In primo luogo è necessario identificare i dati personali trattati ed il tipo di trattamento, le sue finalità e le sue modalità. Si potrebbe, per esempio, costruire una tabella di corrispondenza (una matrice) in cui connettere:
- Le tipologie di dati personali trattati: identificativi, sensibili, giudiziari;
- dei processi dell’Organizzazione in cui tali dati vengono trattati. Per esempio: amministrazione, sorveglianza sanitaria (nell’ambito dell’esempio utilizzato) oppure gestione del personale, gestione delle vendite, gestione degli approvvigionamenti ecc…) e/o delle aree operative (uffici, reparti, ecc…);
- del tipo di trattamento a cui i dati vengono sottoposti;
- del responsabile interno del trattamento (chi gestisce materialmente i dati);
- del destinatario o responsabile esterno del trattamento (chi riceve i dati per eseguire delle elaborazioni: nel caso in esempio il commercialista, il datore di lavoro e l’INAIL ma in generale classico è il caso del consulente del lavoro che elabora le buste paga o quello dell’ente che gestisce le fidelity card di un supermercato);
- delle finalità del trattamento, come per esempio la raccolta e l’elaborazione delle informazioni nell’ambito della sorveglianza sanitaria (nel nostro caso), o, per esempio, l’elaborazione delle buste paga e il conferimento dei premi delle fidelity card.
La combinazione degli elementi descrittivi consentono una descrizione sintetica del trattamento e dei dati.
| Dati personali degli interessati | Processo | Tipo di trattamento | Responsabile trattamento interno | Destinatario Responsabile esterno | Finalità | Descrizione del trattamento |
| Identificativi e fiscali dei clienti | Amministrazione | Raccolta | Segretaria | Cliente / Consulente commercialista | Elaborazione documenti fiscali | Raccolta dei dati identificativi e fiscali dei clienti (aziende-datori di lavoro) per l’elaborazione dei documenti fiscali (fatture) |
| Identificativi del paziente lavoratore | Sorveglianza sanitaria | Raccolta | Titolare (medico Competente) | Datore di lavoro | Elaborazione cartella D.Lgs 81/2008 | Raccolta dei dati identificativi e di contatto dei pazienti/lavoratori dipendenti dei clienti/datori di lavoro per l’apertura della cartella sanitaria |
| Sensibili art. 9 del paziente lavoratore | Sorveglianza sanitaria | Raccolta Valutazione |
Titolare (medico Competente) | Datore di lavoro / INAIL | Elaborazione cartella D.Lgs 81/2008 | Raccolta dei dati sensibili art. 9 nell’ambito dello svolgimento della sorveglianza medica (visita e valutazione dello stato di salute del paziente lavoratore) e compilazione cartella sanitaria e giudizio di idoneità |
| Identificativi e fiscali dei fornitori | Amministrazione | Raccolta | Segretaria | Consulente commercialista | Elaborazione documenti fiscali | Raccolta dei dati identificativi e fiscali dei fornitori per il controllo dei documenti fiscali e la valutazione della perfomance |