Secondo il principio della responsabilizzazione, il titolare del trattamento deve essere in grado di poter dimostrare in qualsiasi momento che le attività di trattamento rispettino gli obblighi e i requisiti del GDPR.

Tuttavia, nessun titolare può fornire questa prova, senza conoscere bene quali dati tratta, per quali finalità li tratta, in quale contesto li tratta, come li tratta e dove li conserva. La mappatura dei dati personali rappresenta, quindi, una attività fondamentale in ogni processo di adeguamento al GDPR (Regolamento UE 679/2916).

Mappare i dati personali significa creare una relazione tra i dati trattati ed altri aspetti dell’organizzazione che li tratta, come:

1. i processi aziendali che usano i dati personali,
2. le persone autorizzate a trattare i dati personali,
3. le operazioni di trattamento compiute sui dati (es. acquisizione, consultazione, modifica, cancellazione, ecc.),
4. le risorse (asset) utilizzate per trattare i dati (es. infrastrutture fisiche, hardware, software, pc client, stampanti, ecc.)