Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento. Quindi qualsiasi soggetto che abbia tratti dei dati, deve essere opportunamente formato. (art Art 32 del DDPR)
Circolare Agid n. 1/2017 pubblicata in Gazzetta Ufficiale il 4 aprile 2017: “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. Le PA hanno tempo fino al 31/12/2017 per adeguarsi