La Gap Analysis del Sistema di Gestione Privacy è applicabile a tutte le organizzazioni in cui vengono trattati dati personali (Pubbliche amministrazioni, grandi imprese, società di marketing con controllo abitudini di consumo e profilazione consumatore) e consente di effettuare una vera a propria analisi dei rischi attraverso lo studio delle modalità di trattamento dei dati presenti all’interno della struttura del cliente.
Tramite un rapporto di Gap Analysis eventuali situazioni critiche o prassi errate nel trattamento dei dati personali. Vengono, inoltre, ipotizzate delle soluzioni quantificabili e misurabili da parte del management.
La Gap Analysis, seppure non sia un elemento esplicitamente richiamato dal Regolamento, rappresenta un passaggio di analisi iniziale necessario per affrontare con la dovuta diligenza gli adempimenti del GDPR.
Il passo successivo alla Gap Analysis è dato dalla redazione del risk assessment
La valutazione del rischio (risk assessment) è il processo di identificazione, analisi e ponderazione del rischio.
In pratica è un insieme di attività che serve a calcolare i livelli di rischio associati alle minacce e alle vulnerabilità degli asset che si vogliono proteggere.
Responsabile della conduzione della valutazione d’impatto è il titolare del trattamento che può decidere di condurre la valutazione all’interno della propria organizzazione ovvero affidarla all’esterno. In ogni caso, è il titolare a rimanere responsabile della conduzione della valutazione d’impatto su cui dunque è chiamato a vigilare attentamente. Come evidenziato anche dal Regolamento, in questo processo è fondamentale la consultazione con il responsabile della protezione dei dati (Data Protection Officer) e con i responsabili del trattamento, tra i cui compiti rientra quello di fornire adeguato ausilio al titolare nell’osservanza di tale adempimento.
