{"id":24303,"date":"2024-07-14T18:28:28","date_gmt":"2024-07-14T17:28:28","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/it\/?p=24303"},"modified":"2026-06-16T16:01:27","modified_gmt":"2026-06-16T15:01:27","slug":"gestione-delle-autorita-di-protezione-dei-dati","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/it\/tech-e-digitale\/privacy-dati-e-sicurezza-informatica\/gestione-delle-autorita-di-protezione-dei-dati\/","title":{"rendered":"Gestione delle Autorit\u00e0 di Protezione dei Dati"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Il confronto con le autorit\u00e0 di protezione dei dati costituisce uno dei test pi\u00f9 decisivi della governance digitale, perch\u00e9 ogni contatto con l\u2019autorit\u00e0 di controllo in materia di privacy rende visibile se un\u2019organizzazione si limita a disciplinare formalmente i dati personali oppure se \u00e8 effettivamente in grado di controllarne il trattamento, spiegarne le scelte a livello di governance e renderne conto sul piano operativo. Un\u2019autorit\u00e0 di protezione dei dati non verifica soltanto l\u2019esistenza di documenti, registri, procedure o quadri di policy, ma esamina la coerenza tra processo decisionale, attuazione concreta, posizione probatoria, valutazione dei rischi, escalation interna e comunicazione esterna. Ogni interazione con l\u2019autorit\u00e0 di controllo assume quindi un duplice significato. Da un lato, rappresenta un momento giuridico nel quale occorre rispondere a quesiti, fondare le posizioni assunte e dimostrare l\u2019osservanza degli obblighi derivanti dal Regolamento generale sulla protezione dei dati. Dall\u2019altro lato, rappresenta un momento di governance nel quale diventa visibile la capacit\u00e0 dell\u2019organizzazione di agire sotto pressione con precisione fattuale, controllo comunicativo e giudizio strategico. In questo senso, il rapporto con l\u2019autorit\u00e0 di protezione dei dati non costituisce una componente separata della conformit\u00e0, ma una misura diretta della qualit\u00e0 della Gestione integrata dei rischi di criminalit\u00e0 digitale, della protezione dei dati, dell\u2019accountability e del controllo della criminalit\u00e0 digitale all\u2019interno dell\u2019organizzazione.<\/p>

Questo approccio assume particolare rilievo perch\u00e9 la vigilanza in materia di privacy si colloca sempre pi\u00f9 spesso in un contesto pi\u00f9 ampio di vulnerabilit\u00e0 digitale, dipendenza dalle catene operative, modelli di business ad alta intensit\u00e0 di dati e crescente attenzione sociale verso i rischi di criminalit\u00e0 digitale. Violazioni dei dati, profilazione illecita, insufficiente trasparenza, misure di sicurezza inadeguate, debole controllo sui responsabili del trattamento, trasferimenti internazionali e basi giuridiche non chiaramente definite non possono essere trattati come deviazioni giuridiche isolate. Essi incidono sulla fiducia, sulla governance, sulla reputazione, sulla continuit\u00e0 e sul controllo dei processi digitali. Un\u2019organizzazione che inizi a ordinare i fatti soltanto quando sopraggiunge un reclamo, un\u2019indagine o una richiesta di informazioni si colloca immediatamente in una posizione difensiva. Al contrario, un\u2019organizzazione che disponga di decisioni dimostrabili, ruoli chiari, fascicoli coerenti, una funzione privacy operativa e un collegamento integrato con la Gestione integrata dei rischi di criminalit\u00e0 digitale pu\u00f2 affrontare l\u2019autorit\u00e0 di controllo da una posizione di chiarezza fattuale e controllo di governance. Il confronto con le autorit\u00e0 di protezione dei dati non richiede quindi una risposta episodica all\u2019incidente, ma una disciplina strutturale nella quale precisione giuridica, controllo di governance, dimostrabilit\u00e0 operativa e tutela reputazionale convergono.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Il confronto con le autorit\u00e0 di controllo della privacy come parte del presidio digitale fondato sulla governance<\/h4>

Il confronto con le autorit\u00e0 di controllo della privacy richiede un approccio nel quale la protezione dei dati non venga trattata come un obbligo giuridico isolato, ma come una componente del presidio digitale fondato sulla governance. Nella pratica, l\u2019autorit\u00e0 di protezione dei dati valuta non soltanto se una specifica disposizione del Regolamento generale sulla protezione dei dati sia stata rispettata, ma anche se l\u2019organizzazione disponga di una struttura riconoscibile di responsabilit\u00e0, decisione e controllo. Quando i dati personali sono trattati all\u2019interno di sistemi complessi, tecnologie esternalizzate, processi di marketing, portali clienti, ambienti cloud o catene transfrontaliere, la conformit\u00e0 giuridica dipende dalla capacit\u00e0 della governance di mantenere un controllo effettivo su tali trattamenti. La questione non \u00e8 quindi soltanto se esista un\u2019informativa privacy, se sia stato sottoscritto un accordo di trattamento dei dati o se sia disponibile un registro delle attivit\u00e0 di trattamento. La vera questione \u00e8 se tali documenti corrispondano alla prassi effettiva, se i rischi siano stati valutati in modo dimostrabile, se gli scostamenti siano individuati tempestivamente e se l\u2019organizzazione possa spiegare perch\u00e9 determinate scelte siano difendibili.<\/p>

