Sfatare i 7 principali miti sul GDPR nel 2025: guida per i CISO

A distanza di anni dalla sua piena applicazione, il GDPR è ancora circondato da miti persistenti che espongono le organizzazioni a rischi significativi di conformità. Questa guida sfata i sette principali fraintendimenti del 2025 e fornisce indicazioni chiare e operative per CISO e responsabili della conformità, affinché possano governare efficacemente gli obblighi di protezione dei dati ed evitare sanzioni onerose.

Introduzione

Il Regolamento generale sulla protezione dei dati (GDPR) è da anni un pilastro della tutela della privacy, ma il quadro della conformità è tutt’altro che statico. Con l’evoluzione della tecnologia e la maturazione delle interpretazioni delle autorità di controllo, un numero sorprendente di miti e convinzioni errate continua a circolare nei consigli di amministrazione e nelle funzioni IT. Questi miti non sono semplici fraintendimenti innocui: sono rischi di conformità latenti, pronti a trasformarsi in sanzioni rilevanti, danni reputazionali e interruzioni operative.

Per CISO, responsabili della conformità e titolari d’impresa, distinguere i fatti dalle convinzioni errate è oggi più critico che mai. Ritenere che il GDPR sia un progetto una tantum, che non si applichi alla propria organizzazione o che il consenso sia la soluzione universale per ogni trattamento di dati porta direttamente alla non conformità. Nel 2025, con autorità di controllo sempre più inclini all’enforcement e con regolamenti interconnessi come DORA e NIS2 che innalzano il livello di responsabilità, un approccio passivo o disinformato non è più sostenibile.

Questo articolo analizza e smonta in modo sistematico i sette miti sul GDPR più diffusi e pericolosi. Andremo oltre i titoli e affronteremo la realtà operativa della conformità, facendo leva su quadri di riferimento consolidati e indicazioni specialistiche per delineare un percorso chiaro verso programmi di protezione dei dati robusti e difendibili.

Cosa è in gioco

Le conseguenze di una gestione basata su miti e fraintendimenti sul GDPR vanno ben oltre una lettera di richiamo da parte dell’autorità di controllo. I rischi sono concreti, articolati e possono interessare ogni area dell’organizzazione.

Innanzitutto vi sono le sanzioni pecuniarie. Le multe possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo mondiale dell’impresa, se superiore. Non si tratta di massimali teorici: le autorità di controllo applicano con crescente frequenza sanzioni significative, in grado di compromettere la stabilità finanziaria di un’azienda. Ma l’impatto economico diretto è solo l’inizio.

L’interruzione operativa è un rischio rilevante e spesso sottovalutato. Una violazione dei dati personali o una risultanza di non conformità può determinare blocchi operativi obbligatori, costringendo l’azienda a sospendere le attività di trattamento dei dati fino alla correzione del problema. Immagina di non poter elaborare ordini dei clienti, eseguire campagne di marketing o persino pagare i dipendenti perché i trattamenti essenziali sono stati ritenuti illeciti.

Il danno reputazionale può essere la conseguenza più duratura. In un contesto di maggiore sensibilità alla privacy, clienti, partner e investitori tollerano sempre meno le aziende che trattano i dati personali con superficialità. Una violazione del GDPR resa pubblica può erodere in poco tempo la fiducia costruita in anni, causando abbandono dei clienti, perdita di partnership commerciali e svalutazione del marchio.

Infine, la pressione regolatoria si sta intensificando. Il GDPR non opera nel vuoto. Fa parte di un ecosistema in crescita di normative interconnesse. Una carenza nella conformità al GDPR può evidenziare debolezze tali da attirare l’attenzione di auditor e autorità competenti responsabili di altri quadri normativi, come il Digital Operational Resilience Act (DORA) e la Network and Information Security Directive (NIS2), generando una cascata di criticità di conformità. Come evidenziato dalle nostre indicazioni interne, un solido programma privacy è un elemento fondante della resilienza informatica complessiva.

Come si presenta una buona gestione

Raggiungere una conformità GDPR autentica e sostenibile non significa spuntare caselle; significa integrare una cultura della tutela della privacy che diventi un fattore abilitante per l’attività. Se progettato correttamente, un programma solido di protezione dei dati, allineato a quadri di riferimento come ISO 27001, produce vantaggi strategici rilevanti.

