Con la denominazione di Regolamento Generale sulla Protezione dei Dati (RGPD) o, più frequentemente, General Data Protection Regulation (GDPR), ci si riferisce al “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”.

Il Regolamento costituisce l’evoluzione naturale della prima normativa del parlamento europeo, focalizzata sul trattamento dei dati personali, ovvero la Direttiva 46 del 24 Ottobre 1995 (Direttiva 95/46/CE).

È importante sottolineare come “il regolamento è un atto normativo avente portata generale, obbligatorio in tutti i suoi elementi e direttamente applicabile negli ordinamenti degli Stati membri (art. 288, par. 2 del Trattato sul funzionamento dell’UE). La portata generale si estrinseca nel fatto che il regolamento (a differenza delle decisioni) non è indirizzato a specifici destinatari, bensì a una o più categorie di destinatari astrattamente determinate. Le norme contenute nei regolamenti sono obbligatorie in tutti gli elementi e, quindi, disciplinano direttamente la materia a cui si applicano. L’effetto diretto immediato dei regolamenti comporta che essi non richiedono (a differenza delle direttive) l’adozione di provvedimenti nazionali di attuazione da parte degli Stati membri, ma si applicano immediatamente in tali ordinamenti e sono efficaci nei confronti sia degli Stati che degli individui, senza necessità di ulteriori atti” (fonte Enciclopedia Treccani).

Il Regolamento “[…] stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati” (art. 1, par. 1) ed ha l’obiettivo di proteggere “[…] i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali” (art. 1, par. 2).

Con i primi due articoli il Regolamento chiarisce immediatamente cosa si intenda con “proteggere i dati personali” poiché questo si traduce nella protezione dei diritti e delle libertà fondamentali di un individuo. È semplice, anche se non immediato, comprendere come la diffusione di un dato personale possa in effetti compromettere la libertà di una persona (ad esempio la libertà di poter frequentare un luogo pubblico, senza subire discriminazioni derivanti dalla rivelazione di informazioni riservate) o un suo diritto (ad esempio di accedere ad una posizione lavorativa senza condizionamenti derivanti da orientamenti politici o sessuali o di altro genere).

Di contro, il Regolamento riconosce come la circolazione dei dati, nella società moderna, sia essenziale per lo sviluppo della stessa, ed infatti con il paragrafo 3 del primo articolo stabilisce che “La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali“.

È fin troppo inflazionato al giorno d’oggi, il concetto secondo cui i dati rappresentano, per la nostra società, quello che il petrolio ha rappresentato per la società del secolo scorso (1) sebbene, a differenza del petrolio, i dati non si esauriscono. È quindi impensabile limitarne la circolazione ed è proprio per questo motivo, anzi proprio per favorirla, che sono necessarie delle regole comuni.

La base giuridica su cui la direttiva 95/46/CE è stata “trasformata” in Regolamento, con carattere quindi vincolante per tutti gli stati membri, al pari di una norma nazionale, la si trova nella “Carta di Nizza” del 2000, la Carta dei diritti fondamentali dell’Unione Europea, che assume valore giuridico con il Trattato di Lisbona del 2007. L’art. 8 della Carta di Nizza inserisce nuovi diritti per il cittadino e fra questi anche quello alla protezione dei dati personali.

(1) The Economist, “The world’s most valuable resource is no longer oil, but data”, pubblicato il 6 maggio 2017

In Italia la direttiva 95/46/CE è stata recepita tramite la Legge 675 del 31 Dicembre 1996, che oltre ad adottare i princìpi della direttiva ha istituito anche la figura dell’Autorità Garante per la Protezione dei Dati Personali (GPDP). Successivamente il legislatore italiano ha emanato il decreto legislativo del 30 giugno 2003 n.196, il cosiddetto “Codice Privacy”, decreto, tutt’ora vigente, che ha esteso il diritto alla riservatezza al diritto alla protezione dei dati personali, inteso come diritto che ha come oggetto la protezione del dato personale a prescindere dalla tutela della sfera intima della persona e della famiglia, nonché della sua immagine sociale.

Il motivo per cui il Codice Privacy sia ancora una norma in vigore, nonostante l’esistenza di un regolamento europeo, deriva dal fatto che, a causa delle differenze fra le rispettive costituzioni e apparati normativi dei diversi stati membri,  il GDPR non copre completamente tutti i casi in cui vi è un trattamento di dati personali, lasciando al legislatore nazionale il compito di adottare norme specifiche.