Nel quadro della Gestione integrata dei rischi di criminalit\u00e0 digitale, questo approccio assume un peso ulteriore, perch\u00e9 i rischi di criminalit\u00e0 digitale e i rischi privacy si intersecano continuamente. I dati personali costituiscono spesso il bersaglio, lo strumento o il punto di accesso della criminalit\u00e0 digitale. Phishing, furto d\u2019identit\u00e0, presa di controllo di account, compromissione della posta elettronica aziendale, ransomware, sottrazione di dati e ingegneria sociale dimostrano che la protezione dei dati non pu\u00f2 essere separata dalla resilienza digitale. In caso di incidenti o carenze strutturali, un\u2019autorit\u00e0 di controllo in materia di privacy non esaminer\u00e0 quindi soltanto le formalit\u00e0 giuridiche, ma valuter\u00e0 anche se siano state adottate misure tecniche e organizzative adeguate, se i segnali di allarme siano stati affrontati tempestivamente e se la responsabilit\u00e0 di governance sia stata assunta in modo visibile. Il controllo della criminalit\u00e0 digitale e la protezione dei dati devono operare, in tale contesto, come discipline che si rafforzano reciprocamente. Un\u2019organizzazione che gestisca in modo frammentato incidenti di sicurezza, qualit\u00e0 dei dati, diritti di accesso, logging, risposta agli incidenti e diritti degli interessati corre il rischio che l\u2019interazione con l\u2019autorit\u00e0 di controllo metta in luce carenze di governance pi\u00f9 profonde.<\/p>

Il contatto con un\u2019autorit\u00e0 di controllo della privacy deve quindi essere preparato muovendo dal presupposto che la governance debba essere dimostrabile. Ci\u00f2 richiede una chiara attribuzione delle responsabilit\u00e0, una funzione privacy effettivamente operativa, il coinvolgimento degli organi direttivi e del management, linee decisionali interne e una cultura del fascicolo nella quale le scelte non vengano ricostruite a posteriori, ma siano accuratamente documentate sin dall\u2019origine. Le informazioni fornite all\u2019autorit\u00e0 di controllo devono essere fattualmente esatte, giuridicamente sostenibili e internamente tracciabili. Un\u2019organizzazione che non sia in grado di spiegare chi fosse responsabile di un\u2019attivit\u00e0 di trattamento, perch\u00e9 sia stata scelta una determinata base giuridica, come siano stati definiti i periodi di conservazione o quale valutazione sia stata svolta in relazione ai trasferimenti o al ricorso a responsabili del trattamento non rivela soltanto un problema documentale, ma un problema pi\u00f9 ampio di governance. Il confronto con le autorit\u00e0 di controllo della privacy inizia quindi molto prima di qualsiasi contatto formale: nel modo in cui i processi digitali vengono progettati, i rischi vengono discussi, le decisioni vengono documentate e la Gestione integrata dei rischi di criminalit\u00e0 digitale viene effettivamente incorporata nella pratica quotidiana dell\u2019organizzazione.<\/p>

Le autorit\u00e0 di protezione dei dati come soggetti di enforcement, interpreti delle norme e interlocutori istituzionali nel presidio della privacy<\/h4>

Le autorit\u00e0 di protezione dei dati svolgono pi\u00f9 ruoli contemporaneamente. Sono soggetti di enforcement che possono imporre sanzioni, avviare indagini, disporre divieti di trattamento e richiedere misure correttive. Allo stesso tempo, operano come interpreti delle norme, perch\u00e9 le loro decisioni, linee guida, priorit\u00e0 e prassi di controllo orientano l\u2019interpretazione delle clausole aperte del Regolamento generale sulla protezione dei dati. Inoltre, in determinate situazioni, possono assumere il ruolo di interlocutori istituzionali, non nel senso di consulenti dell\u2019organizzazione, ma come autorit\u00e0 pubbliche che si attendono una comunicazione chiara, prudente e verificabile in merito a rischi, misure e scelte. Questa pluralit\u00e0 di ruoli richiede grande precisione. Un\u2019organizzazione che consideri l\u2019autorit\u00e0 di controllo esclusivamente come una controparte pu\u00f2 perdere l\u2019opportunit\u00e0 di fornire contesto in modo controllato. Al contrario, un\u2019organizzazione che si rivolga all\u2019autorit\u00e0 di controllo con un approccio eccessivamente informale pu\u00f2 non proteggere con sufficiente rigore la propria posizione giuridica, la propria postura probatoria e il rischio di precedenti.<\/p>

Il ruolo di enforcement dell\u2019autorit\u00e0 di controllo della privacy comporta che ogni contatto debba essere valutato con attenzione. Una risposta a una richiesta di informazioni, una spiegazione relativa a una violazione dei dati, una replica a un reclamo o una discussione su un trattamento previsto possono incidere sulla valutazione giuridica dell\u2019organizzazione. Formulazioni pensate come chiarimenti pratici possono essere successivamente lette come ammissioni di carenze. Risposte incomplete possono essere interpretate come mancanza di collaborazione. Dichiarazioni eccessivamente generiche possono creare l\u2019impressione che l\u2019organizzazione non abbia sufficiente conoscenza delle proprie attivit\u00e0 di trattamento. Il contatto con l\u2019autorit\u00e0 di controllo richiede quindi una combinazione di accuratezza fattuale e cautela giuridica. Non si tratta di occultare i rischi, ma di presentare fatti, contesto, misure e azioni correttive in modo accurato, senza aumentare inutilmente l\u2019esposizione. Nel quadro della Gestione integrata dei rischi di criminalit\u00e0 digitale, ci\u00f2 significa che la comunicazione con l\u2019autorit\u00e0 deve essere collegata all\u2019analisi degli incidenti, alla preparazione probatoria e forense, alla valutazione della governance, alla qualificazione giuridica e al controllo reputazionale.<\/p>

