Sono state effettuate indagini internazionali in 18 Paesi, inerenti al rispetto del principio di accountability, vale a dire di responsabilizzazione, affermato dal GDPR.
Il Presidente dell’Autorità Garante italiano ha sottolineato la mancanza dell’impegno, da parte di Regioni, società controllate e Province autonome, per il rispetto di tale principio, che, secondo l’indagine a tappeto a carattere internazionale intrapresa dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network, GPEN, per verificare il rispetto del principio di responsabilizzazione, necessita ancora di molto lavoro al fine della piena comprensione ed attuazione.
Dal report si evince che, nonostante molti enti pubblici ed imprese, analizzati dalle Autorità, ivi inclusa quella italiana, abbiano compreso i concetti base del principio di responsabilizzazione, rimangono rilevanti carenze verso l’effettiva e concreta realizzazione di particolari programmi e politiche a tutela dei dati personali.
Nell’ambito di tale ricerca è stata data facoltà alle Autorità europee, di scegliere liberamente uno specifico settore di analisi, (ad esempio telecomunicazioni, salute, etc., e il Garante italiano ha optato per l’analisi delle Provincie autonome, delle Regioni e delle rispettive società controllate che svolgono importanti trattamenti di dati personali per l’esercizio di compiti di pubblico interesse, occupando oltre un quinto delle 356 organizzazioni in tutto il mondo, oggetto di indagine
La protezione dei dati, oramai, ricopre una funzione sociale, imponendo alle pubbliche amministrazioni ed alle aziende una maggiore responsabilità, ma i processi relativi all’attuazione della reale tutela dei dati, non vengono ancora effettuati correttamente.
Nonostante ciò il Garante italiano ha riscontrato un miglioramento nelle misure adottate dagli enti pubblici, sottolineando il prosieguo delle attività di controllo ed ispettive, oltre alla promozione sulla consapevolezza del valore dei dati.
Dall’analisi effettuata è risultato che un quinto delle Regioni non ha ancora adottato una procedura interna per la gestione dei dati personali nell’organizzazione o non l’ha applicata correttamente nelle attività quotidiane; la maggior parte delle Regioni ha compreso l’importanza della formazione privacy ai dipendenti, ma ancora non è stata messa in atto, almeno nel 40% dei casi, l’attuazione di pratiche corrette per i trattamenti; viene garantita un’idonea trasparenza sul trattamento, tramite informative agli interessati, le quali sono aggiornate ed accessibili, ma alcune organizzazioni sembrano limitarsi a presentare solo la privacy policy del sito web; è emersa una grave criticità sul fatto che il 24% delle società ed il 48% delle Regioni, non abbiano procedure o policy per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità; vi sono carenze in merito alla gestione dei ”Data Breach”, infatti un quinto delle organizzazioni non ha ancora una procedura in tal senso, che includa, peraltro, la notifica all’Autorità, la comunicazione agli interessati ed il registro che documenti le violazioni subite; per alcune società, addirittura per il 58% delle Regioni, non sono stati rinvenuti processi documentati per la valutazione dei rischi sulla protezione dei dati personali, DPIA, in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi; molti dei soggetti analizzati ha redatto un registro dei trattamenti effettuati, ma alcune Regioni dovrebbero tenere traccia dei dati trasmessi o comunicati a terzi.
Molti organismi hanno designato un responsabile o un’unità per garantire il rispetto delle norme, è presente la formazione ma non l’aggiornamento della stessa.
Un quarto degli organismi manca di programmi di autovalutazione o monitoraggio interno relativo alla protezione dei dati, mentre quelli che hanno adottato tale monitoraggio risultano seguire delle buone prassi, come attività periodiche di autovalutazione.
Dei soggetti presi in esame, alcuni dispongono di procedure documentate in risposta ad eventuali incidenti per la sicurezza dei dati, ma molti organismi non dispongono di procedure necessarie per rispondere in maniera idonea a tali eventi.
