L'Accountability nelle PA: ancora troppe Carenze

L'Accountability nelle PA: ancora troppe Carenze


A otto mesi dall’entrata in vigore del GDPR le PA italiane hanno registrato importanti progressi nell’attuazione delle norme del regolamento europeo. Tuttavia per la piena realizzazione del principio di accountability la strada da percorrere è ancora molta.

 

A fornire questo quadro di luci ed ombre sono i risultati dell’attività svolta dal Garante italiano nell’ambito del privacy Sweep 2018: indagine internazionale che ha visto le autorità appartenenti al Global privacy enforcement network (GPEN) impegnate nella verifica del rispetto del principio di accountability in tutta Europa.



Privacy Sweep 2018: di cosa si tratta?

Il Privacy Sweep 2018 è l’indagine ad ampio raggio avviata lo scorso 20 settembre dal Global Privacy Enforcement Network (GPEN), con l’obiettivo di verificare in tutta Europa il rispetto del principio cardine del GDPR: l’accountability.

Le 18 autorità nazionali coinvolte all’interno dell’Unione Europea hanno lavorato autonomamente focalizzando le proprie attività di controllo e verifica su settori a propria scelta.

In tutti i paesi le indagini si sono concentrate sugli ambiti più sensibili e normalmente considerati a rischio in virtù della ordinaria raccolta di dati particolari. Ci riferiamo a turismo, salute, pubblica amministrazione e telecomunicazioni.



L’accountability nelle PA italiane

Il Garante Italiano ha effettuato il proprio screening su Regioni e Province autonome e società controllate per un’analisi che ha coinvolto complessivamente 19 soggetti pubblici e 54 società - in house, ossia dove la PA provvede da sè al perseguimento degli scopi pubblici senza attribuzione di compiti o servizi a operatori economici privati.

Nello specifico l’indagine ha riguardato cinque aspetti essenziali:

  1. governance della privacy;
  2. formazione, monitoraggio e consapevolezza;
  3. trasparenza;
  4. capacità di risposta e gestione degli incidenti di sicurezza;
  5. valutazione e monitoraggio dei rischi.

Ciò che emerso è un quadro complessivo non ancora soddisfacente, dove a buone prassi avviate si affiancano ancora carenze e lacune da colmare. Ora per ogni aspetto riportiamo le considerazioni più importanti.

Governance della privacy

Le regioni hanno incaricato una o più persone competenti in materia di governance e gestione della protezione dei dati personali a un livello gerarchico sufficientemente elevato nell’organizzazione. Tuttavia molte di queste non hanno ancora adottato una procedura interna per la gestione dei dati personali o non l’ha applicata correttamente nelle attività quotidiane.

Formazione, monitoraggio e consapevolezza

La maggior parte delle realtà analizzate riconosce l’importanza di un’adeguata formazione dei dipendenti in materia di protezione dei dati personali. Nel 40% dei casi, però, le organizzazioni non hanno attivato alcun monitoraggio per verificare l’attuazione di corrette pratiche nel trattamento dei dati personali.

Trasparenza

La trasparenza nel trattamento dati rappresenta uno dei parametri maggiormente rispettati. Il Garante ha evidenziato come le informative agli interessati siano sempre aggiornate e facilmente accessibili sebbene alcune organizzazioni si limitino a presentare la sola privacy policy del sito web.


Capacità di risposta e gestione degli incidenti di sicurezza

È il versante su cui si registrano maggiori carenze. Un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa la notifica all’Autorità e, in caso di rischio elevato per le libertà e i diritti degli interessati, la comunicazione a questi ultimi. Un quarto delle organizzazioni, inoltre, sembra non disporre di un registro per documentare le violazioni subite.

Infine, il 24% delle società e il 48% delle Regioni non ha ancora definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati o delle stesse Autorità.

Valutazione e monitoraggio dei rischi

Il 24% delle società in-house, ma addirittura il 58% delle Regioni, non hanno processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi.

Se vuoi approfondire una procedura standardizzata di calcolo del rischio di un trattamento che risponde alle richieste del GDPR guarda la nostra guida sul metodo ENISA, l’agenzia Europa per la sicurezza delle informazioni.

Il privacy sweep ha evidenziato come le pubbliche amministrazioni siano ancora in ritardo o parzialmente inadempienti rispetto ad alcuni obblighi del GDPR. Una situazione che sicuramente riguarda anche le realtà private. 

Quindi, se senti la necessità di verificare il livello di adeguamento della tua azienda non esitare a contattarci. Noi ci siamo

data-breach
 SCOPRI TUTTE LE NEWS SUL GDPR

Inizia con un account gratuito

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

Più di 500 clienti ci hanno già scelto
Nessuna carta di credito richiesta
Provalo per 14 giorni, senza limitazione
Cliccando il pulsante si accettano le condizioni di trattamento
Iscrizione effettuata con successo!
Si è verificato un errore imprevisto durante l'iscrizione. Riprova...