Il ruolo di interpretazione normativa delle autorit\u00e0 di protezione dei dati implica inoltre che l\u2019interazione con l\u2019autorit\u00e0 di controllo non debba essere considerata esclusivamente in chiave reattiva. Decisioni di enforcement, consultazioni, indagini settoriali, programmi di priorit\u00e0 e linee guida forniscono segnali sul modo in cui i rischi privacy vengono valutati. Le organizzazioni che incorporano strutturalmente tali segnali nelle proprie policy, nello sviluppo dei prodotti, nella governance dei dati, nella contrattualistica e nella sicurezza rafforzano la propria capacit\u00e0 di condurre futuri confronti con l\u2019autorit\u00e0 di controllo in modo pi\u00f9 efficace. Ci\u00f2 non significa che ogni interpretazione dell\u2019autorit\u00e0 debba essere accettata senza spirito critico, ma significa che eventuali scostamenti devono essere motivati, documentati e sostenuti a livello di governance. Un\u2019organizzazione che scelga consapevolmente una diversa posizione giuridica deve poter dimostrare quale analisi la sorregga, quali rischi siano stati individuati e quali garanzie siano state implementate. In questo modo, l\u2019autorit\u00e0 di protezione dei dati diventa non soltanto un soggetto esterno di enforcement, ma anche una fonte rilevante di pressione normativa capace di rafforzare la qualit\u00e0 del presidio privacy e del controllo della criminalit\u00e0 digitale all\u2019interno dell\u2019organizzazione.<\/p>

L\u2019importanza della qualit\u00e0 del fascicolo, della trasparenza e di una risposta credibile<\/h4>

La qualit\u00e0 del fascicolo \u00e8 spesso determinante nelle interazioni con un\u2019autorit\u00e0 di protezione dei dati. Una posizione giuridicamente difendibile perde forza quando il fascicolo \u00e8 incoerente, incompleto, contraddittorio o ricostruito tardivamente. Il Regolamento generale sulla protezione dei dati attribuisce grande rilievo all\u2019accountability: l\u2019organizzazione non deve soltanto rispettare le regole, ma deve essere in grado di dimostrarne il rispetto. Ci\u00f2 significa che le decisioni relative a basi giuridiche, finalit\u00e0, periodi di conservazione, misure di sicurezza, responsabili del trattamento, trasferimenti, violazioni dei dati, valutazioni d\u2019impatto sulla protezione dei dati, diritti degli interessati e decisioni automatizzate devono essere documentate in modo tale da consentire all\u2019autorit\u00e0 di controllo di seguire il ragionamento. La trasparenza verso l\u2019autorit\u00e0 di controllo non inizia quindi con la formulazione di una lettera, ma con la qualit\u00e0 della base fattuale interna. Quando dipartimenti diversi forniscono versioni divergenti della medesima attivit\u00e0 di trattamento, quando i documenti di policy non corrispondono alla configurazione effettiva dei sistemi o quando mancano audit trail, sorge il rischio che l\u2019autorit\u00e0 di controllo non consideri l\u2019organizzazione affidabile e in controllo.<\/p>

Una risposta credibile richiede che le informazioni fornite all\u2019autorit\u00e0 di controllo siano sufficientemente complete da consentire un esame effettivo, ma anche sufficientemente precise da evitare ambiguit\u00e0 ed estensioni giuridiche non necessarie del dossier. Risposte troppo sommarie possono creare l\u2019impressione che fatti rilevanti vengano trattenuti o che l\u2019organizzazione non comprenda i propri processi. Risposte troppo ampie possono condurre a ulteriori domande su materie che esulavano dalla richiesta originaria, ma che sono state aperte dalla stessa organizzazione. Il punto centrale risiede quindi in una trasparenza proporzionata: chiara, verificabile, fattualmente supportata e giuridicamente prudente. Ci\u00f2 richiede coordinamento interno tra privacy, legal, compliance, sicurezza, IT, comunicazione, governance e responsabili operativi. Ogni componente deve contribuire a una risposta unica e coerente, fondata su fatti validati. Nel quadro della Gestione integrata dei rischi di criminalit\u00e0 digitale, tale coordinamento \u00e8 particolarmente importante perch\u00e9 i contatti con l\u2019autorit\u00e0 di controllo riguardano spesso risposta agli incidenti, prove digitali, log di sistema, misure di sicurezza, gestione degli accessi e analisi forense.<\/p>

La credibilit\u00e0 si costruisce anche attraverso il riconoscimento delle carenze fattuali quando esse esistono, senza perdere precisione giuridica. Un\u2019organizzazione non deve fingere che ogni rischio sia stato integralmente escluso. In molti ambienti digitali, una simile affermazione non sarebbe credibile. Ci\u00f2 che conta \u00e8 che i rischi siano stati individuati tempestivamente, che le valutazioni siano state svolte, che le misure siano state adottate e che i punti di miglioramento vengano effettivamente seguiti. Quando si \u00e8 verificata una violazione dei dati, un reclamo risulta fondato o un processo presenta carenze, una risposta ben strutturata pu\u00f2 dimostrare che l\u2019organizzazione assume la propria responsabilit\u00e0 senza trarre conclusioni giuridiche pi\u00f9 ampie di quanto i fatti giustifichino. Un\u2019autorit\u00e0 di controllo della privacy tender\u00e0 ad accordare maggiore fiducia a un\u2019organizzazione che definisce con precisione i problemi fattuali, rende concrete le misure correttive e incorpora il controllo futuro, piuttosto che a un\u2019organizzazione che minimizza ogni vulnerabilit\u00e0. Qualit\u00e0 del fascicolo, trasparenza e risposta credibile costituiscono quindi la spina dorsale di una gestione efficace del rapporto con l\u2019autorit\u00e0 di controllo.<\/p>

L\u2019interazione con l\u2019autorit\u00e0 di controllo come test della preparazione di governance<\/h4>

Il modo in cui un\u2019organizzazione comunica con un\u2019autorit\u00e0 di protezione dei dati mostra in quale misura essa sia preparata, a livello di governance, alla pressione, al controllo e alla valutazione esterna. Il contatto con l\u2019autorit\u00e0 di controllo comporta spesso pressione temporale, rischio reputazionale, tensione interna e incertezza giuridica. In tali circostanze diventa visibile se l\u2019organizzazione disponga di linee decisionali funzionanti, procedure di escalation e controllo sostanziale del dossier. Quando nessuno sa chi possa parlare a nome dell\u2019organizzazione, quali fatti siano gi\u00e0 stati accertati, quali documenti possano essere condivisi o quale posizione giuridica venga assunta, la vulnerabilit\u00e0 di governance emerge quasi immediatamente. Un\u2019autorit\u00e0 di controllo individua in genere rapidamente questo tipo di incertezza. Risposte frammentarie, correzioni tardive, contraddizioni interne o portavoce mutevoli possono rafforzare l\u2019impressione che il presidio privacy sia organizzato principalmente come funzione reattiva e amministrativa.<\/p>

