Ordine cronologico
- Censimento risorse aziendali
- Informativa
- Valutazione di rischio
- Mansionari scritti e istruzioni
- Contratti fornitori
- Registro dei trattamenti
- Designazione DPO (se necessario)

Lo stretto indispensabile per legge
- Registro dei trattamenti aggiornato
- DPO (se necessario)
- Informativa, mansioni e responsabili
- Gestione del data breach

Lo stretto indispensabile in pratica
- Audit con registro dei trattaemtni
- DPO (se necessario)
- Informativa
- Mansioni scritte collaboratori e fornitori
- DPIA, analisi dei rischi e misure sicurezza
- Misure previste in caso di Data Breach
- Diario / registro privacy

Principi
I dati trattati devono essere
- Raccolti liberamente
- Con consenso o contratto chiari
- Limitati nel tempo e nella quantita'
- Esatti e aggiornati
- Protetti ed esportabili
- Trattati lecitamente

Consenso
Deve essere:
- Informato e Libero
- Non presunto
- Revocabile anche parzialmente

Interesse
Deve essere fondato su una norma giuridica

Trattamemento
Deve essere:
- Dopo il consenso
- Dopo la cessione, entro un mese
- Specificare le categorie di dati,
- Indicare l'eventuale dpo e rdp, indicando il titolare
- Raccolti direttamente o meno
- Durata

Informativa
- Sintetica e completa,

Accountability
- Censimento - mappatura risorse aziendali
- Misure di sicurezza adeguate
- Privacy by design
- Privacy by default (analisi preventiva dpia)
- Notifica data breach
- Responsabilizzazione soggetti coinvolti documentabile per iscritto
- Registro dei trattamenti

Altri
- Libero mercato dei dati
- Anonimizzazione
- Esportazione verso paesi terzi
- Stabilizzazione