Lo stato ideale è quello in cui la protezione dei dati è integrata in tutti i processi aziendali, secondo il principio della protezione dei dati fin dalla progettazione e per impostazione predefinita. Questo approccio proattivo è richiesto dal GDPR Article 25 ed è un principio cardine della moderna sicurezza delle informazioni. La nostra P18S Politica di protezione dei dati e privacy - PMI lo rafforza, indicando nella Sezione 4.2 che “la protezione dei dati fin dalla progettazione e per impostazione predefinita deve essere integrata in tutti i processi, servizi e sistemi nuovi o modificati in modo significativo che trattano dati personali”. Ciò significa che, prima del lancio di un nuovo prodotto o del deployment di un nuovo sistema, viene svolta una valutazione d’impatto sulla protezione dei dati (DPIA) non come formalità, ma come strumento essenziale di progettazione.

Un programma maturo rafforza anche la fiducia dei clienti. Quando le persone hanno la certezza che i loro dati siano rispettati e protetti, sono più propense a utilizzare i servizi e a diventare sostenitori fedeli del marchio. Questa fiducia si costruisce con trasparenza, comunicazione chiara e rispetto costante dei diritti degli interessati.

Sul piano operativo, un programma di conformità ben strutturato genera efficienza. Invece di intervenire in urgenza per rispondere alle richieste degli interessati o alle richieste dell’autorità di controllo, i processi sono standardizzati e automatizzati. Ruoli e responsabilità chiari, definiti in una politica completa, assicurano che ciascuno conosca il proprio compito. Ad esempio, la nostra P18S Politica di protezione dei dati e privacy - PMI specifica che “il Responsabile della protezione dei dati (DPO) o il referente privacy designato è responsabile della supervisione del processo di gestione delle richieste relative ai diritti degli interessati e di assicurare risposte tempestive”. Questa chiarezza evita confusione e ritardi.

In definitiva, una buona gestione si riconosce in un’organizzazione resiliente e affidabile, che considera la protezione dei dati non come un onere, ma come un elemento distintivo competitivo. È un’organizzazione in cui la conformità è il risultato naturale di un’eccellente governance dei dati, supportata da un solido Sistema di gestione della sicurezza delle informazioni (SGSI) che protegge tutti i patrimoni informativi, inclusi i dati personali.

Il percorso operativo: sfatare i 7 principali miti sul GDPR

Analizziamo i miti più comuni e sostituiamoli con indicazioni concrete, basate su migliori pratiche e politiche consolidate.

Mito 1: “La mia azienda è troppo piccola perché il GDPR si applichi.”

È uno dei fraintendimenti più pericolosi. Il campo di applicazione del GDPR dipende dalla natura del trattamento dei dati, non dalle dimensioni dell’organizzazione.

La verità: il GDPR si applica a qualsiasi organizzazione, indipendentemente da dimensioni o sede, che tratti dati personali di persone fisiche situate nell’Unione europea (UE) in relazione all’offerta di beni o servizi oppure al monitoraggio del loro comportamento. Se hai un sito web con clienti nell’UE o utilizzi cookie analitici per tracciare visitatori provenienti dall’UE, il GDPR si applica alla tua organizzazione.

Il regolamento prevede, all’Article 30, un’esenzione limitata per le organizzazioni con meno di 250 dipendenti in relazione agli obblighi di tenuta dei registri, ma tale esenzione è ristretta. Non si applica se il trattamento può presentare un rischio per i diritti e le libertà degli interessati, non è occasionale oppure include categorie particolari di dati, come dati sanitari o biometrici. Nella pratica, la maggior parte delle aziende, anche piccole, svolge trattamenti regolari, ad esempio dati dei dipendenti o liste clienti, che rendono inapplicabile tale esenzione.

Mito 2: “Ottenere il consenso è l’unico modo per trattare legalmente dati personali.”

Molte organizzazioni fanno eccessivo affidamento sul consenso, ritenendolo l’unica base giuridica valida. Questo può generare “affaticamento da consenso” negli utenti e creare oneri di conformità non necessari.