La preparazione di governance richiede quindi che l\u2019organizzazione determini preventivamente come debbano essere gestiti i contatti con l\u2019autorit\u00e0 di controllo. Ci\u00f2 comprende non soltanto una procedura per le indagini formali, ma anche un quadro operativo per reclami, segnali informali, notifiche di violazioni dei dati, richieste settoriali, audit, progetti di decisione e audizioni. Ogni fase richiede scelte diverse. In una prima richiesta di informazioni, l\u2019accertamento dei fatti \u00e8 centrale. Nel caso di un reclamo di un interessato, occorre valutare quali diritti siano stati invocati, quale attivit\u00e0 di trattamento sia in discussione e quali comunicazioni precedenti siano rilevanti. In caso di notifica di una violazione dei dati, deve essere chiaro quali fatti siano certi, quale analisi sia ancora in corso e quali misure siano gi\u00e0 state adottate. In presenza di una misura di enforcement prospettata, l\u2019attenzione si sposta verso il posizionamento giuridico, la valutazione della prova e il processo decisionale di governance. La Gestione integrata dei rischi di criminalit\u00e0 digitale offre qui un quadro utile, perch\u00e9 riunisce le componenti giuridiche, operative e digitali del rischio in un\u2019unica logica di controllo.<\/p>

L\u2019interazione con l\u2019autorit\u00e0 di controllo rappresenta inoltre un test del tono di governance. Un atteggiamento eccessivamente chiuso, difensivo o formalisticamente respingente pu\u00f2 risultare controproducente quando l\u2019autorit\u00e0 richiede chiarezza fattuale. Al contrario, un atteggiamento troppo aperto, non delimitato o speculativo pu\u00f2 determinare un\u2019estensione inutile del fascicolo. La linea appropriata si colloca nel controllo professionale: cooperare quando ci\u00f2 \u00e8 obbligatorio e opportuno, preservare i diritti giuridici quando necessario, segnalare espressamente le incertezze fattuali ed evitare dichiarazioni non validate internamente. La preparazione di governance significa anche che amministratori e dirigenti comprendono che il contatto con l\u2019autorit\u00e0 di controllo non pu\u00f2 essere interamente delegato alle funzioni legali o privacy. Le scelte strategiche relative all\u2019accettazione del rischio, alle misure correttive, alla comunicazione esterna e alla possibile esposizione sanzionatoria richiedono coinvolgimento di governance. In definitiva, l\u2019autorit\u00e0 di controllo non valuta soltanto la risposta fornita, ma anche la seriet\u00e0 con cui l\u2019organizzazione tratta la protezione dei dati come questione di governance.<\/p>

Reclami, indagini e richieste di informazioni come momenti di esposizione elevata<\/h4>

Reclami, indagini e richieste di informazioni costituiscono momenti nei quali i rischi privacy esistenti possono diventare visibili con rapidit\u00e0 accelerata. Un reclamo di un interessato pu\u00f2 sembrare limitato a una richiesta di accesso, cancellazione, rettifica o opposizione, ma pu\u00f2 in realt\u00e0 rivelare carenze pi\u00f9 ampie in materia di trasparenza, scelta della base giuridica, politica di conservazione, configurazione dei sistemi o coordinamento interno. Una richiesta di informazioni da parte dell\u2019autorit\u00e0 di controllo pu\u00f2 iniziare con una sola attivit\u00e0 di trattamento, un solo incidente o una sola categoria di dati personali, ma pu\u00f2 estendersi quando le risposte sollevano interrogativi su processi comparabili, soggetti della catena o misure di sicurezza. Un\u2019indagine formale pu\u00f2 inoltre condurre a richieste documentali, interviste, domande tecniche, misure amministrative di enforcement e pubblicazione sensibile sul piano reputazionale. Le organizzazioni devono quindi trattare tali momenti come situazioni di esposizione elevata, che richiedono sin dall\u2019inizio valutazione giuridica, controllo dei fatti e disciplina comunicativa.<\/p>

Questa esposizione aumenta quando le questioni privacy sono collegate ai rischi di criminalit\u00e0 digitale. Una violazione dei dati conseguente a phishing, accesso non autorizzato tramite credenziali rubate, uso improprio di dati dei clienti, logging insufficiente o rilevazione inadeguata degli incidenti pu\u00f2 indurre l\u2019autorit\u00e0 di controllo della privacy a valutare non soltanto la notifica in s\u00e9, ma anche l\u2019organizzazione di sicurezza sottostante. Sorgono allora domande relative all\u2019analisi dei rischi, alle misure tecniche, alla gestione degli accessi, alla formazione, al controllo dei fornitori, al monitoraggio, alle misure correttive e alla decisione di notificare gli interessati. Il controllo della criminalit\u00e0 digitale diventa cos\u00ec parte del fascicolo privacy. Un\u2019organizzazione che tratti sicurezza e privacy separatamente corre il rischio di fornire risposte incomplete o contraddittorie. La Gestione integrata dei rischi di criminalit\u00e0 digitale aiuta a evitare che tali fascicoli siano affrontati soltanto come problemi di dati o incidenti IT, collocandoli invece come questioni combinate di conformit\u00e0 giuridica, resilienza digitale, controllo di governance e rischio reputazionale.<\/p>

