Il primo step del serivizio di "monitoring organization" è incentrato sulla valutazione derivante dal rischio di (a titolo esemplifi-cativo): perdita, distruzione o trattamento illecito dei dati personali trattati.
Valutato il livello di rischio si procede a mettere in atto misure tecniche e organizzative adeguate.
E' necessario formare il personale addetto al trattamento dei dati personali.
La valutazione del rischio di un qualsiasi trattamento dei dati deve essere fatto in modo accurato e preciso. Dai risultati che emergono da questo tipo di valutazione dipendono i provvedimenti e le procedure che devono essere attuate di volta in volta dall'impresa. E' molto importante che la valutazione del rischio venga effettuato da personale esperto e qualificato per evitare che le conseguenze derivanti da un lavoro errato o impreciso ricadano sul titolare del trattamento dei dati personali; unico responsabile della corretta applicazione del Regolamento GDPR.
Solo una persona qualificata può utilizzare gli strumenti adeguati per "individuare" ed "inventariare" correttamente tutte le aree di rischio. Si deve infatti considerare che questa norma riguarda TUTTE le imprese di ogni dimensione e tipologia che effettuano, a qualsiasi titolo, un trattamento parzialmente o totalmente automatizzato di dati personali “contenuti in un archivio o destinati a figurarvi “.
Valutato il livello di rischio a cui l'impresa è esposta, si ottiene come risultato un quadro completo di come viene effettuato il trattamento dei dati personali e la tipologia dei dati tratti; quali procedure sono state adottate e quali procedure sono state dimenticate o ignorate. E' altresì possibile riscontrare che alcune procedure instaurate e valide in vigenza della precedente normativa debbano essere aggiornate o sostituite.
L'art. 47 lett. n) del Regolamento GDPR prevede espressamente che venga effettuata l’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali trattati. Tale norma, tra l'altro, è perfettamente in linea anche con quanto previsto dal DL 81/2008 dove è chiaramente espresso l'obbligo di formazione dei lavoratori per qualsiasi tipo di attività essi svolgano.