Il processo è l’insieme delle attività che trasforma qualcosa (input) in un’altra cosa (output) per qualcuno che ne ha bisogno.
Trattando di dati personali, un processo è, per esempio, la costituzione di un nucleo familiare a causa di un matrimonio da parte dell’Ufficio Anagrafe del Comune. Questo processo prende in ingresso i dati personali dei coniugi, i dati personali dell’ufficiale di anagrafe che ha celebrato il matrimonio, i dati personali dei testimoni, la data del matrimonio e li trasforma aggiungendo ai dati personali dei due coniugi l’informazione sul loro nuovo stato civile. Non casualmente è stato utilizzato il verbo “aggiungere” e non “cambiare”: infatti, le norme sull’Anagrafe Comunale, prevedono che il Comune mantenga la “storia” di ogni cittadino.
Appare chiaro, quindi, che, nelle organizzazioni moderne, molti processi coinvolgono dati personali. Ad ognuno di tali processi devono essere applicati punti di controllo circa la conformità del trattamento dei dati personali: nel Regolamento UE 679/2017 questo concetto viene definito protezione per impostazione predefinita (privacy by default).
Il titolare, inoltre, quando avvia un nuovo processo (o ne ripensa uno esistente) all’interno della sua organizzazione deve sempre interrogarsi su quanto questo incide sul trattamento dei dati personali (nuove finalità commerciali, nuovi dati personali, nuove modalità tecnologiche di conservazione e così via): è la cosiddetta protezione in fase di progettazione (privacy by design).
L’applicazione della privacy by default e della privacy by design facilitano la capacità da parte del titolare e del responsabile di rispondere ai diritti dell’interessato che, viceversa, possono richiedere un impegno notevole.