Il Garante per la protezione dei dati personali ha analizzato, all’interno dell’indagine internazionale a tappeto Sweep”, lo stato dell’arte dell’applicazione all’interno delle regioni, province autonome, nonché le rispettive società controllate, del principio di accountability previsto dal regolamento privacy europeo.
Le evidenze dell’indagine che si è concentrata sulla valutazione dei rischi, le procedure data breach, il registro dei trattamenti e policy sui reclami confermano che il percorso di adeguamento al regolamento privacy, malgrado qualche segnale di miglioramento, è ancora lungo e complesso. L’indagine. La Global Privacy Enforcement Network GPEN , rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi ha promosso il Privacy Sweep 2018 , un´indagine a tappeto a carattere internazionale dedicata al principio di responsabilizzazione accountability , introdotto con il regolamento privacy 679/2016. L’indagine da settembre 2018 a febbraio 2019 si è concentrata sulle misure che titolari o responsabili del trattamento hanno adottato per garantire e dimostrare il rispetto delle norme e degli standard in materia di protezione dei dati. Il Garante per la protezione dei dati personali italiano ha preso in esame, attraverso la somministrazione di questionari, lo stato dell’arte delle Regioni e sulle Province autonome e sulle rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblici. La Global Privacy Enforcement Network ha pubblicato il 5 marzo 2019 gli esiti dell’indagine le organizzazioni dimostrano nel complesso una buona comprensione dei concetti di base del principio di responsabilizzazione accountability ma dimostrano ancora carenze rilevanti in relazione all’attuazione delle politiche e programmi specifici a tutela della protezione dei dati personali. L’indagine condotta dall’Autorità Garante per la protezione dei dati personali ha coinvolto 19 regioni e 54 società in house e si è concentrata sui seguenti profili governance della privacy formazione, monitoraggio e consapevolezza, trasparenza, capacità di risposta e gestione degli incidenti di sicurezza, valutazione e monitoraggio dei rischi. Occorre considerare che lo sweep costituisce un’ indagine conoscitiva che non ha conseguenze sul piano sanzionatorio ma ha finalità di studio e di informazione. L’indagine ha il merito di richiamare l’attenzione degli operatori sui profili sostanziali del percorso di adeguamento al GDPR e alla declinazione nel contesto pubblico del principio di accountability. L’indagine è utile in quanto costituisce uno strumento utile a comprendere quali siano gli elementi, profili di attenzione e il grado di approfondimento che l’autorità Garante per la protezione dei dati personali segue nel caso di verifiche o accertamenti. Il quadro che emerge dalle risultanze dell’indagine è a tinte chiaroscure gli spazi di miglioramento per le strutture pubbliche sono molto ampi. Sotto il profilo della governance della privacy è emerso che un quinto delle regioni e delle società in–house non ha ancora adottato una procedura interna per la gestione dei dati personali nell’organizzazione o non l’ha applicata correttamente nelle attività quotidiane. Tra le note positive in materia la maggior parte delle regioni ha provveduto a nominare, a un livello gerarchico sufficientemente elevato nell’organizzazione, una o più persone in materia di governance e gestione della protezione dei dati personali. In riferimento alla trasparenza nel trattamento dei dati i risultati dimostrano come le informative, di solito, siano costantemente aggiornate e facilmente accessibili, malgrado alcune organizzazioni si siano limitate a presentare la sola privacy policy del sito web. La valutazione ed il monitoraggio dei rischi, la capacità di risposta e gestione degli incidenti di sicurezza costituiscono i profili più critici emersi nell’indagine sul settore pubblico. Dall’indagine è emerso, infatti, che il 58% delle regioni ed il 24% delle società in–house non ha processi documentati per la valutazione dei rischi sulla protezione dei dati personali ad esempio l’organizzazione non può ancora disporre di una DPIA quando pianificano l’utilizzo di nuovi prodotti, tecnologie o servizi. Il Garante ha rappresentato come la maggior parte degli enti disponga di registri di trattamenti e ha sottolineato come diversi enti non hanno approfondito un aspetto ritenuto strategico dall’autorità la tracciabilità dei dati personali comunicati o trasmessi a terzi. Secondo l’indagine in oggetto promossa dal Garante il 48 % delle regioni ed il 24% delle società in house non hanno definito le policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse autorità. Si tratta di un dato allarmante se letto con un altro dato significativo un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa anche la comunicazione all’Autorità Garante per la protezione dei dati personali. Secondo i dati dell’indagine un quarto degli enti non disporrebbe di un registro delle violazioni dei dati obbligo previsto dal GDPR . Tra gli aspetti meno critici la formazione in materia di GDPR, è emerso, a riguardo, che la maggior parte delle regioni e delle società in house riconosce l’importanza di un’adeguata formazione dei dipendenti in materia di protezione dei dati personali. Secondo il Garante occorre, tuttavia, rafforzare il profilo dell’aggiornamento della formazione. Il Garante ha inoltre richiesto se i trattamenti di dati siano monitorati in relazione agli standard di protezione dei dati personali è emerso che il 40% delle organizzazioni non ha posto in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali. Come recuperare questo ritardo? Secondo i dati dell’indagine internazionale attraverso il ricorso in modo regolare ad audit sia interni che esterni in ad oggetto i reclami, le richieste e le violazioni di sicurezza. I risultati dello sweep 2018 secondo la stessa autorità Garante dimostrano che c’è ancora molto da fare – sia in Italia, sia all’estero – affinché i principi a tutela della privacy siano declinati correttamente nelle pratiche quotidiane, nei processi organizzativi e lungo tutta la catena decisionale nel settore pubblico e in quello privato. L’indagine sweep 2018 conferma come l’autorità svolga, con la massima attenzione, le proprie funzioni di controllo e correttive, nonché di promozione della consapevolezza del valore dei dati. L’indagine in oggetto è particolarmente utile sia per le pubbliche amministrazioni che per le imprese in attesa di conoscere il piano delle ispezioni del Garante per la protezione dei dati personali del primo semestre 2019 in corso di pubblicazione da parte dell’Autorità.