La compliance al GDPR richiede un’attività iniziale di analisi ed interventi organizzativi e informatici. Deve essere predisposto il registro dei trattamenti e, per ogni trattamento che gestisca dati sensibili, è necessario fare una valutazione di rischio (DPIA) e prevedere azioni di miglioramento e mitigazione del rischio.
La predisposizione del registro non è un atto fine a sé stesso, la compliance prevede una continua manutenzione per monitorare le misure di mitigazione rischio in atto e pianificate, registrare e gestire, come previsto dalla normativa, le richieste delle controparti e le eventuali segnalazioni di data breach.
Il software ProcessFrame supporta un sistema di gestione del GDPR come applicazione indipendente o come modulo di una più ampia soluzione di GRC.

Il registro dei trattamenti descrive ogni tipologia di trattamento dati esistente in azienda, e per ogni trattamento individua le tipologie di dati, le categorie di controparti interessate, i processi aziendali coinvolti, le applicazioni informatiche e i responsabili del trattamento.
Il sistema è integrato con la casella mail del Servizio Protezione Dati e gestisce i workflow per trattare le richieste di accesso, modifica, cancellazione e estrazione dei dati fino all’invio della risposta. Inoltre, nel sistema vengono registrati i data breach, le azioni di correzione conseguenti e le comunicazioni d’obbligo a interessati e authority.
Il modello utilizzato da ProcessFrame per il DPIA è quello suggerito dal CNIL (authority francese per la privacy e la protezione dei dati) e dall’ARTICLE 29 DATA PROTECTION WORKING PARTY. Ad ogni trattamento critico vengono associate le misure di contenimento in essere e pianificate e, sulla base delle stesse, viene stimata la probabilità e la gravità delle tre tipologie di rischio principali:
- perdita dei dati
- accesso illegittimo ai dati
- modifica illegittima dei dati