La verità: il consenso è solo una delle sei basi giuridiche per il trattamento dei dati personali previste dal GDPR Article 6. Le altre sono:

• Contratto: il trattamento è necessario per l’esecuzione di un contratto.
• Obbligo legale: il trattamento è necessario per adempiere la legge.
• Interessi vitali: il trattamento è necessario per proteggere la vita di una persona.
• Compito di interesse pubblico: il trattamento è necessario per l’esecuzione di un compito svolto nel pubblico interesse.
• Legittimi interessi: il trattamento è necessario per il perseguimento dei legittimi interessi del titolare del trattamento, purché non prevalgano i diritti dell’interessato.

Scegliere la base corretta è essenziale. Ad esempio, il trattamento delle coordinate bancarie di un dipendente ai fini della retribuzione non si basa sul consenso, ma sulla necessità di eseguire il contratto di lavoro. Basarsi sul consenso in questo scenario sarebbe inappropriato, perché il dipendente non potrebbe revocarlo liberamente senza compromettere il rapporto di lavoro. La nostra P18S Politica di protezione dei dati e privacy - PMI richiede esplicitamente nella Sezione 5.2 che “la base giuridica per ciascuna attività di trattamento dei dati sia identificata e documentata nel registro delle attività di trattamento (RoPA) prima dell’avvio del trattamento”.

Mito 3: “Poiché i miei dati si trovano su una grande piattaforma cloud, il provider cloud è responsabile della conformità al GDPR.”

Esternalizzare l’archiviazione o il trattamento dei dati a una terza parte, come un provider cloud, non significa esternalizzare la responsabilità.

La verità: ai sensi del GDPR, la tua organizzazione è il “titolare del trattamento”, ossia determina le finalità e i mezzi del trattamento dei dati personali. Il provider cloud è il “responsabile del trattamento” e agisce secondo le tue istruzioni. Sebbene il responsabile del trattamento abbia obblighi giuridici diretti ai sensi del GDPR, la responsabilità ultima di proteggere i dati e assicurare la conformità resta in capo a te, in qualità di titolare.

Per questo la due diligence sui fornitori è fondamentale. Devi stipulare un Accordo sul trattamento dei dati (DPA) giuridicamente vincolante con tutti i responsabili del trattamento. Come previsto dalla nostra P16S Politica sui rapporti con i fornitori - PMI, la Sezione 4.3 sugli “Accordi sul trattamento dei dati” richiede che “un Accordo sul trattamento dei dati (DPA) formale, conforme ai requisiti del GDPR Article 28, sia in vigore prima che qualsiasi fornitore terzo ottenga accesso a dati personali o li tratti per conto dell’organizzazione”. Questo DPA deve dettagliare gli obblighi del responsabile del trattamento, incluse l’adozione di misure di sicurezza adeguate e l’assistenza nella risposta alle richieste relative ai diritti degli interessati.

Mito 4: “Devo segnalare una violazione dei dati solo se si tratta di un attacco informatico di grande portata.”

La soglia per la notifica di una violazione è molto più bassa di quanto molti ritengano, e i tempi sono estremamente stringenti.

La verità: il GDPR Article 33 richiede di notificare all’autorità di controllo competente qualsiasi violazione dei dati personali “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui se ne è venuti a conoscenza”, salvo che la violazione sia “improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche”.

Un “rischio” può includere perdita finanziaria, furto di identità, danno reputazionale o perdita di riservatezza. Non deve necessariamente trattarsi di un evento catastrofico. L’invio accidentale, da parte di un dipendente, di un foglio di calcolo contenente dati dei clienti al destinatario sbagliato può costituire una violazione soggetta a notifica. Inoltre, se la violazione può comportare un rischio elevato, devi informare direttamente anche le persone interessate. Un solido Piano di risposta agli incidenti (IRP) è essenziale per rispettare questi termini stringenti.

Mito 5: “Il ‘diritto all’oblio’ significa che devo solo cancellare i dati dell’utente dal database principale.”

Gestire una richiesta di cancellazione dei dati, il cosiddetto “diritto all’oblio” ai sensi dell’Article 17, è un processo complesso che va ben oltre una semplice query di cancellazione.

La verità: quando viene presentata una richiesta di cancellazione valida, devi adottare misure ragionevoli per cancellare i dati da tutti i sistemi in cui risiedono. Ciò include le banche dati primarie, ma anche backup, archivi, log, sistemi di analisi e persino dati detenuti dai responsabili del trattamento terzi.

