A partire da settembre 2018, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha dato il via al cosiddetto “Privacy Sweep”, ossia una “indagine a tappeto” dedicata, quest’anno, al principio di responsabilizzazione (o “accountability”), introdotto dal GDPR. L’indagine ha carattere internazionale e, infatti, è stata condotta – non solo dall’Autorità italiana ma anche – da diciotto delle altre autorità garanti per la protezione dei dati personali facenti parte del GPEN (“Global Privacy Enforcement Network”)[1]. Dall’indagine è emerso che la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità garanti per la protezione dei dati personali mostrano una buona comprensione dei concetti base legati al più generale principio di responsabilizzazione. Tuttavia permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della privacy. Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. Il Garante italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico. Le risultanze raccolte dalle autorità garanti hanno fatto emergere un quadro ancora non soddisfacente in merito alla compliance dei soggetti sottoposti a Privacy Sweep alle norme in materia di protezione dei dati personali. In generale si sono rilevate mancanze anche gravi, relative, ad esempio, all’assenza di processi specificamente dedicati alla trattazione di reclami o alle richieste degli interessati o a meccanismi idonei a gestire adeguatamente eventuali violazioni alla sicurezza ai dati. Il Garante ha comunque rilevato che, quantomeno relativamente agli enti pubblici, si è registrata un progressivo miglioramento nelle misure a tutela della privacy adottate. Riportiamo qui sotto i risultati evidenziati dal Garante a seguito del Privacy Sweep. 2. Sintesi delle risultanze: risultati italiani Sono stati analizzati 19 soggetti pubblici (Regioni e Provincie autonome) e 54 società private. 1. Governance della privacy Un quinto delle regioni non ha ancora adottato una procedura interna per la gestione dei dati personali nell’organizzazione o non l’ha applicata correttamente nelle attività quotidiane. Quasi tutte, però, hanno incaricato una o più persone competenti in materia di governance e gestione della protezione dei dati personali, a un livello gerarchico sufficientemente elevato nell’organizzazione. 2. Formazione, monitoraggio e consapevolezza La maggior parte delle regioni e delle società in-house riconoscono l’importanza di un’adeguata formazione dei dipendenti in materia di protezione dei dati personali. Nel 40% dei casi, però, le organizzazioni non hanno posto in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali. 3. Trasparenza E’ garantita un’adeguata trasparenza nel trattamento dei dati, attraverso specifiche informative agli interessati sul trattamento dei dati personali. Tali informative, di solito, sono costantemente aggiornate e facilmente accessibili, sebbene alcune organizzazioni appaiono limitarsi a presentare la sola privacy policy del sito web. 4. Capacità di risposta e gestione degli incidenti di sicurezza Appare grave che il 24% delle società e il 48% delle Regioni non abbiano definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità. Si evidenziano ancora carenze in merito alla gestione degli incidenti di sicurezza – i cosiddetti Data Breach – tanto che un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa, tra l’altro, la notifica al Garante e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi. Un quarto delle organizzazioni, inoltre, sembra non disporre di un registro per documentare le violazioni subite. 5. Valutazione e monitoraggio dei rischi Il 24% delle società private e il 58% degli enti pubblici non hanno processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi. La maggior parte dei soggetti analizzati ha creato un registro dei trattamenti effettuati. Un quinto delle Regioni, però, dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi. 2. Sintesi delle risultanze: risultati internazionali Sono stati analizzati 356 enti pubblici e privati appartenenti a 18 paesi del GPEN. [1] Il GPEN è la Rete globale delle autorità incaricate di dare attuazione alle norme sulla privacy. Tale network mira a promuovere la cooperazione transfrontaliera fra le autorità per la privacy in un contesto sempre più globalizzato, in cui le attività commerciali e gli stessi consumatori necessitano di flussi ininterrotti di dati personali. I membri del GPEN collaborano per potenziare la tutela della privacy in questo contesto globale. Il GPEN, che ha natura informale, comprende oltre 60 autorità di 39 paesi.