Il controllo dell\u2019esposizione richiede un triage precoce. Dal primo segnale deve essere chiaro quale tipo di contatto con l\u2019autorit\u00e0 di controllo sia in questione, quali termini di legge si applichino, quali fatti siano gi\u00e0 stati accertati, quali documenti siano rilevanti, quali funzioni interne debbano essere coinvolte e quali rischi derivino dalla risposta. \u00c8 importante distinguere tra fatti accertati, risultanze preliminari, analisi giuridica e misure previste. Una risposta all\u2019autorit\u00e0 di controllo non deve anticipare fatti ancora oggetto di esame, ma non deve neppure essere tanto vaga da creare l\u2019impressione che l\u2019organizzazione non abbia controllo della situazione. Occorre inoltre valutare se sia necessaria una comunicazione con interessati, controparti contrattuali, assicuratori, organi direttivi, comitato aziendale o altre autorit\u00e0. Reclami, indagini e richieste di informazioni non sono quindi semplici perturbazioni amministrative, ma momenti critici nei quali la qualit\u00e0 della governance privacy, della Gestione integrata dei rischi di criminalit\u00e0 digitale e del controllo della criminalit\u00e0 digitale diventa visibile sotto pressione esterna.<\/p>

Il rapporto tra il dialogo con l\u2019autorit\u00e0 di controllo e l\u2019accountability interna<\/h4>

Il dialogo con un\u2019autorit\u00e0 di protezione dei dati non \u00e8 mai separato dall\u2019accountability interna. Ogni risposta indirizzata all\u2019autorit\u00e0 di controllo presuppone infatti che l\u2019organizzazione sia in grado di dimostrare internamente chi fosse responsabile di una determinata attivit\u00e0 di trattamento, quale valutazione sia stata svolta, quali interessi siano stati bilanciati, quali rischi siano stati individuati e quali misure siano state adottate. L\u2019accountability non \u00e8 quindi un principio astratto che diventa rilevante soltanto in occasione di audit o relazioni di governance, ma un meccanismo probatorio quotidiano che deve diventare visibile non appena un\u2019autorit\u00e0 di controllo pone domande. Un\u2019organizzazione che affermi che i dati personali sono trattati in modo lecito, corretto e trasparente deve poter mostrare come sia giunta a tale conclusione. Ci\u00f2 richiede pi\u00f9 di un rinvio a documenti di policy generali. \u00c8 necessario un collegamento verificabile tra policy, attuazione concreta, configurazione dei sistemi, accordi contrattuali, misure di sicurezza, documenti decisionali, valutazioni d\u2019impatto sulla protezione dei dati, registri delle violazioni dei dati, processi di gestione delle richieste e reporting di management. Il dialogo con l\u2019autorit\u00e0 di controllo opera cos\u00ec come test esterno della catena interna di accountability.<\/p>

Questa catena di accountability diventa vulnerabile quando la responsabilit\u00e0 privacy \u00e8 frammentata tra dipartimenti, fornitori, team di prodotto, funzioni marketing, gestione IT, compliance e supporto legale senza una direzione chiara. In tali situazioni emerge spesso uno scarto tra responsabilit\u00e0 formale e conoscenza effettiva. Il dipartimento legale pu\u00f2 conoscere la norma, ma non sempre la realt\u00e0 tecnica. L\u2019IT pu\u00f2 conoscere i sistemi, ma non sempre la base giuridica o il periodo di conservazione. Il marketing pu\u00f2 conoscere la finalit\u00e0 commerciale, ma non sempre i limiti del consenso, della profilazione o dell\u2019opposizione. I fornitori possono conoscere il trattamento tecnico, ma non sempre il contesto completo del titolare del trattamento. Quando un\u2019autorit\u00e0 di protezione dei dati pone poi domande su finalit\u00e0, basi giuridiche, categorie di interessati, flussi di dati, misure di sicurezza o sub-responsabili del trattamento, questa mancanza di coerenza interna diventa immediatamente visibile. La Gestione integrata dei rischi di criminalit\u00e0 digitale richiede pertanto che privacy, sicurezza, controllo giuridico, supervisione operativa e controllo della criminalit\u00e0 digitale non funzionino come domini di responsabilit\u00e0 separati, ma come componenti interconnesse di un unico modello di accountability fondato sulla governance.<\/p>

Un dialogo efficace con l\u2019autorit\u00e0 di controllo richiede che l\u2019accountability sia stata testata internamente prima che sorga una pressione esterna. Ci\u00f2 significa che l\u2019organizzazione deve essere regolarmente in grado di ricostruire perch\u00e9 una determinata attivit\u00e0 di trattamento abbia luogo, quali rischi vi siano connessi, quali misure siano considerate adeguate, quali rischi residui siano stati accettati e a quale livello tale accettazione sia avvenuta. Le informazioni rilevanti devono essere non solo disponibili, ma anche affidabili, aggiornate e coerenti. Un registro delle attivit\u00e0 di trattamento che non corrisponda alle applicazioni effettivamente utilizzate, una valutazione d\u2019impatto sulla protezione dei dati non aggiornata dopo una modifica del processo, un accordo di trattamento dei dati non allineato al servizio tecnico prestato, o una procedura di violazione dei dati non seguita nella pratica, compromettono la credibilit\u00e0 di qualsiasi risposta all\u2019autorit\u00e0 di controllo. L\u2019accountability non \u00e8 quindi uno strumento difensivo successivo, ma una disciplina strutturale di governance. Il rapporto con l\u2019autorit\u00e0 di protezione dei dati diventa pi\u00f9 solido quando ogni risposta dimostra che l\u2019organizzazione non comprende soltanto giuridicamente la propria responsabilit\u00e0 digitale, ma l\u2019ha organizzata a livello di governance e pu\u00f2 provarla sul piano operativo.<\/p>

Preparazione, coerenza e tempistica nei contatti con le autorit\u00e0 di protezione dei dati<\/h4>