Le aree in cui il GDPR non entra nel dettaglio riguardano:

• il trattamento di dati sensibili (con il GDPR definiti “particolari”), ovvero dati genetici, dati sulla salute, l’orientamento sessuale, le convinzioni religiose, le opinioni politiche ecc.;
• la disciplina dell’Autorità garante, poiché ogni Stato ha un organo nazionale che garantisce la tutela dei dati personali dove l’UE non può imporre un modello unico uguale per tutti. Ogni Stato ha le sue regole costituzionali. In Italia, ad esempio, l’Autorità Garante viene nominata dal Parlamento;
• parte della disciplina sulle sanzioni; essendo che l’UE non ha competenze penali, che spettano ai singoli Stati per il principio di Sovranità dello Stato, può quindi comminare solo sanzioni amministrative (nei casi più gravi, ha dato la possibilità ai singoli Stati dell’UE di prevedere una sanzione penale che viene data dal giudice, non dall’Autorità Garante, che resta un organo amministrativo e che quindi non si occupa di reati penali);
• il sistema della Soft Law, cioè di tutti gli atti che non provengono dal legislatore, in Italia dal Parlamento, ma da altri soggetti (codici deontologici delle varie categorie professionali, autorizzazioni generali del Garante, normative di condotta e sistemi di certificazione).

Per questo motivo il DL 196/2003 non è stato abolito con l’adozione del GDPR ma con questo è stato armonizzato (in gergo “novellato”) abrogando alcuni articoli in contrasto con il Regolamento o aggiungendone di nuovi, tramite il D. Lgs. 101 del 2018.

Di recente, alcuni articoli sono stati ulteriormente modificati dal decreto-legge 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205 e dal decreto-legge 30 settembre 2021, n. 132, convertito, con modificazioni, dalla legge 23 novembre 2021, n. 178.

Le Regole Deontologiche per i trattamenti di dati personali sono pubblicate come allegato al Codice Privacy. Esse derivano dall’art. 2-quater dello stesso Codice per i trattamenti previsti all’articolo 6, paragrafo 1, lettere c) ed e) del Regolamento (trattamenti necessari per adempiere un obbligo legale al quale è soggetto il titolare o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare) e sulla base di quanto prescritto dall’art. 9, paragrafo 4, per cui “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute“.

È importante sottolineare che “Il rispetto delle disposizioni contenute nelle regole deontologiche di cui al comma 1 costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali” (art. 2-quater, par. 4, Codice Privacy).

Sebbene non si possa considerare una norma in senso stretto, nel trattare dati sanitari per fini di ricerca scientifica, non va trascurata la “dichiarazione di Helsinki”, nella quale vengono elencati i “Principi etici per la ricerca biomedica che coinvolge gli esseri umani”. La dichiarazione è stata adottata nella 18a Assemblea Generale della World Medical Association (WMA), tenutasi nel giugno del 1964 ad Helsinki in Finlandia ed è stata successivamente emendata nelle successive assemblee della WMA34.

In particolare è da evidenziare il nono dei principi generali nel quale si asserisce che “È dovere dei medici coinvolti nella ricerca biomedica tutelare la vita, la salute, la dignità, l’integrità, il diritto all’autodeterminazione, la privacy e la riservatezza dei dati personali dei soggetti coinvolti nella ricerca. La responsabilità della loro tutela deve sempre ricadere sul medico o su altri professionisti sanitari e mai sui soggetti coinvolti nella ricerca, nonostante il consenso fornito”.

Il titolare del trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, par. 7 del GDPR).

Il titolare è quindi la figura che definisce il perché un trattamento ha luogo ed ha il potere di decidere le finalità e le modalità dello stesso. È però importante sottolineare che in merito alle modalità sono da considerarsi solo quelle essenziali. La definizione dei mezzi non è quindi riferita alla semplice scelta degli strumenti di lavoro ma alle caratteristiche del trattamento (es. il campione di soggetti da selezionare, le basi giuridiche che permettono il trattamento, la durata del trattamento ecc.).

Quando finalità e modalità sono definite congiuntamente da più titolari si determina contitolarità nel trattamento.

Il concetto di contitolarità è stato spiegato dall’Article 29 Data Protection Working Party (WP29) nel 2010, chiarendo che la contitolarità non è sempre equamente distribuita nelle responsabilità e nella definizione delle finalità e modalità del trattamento. L’avverbio “congiuntamente” deve essere interpretato come “insieme” o “non da soli”. Per questo la contitolarità potrebbe essere definita come simmetrica o, molto più frequentemente, asimmetrica.

