Nonostante la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità per la protezione dei dati personali di 18 Paesi, inclusa quella italiana, mostri una buona comprensione dei concetti base del principio di responsabilizzazione “accountability”, permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della protezione dei dati personali. Questo è quanto emerge dall'indagine a tappeto, a carattere internazionale, iniziata dallo scorso settembre dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN), per verificare il rispetto del principio di accountability introdotto dal Regolamento europeo sulla protezione dei dati.

Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. Il Garante per la privacy italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico.

Il Garante privacy ha dichiarato che per le regioni italiane è ancora molto lontano il traguardo dell'adeguamento alla privacy europea, pur cogliendo negli ultimi mesi dei segnali di miglioramento. Dalla indagine risulta che:

• il 48% delle Regioni non ha policy e procedure per la gestione di richieste e reclami da parte degli interessati;
• il 20% delle regioni non ha ancora adottato una procedura interna per la gestione dei dati;
• addirittura il 58% non ha processi documentati per la valutazione di impatto.

Pertanto gli esiti della ricerca fotografano comunque una realtà molto distante dall'allineamento alla normativa (Regolamento(UE) 2016/679) operativo fin dallo scorso 25 Maggio 2018.

Nello specifico, l’analisi ha coinvolto 19 soggetti pubblici tra regioni e province autonome e 54 società in-house, rilevando che 1/5 delle regioni non ha ancora adottato o applicato adeguatamente una procedura interna per la gestione dei dati. Mentre, il 48% delle regioni e, anche il 24% di società in-house non hanno policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse autorità. Tale punto, è sottolineato da parte del Garante, come un grave inadempimento. Inoltre, 1/5 delle organizzazioni non ha ancora una procedura di risposta agli incidenti di sicurezza “data breach” e 1/4 non ha nemmeno un registro per documentare le violazioni subite. Il 58% delle regioni e il 24% delle società in-house non ha processi per la valutazione dei rischi sulla protezione dei dati personali, in relazione all'utilizzo di nuovi prodotti, tecnologie o servizi. Altresì, il Garante ha aggiunto che, anche se, la maggior parte dei soggetti analizzati ha creato un registro dei trattamenti, 1/5 delle regioni dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi. Infine sono state rilevate alcune note positive, le informative agli interessati sono adeguate, anche se alcune organizzazioni appaiono limitarsi a presentare la sola privacy policy del sito web.

Sintesi dei risultati Italiani  

1. Governance della privacy.

1/5 delle regioni non ha ancora adottato una procedura interna per la gestione dei dati personali nell’organizzazione o non l’ha applicata correttamente nelle attività quotidiane. Quasi tutte, però, hanno incaricato una o più persone competenti in materia di governance e gestione della protezione dei dati personali, a un livello gerarchico sufficientemente elevato nell’organizzazione.

2. Formazione, monitoraggio e consapevolezza.

La maggior parte delle regioni e delle società in-house riconoscono l’importanza di un’adeguata formazione dei dipendenti in materia di protezione dei dati personali. Nel 40% dei casi, però, le organizzazioni non hanno posto in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali.

3. Trasparenza 

E’ garantita un’adeguata trasparenza nel trattamento dei dati, attraverso specifiche informative agli interessati sul trattamento dei dati personali. Tali informative, di solito, sono costantemente aggiornate e facilmente accessibili, sebbene alcune organizzazioni appaiono limitarsi a presentare la sola privacy policy del sito web.

4. Capacità di risposta e gestione degli incidenti di sicurezza 

E’ grave che il 24% delle società e il 48% delle Regioni non abbiano definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità.

Persistono ancora carenze in merito alla gestione degli incidenti di sicurezza “Data Breach” tanto che un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa, tra l’altro, la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi. 1/4 delle organizzazioni, inoltre, sembra non disporre di un registro per documentare le violazioni subite. 

5. Valutazione e monitoraggio dei rischi

Il 24% delle società in-house, ma addirittura il 58% delle Regioni, non hanno processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi.

La maggior parte dei soggetti analizzati ha creato un registro dei trattamenti effettuati. Un quinto delle Regioni, però, dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi. 

 Sintesi dei risultati internazionali (analizzati 356 soggetti pubblici e privati in 18 paesi)

• Quasi il 75% degli organismi contattati, a prescindere dal settore o dal paese di attività, hanno designato un responsabile o una unità incaricati di garantire il rispetto delle norme in materia di protezione dei dati.
• Mentre si pone grande attenzione alla formazione del personale in materia di protezione dei dati, spesso non si provvede a un aggiornamento di tale formazione.
• Circa 1/4 degli organismi risultano privi di specifici programmi di autovalutazione o di monitoraggio interno delle norme in materia di protezione dei dati.
• Gli organismi che dispongono di programmi di monitoraggio interno segnalano in genere esempi di buone prassi, quali rilevamenti o indagini svolte con cadenza annuale e/o attività periodiche di autovalutazione.
• Oltre la metà dei soggetti presi in esame risulta disporre di procedure documentabili di risposta in caso di incidenti che riguardano la sicurezza dei dati, nonché di registrazioni aggiornate di tutti gli incidenti e le violazioni di sicurezza. Tuttavia, molti organismi non hanno ancora procedure atte a rispondere adeguatamente a questi eventi.