Solo chi ha realmente bisogno di accedere ai dati per svolgere compiti specifici dovrebbe farlo. I principi di minimizzazione, riservatezza e responsabilità ci invitano a limitare la circolazione interna dei dati. Inoltre, quando soggetti esterni gestiscono dati per conto dell’organizzazione, è importante formalizzare il rapporto con un accordo conforme all’art. 28 del GDPR. In pratica: evitare condivisioni generiche, non inviare dati in chat di gruppo, creare accessi personalizzati e fornire indicazioni chiare a chi è autorizzato.