Per Regioni, Province autonome e società controllate non è ancora completo il rispetto del principio di responsabilizzazione (accountability).
Questo è ciò che è emerso dall’indagine internazionale avviata a settembre 2018 su 18 paesi dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN). Il fine dell’indagine era proprio quello di verificare il livello di applicazione del principio di responsabilizzazione. Il principio, conosciuto anche come “principio di accountability” è stato introdotto in Europa con il GDPR e prevede l’adozione di comportamenti proattivi e che dimostrino la concreta adozione delle misure finalizzate ad assicurare l’applicazione del regolamento.

Dall’indagine è emerso che la maggior parte delle imprese e degli enti pubblici analizzati vanta una buona comprensione dei concetti base del principio di responsabilizzazione, tuttavia il livello di concreta attuazione di politiche e programmi specifici a tutela della privacy non risulta ancora soddisfacente. Oggetto dell’indagine del Garante per la privacy italiano sono stati 19 soggetti pubblici (Regioni e Provincie autonome) e 54 società in-house.

L’indagine ha registrato un progressivo miglioramento nelle misure adottate dagli enti pubblici per tutelare la privacy, tuttavia il 24% delle società e il 48% delle Regioni non ha ancora adottato processi specifici per la trattazione dei reclami o delle richieste degli interessati ed un quinto delle organizzazioni non ha ancora gli strumenti idonei a gestire eventuali attacchi alla riservatezza dei dati. Buoni invece i risultati per quanto riguarda la trasparenza nel trattamento dei dati: le informative sono risultate generalmente aggiornate e facilmente accessibili, nonostante alcuni enti si limitino a presentare la sola privacy policy del sito web.

Per quanto riguarda la valutazione e il monitoraggio dei rischi il 24% delle società in-house, e ben il 58% delle Regioni non si è ancora dotato di processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi. Inoltre un quinto delle Regioni dovrebbe migliorare il proprio sistema di tracciamento dei dati personali comunicati o trasmessi a terzi.

Un altro campo analizzato è stato quello della formazione dal quale è emerso che sebbene la maggior parte delle Regioni e delle società in-house siano consapevoli dell’importanza di un’adeguata formazione dei dipendenti in materia di protezione dei dati personali, nel 40% dei casi non hanno implementato alcun tipo di monitoraggio sull’attuazione di corrette pratiche nel trattamento dei dati personali.

Riferimenti
• Indagine internazionale sul rispetto della privacy – Sweep 2018: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9088164