A quasi un anno di distanza dall’entrata in vigore del GDPR, qual è lo stato di accountability di Regioni, province e società controllate?
Oggi possiamo dare una risposta ufficiale a questa domanda: l’Autorità Garante per la privacy ha infatti pubblicato un interessante resoconto dell’indagine denominata “privacy sweep 2018″ .
Un rapporto dettagliato, che deve mettere in guardia anche le aziende private: la dice lunga sulle capacità di screening dell’Autorità in fase di revisione e controllo, anche in questo periodo di transizione (di prima applicazione delle disposizioni sanzionatorie, quando il Garante avrà insomma una mano più leggera, come richiesto dalla norma).
Ricordiamo, prima di procedere a una panoramica sulle criticità riscontrate, che si tratta di uno screening internazionale avviato dalle Autorità per la protezione dei dati personali aderenti al GPEN (Global Privacy Enforcement Network) per verificare il rispetto del principio di accountability, introdotto in Europa dal GDPR, all’interno degli Stati.
Ogni Autorità coinvolta ha portato avanti in maniera autonoma e su di un settore specifico a scelta la rilevazione sottoponendo ad analisi quelli considerati a più alto rischio, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni.
Le criticità riscontrate dal Garante italiano
L’Autorità italiana, ha concentrato i propri sforzi di indagine nel settore pubblico e più specificatamente ha preso come campione 19 tra Regioni e provincie autonome e 54 società in-house scelte tra quelle che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico.
Il risultato dello Sweep ha indicato punti di criticità più o meno comuni in tutti gli Stati. Restringendo il campo all’Italia, il Garante, pur rilevando esempi di buone prassi, ha lamentato, una serie di criticità che spaziano in diversi campi d’azione e più precisamente, le carenze rilevate riguardano soprattutto questi cinque aspetti:
Governance della privacy
Sono state scarsamente implementate o applicate correttamente nelle attività quotidiana le procedure interne di gestione dei dati personali;
Formazione, monitoraggio e consapevolezza
Il 40% delle società in-house non ha posto in essere attività di monitoraggio e di valutazione della consapevolezza degli aspetti relativi al trattamento dei dati;
Trasparenza
Le informative, seppur aggiornate e accessibili sono sembrate limitarsi (in alcuni casi) in una semplice privacy policy del sito web;
Capacità di risposta e gestione degli incidenti di sicurezza
Due sono gli aspetti gravi rilevati dall’autorità garante:
- La scarsità di policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità (il 24% delle società e il 48% delle Regioni).
- La mancanza di procedure di risposta agli incidenti di sicurezza (le cosiddette reazioni al Data Breach);
Valutazione e monitoraggio dei rischi
La mancanza di processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA).
Il commento del Garante
Insomma, per utilizzare le stesse parole del presidente dell’Autorità Garante:
“Il nuovo Regolamento Ue in materia di privacy ha valorizzato in maniera determinante la “funzione sociale” della protezione dei dati personali, attribuendo un ruolo chiave e una più marcata responsabilità ad aziende e pubbliche amministrazioni.
I risultati dello sweep 2018 confermano che c’è ancora molto da fare – sia in Italia, sia all’estero – affinché i principi a tutela della privacy vengano declinati correttamente nelle pratiche quotidiane, nei processi organizzativi e lungo tutta la catena decisionale nel settore pubblico e in quello privato.
La nostra Autorità continuerà a svolgere, con la massima attenzione, le proprie funzioni di controllo e correttive, nonché di promozione della consapevolezza del valore dei dati”.
Questa indagine, rappresenta, quindi, una testimonianza molto importante dell’alacre lavoro condotto dal Garante per la protezione dei dati personali nonostante ci si trovasse nel periodo dei primi otto mesi previsti dal decreto di armonizzazione e cioè in quella “fase di prima applicazione delle disposizioni sanzionatorie” (art. 22 comma 13 del d.lgs 101/2018).
Pur non avendo lo sweep, (e aggiungerei anche fortunatamente per gli Enti e le società in-house coinvolte), come obiettivo la repressione degli illeciti ma la rilevazione di uno stato di consapevolezza e di applicazione delle disposizioni in materia di privacy, rappresenta un ottimo benchmark di quanto approfondite siano le capacità di screening dell’Autorità in fase di revisione e controllo.
Per cui, in attesa che arrivi il 19 maggio 2019 e cioè la scadenza del periodo di prima applicazione il mio consiglio è: cominciate a prendere sul serio gli adempimenti.
