GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg
venerdì 15 marzo 2019
Dott.ssa Silvia Matteucci
Nonostante la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità per la protezione dei dati personali di 18 Paesi, inclusa quella italiana, mostri una buona comprensione dei concetti base del principio di responsabilizzazione “accountability”, permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della protezione dei dati personali. Questo è quanto emerge dall'indagine a tappeto, a carattere internazionale, iniziata dallo scorso settembre dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN), per verificare il rispetto del principio di accountability introdotto dal Regolamento europeo sulla protezione dei dati.
Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. Il Garante per la privacy italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico.
Il Garante privacy ha dichiarato che per le regioni italiane è ancora molto lontano il traguardo dell'adeguamento alla privacy europea, pur cogliendo negli ultimi mesi dei segnali di miglioramento. Dalla indagine risulta che:
Pertanto gli esiti della ricerca fotografano comunque una realtà molto distante dall'allineamento alla normativa (Regolamento(UE) 2016/679) operativo fin dallo scorso 25 Maggio 2018.
Nello specifico, l’analisi ha coinvolto 19 soggetti pubblici tra regioni e province autonome e 54 società in-house, rilevando che 1/5 delle regioni non ha ancora adottato o applicato adeguatamente una procedura interna per la gestione dei dati. Mentre, il 48% delle regioni e, anche il 24% di società in-house non hanno policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse autorità. Tale punto, è sottolineato da parte del Garante, come un grave inadempimento. Inoltre, 1/5 delle organizzazioni non ha ancora una procedura di risposta agli incidenti di sicurezza “data breach” e 1/4 non ha nemmeno un registro per documentare le violazioni subite. Il 58% delle regioni e il 24% delle società in-house non ha processi per la valutazione dei rischi sulla protezione dei dati personali, in relazione all'utilizzo di nuovi prodotti, tecnologie o servizi. Altresì, il Garante ha aggiunto che, anche se, la maggior parte dei soggetti analizzati ha creato un registro dei trattamenti, 1/5 delle regioni dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi. Infine sono state rilevate alcune note positive, le informative agli interessati sono adeguate, anche se alcune organizzazioni appaiono limitarsi a presentare la sola privacy policy del sito web.
Sintesi dei risultati Italiani
1/5 delle regioni non ha ancora adottato una procedura interna per la gestione dei dati personali nell’organizzazione o non l’ha applicata correttamente nelle attività quotidiane. Quasi tutte, però, hanno incaricato una o più persone competenti in materia di governance e gestione della protezione dei dati personali, a un livello gerarchico sufficientemente elevato nell’organizzazione.
La maggior parte delle regioni e delle società in-house riconoscono l’importanza di un’adeguata formazione dei dipendenti in materia di protezione dei dati personali. Nel 40% dei casi, però, le organizzazioni non hanno posto in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali.
E’ garantita un’adeguata trasparenza nel trattamento dei dati, attraverso specifiche informative agli interessati sul trattamento dei dati personali. Tali informative, di solito, sono costantemente aggiornate e facilmente accessibili, sebbene alcune organizzazioni appaiono limitarsi a presentare la sola privacy policy del sito web.
E’ grave che il 24% delle società e il 48% delle Regioni non abbiano definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità.
Persistono ancora carenze in merito alla gestione degli incidenti di sicurezza “Data Breach” tanto che un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa, tra l’altro, la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi. 1/4 delle organizzazioni, inoltre, sembra non disporre di un registro per documentare le violazioni subite.
Il 24% delle società in-house, ma addirittura il 58% delle Regioni, non hanno processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi.
La maggior parte dei soggetti analizzati ha creato un registro dei trattamenti effettuati. Un quinto delle Regioni, però, dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi.
Sintesi dei risultati internazionali (analizzati 356 soggetti pubblici e privati in 18 paesi)
CONDIVIDI QUESTA PAGINA!