigore della presente legge: a) disciplina le modalità attraverso le quali il Garante stesso monitora l'applicazione del Regolamento RGPD e vigila sulla sua applicazione; b) disciplina le modalità di verifica, anche attraverso l'acquisizione di informazioni dai titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali, della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati ai sensi dell’articolo 20 del Regolamento RGPD, sia ai fini dell'adeguamento tempestivo alle disposizioni del Regolamento stesso; c) predispone un modello di informativa da compilare a cura dei titolari di dati personali che effettuano un trattamento fondato sull’interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati; d) definisce linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull'interesse legittimo del Titolare.”
[7] Art. 1 comma 1022 LdB: “Il Titolare di dati personali ove effettui un trattamento fondato sull'interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il Titolare dei dati invia al Garante un'informativa relativa all'oggetto, alle finalità e al contesto del trattamento, utilizzando il modello che sarà predisposto dal Garante stesso”.
[8] Tale meccanismo di verifica era già predisposto dal Garante all’art. 17 del Codice Privacy.
[9]Tale termine si riferisce a perone fisiche o giuridiche, autorità pubbliche o qualsiasi altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Per terzi si intendendo persone fisiche o giuridiche autorità pubbliche o qualsiasi altro organismo che non sia l’interessato, il Titolare del trattamento, il Responsabile del trattamento e le persone autorizzate al trattamento dei dati sotto l’autorità diretta del Titolare o del Responsabile.
[10] Art. 4 Codice Privacy. Dato personale: qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
[11] Art. 25, comma 1 Reg. UE- Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita:
“1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente Regolamento e tutelare i diritti degli interessati.”
[12] Art. 25 comma 2 Reg. UE- Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita:
“2.Il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. ”
[13] Art. 30, par. 5 Reg UE: “Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
[14][14] Art. 30, par. 5 Reg. UE: “….Il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del con Titolare del trattamento, del rappresentante del Titolare del trattamento e del Responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1…”
[15]Art. 4 reg. UE CONSENSO DELL’INTERESSATO: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”;
[16] Art. 17 Reg. UE: “a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.”
[17] OBBLIGO VIOLATO:
- Art.8: Verifica che il consenso al trattamento sia prestato o autorizzato dal Titolare della responsabilità genitoriale nel caso di offerta diretta di servizi della società dell’informazione a minori di età inferiore a16anni
- Art.11: Obbligo di non conservazione, acquisizione o trattamento di informazioni per identificare l’interessato se le finalità del trattamento non richiedono o non richiedono più l’identificazione dell’interessato.
- Art. 25: Adozione di misure tecniche e organizzative atte ad attuare i principi di protezione dei dati, la tutela dei diritti degli interessati e la garanzia che siano trattati, per impostazione predefinita, solo i dati necessari per ogni specifica finalità di trattamento (c.d. privacy by design e by default).
- Art.28: Designazione del Responsabile del trattamento e rispetto degli obblighi e compiti posti a carico del Responsabile.
- Art. 30: Tenuta dei Registri delle attività di trattamento.
- Art. 32: Adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio
- Art. 33: Notifica di una violazione dei dati personali all’autorità di controllo.
- Art. 35 e 36: Svolgimento di una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali e conseguente consultazione preventiva dell’Autorità di controllo.
- Art. 37-39: Prescrizioni in tema di designazione del Responsabile della protezione dei dati (Data Protection Officer)
[18] OBBLIGO VIOLATO:
- Art. 5: Rispetto dei principi applicabili al trattamento liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.
- Art. 6: Rispetto delle condizioni di liceità del trattamento
- Art. 7: Dimostrazione della prestazione del consenso e del rispetto delle condizioni per il consenso.
- Art.9: Rispetto delle condizioni di liceità del trattamento di categorie particolari di dati personali.
- Artt. da 12 a 22: Obblighi informativi nei confronti dell’interessato –Tutela dei diritti dell’interessato (diritto d’accesso; di rettifica; all’oblio; di limitazione del trattamento; di notifica in caso di rettifica o cancellazione dei dati o limitazione del trattamento; alla portabilità dei dati; di opposizione; alla profilazione consenziente)
- Artt. da 44 a 49: Obblighi connessi al trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali.
- Art. 58: Rispetto di un ordine, di una limitazione di trattamento o di un ordine di sospensione di flussi di dati dell’Autorità di controllo o di un negato accesso ai sensi dell’art.58, par.I
[19] Ad esempio il “Trattamento illecito dei dati personali” a livello nazionale è punito ai sensi dell’art. 167 Codice Privacy con una sanzione penale mentre con il nuovo regolamento la medesima condotta sarà punibile a norma dell’art. 83 e dunque con una sanzione amministrativa.
_____________________
SITOGRAFIA E BIBLIOGRAFIA
- http://www.garanteprivacy.it/guida-all-applicazione-del-Regolamento-europeo-in-materia-di-protezione-dei-dati-personali
- http://www.mondoprivacy.it/Regolamento-europeo-privacy
- https://www.diritto.it/Regolamento-privacy-dati-personali-comuni-sensibili-e-giudiziari-definizioni-e-regole-per-il-trattamento
- https://protezionedatipersonali.it/privacy-by-design-e-by-default
- “Privacy: cosa cambia con il nuovo Regolamento europeo”, Rivista Guida Giuridica n. 13 di Italia oggi
- “Privacy e Regolamento Europeo” di A. Ciccia Messina e N. Bernardi, IPSOA, Wolters Kluwer, ed. II.
- Francesca Santoro, “Legge di bilancio 2018: le disposizioni previste in attuazione del GDPR”, in WEB e TECH: PRIVACY Quotidiano Giuridico, UTET giuridica del 15.01.2018.
- “IL NUOVO REGOLAMENTO GENERALE UE SULLA PROTEZIONE DEI DATI PERSONALI N. 679/2016 PERSONALI N. 679/2016- Analisi pratica del quadro generale di insieme e dei nuovi adempimenti privacy” slide per Confindustria Venezia, di Avv. Alessandro Vasta