Al fine di allocare correttamente le rispettive responsabilità, i titolari, ai sensi dell’art. 26 del GDPR, sono tenuti a definire un accordo interno. Ogni titolare di un trattamento di dati personali è, naturalmente, soggetto agli obblighi previsti dal Regolamento, di conseguenza, ciò che occorre definire nell’accordo sono solo quegli aspetti che possono essere causa di ambiguità e confusione nell’interessato. Oltre quindi alle responsabilità delle parti, l’accordo dovrà contenere le l’indicazione di chi si farà carico di comunicare le informazioni agli interessati (ex art. 13 e 14), un eventuale punto di contatto comune e le modalità di esercizio dei diritti.

Una sintesi dell’accordo dovrà essere messa a disposizione degli interessati. I contitolari rispondo in solido nei confronti dell’interessato in caso di danni.

Le stesse linee guida del WP29 sono state riprese, aggiornate e ripubblicate nel luglio 2020 dallo European Data Protection Board (EDPB), composto dalle figure di vertice delle autorità di controllo degli stati membri e dal Garante europeo della protezione dei dati.

Il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, par. 8 del GDPR). Come definito dalle Linee Guida 7/2020 dello EDPB, “Le due condizioni fondamentali per la qualifica di responsabile del trattamento sono:

a) essere un soggetto distinto rispetto al titolare del trattamento;
b) trattare i dati personali per conto del titolare del trattamento.

Un soggetto distinto significa che il titolare del trattamento decide di delegare tutte o parte delle attività di trattamento a un soggetto esterno. […] Se il titolare del trattamento decide di trattare direttamente i dati utilizzando le proprie risorse interne, ad esempio attraverso il proprio personale, non vi sono responsabili del trattamento”.

Il rapporto fra titolare e responsabile del trattamento è regolato dall’art. 28 del GDPR. In particolare al paragrafo 3 troviamo ciò che un accordo per tale scopo dovrà contenere.

Nonostante sia prerogativa del titolare definire finalità e mezzi del trattamento, le Linee Guida, chiariscono che: “In pratica, se un titolare incarica un responsabile del trattamento di effettuare il trattamento per suo conto, ciò significa spesso che il responsabile del trattamento è in grado di adottare autonomamente determinate decisioni sulle modalità di effettuazione del trattamento in oggetto. L’EDPB riconosce la sussistenza di un certo margine di manovra affinché anche il responsabile del trattamento possa prendere decisioni in relazione al trattamento.”. Per tale ragione si parla di mezzi essenziali e non essenziali. “Mentre i mezzi non essenziali possono essere determinati anche dal responsabile del trattamento, i mezzi essenziali sono determinati necessariamente dal titolare del trattamento. Per «mezzi essenziali» si intendono i mezzi strettamente legati alla finalità e alla portata del trattamento, tra cui il tipo di dati personali trattati («quali dati sono trattati?»), la durata del trattamento («per quanto tempo sono trattati?»), le categorie di destinatari («chi vi ha accesso?») e le categorie di interessati («i dati personali di quali individui sono oggetto di trattamento?»). Insieme alla finalità del trattamento, i mezzi essenziali sono inoltre strettamente connessi alla liceità, necessità e proporzionalità del trattamento stesso. I «mezzi non essenziali» riguardano aspetti più pratici legati all’esecuzione del trattamento, quali la scelta di un particolare tipo di hardware o di software o le misure di sicurezza specifiche in merito alle quali può decidere il responsabile del trattamento“.

È utile tener conto che la Commissione Europea ha recentemente publicato della “Clausole Contrattuali Tipo” da utilizzarsi nei rapporti Titolare-Responsabile. L’utilizzo di tali clausole è quindi consigliato al fine di avere una garanzia sulla correttezza dell’accordo.

Il GDPR, tramite gli artt. 5, 24 e 25, definisce alcuni importanti principi. Ciò su cui il GDPR pone le basi della propria ratio sono i concetti di:

• liceità, correttezza e trasparenza: “dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati” (Considerando 39);
• limitazione delle finalità e minimizzazione dei dati: i dati raccolti dovrebbero essere limitati a ciò che è strettamente necessario per raggiungere una specifica finalità, chiara e nota all’interessato;
• esattezza, limitazione della conservazione, integrità e riservatezza: i dati devono essere mantenuti per il tempo strettamente necessario per il raggiungimento della finalità ed in questo lasso di tempo devono essere esatti, conservati con cura e non accessibili a chi non ne ha diritto;
• responsabilizzazione del titolare: il titolare del trattamento è tenuto a mettere in atto misure adeguate ed efficaci e deve essere in grado di dimostrare la conformità delle attività di trattamento con il regolamento, compresa l’efficacia delle misure (Considerando 74).

