ADEMPIMENTI GDPR

Adempimenti GDPR (Reg. UE 679/2016)

Gap Analysis & Remediation Plan

Proposta Tecnica

L'oggetto della attività è l’effettuazione di una Gap Analysis e relativo Remediation Plan relativamente all’ European General Data Protection Regulation (GDPR).
Nel dettaglio la principale finalità del progetto riguarda l’effettuazione di una Assessment applicata al contesto riferito alle sedi del cliente:

  • -  realizzare un’istantanea dei livelli di conformità al regolamento di riferimento (Gap Analysis), valutando gli aspetti tecnologici, organizzativi e di processo;

  • -  realizzare un piano di intervento (Remediation Plan) che elenchi le azioni necessarie ad indirizzare le risultanze emerse cioè le non conformità al regolamento europeo GDPR.

    Nei prossimi paragrafi sono illustrate nel dettaglio le caratteristiche specifiche del programma e delle attività proposte. Al fine di consentire al cliente di ottenere la fotografia dello stato attuale e di intraprendere un piano strategico di trattramento vengono proposte le attività dettagliate di seguito:

    Fase 1 – Information Gathering

    In questa fase verranno acquisite le informazioni tecniche, organizzative e procedurali necessarie a comprendere, complessivamente, la tipologia di dati personali presenti nell’organizzazione e loro modalità di archiviazione, la tipologia di trattamenti effettuati, le caratteristiche della struttura organizzativa e dell’infrastruttura tecnologica. Tali informazioni saranno reperite mediante specifiche interviste con i principali referenti dell’Organizzazione coinvolti nel piano di acquisizione delle informazioni. Le informazioni acquisite sono necessarie a delineare le principali attività operative svolte dal Cliente per contestualizzare opportunamente le informazioni elaborate nelle fasi successive dell’assessment e per determinare i gap esistenti in termini di conformità e alle regulation di legge.

    Fase 2 – Gap Analysis

    Le informazioni reperite durante la fase precedente saranno analizzate dal gruppo di lavoro (legali specializzati in tematiche Privacy ed esperti di Sicurezza delle Informazioni e Risk Assessment) al fine di stabilire i livelli di disallineamento tra lo stato di attuazione dei controlli rispetto a quelli richiesti dal regolamento preso in considerazione.

    I gap rilevati saranno dettagliatamente descritti dando indicazione:

  • -  della documentazione da rivedere o produrre: informative, consensi, registro trattamenti,

  • -  dei ruoli e delle responsabilità da definire e formalmente assegnare:

  • -  definizione del Titolare e dei Responsabili dei Trattamenti,

  • -  eventuale DPO e owner di processo, nomina Amministratori di Sistema;

  • -  dei processi da implementare e documentare (es: Data Breach, Business Continuity e

    Backup ...);
    in tale fase verrà definito se è necessario produrre una DPIA. Nel caso in cui si evidenzi l’obbligarietà o volontà di produrre un’analisi dei Rischi relativa alla Sicurezza dei Dati Personali verrà dato supporto

    per la definizione di tale processo in modo conforme al Business e alla realtà dell’Organizzazione; delle evidenze da raccogliere a completamento di quelle già presenti per il sistema di gestione della Qualità già implementato.

Fase 3 – Remediation Plan

L’insieme delle informazioni raccolte durante la prima fase del progetto (Information Gathering) e gli scostamenti identificati durante la successiva fase (Gap Analysis) consentiranno la produzione di un piano per l’adeguamento ai requisiti del regolamento preso in considerazione. Il documento e le tabelle risultanti conterranno sia le contromisure e i miglioramenti di natura documentale, organizzativa e procedurale, sia quelle di natura tecnologica con la valutazione degli interventi in relazione ai seguenti parametri principali:

  • -  Impatto organizzativo o tecnico nella predisposizione;

  • -  Priorità di realizzazione, calcolata sulla base delle criticità esistenti.

    A supporto della consulenza e del Remediation Plan verranno rilasciati template e modelli della documentazione necessaria da produrre (es: Informative, lettere di Consenso, contenuti del Registro dei trattamenti).

    Fase 4 – Executive Summary e presentazione dei risultati

    L’ultima fase del progetto ha lo scopo di illustrare e condividere nel dettaglio i risultati complessivi raggiunti e il piano di rientro consigliato per l’allineamento delle non-conformità rilevate con quanto previsto dal regolamento preso in considerazione.

    Fase 5 – Awareness

    Le attività di formazione del personale potranno basarsi su un piano strutturato, in base alle esigenze del cliente. E’ comunque consigliato prevedere delle sessioni di formazione per la Direzione dell’Organizzazione, i Responsabili dei Trattamenti e gli Owner dei processi a supporto del Sistema di Gestione Privacy.

    Fase 6 – Audit

    Terminata l’implementazione delle contromisure, dettagliate nel Remediation Plan, e la raccolta delle evidenze a supporto del Sistema di Gestione Privacy verrà effettuato un Audit Interno al fine di stabilirne il livello di correttezza e completezza. Tale audit produrrà un report con le indicazioni di quali requisiti devono ancora essere migliorati e quindi un’indicazione dello stato del Sistema stesso.

    Successive attività di Audit periodico presso la sede del Cliente potranno essere richieste come Opzione.

    Prerequisiti:

    Disponibilità dei Responsabili della azienda per fornire le informazioni

    Attività escluse dalla fornitura:
    Sono escluse dalla fornitura le seguenti attività / servizi:

  • -  fornitura e/o messa in opera di hardware;

  • -  fornitura e/o messa in opera di licenze software proprie o di terzi;

  • -  trasferte;

  • -  ogni altra attività non inclusa nell'Oggetto della fornitura

    Modalità di lavoro:

    Le attività di cui sopra verranno svolte presso le sedi del cliente e le sedi del Consulente. Il Cliente riconosce al Consulente il diritto di accesso alle proprie sedi durante il normale orario lavorativo in caso le attività lo richiedessero.