Indagine internazionale sul rispetto della privacy: principio di responsabilizzazione e concreta attuazione del Regolamento UE 679/2016.

Al termine del 2018, trascorsi alcuni mesi dalla piena applicabilità del Regolamento UE 679/2016 in materia di protezione dei dati personali, la maggior parte delle imprese e degli enti pubblici dimostra di aver compreso i concetti promossi dal Regolamento legati al principio di responsabilizzazione (“accountability”); nonostante ciò, permangono carenze significative nell’implementazione effettiva di policies specifiche per la protezione dei dati personali. Questo è quanto emerso all’esito dell’indagine internazionale sul rispetto della privacy (“Sweep 2018”) condotta dalle autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network.

IL FATTO:

Lo scorso settembre è stata avviata una indagine internazionale a tappeto (“swept”) sul rispetto della privacy, avente ad oggetto lo stato di implementazione di principi e regole operative oggetto del Regolamento UE 679/2016, da parte di enti pubblici e privati di tutto il mondo. L’indagine è stata condotta dalle autorità per la protezione dei dati personali di 18 Paesi (tra cui l’Italia) appartenenti al Global Privacy Enforcement Network (“GPEN”), la rete globale delle autorità incaricate a dare attuazione alle norme sulla privacy, creata nel 2010 su raccomandazione dell’OCSE allo scopo di promuovere la cooperazione transfrontaliera fra le autorità per la privacy. L’indagine condotta dal GPEN si è focalizzata sul rispetto del principio di accountability, introdotto dal Regolamento UE 679/2016. Il Regolamento pone infatti un notevole accento sulla “responsabilizzazione” di titolari e responsabili, ossia sull’adozione di comportamenti tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento UE 679/2016 (in particolare artt. 23-25 e l’intero Capo IV del Regolamento UE 679/2016).

Ai fini dell’indagine, il Garante per la protezione dei dati personali italiano ha analizzato le Regioni e Province autonome e le relative società controllate che, nello svolgimento di compiti di interesse pubblico, trattino dati personali. Dall’indagine è emerso che, per quanto concerne le questioni di carattere organizzativo, quasi tutte le Regioni riconoscono l’importanza di un’adeguata formazione del personale e hanno individuato e incaricato al loro interno almeno una persona incaricata a gestire le questioni relative alla protezione dei dati personali. Nonostante la generale e diffusa attenzione per le tematiche legare alla privacy, un quinto delle Regioni non ha adottato una procedura interna per la gestione dei dati personali o non l’ha implementata correttamente e nel 40% dei casi non pone in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali.

Tutti gli enti analizzati dal Garante rispettano il dovere di informativa e garantiscono un’adeguata trasparenza nel trattamento dei dati personali fornendo specifiche informative agli interessati sul trattamento dei dati, costantemente aggiornate e facilmente accessibili; il Garante ha tuttavia constatato che per alcune organizzazioni lo sforzo sia limitato alla pubblicazione della sola privacy policy sul sito web.

L’indagine ha fatto emergere che il 24% delle società e il 48% delle Regioni, non ha definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati. Si riscontrano altresì carenze in merito alla gestione degli incidenti di sicurezza (c.d. “Data breach”). Un quinto degli enti oggetto dell’indagine non ha adottato una procedura per la gestione dei degli incidenti di sicurezza e un quarto delle organizzazioni non si è dotata di un registro per documentare le violazioni subite. Tra le carenze, il Garante evidenzia altresì che il 58% delle Regioni non si è dotato di un processo documentato per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuove tecnologie.

Infine, tra i rilievi positivi, si evidenzia che la maggior parte delle realtà analizzate si è correttamente dotata di un Registro dei trattamenti effettuati, ai sensi dell’art. 30 del Regolamento UE 679/2016; anche in questo caso tuttavia l’indagine ha fatto emergere il fatto che un quinto delle Regioni non tenga traccia dei dati personali comunicati o trasmessi a terzi.

Le varie autorità coinvolte nell’attività di indagine hanno scelto autonomamente il settore di analisi, e, nel complesso, lo sweep 2018 ha coinvolto un numero complessivo di 356 organizzazioni -sia soggetti privati che pubblici- situate in varie parti del mondo. A livello internazionale si è riscontrato che circa il 75% delle organizzazioni ha provveduto a designare un responsabile o un’unità, incaricata a garantire il rispetto delle norme in materia di protezione dei dati personali, pone grande attenzione alla formazione del personale ma spesso non provvede ad un aggiornamento di tale formazione. Si è potuto riscontrare che, circa un quarto degli enti oggetto dell’indagine, non ha implementato programmi di monitoraggio interno per verificare lo stato di applicazione delle norme in materia di protezione dei dati personali.

Tra i rilievi positivi è emerso che oltre la metà degli enti dispone di procedure documentabili di risposta in caso di incidenti che riguardando la sicurezza dei dati e provvede alla registrazione sistematica degli incidenti che riguardano la sicurezza.

Analizzando gli esiti dell’indagine, il Presidente del Garante per la protezione dei dati personali, Antonello Soro, ha dichiarato “il nuovo Regolamento UE in materia di privacy, ha valorizzato in maniera determinante la “funzione sociale” della protezione dei dati personali, attribuendo un ruolo chiave e una più marcata responsabilità ad aziende e pubbliche amministrazioni. I risultati dello sweep 2018 confermano che c’è ancora molto da fare -sia in Italia che all’estero- affinchè i principi a tutela della privacy vengano declinati correttamente nelle pratiche quotidiane, nei processi organizzativi e lungo tutta la catena decisionale nel settore pubblico e in quello privato”.

PERCHÉ È IMPORTANTE:

Lo sweep 2018 ha fatto emergere un quadro chiaro relativo ad una prima implementazione del Regolamento UE 679/2016, evidenziando carenze e punti di forza dell’attuale assetto di gestione delle tematiche legate alla privacy da parte di organizzazioni pubbliche e private. I risultati dell’indagine consentono a tutte le organizzazioni di fare un esame in merito all’applicazione del Regolamento nella propria operatività quotidiana. L’attenzione ai temi legati alla privacy è alta ma, come afferma il Garante I risultati dello sweep 2018 confermano che c’è ancora molto da fare -sia in Italia che all’estero- affinchè i principi a tutela della privacy vengano declinati correttamente nelle pratiche quotidiane, nei processi organizzativi e lungo tutta la catena decisionale nel settore pubblico e in quello privato”.

Per non perderti le novità e gli approfondimenti di Tonucci & Partners, iscriviti alle nostre newsletter

    Dichiaro di aver letto e compreso la Privacy Policy

    No Comments
    Leave a Reply