Il principio di responsabilizzazione del titolare, o principio di accountability, esplicitato nell’art. 24 del Regolamento, è probabilmente la principale innovazione della norma, insieme al concetto di trasparenza, con cui si sposta l’attenzione dal consenso ottenuto dall’interessato per trattare i suoi dati al controllo (la possibilità di esercitare i propri diritti) che costui deve avere in ogni fase del trattamento.

L’osservanza dei principi sopra descritti non deve essere vista come una norma a cui adeguarsi ma un modus operandi applicato già in fase di progettazione del trattamento. È proprio in questa fase che devono essere progettate e implementate (impostazione predefinita) le misure tecniche e organizzative necessarie per far sì che i dati raccolti non siano accessibili a chi non ne abbia diritto o non operi nel trattamento per il raggiungimento della finalità dichiarata. Ed è quello che viene stabilito da un ulteriore, e non meno importante, principio: di data protection by design e by default (art. 25).

Fra i princìpi del GDPR compare quello di liceità del trattamento. Un trattamento, quindi, oltre a dover rispettare tutti gli altri princìpi descritti all’art. 5 del Regolamento, dovrà essere anche lecito. Ed un trattamento è lecito quando è svolto in almeno una delle condizioni elencate nell’art. 6 del Regolamento. Tali condizioni sono spesso indicate come presupposti o basi giuridiche del trattamento.  Un trattamento sarà quindi lecitamente svolto se:

• l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

oppure se il trattamento è necessario:

• all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
• per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
• per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
• per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
• per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

La finalità è pertanto legata strettamente ad una o più delle suddette basi giuridiche che rendono lecito il trattamento.

Sebbene il consenso sia la prima fra le possibili basi giuridiche indicate dall’art. 6, è importante considerare prioritariamente le altre basi di legittimità del trattamento e solo in ultima analisi ricorrere al consenso.

È importante notare che per il CNR, in quanto pubblica amministrazione, non è possibile ricorrere al legittimo interesse per giustificare i trattamenti svolti nell’esecuzione dei propri compiti. I compiti svolti dal CNR, come per ogni altra pubblica amministrazione, sono giustificati da una specifica normativa e saranno pertanto condotti “per adempiere un obbligo legale” (art. 6, par. 1.c, GDPR) o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” (art. 6, par. 1.e, GDPR).

Occorre fare attenzione però perché, nel caso di trattamenti di dati particolari (“dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché […] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona“), sarà anche necessario rientrare in almeno una delle deroghe previste dall’art. 9 del GDPR.

Inoltre, nel caso di trattamenti di dati particolari per finalità di ricerca scientifica, sarà sempre necessario l’ottenimento del preventivo consenso e la sua indicazione quale base giuridica. Qualora sia eccessivamente gravoso ottenerlo e la cancellazione dei dati ottenuti senza un valido consenso rischierebbe di compromettere i risultati dell’attività di ricerca, il consenso non sarà necessario a patto che si ricada nei casi e/o si rispettino i requisiti indicati dagli artt. 110 e/o 110-bis del Codice Privacy (D. Lgs. 196/2003).

Il Responsabile della Protezione Dati (RPD) o, con la definizione inglese, il Data Protection Officer (DPO), è una figura introdotta dal Regolamento Generale sulla Protezione Dati e da questo regolamentata (Capo IV, Sezione 4, artt. 37-39).  

In quanto ente di natura pubblica, il CNR rientra tra i soggetti obbligati a nominare un Responsabile per la protezione dei dati: l’attuale RPD è il dott. Raffaele Conte.

Il GDPR prevede che il titolare del trattamento o il responsabile del trattamento pubblichi i dati di contatto del Responsabile della Protezione dei Dati e li comunichi all’autorità di controllo (art. 37, par. 7). 

Al Responsabile della Protezione Dati, che riferisce al vertice gerarchico del Titolare o del Responsabile, deve essere assicurata piena autonomia nello svolgimento della propria attività (art. 38, par. 3).

