Com’è noto il GDPR non da precise indicazioni su come dimostrare la propria conformità e questo pone una serie di sfide, non banali, ai soggetti che trattano dati personali.
Fra i vari possibili strumenti ipotizzabili (in attesa di linee guida di maggior dettaglio) vi è l’uso di una serie di parametri misurabili che possano dare qualche indicazione sulla propria situazione.
Solitamente si è portati a misurare gli indicatori di risultato ( lag indicators), che nel nostro caso potrebbero essere, ad esempio, il numero degli interessati ai quali è stata rilasciata una adeguata informativa rispetto al numero complessivo di soggetti di cui si trattano i dati.
Tale indicatori però non dicono nulla in merito alle azioni che posso intraprendere per migliorare i miei processi.
A tal fine è invece necessario utilizzare dei lead indicators che, rispetto ai precedenti, sono però più difficili da individuare e non danno risultati certi.
Un esempio chiarirà il concetto; se voglio dimagrire non è sufficiente pesarmi ogni giorno per vedere il risultato del mio desiderio sulla bilancia (un lag indicators, quindi ), ma dovrò misurare i processi che ho messo in atto per ottenerlo: ad esempio quante calorie ho introdotto o quanti chilometri di corsa ho fatto.
Ho quindi definito un processo per raggiungere degli obiettivi e ne misuro ex ante i parametri.
Un tipo di approccio sicuramente più in linea con una normativa che ci chiede di pensare alla protezione dei dati personali fin dalla progettazione.