Il diritto non è assoluto; esistono eccezioni, ad esempio quando è necessario conservare i dati per adempiere un obbligo legale, come la normativa fiscale che richiede la conservazione delle registrazioni finanziarie per un determinato periodo. Il processo deve essere gestito e documentato con attenzione. La nostra P18S Politica di protezione dei dati e privacy - PMI lo descrive nella procedura sui “Diritti degli interessati”, indicando che “le richieste di cancellazione devono essere valutate rispetto ai requisiti legali e contrattuali di conservazione prima dell’esecuzione. Il processo di cancellazione deve essere verificato su tutti i sistemi pertinenti e l’interessato deve essere informato dell’esito”.

Mito 6: “La mia azienda ha sede fuori dall’UE, quindi non devo nominare un Responsabile della protezione dei dati (DPO).”

L’obbligo di nominare un DPO dipende dalle attività di trattamento, non dalla sede legale dell’azienda.

La verità: ai sensi del GDPR Article 37, devi nominare un DPO se le tue attività principali comportano il monitoraggio regolare e sistematico degli interessati su larga scala oppure il trattamento su larga scala di categorie particolari di dati. Una società di e-commerce con sede negli Stati Uniti, con una base clienti significativa nell’UE e attività estese di tracciamento e profilazione, con ogni probabilità dovrebbe nominare un DPO.

Anche quando la nomina non è obbligatoria per legge, designare una persona o un team responsabile della supervisione della protezione dei dati è una migliore pratica. Questa figura agisce come punto di contatto centrale per gli interessati e le autorità di controllo e contribuisce a integrare una cultura attenta alla privacy all’interno dell’organizzazione.

Mito 7: “Il GDPR non si applica più al Regno Unito dopo la Brexit.”

È un fraintendimento comune e costoso. Il Regno Unito dispone di una propria versione del GDPR, quasi identica.

La verità: dopo la Brexit, il GDPR è stato incorporato nel diritto interno del Regno Unito come “UK GDPR”. Si applica insieme al Data Protection Act 2018 del Regno Unito. A tutti gli effetti pratici, le organizzazioni devono applicare gli stessi principi e rispettare gli stessi obblighi previsti dallo UK GDPR come fanno per il GDPR dell’UE. Se tratti dati di residenti nel Regno Unito, devi rispettare lo UK GDPR. Se tratti dati di residenti nell’UE, devi rispettare il GDPR dell’UE. Molte imprese internazionali devono rispettarli entrambi; un approccio unificato e di livello elevato è quindi la strategia più efficiente.

Collegare i punti: indicazioni sulla conformità trasversale

I principi del GDPR non operano in isolamento. Sono strettamente interconnessi con altri importanti quadri normativi e di sicurezza. Comprendere tali connessioni è essenziale per costruire un programma di conformità efficiente e integrato.

Il quadro ISO/IEC 27001, standard internazionale per un SGSI, fornisce la base tecnica e organizzativa per la conformità al GDPR. Molti requisiti del GDPR si mappano direttamente sui controlli ISO 27002. Ad esempio, il principio GDPR di “integrità e riservatezza” è supportato direttamente da numerosi controlli ISO 27002, inclusi quelli relativi al controllo degli accessi (A.5.15, A.5.16), alla crittografia (A.8.24) e alla sicurezza nello sviluppo (A.8.25). Un controllo chiave, parafrasato da ISO/IEC 27002:2022, è A.5.34, che fornisce indicazioni specifiche sulla protezione dei dati personali identificabili (PII), pienamente coerenti con la missione centrale del GDPR.

Questa sinergia è evidenziata in Zenith Controls, che mappa i requisiti del GDPR rispetto ad altri quadri di riferimento. Ad esempio, nel contesto del suo “Modulo di conformità GDPR”, la guida spiega:

“Il requisito del GDPR relativo alle valutazioni d’impatto sulla protezione dei dati (DPIA) ai sensi dell’Article 35 trova un equivalente concettuale nei processi di valutazione del rischio richiesti da DORA per i sistemi ICT critici e da NIS2 per i servizi essenziali. Una solida metodologia di valutazione del rischio può essere utilizzata per soddisfare i requisiti di tutti e tre i quadri di riferimento, evitando duplicazioni di attività.”