La preparazione determina in larga misura la qualit\u00e0 di ogni contatto con un\u2019autorit\u00e0 di protezione dei dati. Una richiesta di informazioni, un reclamo o un\u2019indagine possono essere gestiti in modo controllato soltanto quando sia chiaro in anticipo chi abbia la regia complessiva, quali fonti interne debbano essere consultate, quali fatti debbano essere validati, quali documenti siano rilevanti e quale posizione giuridica venga assunta. Le organizzazioni impreparate perdono spesso tempo prezioso in coordinamenti interni, interrogazioni dei sistemi, correzioni e discussioni interpretative. Ne deriva il rischio che le risposte vengano trasmesse in ritardo, siano troppo generiche, fattualmente incomplete o internamente incoerenti. L\u2019autorit\u00e0 di controllo non valuta soltanto il contenuto della risposta finale, ma anche il modo in cui l\u2019organizzazione reagisce agli obblighi, ai termini e alle richieste di chiarimento. Una risposta lenta o disordinata pu\u00f2 rafforzare l\u2019impressione che i processi privacy siano insufficientemente controllati, anche quando la violazione sostanziale sottostante potrebbe essere limitata.<\/p>

La coerenza \u00e8 a tale riguardo determinante. Nei contatti con le autorit\u00e0 di protezione dei dati, ogni dichiarazione esterna deve essere allineata alle comunicazioni precedenti, ai documenti interni, alle notifiche di violazioni dei dati, alle informative privacy, agli accordi contrattuali e alle informazioni fattuali sui sistemi. Un\u2019organizzazione che in un\u2019informativa privacy affermi che i dati vengono cancellati dopo un determinato periodo, ma in una risposta all\u2019autorit\u00e0 di controllo indichi che i dati sono conservati pi\u00f9 a lungo per necessit\u00e0 operative, crea immediatamente un problema di credibilit\u00e0. Un\u2019organizzazione che qualifichi inizialmente una violazione dei dati come limitata, ma debba successivamente riconoscere che il logging era incompleto, solleva interrogativi sulla qualit\u00e0 della prima valutazione. Un\u2019organizzazione che interpreti il reclamo di un interessato in modo diverso da quanto risulta dalla corrispondenza precedente rischia di indurre l\u2019autorit\u00e0 di controllo a esaminare l\u2019intero processo di gestione delle richieste. La coerenza richiede quindi regia centrale, accertamento accurato dei fatti e una distinzione rigorosa tra fatti accertati, valutazioni preliminari e apprezzamenti giuridici.<\/p>

La tempistica richiede la stessa disciplina. Non ogni momento \u00e8 adatto a una risposta sostanziale completa, ma un ritardo privo di valida giustificazione pu\u00f2 essere dannoso. Non ogni risultanza preliminare deve essere immediatamente condivisa con l\u2019autorit\u00e0 di controllo, ma le informazioni rilevanti non possono essere trattenute quando gli obblighi legali di cooperazione lo escludono. Una gestione controllata della tempistica richiede che l\u2019organizzazione comprenda quali termini siano inderogabili, dove esista spazio per una proroga motivata, quando debbano essere formulate domande integrative, quando possano essere fornite informazioni provvisorie e quando sia necessaria un\u2019escalation interna. Nel quadro della Gestione integrata dei rischi di criminalit\u00e0 digitale, la tempistica \u00e8 inoltre collegata alla risposta agli incidenti, all\u2019indagine forense, alla comunicazione con gli interessati, al supporto agli organi direttivi, alle notifiche assicurative e alle eventuali comunicazioni ad altre autorit\u00e0. Una risposta ben calibrata nel tempo evita ammissioni premature, ma impedisce anche che il ritardo venga percepito come elusivo. Preparazione, coerenza e tempistica formano quindi un unico insieme: senza preparazione non esiste una base fattuale coerente, senza coerenza non esiste una posizione credibile, senza corretta tempistica non esiste un controllo efficace della pressione regolatoria.<\/p>

La vigilanza come meccanismo correttivo e strumento di apprendimento per l\u2019organizzazione<\/h4>

La vigilanza esercitata dalle autorit\u00e0 di protezione dei dati non deve essere considerata esclusivamente come una minaccia, ma anche come un meccanismo correttivo capace di rivelare carenze nella protezione dei dati, nel controllo della criminalit\u00e0 digitale e nella governance. Un reclamo, un\u2019indagine o un ordine pu\u00f2 mettere in luce che un processo \u00e8 stato progettato in modo poco chiaro, che i periodi di conservazione sono insufficientemente fondati, che i diritti degli interessati sono difficili da attuare, che il controllo sui responsabili del trattamento \u00e8 carente o che le misure tecniche di sicurezza non sono pi\u00f9 adeguate agli attuali rischi di criminalit\u00e0 digitale. Tali risultanze sono giuridicamente sensibili, ma possono essere preziose dal punto di vista della governance quando conducono a un miglioramento strutturale. Il punto centrale risiede nella disponibilit\u00e0 a trattare i segnali regolatori non soltanto come un fascicolo da chiudere, ma come fonte di informazione sulla qualit\u00e0 reale del controllo digitale. Un\u2019organizzazione che affronti ogni intervento esclusivamente nella prospettiva della limitazione della responsabilit\u00e0 perde l\u2019occasione di individuare le cause sottostanti.<\/p>

Questa capacit\u00e0 di apprendimento richiede una traduzione sistematica dei contatti con l\u2019autorit\u00e0 di controllo in misure interne di miglioramento. Dopo un reclamo, la valutazione non dovrebbe limitarsi a stabilire se il singolo interessato sia stato trattato correttamente, ma dovrebbe anche verificare se richieste analoghe siano state precedentemente gestite in modo non corretto, se i processi richiedano chiarimenti e se i collaboratori abbiano ricevuto istruzioni sufficienti. Dopo una violazione dei dati, la valutazione non dovrebbe limitarsi a stabilire se la notifica fosse obbligatoria, ma dovrebbe anche esaminare se rilevazione, escalation, gestione degli accessi, logging, comunicazione con i fornitori e misure correttive fossero adeguati. Dopo una richiesta di informazioni, l\u2019attivit\u00e0 non dovrebbe concludersi con la redazione della risposta, ma dovrebbe anche analizzare perch\u00e9 le informazioni richieste fossero, o non fossero, rapidamente disponibili. La vigilanza crea cos\u00ec uno specchio per l\u2019organizzazione. Essa mostra dove documentazione, attuazione concreta e responsabilit\u00e0 di governance si allineano, e dove esistono lacune che devono essere colmate prima della successiva verifica esterna.<\/p>

