L'organismo di controllo della protezione dei dati del Regno Unito si è unito al suo equivalente in Nuova Zelanda per realizzare il rapporto annuale della Global Privacy Enforcement Network (GPEN) (la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui il Garante italiano fa parte). Sono state esaminate oltre 660 aziende in tutto il mondo, per analizzare come avessero implementato il G.D.P.R. nella loro organizzazione. 

Se è vero che, da un lato, sono stati rilevati esempi di buone pratiche privacy adottate in numerose aziende (ad esempio, una buona percentuale di esse hanno anche un Responsabile della protezione dei dati), dall’altro lato è altrettanto vero che ci sono state numerose evidenze negative. Ad esempio, oltre un quinto delle aziende intervistate non ha ancora predisposto alcun programma per condurre autovalutazioni e/o audit interni. Inoltre, è stato riscontrato che circa il 15% tra le aziende campione non ha ancora messo in atto un processo per rispondere adeguatamente in caso di violazione e/o furto di dati (Data Breach). Questo è un requisito chiave del GDPR, che richiede alle aziende violate di avvisare il Garante privacy entro 72 ore dalla scoperta dell’accadimento.

Per approfondire >> Che cosa fare in caso di Data Breach 

Inoltre, la maggior parte delle aziende non ha effettuato la formazione dei propri incaricati (Data Handler) ai sensi degli artt. 29 e 32, comma 4, del GDPR. 

I risultati suggeriscono che, sebbene le aziende contattate dall'ICO (The Information Commissioner's Office) abbiano dimostrato una buona comprensione del concetto base di privacy, è importante che dispongano delle misure tecniche e organizzative appropriate. Ciò include la definizione di chiare politiche di protezione dei dati, l'adozione di un approccio di "protezione dei dati per impostazione predefinita" e la continua revisione e monitoraggio delle prestazioni e della conformità al Regolamento.

Nel Regno Unito, il 67% della aziende intervistate ha dichiarato di effettuare periodiche autovalutazioni e di mantenere inventari dei dati personali, mentre l'83% di esse ha affermato di aver predisposto una policy interna sulla privacy dei dati e di avere formato adeguatamente i propri incaricati.