del
8/3/2019
, sorgente
Garante Privacy | www.garanteprivacy.it
Il nuovo regolamento europeo sul trattamento dei dati è ormai entrato in vigore da un po’ di tempo, ma come si affronta l’adeguamento al GDPR nella pubblica amministrazione italiana? Le PA hanno registrato importanti progressi nell’attuazione delle norme del regolamento europeo ma per la piena realizzazione del principio di accountability la strada da percorrere è ancora molta.
Ci fornisce un quadro più chiaro della situazione, un quadro fatto di luci ed ombre, lo Sweep 2018, indagine internazionale che ha visto le autorità appartenenti al Global privacy enforcement network (GPEN) impegnate nella verifica del rispetto del principio di accountability in tutta Europa.
Privacy Sweep 2018: di cosa si tratta?
Il Privacy Sweep 2018 è l’indagine ad ampio raggio avviata il 20 settembre 2018 dal Global Privacy Enforcement Network (GPEN), con l’obiettivo di verificare in tutta Europa il rispetto del principio cardine del GDPR: l’accountability.
Le 18 autorità nazionali coinvolte all’interno dell’Unione Europea hanno lavorato autonomamente focalizzando le proprie attività di controllo e verifica su settori a propria scelta.
In tutti i paesi le indagini si sono concentrate sugli ambiti più sensibili e normalmente considerati a rischio per la mole e la tipicità dei dati raccolti, e cioè: turismo, salute, pubblica amministrazione e telecomunicazioni.
L’accountability nelle PA italiane
Il Garante Italiano ha deciso di concentrarsi sulle Pubbliche Amministrazioni, effettuato il proprio screening su Regioni e Province autonome e società controllate. Complessivamente sono state coinvolto 19 soggetti pubblici e 54 società - in house, cioè società dove la è la stessa PA a provvedere autonomamente agli scopi pubblici, senza coinvolgere o affidare compiti o servizi a realtà private.
L’indagine ha riguardato cinque aspetti essenziali:
- governance della privacy;
- formazione, monitoraggio e consapevolezza;
- trasparenza;
- capacità di risposta e gestione degli incidenti di sicurezza;
- valutazione e monitoraggio dei rischi.
Il quadro complessivo emerso non è ancora soddisfacente. In molti casi, prassi avviate correttamente vengono affiancate da carenze e lacune ancora da colmare. Vi proponiamo le considerazioni più importanti, per capire insieme quali sarebbero i passi da compiere.
Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.
Governance della privacy
Le regioni hanno incaricato una o più persone competenti in materia di governance e gestione della protezione dei dati personali, persone correttamente collocate a un livello gerarchico sufficientemente elevato nell’organizzazione. Nonostante ciò, ancora molte regioni non hanno adottato una procedura interna per la gestione dei dati personali o non l’hanno applicata correttamente nelle attività quotidiane.
Formazione, monitoraggio e consapevolezza
La maggior parte delle realtà analizzate riconosce l’importanza di un’adeguata formazione dei dipendenti in materia di protezione dei dati personali. Contemporaneamente, però, nel 40% dei casi le organizzazioni non hanno attivato alcun monitoraggio per verificare che le pratiche nel trattamento dei dati personali vengano attuate correttamente dagli stessi dipendenti.
Trasparenza
La trasparenza nel trattamento dati rappresenta uno dei parametri maggiormente rispettati. Il Garante ha evidenziato come le informative agli interessati siano sempre aggiornate e facilmente accessibili sebbene alcune organizzazioni si limitino a presentare la sola privacy policy del sito web.
Capacità di risposta e gestione degli incidenti di sicurezza
È il versante su cui si registrano maggiori carenze. Un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza (che includa la notifica all’Autorità e, in caso di rischio elevato per le libertà e i diritti degli interessati, la comunicazione a questi ultimi). Un quarto delle organizzazioni, inoltre, sembra non disporre di un registro per documentare le violazioni subite.
Infine, il 24% delle società e il 48% delle Regioni non ha ancora definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati o delle stesse Autorità.
Valutazione e monitoraggio dei rischi
Il 24% delle società in-house, ma addirittura il 58% delle Regioni, non hanno processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), soprattutto in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi.
L’agenzia Europea per la sicurezza delle informazioni ha messo a punto un metodo ENISA per il calcolo del rischio, perfettamente in linea con le richieste del GDPR. Ne abbiamo parlato qui, creando una semplice guida.
GDPR nella pubblica amministrazione, ancora molto lontano.
Il privacy sweep ha evidenziato come le pubbliche amministrazioni siano ancora in ritardo o parzialmente inadempienti rispetto ad alcuni obblighi del GDPR. Una situazione che sicuramente riguarda anche le realtà private ma da cui si deve correre ai ripari al più presto per non trovarsi impreparati di fronte a criticità e verifiche delle autorità.
E tu? Senti la necessità di verificare il livello di adeguamento della tua azienda? Contattaci e lo valuteremo insieme.