Questo dimostra come un unico processo ben progettato possa servire più esigenze di conformità. Analogamente, i requisiti di risposta agli incidenti previsti dal GDPR presentano sovrapposizioni significative con quelli di DORA e NIS2. Clarysec Zenith Controls chiarisce ulteriormente questa connessione:

“Il termine di 72 ore per la notifica delle violazioni previsto dal GDPR ha creato un precedente. I requisiti dettagliati di classificazione e segnalazione degli incidenti di DORA, pur focalizzati sulla resilienza operativa, richiedono le stesse capacità di rilevazione e risposta rapida. Le organizzazioni dovrebbero implementare un piano unificato di risposta agli incidenti che incorpori i trigger e le tempistiche di segnalazione specifici per GDPR, DORA e NIS2, al fine di garantire una reazione coordinata e conforme a qualsiasi evento.”

Anche il NIST Cybersecurity Framework (CSF) offre una prospettiva utile. Le funzioni core del CSF, Identify, Protect, Detect, Respond e Recover, si allineano al ciclo di vita della protezione dei dati. Identificare gli asset contenenti dati personali è un prerequisito per il GDPR, mentre la funzione Protect comprende le misure di sicurezza richieste dall’Article 32.

Osservando la conformità attraverso questa prospettiva interconnessa, le organizzazioni possono costruire un unico programma solido di sicurezza e privacy, resiliente, efficiente e capace di soddisfare le esigenze di un ambiente regolatorio complesso.

Prepararsi al controllo: cosa chiederanno gli auditor

Quando un auditor, interno o esterno, valuta la conformità al GDPR, cerca evidenze concrete, non solo politiche archiviate. Vuole verificare che il programma di protezione dei dati sia operativo ed efficace. Sulla base della metodologia strutturata descritta in Zenith Blueprint, possiamo anticipare le principali aree di attenzione.

Durante la Fase 2: raccolta delle evidenze e attività sul campo, un auditor testerà sistematicamente i controlli. Secondo il Passaggio 12: valutare i controlli di tutela della privacy e protezione dei dati di The Zenith Blueprint, gli auditor richiederanno specificamente:

“Evidenze di un registro delle attività di trattamento (RoPA) completo e aggiornato, come richiesto dal GDPR Article 30. Il RoPA deve dettagliare finalità del trattamento, categorie di dati, destinatari, dettagli dei trasferimenti e periodi di conservazione per ciascuna attività.”

Non si limiteranno a chiedere se disponi di un RoPA; selezioneranno specifici processi aziendali, come l’onboarding dei clienti o il marketing, e tracceranno i flussi di dati confrontandoli con la documentazione presente nel RoPA. Qualsiasi discrepanza costituirà un segnale di allarme rilevante.

Un’altra area critica è la gestione dei diritti degli interessati. Gli auditor vorranno vedere evidenze di un processo funzionante. Come indicato in The Zenith Blueprint, sempre nel Passaggio 12, la procedura di audit prevede di:

“Riesaminare il log delle richieste di accesso degli interessati (DSAR) degli ultimi 12 mesi. Selezionare un campione di richieste e verificare che siano state evase entro il termine legale di un mese e che la risposta sia stata completa e adeguatamente documentata.”

Ciò significa che serve un sistema di ticketing o un log dettagliato che mostri quando la richiesta è stata ricevuta, quando è stata presa in carico, le attività svolte per evaderla e quando è stata inviata la risposta finale.

Infine, gli auditor esamineranno attentamente il rapporto con i responsabili del trattamento terzi. Andranno oltre la semplice richiesta dell’elenco dei fornitori. La metodologia di audit di The Zenith Blueprint richiede di:

“Esaminare il processo di due diligence per la selezione di nuovi responsabili del trattamento. Per un campione di fornitori ad alto rischio, riesaminare gli Accordi sul trattamento dei dati (DPA) firmati per assicurare che contengano tutte le clausole richieste dal GDPR Article 28, incluse le previsioni relative al diritto di audit e alla notifica delle violazioni.”

Preparati a mostrare i questionari di valutazione del rischio dei fornitori, i DPA firmati e le eventuali registrazioni degli audit effettuati sui fornitori critici. Un programma debole di gestione dei fornitori è un punto di fallimento comune negli audit GDPR.

