Il GDPR ha compiuto un anno (il 27 Aprile, pubblicato in GUE il 4/5/2016) e molti non hanno ancora delineato un piano di adeguamento. Rimane poco più di un anno (25 Maggio 2018) per adeguarsi.
Alcuni garanti europei hanno pubblicato qualche documento su come adeguarsi:
- Il garante Inglese (ICO) ha proposto 12 passi
- Il garante Francese (CNIL) ha proposto 6 passi (vedi anche il post di Butti)
Ho provato a sviluppare un piano, pensato per una media organizzazione, che abbia decine di trattamenti tra cui quelli di dati sensibili e giudiziari (art. 9 e 10 del GDPR), che abbia già una certificazione ISO 9001, sulla base delle linee guida su indicate.
Ovviamente il piano deve essere adattato alle singole realtà: la stima dei tempi è mediamente ottimistica, ma va valutata nelle specifiche situazioni.
Proprio in quest’ottica non ho considerato il problema di saturazione (sovra allocazione di più compiti negli stessi intervalli temporali) delle risorse umane.
Ritengo quindi significativi solo i vincoli di precedenza tra le attività
Mi sembra che sia molto sfidante adeguarsi entro i termini previsti.