Il GDPR richiede misure organizzative privacy adeguate che non possono prescindere dai responsabili interni del trattamento purché svolgano un controllo effettivo sul trattamento dei dati.