La gap analysis è una attività prodromica alla definizione di una road map per la compliance GDPR. Il Generale Giuseppe Alverone ne parla il 12 marzo al Seminario online 'Dalla fisiologia alla patologia. Come mantenere in salute un sistema di gestione privacy'

Affinché le aziende possano prendere decisioni informate e ben orientate agli obiettivi di business, devono prima sapere quali risorse possiedono, dove sono posizionate e come vengono utilizzate.

L’ecosistema della Data Protection può essere diviso in 2 domini complementari: la privacy e la cybersecurity. In questo articolo, puntiamo la lente sui campi in cui vi possono essere punti di possibile frizione e di necessaria integrazione fra questi 2 importanti domini.

L'ecosistema della protezione dei dati disegnato dal GDPR è diviso in principali 2 domini tra loro complementari: la privacy e  la cybersecurity.

Negli ultimi tempi, l’etica si professa tanto ma si pratica poco. L’essere umano nel luogo di lavoro è normalmente considerato una “risorsa”, un “asset” da “gestire”. A 50 anni, se non è più utile all’organizzazione in cui lavora diventa un’“esubero”. Al di fuori del luogo di lavoro, quale consumatore, diventa “target” delle “campagne” di marketing, che, come ben sa chi ha svolto il servizio militare, designa i bersagli dei bombardieri o dei pezzi di artiglieria. In ogni caso, sembra che la persona fisica venga essenzialmente considerata come uno strumento per far funzionare il sistema economico produttivo.

L’attivazione e la gestione di un sistema di videosorveglianza all’interno di un condominio, per controllare le aree comuni, comporta un trattamento di dati personali che, al fine di evitare sanzioni pecuniarie, deve essere necessariamente progettato ed eseguito attuando in modo efficace i principi di protezione dei dati personali. Non basta quindi l’apposizione di un semplice cartello con un’icona ma bisogna realizzare una serie di adempimenti che postulano la necessità di coinvolgere un consulente privacy veramente esperto. È fortemente sconsigliato il “fai da te”!

Ogni impresa o Pubblica Amministrazione che riveste il ruolo privacy di titolare del trattamento, nel predisporre un modello organizzativo privacy e, comunque, prima di definire un percorso di conformità al GDPR deve necessariamente innestare, sull’architettura generale della propria organizzazione, una specifica struttura organizzativa privacy, attribuendo ad ogni entità, nell'ambito del proprio assetto organizzativo, ruoli e responsabilità funzionali a presidiare i dati personali. Facendo ricorso ad una metonimia, si può dire che il titolare deve predisporre un organigramma ed un funzionigramma privacy.

Tra i problemi che giornalmente all’interno delle aziende gli “addetti alla privacy” (DPO, Privacy Officer e consulenti), devono affrontare e risolvere, ci sono sistematiche incomprensioni, divergenze e disaccordi con i “non addetti alla privacy”. Capita, infatti, che talvolta detti professionisti, quando forniscono le giuste indicazioni ed istruzioni per risolvere problemi organizzativi o contrattuali, vengano inopinatamente osteggiati da colleghi o clienti che non comprendono la fondatezza, la validità e l’utilità di tali istruzioni/indicazioni.

Nessuna responsabilità in relazione al trattamento dei dati personali è attribuita dalla normativa eurounitaria sulla privacy (GDPR) ai produttori degli strumenti utilizzati da titolari e responsabili per eseguire i trattamenti.

Il processo di gestione, a cura dei Comuni, di un sistema di videosorveglianza per la sicurezza urbana, volto a prevenire e contrastare i fenomeni di criminalità diffusa e predatoria, deve necessariamente essere disegnato, auspicabilmente ancor prima dell’acquisto del sistema stesso, in modo tale da attuare efficacemente i principi della protezione dei dati e soddisfare i requisiti posti dalla normativa Eurounitaria (GDPR e LED). Questo disegno comprende anche l’esecuzione di una valutazione di impatto sulla protezione dei dati, la c.d. DPIA (Data Protection Impact Assessment).