Nel quadro della Gestione integrata dei rischi di criminalit\u00e0 digitale, questa funzione di apprendimento \u00e8 particolarmente importante perch\u00e9 gli incidenti privacy sono spesso sintomi di una vulnerabilit\u00e0 digitale pi\u00f9 ampia. Una risposta inadeguata a una richiesta di accesso pu\u00f2 indicare una classificazione dei dati carente. Una violazione dei dati pu\u00f2 indicare un controllo degli accessi debole o una consapevolezza insufficiente. Un trattamento marketing illecito pu\u00f2 indicare una pressione commerciale non contenuta da adeguati limiti giuridici. Un controllo insufficiente sui responsabili del trattamento pu\u00f2 indicare un\u2019eccessiva dipendenza dai fornitori. Un fascicolo regolatorio non dovrebbe quindi concludersi con una qualificazione giuridica, ma essere tradotto in miglioramenti strutturali in materia di policy, formazione, contrattualistica, gestione dei sistemi, reporting e controllo dei rischi. In questo senso, l\u2019autorit\u00e0 di protezione dei dati agisce come forza correttiva esterna che obbliga le organizzazioni a trattare la protezione dei dati non come un quadro documentale statico, ma come un obbligo continuo di governance. La vigilanza non diventa per questo meno incisiva o meno sanzionatoria, ma pu\u00f2 essere utilizzata come strumento per rafforzare in modo dimostrabile il controllo della criminalit\u00e0 digitale, la governance privacy e l\u2019accountability.<\/p>

Il confronto con le autorit\u00e0 di protezione dei dati richiede precisione giuridica e controllo di governance<\/h4>

La precisione giuridica \u00e8 indispensabile in ogni contatto con un\u2019autorit\u00e0 di protezione dei dati, perch\u00e9 concetti, qualificazioni e formulazioni possono produrre conseguenze dirette sulla valutazione della questione. La distinzione tra titolare del trattamento e responsabile del trattamento, tra responsabile del trattamento e sub-responsabile, tra incidente di sicurezza e violazione dei dati, tra dati anonimi e dati pseudonimizzati, tra consenso e legittimo interesse, tra accertamento fattuale e ammissione giuridica, pu\u00f2 determinare obblighi, responsabilit\u00e0 e rischio sanzionatorio. Un linguaggio impreciso pu\u00f2 aggravare inutilmente un fascicolo. Una descrizione pratica di un processo pu\u00f2 essere interpretata come conferma del fatto che le finalit\u00e0 non erano sufficientemente delimitate. Un riconoscimento troppo generale di carenze pu\u00f2 essere letto come non conformit\u00e0 strutturale. Un riferimento poco chiaro alle misure di sicurezza pu\u00f2 sollevare questioni ai sensi dell\u2019articolo 32 del Regolamento generale sulla protezione dei dati. Precisione significa quindi che ogni risposta deve essere costruita con cura a partire da fatti, norma, analisi e conclusione.<\/p>

Il controllo di governance \u00e8 altrettanto importante. I contatti con l\u2019autorit\u00e0 di controllo sorgono spesso in momenti di forte tensione interna: una violazione dei dati \u00e8 stata notificata, vi \u00e8 il rischio di attenzione mediatica, gli interessati presentano reclami, gli organi direttivi chiedono rassicurazioni rapide, i fornitori negano responsabilit\u00e0 oppure pi\u00f9 autorit\u00e0 manifestano interesse. In tali circostanze esiste il rischio che l\u2019organizzazione comunichi troppo rapidamente, reagisca in modo troppo difensivo, fornisca troppe informazioni senza validazione o lasci emergere divisioni interne. Il controllo di governance non significa passivit\u00e0, ma avanzamento controllato. Prima devono essere accertati i fatti, poi devono essere determinate le qualificazioni giuridiche, quindi la risposta deve essere allineata a obblighi, rischi e termini. Deve inoltre essere chiaro quali incertezze ancora sussistano e come esse saranno gestite nei confronti dell\u2019autorit\u00e0 di controllo. Una risposta calma, coerente e ben documentata ispira maggiore fiducia rispetto a una risposta rapida che debba poi essere corretta.<\/p>

Precisione giuridica e controllo di governance si rafforzano reciprocamente nel quadro della Gestione integrata dei rischi di criminalit\u00e0 digitale. I rischi di criminalit\u00e0 digitale comportano rapidit\u00e0, complessit\u00e0 tecnica e difficolt\u00e0 probatorie. Nei casi di ransomware, phishing, furto di credenziali, sottrazione di dati o uso improprio di dati dei clienti, team legali, specialisti della sicurezza, esperti forensi, responsabili privacy e organi direttivi devono essere allineati. L\u2019autorit\u00e0 di controllo della privacy vorr\u00e0 sapere che cosa sia accaduto, quali dati personali siano stati coinvolti, quali misure esistessero prima dell\u2019incidente, come l\u2019incidente sia stato rilevato, quali conseguenze vi siano per gli interessati e quali misure correttive siano state adottate. Un\u2019organizzazione che risponda a queste domande esclusivamente in termini tecnici perde la dimensione giuridica. Un\u2019organizzazione che risponda esclusivamente in termini giuridici manca di fondamento fattuale. Un confronto efficace con le autorit\u00e0 di protezione dei dati richiede quindi una risposta integrata nella quale fatti tecnici, norme giuridiche, responsabilit\u00e0 di governance e controllo comunicativo siano ricondotti a una linea coerente. Solo in questo modo pu\u00f2 essere assunta, sotto pressione regolatoria, una posizione credibile, equilibrata e difendibile.<\/p>