Errori ricorrenti

Anche con le migliori intenzioni, le organizzazioni spesso cadono in trappole comuni. Ecco alcuni degli errori più frequenti da evitare:

• La politica “imposta e dimenticata”: redigere una politica privacy e non aggiornarla mai. Le politiche devono essere documenti vivi, riesaminati almeno annualmente e aggiornati ogni volta che cambiano le attività di trattamento dei dati.
• Formazione insufficiente dei dipendenti: i dipendenti sono la prima linea di difesa. Un singolo dipendente non formato può causare una grave violazione dei dati personali. La nostra P08S Politica di consapevolezza e formazione sulla sicurezza delle informazioni - PMI sottolinea nella Sezione 4.1 che “tutti i dipendenti, i collaboratori esterni e le terze parti pertinenti devono completare la formazione obbligatoria sulla protezione dei dati e sulla consapevolezza della sicurezza delle informazioni al momento dell’assunzione e successivamente almeno una volta l’anno”. Non farlo rappresenta una carenza critica.
• Consenso vago o aggregato: richiedere il consenso con caselle preselezionate o aggregarlo a termini e condizioni. Il GDPR richiede che il consenso sia specifico, informato e inequivocabile.
• Ignorare la minimizzazione dei dati: raccogliere più dati personali di quanto strettamente necessario per la finalità dichiarata. Questo aumenta il profilo di rischio e viola un principio fondamentale del GDPR.
• Assenza di un chiaro piano di conservazione dei dati: conservare dati a tempo indeterminato “per ogni eventualità”. Devi definire, documentare e applicare periodi di conservazione per tutte le categorie di dati personali, come previsto dalla nostra P05S Politica di classificazione e gestione delle informazioni - PMI.
• Gestione degli asset inadeguata: non puoi proteggere ciò che non sai di avere. Non mantenere un inventario completo degli asset in cui i dati personali sono archiviati o trattati rende impossibile proteggerli in modo efficace, come sottolineato dalla nostra P01S Politica di gestione degli asset - PMI.

Passi successivi

Passare dal mito alla realtà richiede un approccio strutturato e proattivo. Clarysec fornisce gli strumenti e i quadri di riferimento necessari per costruire un programma di protezione dei dati robusto e difendibile.

1. Condurre un’analisi delle lacune: utilizza i principi illustrati in questo articolo per valutare il tuo attuale livello di conformità. Individua dove eventuali miti possono aver influenzato le pratiche operative.
2. Applicare politiche fondamentali: un solido quadro di politiche è imprescindibile. Parti dai nostri modelli completi, inclusi la P18S Politica di protezione dei dati e privacy - PMI e la P16S Politica sui rapporti con i fornitori - PMI, per stabilire regole e responsabilità chiare.
3. Mappare il tuo universo di conformità: utilizza la guida Zenith Controls per comprendere come i requisiti GDPR si sovrappongono ad altre normative come DORA e NIS2, così da costruire una strategia di conformità efficiente e integrata.
4. Prepararsi agli audit: adotta l’approccio strutturato descritto in Zenith Blueprint per assicurare una costante capacità di dimostrare la conformità in sede di audit, con le evidenze e la documentazione necessarie sempre disponibili.

Conclusione

Il panorama GDPR nel 2025 è caratterizzato da un’applicazione normativa matura e da aspettative più elevate. I miti che un tempo generavano confusione sono oggi indicatori chiari di debolezza della conformità. Per CISO e leader aziendali, restare ancorati a questi fraintendimenti non è più un’opzione. I rischi di sanzioni pecuniarie, interruzione operativa e danno reputazionale sono semplicemente troppo elevati.

Sfatare sistematicamente questi miti e fondare il programma di protezione dei dati su pratiche fattuali e basate sui principi consente di trasformare la conformità da onere percepito ad asset strategico. Un programma robusto, costruito su politiche chiare, integrato con quadri di sicurezza più ampi come ISO 27001 e pronto al vaglio degli auditor, non si limita a mitigare il rischio. Rafforza la fiducia dei clienti, crea efficienze operative e consolida una postura resiliente in un mondo digitale sempre più complesso. Il percorso verso una conformità GDPR efficace non consiste nell’inseguire un obiettivo mobile; consiste nel costruire una cultura sostenibile della protezione dei dati fin dalla progettazione.