Stai elaborando dati personali?  
Stai elaborando dati personali sensibili?  
I dati personali dei bambini sono raccolti e trattati?  
Sei un Titolare del Trattamento?  
Sei un Respondabile del Trattamento?  
Dove si trova, in UE, la sede principale?  
Le società del gruppo situate al di fuori dell'UE controllano i dati pubblicati di soggetti dell'UE?  
In caso affermativo, hanno un rappresentante stabile in uno degli Stati membri dell'UE, designato per iscritto?  
Il rappresentante designato in uno degli Stati membri dell'UE ha ricevuto l'incarico di rivolgersi (oltre al Titolare del Trattamento / Respondabile del Trattamento) alle autorità di vigilanza?  
C'è un controllo congiunto tra i dati pubblicati da diversi responsabili del trattamento?  
Esiste un motivo legittimo per l'elaborazione dei dati personali per ciascuna operazione di elaborazione?  
Esiste un motivo legittimo per l'elaborazione di dati personali sensibili per ciascuna operazione di elaborazione?  
Come viene raccolto il consenso?  
Come è dimostrato questo consenso?  
I soggetti possono rinunciare al consenso?  
Al soggetto interessato è stata notificata l'informativa?  
Il soggetto interessato è stato informato sull'origine dei suoi dati raccolti direttamente?  
Il soggetto interessato è stato informato sull'origine dei suoi dati raccolti da terzi?  
I dati personali sono utilizzati solo per gli scopi per i quali sono stati raccolti originariamente?  
I dati personali sono limitati a ciò che è necessario per gli scopi per i quali sono stati raccolti?  

Sono previste procedure e formazione per assicurare che i dati personali siano controllati e, se imprecisi, siano immediatamente rettificati?

 
Le politiche sulla privacy incorporano informazioni sulla conservazione? Esistono procedure per l'archiviazione e la distruzione dei dati?  
Sono appropriate le misure di sicurezza utilizzate per proteggere i dati?  
Può dimostrare la conformità ai principi di protezione dei dati a norma del GDPR 2016/679?  
Esiste una politica / procedura documentata per la gestione delle richieste di accesso ai dati personali?  
I soggetti interessati sono forniti di un meccanismo per richiedere l'accesso alle informazioni detenute?  
Il Titolare del Trattamento dei dati è in grado di rispondere alle richieste di accesso ai dati personali entro un mese?  
I soggetti interessati possono ottenere i loro dati personali in un formato strutturato, comunemente usato e in formati leggibili da dispositivi mobili?  
Le persone sono informate del loro diritto di richiedere la cancellazione o la rettifica di informazioni personali detenute (ove applicabile)?  
Esistono controlli e procedure formali per consentire la cancellazione o il blocco dei dati personali?  
Ci sono elenchi e procedure per gestire tali richieste?  
Le persone sono state informate sul loro diritto di opporsi a determinati tipi di elaborazione?  
Esistono politiche per garantire che i diritti possano essere messi in pratica?  
Sta profilando in base al consenso? (Se è così deve essere esplicito).  
Qualsiasi profilazione utilizza dati sensibili?  
Qualsiasi profilazione riguarda dati di bambini?  
I rischi inerenti al trattamento sono formalmente valutati, testati e valutati e hanno misure per limitare tali rischi e garantire la sicurezza dell'elaborazione?  
Esiste un programma di sicurezza documentato che specifica le garanzie tecniche, amministrative e fisiche dei dati personali?  
C'è un processo documentato per risolvere i problemi legati alla sicurezza e le problematiche?  
C'è un soggetto designato che è responsabile di guidare le procedure per intervenre sulle lacune nella sicurezza?  
Gli algoritmi e le tecnologie di crittografia utilizzati per il trasferimento, la memorizzazione e la ricezione delle informazioni personali sensibili degli individui sono conformi agli standard del settore?  
Le informazioni personali vengono sistematicamente distrutte, cancellate o rese anonime quando non è più legalmente richiesto che siano mantenute o non soddisfano più lo/gli scopo/i per cui sono state raccolte?  
La disponibilità e l'accesso ai dati personali possono essere ripristinati tempestivamente in caso di incidenti fisici o tecnici?  
L'organizzazione dispone di un piano di intervento in caso di incidenti e di un sistema di identificazione degli incidenti per la privacy e per la sicurezza?  
Il piano e le procedure sono regolarmente aggiornati e testati?  
Esistono procedure per informare i DPO e gli interessati di una violazione dei dati (ove necessario)?  
Esistono linee guida chiare che spiegano quando è richiesta la notifica e quali informazioni devono essere riportate?  
Sono documentate le violazioni dei dati?  
Esistono procedure di cooperazione tra Titolari, Responsabili, fornitori e altri partner per far fronte alle violazioni dei dati?  
Avete considerato la copertura assicurativa di violazione dei dati? (Non obbligatorio ai sensi del GDPR 2016/679)  
I dati personali sono trasferiti al di fuori dell'UE?