Al Ministero dell'Economia e delle Finanze, dopo un lavoro della Direzione dei Sistemi Informativi e dell'Innovazione del Dipartimento dell'Amministrazione Generale del Personale e dei Servizi, hanno elaborato un percorso per l'adeguamento al GDPR (General Data Protection Regulation) attivo da venerdì 25 maggio scorso, utile come riferimento anche per altre Pubbliche Amministrazioni, di ogni dimensione, che prevede la creazione e il mantenimento di un SGP (sistema gestione progetti) sul quale sia attivo un processo ciclico il quale, a partire dalla comprensione dei requisiti del GDPR, copra sette fasi individuate nel seguente modo:
· Identificazione e comprensione di eventuali nuove disposizioni e linee guida delle competenti autorità nazionali ed europee.
· Individuazione o aggiornamento degli attori, sia interni che esterni, e dei relativi ruoli associati alle fasi di pianificazione, esecuzione e monitoraggio dell'SGP.
· Analisi delle attuali modalità di compliance alla normativa di riferimento (perc esempio: politiche e linee guida emanate, nomina dei responsabili, ecc.).
· Creazione e aggiornamento dei registri delle attività di trattamento (art. 30 del GDPR) con la relativa classificazione dei dati trattati.
· Valutazione dei rischi associati ai trattamenti ed eventuale valutazione dell'impatto ("Privacy Impact Assessment" - PIA, artt. 35, 36 del GDPR) comprendente la valutazione dei rischi di non conformità che possono portare a sanzioni, perdite finanziarie o danni di immagine.
· Valutazione del gap da colmare per essere conforme alla normativa di riferimento.
· Definizione e implementazione del piano di adeguamento inteso come elenco di azioni tecniche e organizzative da adottare (art. 32 del GDPR), prendendo come riferimento standard e best practices (ad esempio ISO/IEC 27001 [3]).
