GDPR, indagine su 18 Paesi: Italia ancora indietro
Il Garante privacy Antonello Soro: “Non c’è ancora un pieno rispetto dell’accountability da parte di Regioni, Province autonome e in-house”
“Il nuovo Regolamento Ue in materia di privacy ha valorizzato in maniera determinante la funzione sociale della protezione dei dati personali, attribuendo un ruolo chiave e una più marcata responsabilità ad aziende e pubbliche amministrazioni”. Il Garante privacy Antonello Soro ha commentato così l’indagine a tappeto (sweep), effettuata in 18 Paesi dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN) per verificare il rispetto del principio di responsabilizzazione (accountability).
Soro non ha nascosto che sia in Italia che all’estero “c’è ancora molto fare affinché i principi a tutela della privacy vengano declinati correttamente nelle pratiche quotidiane, nei processi organizzativi e lungo tutta la catena decisionale nel settore pubblico e in quello privato”. Va detto, infatti, che pur mostrando una buona comprensione dei concetti base del principio di responsabilizzazione, sono ancora numerose le carenze relative all’attuazione di politiche e programmi specifici a tutela della privacy.
Cosa accade in Italia?
L’indagine delle Autorità per la protezione dei dati, svolta dal settembre scorso ad oggi, ha preso in esame 19 soggetti pubblici (Regioni e province autonome) e 54 società in-house. La maggior parte di queste, pur riconoscendo l’importanza di una adeguata formazione dei dipendenti in materia di privacy, nel 40 per cento dei casi non hanno provveduto ad effettuare alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali.
Per quanto riguarda la governance della privacy, un quinto delle regioni non ha ancora adottato una procedura interna per la gestione dei dati personali nell’organizzazione o non l’ha applicata correttamente. Quasi tutte le regioni sotto osservazione hanno incaricato una o più persone competenti a un livello gerarchico sufficientemente elevato nell’organizzazione.
La trasparenza nel trattamento dei dati è garantita in modo adeguato attraverso specifiche informative, spesso aggiornate, agli interessati. Alcune organizzazioni però si limitano a presentare la sola privacy policy (un documento obbligatorio che descrive le modalità di gestione e trattamento dati degli utenti e dei visitatori del sito internet da parte dell’azienda).
Un aspetto preoccupante dell’indagine fatta in Italia riguarda la capacità di risposta e gestione degli incidenti di sicurezza. Infatti il 24 per cento delle società e il 48 per cento delle Regioni non hanno definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati o delle stesse Autorità.
Risultano ancora numerose le carenze sulla gestione degli incidenti di sicurezza (Data Breach): un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa, tra l’altro, la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi. Un quarto delle organizzazioni, inoltre, non dispone di un registro per documentare le violazioni subite.
Mancano anche degli adeguati processi per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi. La maggior parte dei soggetti analizzati ha creato un registro dei trattamenti effettuati. Un quinto delle Regioni, però, dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi.
Insomma, dati che, come lo stesso Garante privacy ha sottolineato, spingono a tenere alta l’attenzione sul principio di accountability introdotto in Europa dal GDPR, il Regolamento Ue sulla protezione dei dati.
“La nostra Autorità – ha ricordato Soro – continuerà a svolgere con scrupolo le proprie funzioni di controllo e correttive, nonché di promozione della consapevolezza del valore dei dati”.