L’occhio del Garante italiano su Regioni, Province autonome e società controllate
Lo scorso settembre è stata avviata un’indagine internazionale da parte delle Autorità per la protezione dei dati personali di 18 Paesi, Italia inclusa, con lo scopo di verificare il rispetto del principio di accountability (“responsabilizzazione”), ovvero quel principio introdotto dal Regolamento UE 2016/679 secondo cui il Titolare del trattamento si impegna ad adottare politiche ed attuare misure adeguate al fine di garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme alle disposizioni normative.
Gli esiti della ricerca dimostrano che, se da una parte la maggior parte delle imprese e degli enti pubblici analizzati dimostri una buona comprensione dei concetti base del principio di responsabilizzazione, dall’altra permangono lacune in merito alla concreta attuazione di politiche e programmi specifici a tutela della privacy.
Occorre precisare che ogni Autorità competente ha circoscritto il proprio raggio di analisi ad un determinato settore. Per quanto riguarda l’Italia, il Garante Privacy si è focalizzato sulle Regioni e sulle Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico.
I risultati raccolti hanno fatto emergere un quadro ancora non soddisfacente. Pur rilevando esempi di buone prassi, si è osservato che in molti casi non erano previsti processi specificamente dedicati alla trattazione di reclami o alle richieste degli interessati, né meccanismi idonei a gestire adeguatamente eventuali violazioni alla sicurezza ai dati. Il Garante italiano ha comunque rilevato un progressivo miglioramento nelle misure a tutela della privacy adottate dagli enti pubblici.
Il Presidente Antonello Soro ha affermato che il nuovo Regolamento europeo ha valorizzato la funzione sociale della protezione dei dati personali, attribuendo un ruolo chiave e una più marcata responsabilità ad aziende e pubbliche amministrazioni.
Di seguito si riporta la sintesi degli esiti italiani.
Soggetti analizzati: 19 enti pubblici e 54 società in-house analizzate.
- Governance della privacy: un quinto delle Regioni non ha ancora adottato una procedura interna per la gestione dei dati personali o non l’ha applicata correttamente. Quasi tutte però hanno incaricato almeno una competente in materia di protezione dei dati personali.
- Formazione, monitoraggio e consapevolezza: la maggior parte delle Regioni e delle società in-house riconoscono l’importanza di un’adeguata formazione dei dipendenti in materia di protezione dei dati personali. Tuttavia nel 40% dei casi le organizzazioni non hanno posto in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali.
- Trasparenza: è garantita un’adeguata trasparenza nel trattamento dei dati, attraverso specifiche informative agli interessati sul trattamento dei dati personali. Tali informative, di solito, sono costantemente aggiornate e facilmente accessibili, sebbene alcune organizzazioni appaiono limitarsi a presentare la sola privacy policy del sito web.
- Capacità di risposta e gestione degli incidenti di sicurezza: appare grave che il 24% delle società e il 48% delle Regioni non abbiano definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati o delle stesse Autorità.
Si evidenziano ancora carenze in merito alla gestione delle violazioni dei dati (c.d. Data Breach), tanto che un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi. Un quarto delle organizzazioni, inoltre, non dispone di un registro per documentare le violazioni subite.
- Valutazione e monitoraggio dei rischi: il 24% delle società in-house, ma addirittura il 58% delle Regioni, non hanno processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi.
La maggior parte dei soggetti analizzati ha creato un registro dei trattamenti. Un quinto delle Regioni, però, dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi.
Di seguito si riporta la sintesi degli esiti internazionali.
Soggetti analizzati: 356 enti pubblici e privati analizzati in 18 Paesi.
- Quasi il 75% degli organismi contattati hanno designato un responsabile o una unità incaricati di garantire il rispetto delle norme in materia di protezione dei dati.
- Si pone molta attenzione alla formazione del personale in materia di protezione dei dati, ma non si provvede a un aggiornamento di tale formazione.
- Circa un quarto degli organismi risulta privo di specifici programmi di autovalutazione o di monitoraggio interno delle norme in materia di protezione dei dati.
- Gli organismi che dispongono di programmi di monitoraggio interno segnalano in genere esempi di buone prassi, quali rilevamenti o indagini svolte con cadenza annuale e/o attività periodiche di autovalutazione.
- Oltre la metà dei soggetti presi in esame risulta disporre di procedure documentabili di risposta in caso di incidenti che riguardano la sicurezza dei dati, nonché di registrazioni aggiornate di tutti gli incidenti e le violazioni di sicurezza.
Tuttavia, molti organismi non hanno ancora procedure atte a rispondere adeguatamente a questi eventi.