Key4biz

GDPR, Garante Privacy: “Non pieno rispetto dell’accountability da Regioni, Province autonome e in-house”

C’è ancora molto da fare sia in Italia sia negli altri Paesi dell’Unione europea per quanto riguarda il pieno rispetto del principio di accountability, introdotto anche in Europa dal GDPR, il Regolamento Ue sulla protezione dei dati. È questo il dato principale che emerge dall’indagine a tappeto (“sweep”), a carattere internazionale, avviata lo scorso settembre dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN) per verificare il rispetto del principio di responsabilizzazione. 

“Nonostante la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità per la protezione dei dati personali di 18 Paesi”, si legge nel report, “inclusa quella italiana, mostri una buona comprensione dei concetti base del principio di responsabilizzazione (accountability), permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della privacy”.

Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. 

Il Garante per la privacy italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico, coprendo oltre un quinto delle 356 organizzazioni oggetto di “sweep” in tutto il mondo.

Il Garante italiano ha comunque rilevato nel nostro Paese, anche a seguito dell’analisi avviata, un progressivo miglioramento nelle misure a tutela della privacy adottate dagli enti pubblici.

Il nuovo Regolamento Ue in materia di privacy”, ha dichiarato il Presidente Antonello Soro, “ha valorizzato in maniera determinante  la ‘funzione sociale’ della protezione  dei dati personali, attribuendo un ruolo chiave e una più marcata responsabilità ad aziende e pubbliche amministrazioni.

I risultati dello sweep 2018  confermano che c’è ancora molto da fare – sia in Italia, sia all’estero – affinché i principi a tutela della privacy vengano declinati correttamente nelle pratiche quotidiane, nei processi organizzativi e lungo tutta la catena decisionale nel settore pubblico e in quello privato. 

“La nostra Autorità”, ha concluso Soro, “continuerà a svolgere,  con la massima attenzione, le proprie funzioni di controllo e correttive, nonché di promozione della consapevolezza del valore dei dati”.S

Sintesi dei principali risultati in Italia

19 soggetti pubblici (Regioni e Provincie autonome) e 54 società in-house analizzate.

Un quinto delle regioni non ha ancora adottato una procedura interna per la gestione dei dati personali nell’organizzazione o non l’ha applicata correttamente nelle attività quotidiane. Quasi tutte, però, hanno incaricato una o più persone competenti in materia di governance e gestione della protezione dei dati personali, a un livello gerarchico sufficientemente elevato nell’organizzazione.

La maggior parte delle regioni e delle società in-house riconoscono l’importanza di un’adeguata formazione dei dipendenti in materia di protezione dei dati personali. Nel 40% dei casi, però, le organizzazioni non hanno posto in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali.

È garantita un’adeguata trasparenza nel trattamento dei dati, attraverso specifiche informative agli interessati sul trattamento dei dati personali. Tali informative, di solito, sono costantemente aggiornate e facilmente accessibili, sebbene alcune organizzazioni appaiono limitarsi a presentare la sola privacy policy del sito web.

Appare grave che il 24% delle società e il 48% delle Regioni non abbiano definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità.

Si evidenziano ancora carenze in merito alla gestione degli incidenti di sicurezza – i cosiddetti Data Breach – tanto che un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa, tra l’altro, la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi. Un quarto delle organizzazioni, inoltre, sembra non disporre di un registro per documentare le violazioni subite. 

Il 24% delle società in-house, ma addirittura il 58% delle Regioni, non hanno processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi.

La maggior parte dei soggetti analizzati ha creato un registro dei trattamenti effettuati. Un quinto delle Regioni, però, dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi. 

Sintesi dei principali risultati internazionali

356 soggetti pubblici e privati analizzati in 18 Paesi.

Exit mobile version