Gap Analysis del Sistema di Gestione Privacy
L’attività di Gap Analysis fornisce l’opportunità di evidenziare le carenze del sistema di gestione della privacy in uso nell’organizzazione e definire le priorità di intervento per l'adeguamento al nuovo Regolamento Europeo (GDPR).
Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento Europeo in materia di protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679), che uniforma la disciplina della privacy a livello europeo con lo scopo di permettere agli utenti di valutare in maniera affidabile e trasparente il livello di protezione dei dati.
Il Regolamento è entrato in vigore ed è applicato dal 25 maggio 2018. Da tale data, deve essere garantito il perfetto allineamento fra le normative nazionali in materia di protezione dei dati e le disposizioni contenute nella nuova normativa europea, a fronte di un articolato e penalizzante sistema sanzionatorio.
Il Regolamento Europeo sulla Privacy contiene alcuni articoli molto significativi che comportano delle variazioni nelle misure che le imprese hanno adottato fino ad oggi nella tutela dei dati personali.
I Principali cambiamenti delRegolamento Europeo sulla Privacy
- Principio di responsabilità (art. 22): il principio della accountability (responsabilità verificabile) comporterà l’onere in capo al titolare del Trattamento dei dati di dimostrare l’adozione di tutte le prescrizioni sulla privacy, attraverso l’introduzione e conservazione di apposita documentazione basata sul P.I.A. (Privacy Impact Assessment art.33) e sul P.L.A. (Privacy Level Agreement) in grado di attestare il “modello organizzativo e di sicurezza privacy “ (c.d. principio di rendicontazione).
- Valutazione d’impatto sulla protezione dei dati (Art. 33 Data Protection Impact Assessment): saranno richieste valutazioni d’impatto sulla protezione dei dati personali quando il trattamento, per la sua natura, il suo soggetto o le sue finalità, presenta rischi specifici per i diritti e la libertà degli interessati.
- Controllo del Codice di Condotta (art. 38): il controllo del rispetto di un codice di condotta adottato da un’organizzazione, può essere effettuata da un organismo che ha un adeguato livello di competenza in relazione con l'oggetto del codice ed è accreditata a tal fine dalla competente Autorità di controllo.
- Certificazione (Art. 39): L’Unione Europea intende promuovere la possibilità di predisporre meccanismi di certificazione per il rilascio di certificati e marchi allo scopo di dimostrare la conformità al Regolamento delle operazioni di trattamento dei dati da parte degli operatori coinvolti. I certificati potranno essere rilasciati da Organismi di Certificazione accreditati dall’Autorità di controllo (Garante della Privacy) e/o dall’Organismo di Accreditamento nazionale.
La Gap Analysis del Sistema di Gestione Privacy è applicabile a tutte le organizzazioni in cui vengono trattati dati personali (Pubbliche amministrazioni, grandi imprese, società di marketing con controllo abitudini di consumo e profilazione consumatore) e consente di effettuare una vera a propria analisi dei rischi attraverso lo studio delle modalità di trattamento dei dati presenti all’interno della struttura del cliente.
I vantaggi di una Gap Analysis del Sistema di Gestione Privacy
L’attività di Gap Analysis del Sistema di Gestione Privacy effettuata dagli esperti DNV permette ai clienti di ottenere numerosi vantaggi, quali:
- valutazione del Sistema di Gestione Privacy come driver per la soluzione dei problemi;
- immediata identificazione di situazioni inadeguate e gap organizzativi;
- prevenzione di eventuali lacune da colmare per soddisfare i nuovi requisiti della norma;
- diagnosi finalizzata alla individuazione delle aree di debolezza dell’organizzazione per pianificare le azioni di miglioramento, sperimentarle, verificarle e consolidarle.