GDPR e Principio di Accountability: serve un passo avanti per Regioni, Province e Società Controllate

 Superato il momentaneo smarrimento legato all’emanazione del GDPR risalente al 25 Maggio 2018, è arrivato il momento di esaminare, dati alla mano, i primi risultati e capire qual è stata la reazione, nell’ambito delle P.A., a livello nazionale di Regioni e Province autonome.

I risultati dell’indagine “sweep”, ovvero dei controlli a tappeto condotti dall’ Autorità garante per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN), sono stati divulgati il 5 Marzo e delineano un quadro nel quale emerge che le norme di base del GDPR sono state ben comprese ma che ancora si necessita di stabilire procedure e documentazioni solide.

Per l’Italia sono stati analizzati 19 soggetti pubblici e 54 società in-house ed il quadro rispecchia, come vedremo più avanti, l’andamento dei principali paesi in fatto di adeguamento alla nuova normativa.

Il dato più significativo però sembra essere quello legato al concetto, per alcuni ancora avvolto nel mistero, di accountability.

Vediamo dunque di che si tratta e perché è necessario maggior impegno.

Principio di Accountability: responsabilità ma non solo

Il termine accountability viene tradotto in italiano con principio di responsabilizzazione ma significa letteralmente “dover rendere conto del proprio operato”.
Questa prima puntualizzazione chiarisce già che non si tratta solo di un’assunzione di responsabilità ma va ben oltre, sino al dover render conto, ovvero dimostrare in maniera tangibile, la capacità di tutelare pienamente e con efficienza i diritti e le libertà degli interessati.

Su questa fase “documentale” quindi sono state riscontate numerose lacune, tra le più importanti la mancanza di processi documentati relativi alla valutazione dei rischi sulla protezione dei dati personali (Dpia) riconducibile al 24% delle società in-house ed il 58% delle Regioni.  Sempre relativamente alla produzione di documenti, ben un quarto delle organizzazioni non dispone di un registro che testimoni le violazioni subite.
In ultimo, anche se meno rilevante ma da non sottovalutare, la necessità di tenere traccia anche dei dati personali comunicati o trasmessi a terzi.

L’art.5 del decreto parla in maniera ancora più chiara e inequivocabile riferendosi alla necessità di “’aver fatto e il poter dimostrare di aver fatto tutto il possibile per evitare il danno”.

Organizzazione interna e formazione: consapevolezza ma poca attuazione

Si potrebbe dire che gli Italiani sono risultati ben preparati in materia di GDPR, la maggioranza delle regioni e delle società in-house ha infatti provveduto ad incaricare una o più persone competenti in materia di governance e gestione della protezione dei dati personali ed inoltre hanno espresso la consapevolezza della necessità di una formazione in questo ambito.
Fin qui, si potrebbe dire, sono solo belle parole. I fatti però dimostrano tutt’altro: un quindi delle regioni non ha ancora adottato una procedura interna per la gestione dei dati personali o se l’ha fatto non l’ha mai applicata. A ciò si aggiunga che il 40% delle regioni e società in-house non hanno previsto un monitoraggio o un’analisi autovalutativa per il percorso di formazione del proprio personale ed inoltre, cosa più grave, non hanno preventivato dei (necessari) corsi di aggiornamento.

GDPR e gestione degli incidenti di sicurezza: la nota dolente

Quando si parla di GDPR è fondamentale tenere sempre presente l’età della norma che, emanata neppure un anno fa, può ancora essere considerata una norma “senza vittime”. Di fatto i casi ufficiali relativi alla sua violazione sono pochi, o per lo meno poco conosciuti, e per questo motivo probabilmente molte società hanno sottovalutato i rischi ad essa collegati.

Questo atteggiamento ha portato un clima di apparente tranquillità che ha fatto dimenticare al 24% delle società in-house ed al 48% delle regioni la necessità di elaborare e documentare una procedura che gestisca richieste o reclami da parte degli interessati.

Gli incidenti di sicurezza, i Data Breach, se mal gestiti possono provocare non pochi problemi a livello legale, è quindi fondamentale dotarsi di una procedura in via preventiva. Questa può includere la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi.

GDPR e Trasparenza: la nota positiva

In questa fase embrionale di approccio alla norma ancora, in cui i dati non sembrano sorridere alle organizzazioni esaminate, spicca un elemento univoco sulla trasparenza: accesso alle informazioni concernenti ogni aspetto dell’organizzazione e dei processi metodologici del Modello privacy.
È risultato che la quasi totalità tra regioni e società ha dimostrato di fornire dati chiari e ben decifrabili. Le informative sono aggiornate e facilmente raggiungibili ma molti non si sono spinti oltre e si sono limitati alla sola condivisione della propria privacy policy.

GDPR e Principio di Accountability: la situazione Internazionale

Sebbene mal comune non sia mai mezzo gaudio in questo caso possiamo dire che l’Italia risulta essere al passo con i risultati discreti, ma non ottimi, riportati nel resto del mondo. Il GPEN ha esaminato 356 soggetti tra pubblici e privati conducendo le sue indagini in 18 paesi. L’ispezione avvenuta in Italia ha rappresentato ben 1/5 della totalità degli enti sottoposti ad indagine.

Le problematiche riscontrate al di fuori del Bel Paese ad ogni modo sembrano essere le stesse:

  • Il 75% degli organismi esaminati, in riferimento a tutti i settori ed i paesi, ha dimostrato di aver nominato un responsabile al trattamento dei dati personali (definito in linguaggio tecnico DPO ovvero Data Protection Officer). Bisogna però sottolineare che la nomina di questa figura è definita obbligatoria dalla legge;
  • Probabilmente all’estero è stata registrata una maggiore attenzione nel processo di formazione del personale, ma si riscontra una non attuazione di attività di monitoraggio e/autovalutazione insieme al mancato aggiornamento;
  • Sono invece positivi i dati legati a quegli enti che hanno attuato e documentato processi di monitoraggio e corsi di formazione a cadenza per lo più annuale;
  • Oltre il 50% degli enti dimostra di avere provveduto all’attuazione di procedure di risposta in seguito alla segnalazione di un incidente che riguarda la sicurezza dei dati, inoltre si sono dotati di un documento interno per la catalogazione ed archiviazione di incidenti, reclami e violazioni in materia di sicurezza. Resta tuttavia scoperta la metà degli enti, sprovvisti di procedure assolutamente necessarie.
    Quest’ultimo punto è forse il più positivo ma anche il più lontano dalla realtà del nostro paese, il quale dovrebbe cominciare a guardare verso nazioni più ligie al dovere, per trarne esempio.

Hai dubbi o curiosità sulla normativa GDPR ed il principio di Accountability? Contattaci!

Scopri i nostri servizi in materia di GDPR e Privacy

Gestione degli obblighi previsti dal GDPR Privacy per la protezione dei dati e del business di Professionisti e aziende, formazione e adozione di misure adeguate di Data Protection e Cybersecurity. “SCOPRI DI PIÙ” 

Condividi questo articolo

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email