La gestione strategica dell\u2019integrit\u00e0 digitale richiede una gestione ponderata del rapporto con l\u2019autorit\u00e0 di controllo<\/h4>

La gestione strategica dell\u2019integrit\u00e0 digitale richiede che la gestione del rapporto con l\u2019autorit\u00e0 di controllo non venga considerata come un compito occasionale delle funzioni legale o privacy, ma come una disciplina strutturale di governance. Il modo in cui un\u2019organizzazione si confronta con le autorit\u00e0 di protezione dei dati dice molto sul suo pi\u00f9 ampio profilo di integrit\u00e0. Un\u2019organizzazione che affronti le questioni privacy soltanto quando minaccia l\u2019enforcement dimostra che la protezione dei dati \u00e8 insufficientemente integrata nei processi decisionali. Un\u2019organizzazione che colleghi la vigilanza privacy allo sviluppo dei prodotti, alla governance dei dati, alla gestione contrattuale, alla cybersecurity, alla formazione, all\u2019audit e al reporting agli organi direttivi dimostra che la responsabilit\u00e0 digitale \u00e8 controllata a un livello superiore. La gestione del rapporto con l\u2019autorit\u00e0 di controllo comprende quindi pi\u00f9 della redazione di lettere o della risposta a quesiti. Essa riguarda la costruzione di una base fattuale affidabile, il mantenimento di posizioni esterne coerenti, il monitoraggio dei termini, l\u2019identificazione dei rischi di escalation e la traduzione dei segnali regolatori in miglioramenti strutturali.<\/p>

Una gestione ponderata del rapporto con l\u2019autorit\u00e0 di controllo richiede scenari. Un\u2019organizzazione deve avere considerato in anticipo come saranno gestiti reclami, richieste di informazioni, indagini su violazioni dei dati, indagini settoriali, proposte di sanzione, ordini vincolanti, pubblicazione di decisioni e sovrapposizione con altre autorit\u00e0. Occorre determinare quali funzioni interne saranno coinvolte, quali documenti dovranno essere disponibili, quale competenza esterna potr\u00e0 essere necessaria, quali livelli di governance dovranno essere informati e quale linea comunicativa sar\u00e0 seguita nei confronti di interessati, clienti, partner e media. Occorre inoltre prestare attenzione alle situazioni transfrontaliere nelle quali possono essere coinvolte pi\u00f9 autorit\u00e0 di protezione dei dati, oppure in cui la vigilanza privacy si sovrappone alla vigilanza in materia di cybersecurity, alla vigilanza finanziaria, alla tutela dei consumatori o a indagini penali. La Gestione integrata dei rischi di criminalit\u00e0 digitale offre un quadro necessario per tale sovrapposizione, perch\u00e9 controllo della criminalit\u00e0 digitale, protezione dei dati, rischi di frode, resilienza digitale e accountability di governance convergono sempre pi\u00f9 spesso in un unico fascicolo.<\/p>

Lo scopo ultimo della gestione del rapporto con l\u2019autorit\u00e0 di controllo non \u00e8 evitare la vigilanza, ma sostenere la pressione regolatoria in modo professionale, verificabile e credibile. Un\u2019organizzazione che abbia i fascicoli in ordine, sappia spiegare le proprie scelte, conosca i propri rischi e attui le misure di miglioramento si trova in una posizione pi\u00f9 solida in ogni dialogo con l\u2019autorit\u00e0 di protezione dei dati. Ci\u00f2 non significa che il rischio sanzionatorio scompaia o che ogni controversia possa essere evitata. Significa per\u00f2 che l\u2019organizzazione evita di aggravare inutilmente il fascicolo attraverso preparazione insufficiente, comunicazione incoerente o assenza di prove. La gestione strategica dell\u2019integrit\u00e0 digitale richiede pertanto una combinazione di rigore giuridico, coinvolgimento della governance, disciplina operativa e resilienza digitale. In tale combinazione, il confronto con le autorit\u00e0 di protezione dei dati diventa una componente essenziale della Gestione integrata dei rischi di criminalit\u00e0 digitale: non come condizione periferica, ma come test concreto della capacit\u00e0 dell\u2019organizzazione di dimostrare effettivamente la propria responsabilit\u00e0 verso i dati personali, la sicurezza digitale e l\u2019affidabilit\u00e0 sociale.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Prevenzione\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Rilevamento\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Indagine\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Risposta\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Consulenza\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Contenzioso\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Negoziazione\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Il confronto con le autorit\u00e0 di protezione dei dati costituisce uno dei test pi\u00f9 decisivi della governance digitale, perch\u00e9 ogni contatto con l\u2019autorit\u00e0 di controllo in materia di privacy rende visibile se un\u2019organizzazione si limita a disciplinare formalmente i dati personali oppure se \u00e8 effettivamente in grado di controllarne il trattamento, spiegarne le scelte a livello di governance e renderne conto sul piano operativo. Un\u2019autorit\u00e0 di protezione dei dati non verifica soltanto l\u2019esistenza di documenti, registri, procedure o quadri di policy, ma esamina la coerenza tra processo decisionale, attuazione concreta, posizione probatoria, valutazione dei rischi, escalation interna e comunicazione esterna.<\/p>\n","protected":false},"author":1,"featured_media":34758,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[39],"tags":[],"class_list":["post-24303","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privacy-dati-e-sicurezza-informatica"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24303","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/comments?post=24303"}],"version-history":[{"count":10,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24303\/revisions"}],"predecessor-version":[{"id":34824,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24303\/revisions\/34824"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/media\/34758"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/media?parent=24303"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/categories?post=24303"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/tags?post=24303"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}