Risultati dell’analisi Sweep 2018 sul rispetto della privacy: bene… ma non troppo

Il Garante per la privacy presta massima attenzione verso le proprie funzioni di controllo e correttive, nonché di promozione della consapevolezza del valore dei dati.

L’indagine svolta dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN) per verificare il rispetto del principio di accountability, sancito dal Regolamento Ue 2016/679 sulla protezione dei dati personali, evidenzia un risultato tendenzialmente positivo rispetto alla maggior parte delle imprese e degli enti pubblici dei 18 Paesi, Italia inclusa. Non mancano, tuttavia, alcune criticità in relazione alla concreta attuazione di politiche e programmi specifici a tutela della privacy.

L’indagine SWEEP 2018 ha consentito a ciascuna delle 18 Autorità garanti di individuare, in maniera autonoma, lo specifico settore su cui concentrare il lavoro di analisi. Il nostro Garante per la privacy ha concentrato la propria attenzione su Regioni e Province autonome, estendendo il campo dell’indagine anche alle rispettive società controllate, in considerazione della quantità e della rilevanza dei trattamenti di dati personali da queste effettuate per lo svolgimento di compiti di interesse pubblico. Si tratta di un campione che copre oltre un quinto delle 356 organizzazioni oggetto dell’indagine internazionale sul rispetto della privacy “Sweep”.

La lettura dei risultati della Sweep 2018 circa le modalità individuate dai titolari del trattamento per garantire in modo responsabile la conformità alle norme di protezione dei dati, consente di rilevare importanti esempi di best practice che segnano un percorso destinato ad un progressivo miglioramento nelle misure a tutela della privacy adottate dagli enti pubblici, tuttavia, sono ancora troppi i casi in cui non risultano essere previsti processi dedicati alla trattazione delle richieste degli interessati, come pure sono risultati carenti i sistemi di gestione dei reclami e, cosa ancora più grave, non risultano ancora pienamente adeguati i meccanismi di prevenzione e contrasto di eventuali violazioni alla sicurezza ai dati. Antonello Soro, Presidente dell’Authority italiana, ha dichiarato che: “Il nuovo Regolamento Ue in materia di privacy ha valorizzato in maniera determinante la “funzione sociale” della protezione dei dati personali, attribuendo un ruolo chiave e una più marcata responsabilità ad aziende e pubbliche amministrazioni.

I risultati dello Sweep 2018 confermano che c’è ancora molto da fare – sia in Italia, sia all’estero - affinché i principi a tutela della privacy vengano declinati correttamente nelle pratiche quotidiane, nei processi organizzativi e lungo tutta la catena decisionale nel settore pubblico e in quello privato. 

Il Garante ha aggiunto che: la nostra Autorità continuerà a svolgere, con la massima attenzione, le proprie funzioni di controllo e correttive, nonché di promozione della consapevolezza del valore dei dati”.

Il Dettaglio dei Risultati Italiani

19 soggetti pubblici (Regioni e Provincie autonome) e 54 società in-house analizzate.

1. Governance della privacy

1/5 delle Regioni non ha adottato una procedura interna per la gestione dei dati personali nell’organizzazione o non la applica correttamente nelle attività quotidiane. La maggior parte delle Regioni tutte hanno incaricato una o più persone competenti in materia di governance e gestione della protezione dei dati personali.

2. Cultura della privacy, formazione, monitoraggio e consapevolezza

La maggior parte delle regioni e delle società in-house prestano attenzione a un’adeguata formazione dei dipendenti in materia di protezione dei dati personali. Tuttavia, nel 40% dei casi non risulta essere monitorato il livello di attuazione delle pratiche per un adeguato trattamento dei dati personali.

3. Trasparenza 

Il livello di trasparenza nel trattamento dei dati risulta adeguato, per effetto di specifiche informative messe a disposizione degli interessati al trattamento dei dati personali. Emerge che le informative sono – per la maggior parte dei casi analizzati - costantemente aggiornate e facilmente accessibili, in pochi casi i soggetti sottoposti all’analisi Sweep sono risultati essere eccessivamente sintetici nel presentare l’informativa e in alcuni di questi casi viene proposta la sola privacy policy del sito web.

4. Capacità di risposta e gestione degli incidenti di sicurezza 

L’aspetto più critico attiene al dato che ben il 24% delle società e il 48% delle Regioni non abbiano definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità.

Viene stigmatizzato, altresì, il deficit delle misure adeguate per la gestione dei cosiddetti Data Breach. 1/5 delle organizzazioni non ha implementato una procedura di risposta agli incidenti di sicurezza che includa, peraltro, la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi. Preoccupante è il dato che riguarda 1/4 delle organizzazioni che – stando ai risultati dell’analisi Sweep - non disporrebbe di un registro per documentare le violazioni subite. 

5. Valutazione e monitoraggio dei rischi

Il 24% delle società in-house e – addirittura - il 58% delle Regioni, non ha processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi.

Tuttavia, la maggior parte dei soggetti analizzati dispone di un registro dei trattamenti effettuati. 1/5 delle Regioni dovrebbe implementare le misure adeguate alla conservazione e la tracciabilità dei dati personali comunicati o trasmessi a terzi. 

Il Dettaglio dei Risultati Internazionali

356 soggetti pubblici e privati analizzati in 18 paesi.

• Circa il 75% degli organismi contattati risulta aver designato un responsabile o una unità incaricati di garantire il rispetto delle norme in materia di protezione dei dati.
• Positivo il dato relativo alla sensibilità dei soggetti analizzati verso la formazione del personale in materia di protezione dei dati, anche se in molti casi non è emersa la pianificazione delle attività di aggiornamento sul tema.
• Circa 1/4 degli organismi risultano privi di specifici programmi di autovalutazione o di monitoraggio interno delle norme in materia di protezione dei dati.
• La maggior parte delle organizzazioni del campione Sweep dispone di procedure documentabili di risposta in caso di incidenti che riguardano la sicurezza dei dati, nonché di registrazioni aggiornate di tutti gli incidenti e le violazioni di sicurezza. Meno positivo il dato relativo all’adozione di misure e procedure di risposta a tali eventi.