I compiti del Responsabile della Protezione Dati consistono nel:

• sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
• collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
• informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
• cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
• supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

Gli articoli 13 e 14 del GDPR, che descrivono le informazioni da fornire all’interessato riguardo un trattamento di dati personali che lo riguardano, richiedono che siano indicati anche i contatti del Responsabile della Protezione Dati.

Per il Consiglio Nazionale delle Ricerche, il RPD è raggiungibile ai seguenti contatti:

email: rpd@cnr.it oppure dpo@cnr.it

PEC: rpd@pec.cnr.it

Nello svolgimento delle sue funzioni, il Responsabile per la Protezione Dati si avvale dei propri Corrispondenti, cioè colleghi di elevata professionalità, dovendo possedere gli stessi requisiti richiesi per il RPD dall’art. 37 del GDPR e che operano sotto la responsabilità e dipendenza funzionale dal Responsabile per la Protezione Dati.

Il team dei Corrispondenti è composto da sette figure, dalle competenze diversificate, associata ad ognuno dei Dipartimenti scientifici dell’Ente, così da poter intervenire su un ampio spettro di questioni legate al trattamento dati.

Il team dei Corrispondenti, con il suo operato, contribuisce a monitorare l’osservanza del GDPR – e di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati – internamente al CNR, e alla sensibilizzazione e formazione del personale dell’Ente in materia di trattamento dei dati.

Nel caso in cui il RPD debba fornire un parere su una Valutazione d’Impatto (DPIA) tale parere è elaborato in maniera collegiale con i corrispondenti.

I Corrispondenti in carica sono:

Dott. Raffaele Conte (interim) – Scienze del sistema terra e tecnologie per l’ambiente;
Avv. Claudia Greco – Scienze bio-agroalimentari;
Dott.ssa Francesca Gorini – Ingegneria, ICT e tecnologie per l’energia e i trasporti;
Dott. Massimiliano Ippoliti – Scienze umane e sociali, patrimonio culturale;
Avv. Laura Milita – Scienze biomediche;
Dott. Valerio Giorgio Muzzini – Scienze chimiche e tecnologie dei materiali;
Dott.ssa Elisabetta Vallarino – Scienze fisiche e tecnologie della materia.

“Il direttore generale svolge funzioni di coordinamento di tutti gli adempimenti connessi al trattamento dei dati personali per conto del titolare del trattamento fornendo indicazioni di carattere generale ai responsabili interni” (art. 19-bis, Regolamento di Organizzazione e Funzionamento del CNR).

Al fine di agevolare l’operatività del Direttore Generale e con lo scopo di distinguere le attività del titolare da quelle del Responsabile della Protezione Dati (consulenza e controllo) è stato costituito un Gruppo di lavoro a supporto del Direttore Generale per lo studio e l’approfondimento delle problematiche di tipo giuridico, tecnico ed organizzativo in materia di trattamento dei dati personali nonché per l’elaborazione degli strumenti e delle procedure in applicazione del Regolamento (UE) 2016/679 RGPD ed ottenere una gestione efficace ed efficiente dei trattamenti di dati personali presenti all’interno dell’Ente.

Il Gruppo di lavoro, nello svolgimento dei propri compiti, acquisisce, su espressa richiesta del Direttore Generale e per specifiche e definite questioni, la consulenza dell’RPD.

Il Gruppo di lavoro consente quindi al RPD di svolgere al meglio i suoi compiti di vigilanza e controllo garantendo il rispetto della normativa applicabile in materia di trattamento dei dati personali e fornendo adeguata consulenza al titolare.

I compiti affidati al Gruppo di lavoro da svolgere nell’annualità di riferimento sono quindi:

• studio dell’evoluzione normativa in materia di trattamento dati e individuazione dei possibili impatti e ricadute sulle attività dell’Ente;
• aggiornamento del Regolamento del CNR per il trattamento dei dati sensibili e giudiziari emanato con provvedimento del Presidente n.18 del 12.04.2007;
• predisposizione schema di Disciplinare per l’affidamento dell’incarico di RPD;
• aggiornamento modalità procedurali per l’implementazione del Registro dei trattamenti ex art.30 del Regolamento UE 2016/679;
• monitoraggio in merito alle attività di adeguamento dell’Ente al Regolamento UE 2016/679 e individuazione di eventuali elementi di criticità ai fini della predisposizione di proposte correttive e implementazione di opportune azioni di formazione.

Il Gruppo di lavoro, costituito nel mese di maggio 2021, ha durata di dodici mesi, fatte salve eventuali proroghe.

Il gruppo è raggiungibile all’indirizzo gdl.privacy@cnr.it.