Lo scorso settembre le Autorità appartenenti al Global Privacy Enforcement Network (GPEN) hanno avviato un’indagine (SWEEP-2018) avente ad oggetto l’analisi del rispetto del principio di accountability (responsabilizzazione) introdotto in Europa con il Regolamento Generale per la Protezione dei dati Personali.
Il Garante italiano ha scelto di verificare l’osservanza del principio di responsabilizzazione da parte delle Regioni e delle Provincie autonome nonché delle società in-house.
In particolare, l’indagine ha riguardato 19 soggetti pubblici (Regioni e Province autonome) e 54 società in-house.
Dall’indagine è emerso che gli enti esaminati sono carenti, in particolar modo, nell’adozione di policy interne per la gestione dei dati personali e nell’elaborazione di procedure per la gestione delle richieste o dei reclami da parte degli interessati e per l’intervento in caso di “Data Breach”.
Inoltre in molti casi non sono stati adottati i documenti per la valutazione dei rischi sulla protezione dei dati personali (DPIA).
Nell’indagine, è stata considerata anche la formazione dei dipendenti ed è risultato che, pur riconoscendo l’importanza di un’adeguata formazione, il 40% delle organizzazioni non monitora la concreta attuazione delle corrette pratiche nel trattamento dei dati.
Discreti sono invece i risultati in relazione alla trasparenza.
Come sappiamo il Regolamento non stabilisce delle misure tecniche e organizzative, ma enuncia principi generali da osservare. Lo Sweep 2018 è il primo strumento che consente di capire se quanto è stato attuato in concreto sia o meno sufficiente a soddisfare il principio della responsabilizzazione.
Dallo Sweep 2018 emerge, ad esempio, che grande importanza viene data, giustamente, alla formazione del personale. Una corretta formazione consente di svolgere con consapevolezza le proprie mansioni quando queste includono anche il trattamento dei dati personali. La formazione iniziale non è sufficiente, ma è necessario valutare ed eventualmente aggiornare con costanza le conoscenze acquisite.
Grande importanza viene data anche alle procedure per la gestione delle richieste o dei reclami e per il data breach. Ricordiamo che la reazione al data breach deve essere immediata e che la risposta agli interessati deve essere data senza ingiustificato ritardo, o al più tardi, entro un mese dal ricevimento, per cui solo con procedure adeguate si possono rispettare questi termini così stretti.
Altro documento fondamentale è la valutazione dei rischi sulla protezione dei dati personali (DPIA).
Se ben predisposta, la DPIA è utile anche in caso di Data Breach, poiché permette una rapida valutazione del rischio e consente di stabilire le azioni per fronteggiare la violazione nonché se è necessario provvedere alla notifica (WP250 rev.01 del 06.02.2018).
La protezione dei dati personali è un processo che deve sempre essere monitorato ed aggiornato. Non è affatto sufficiente l’adempimento iniziale se si vuole essere davvero in regola.
Adesso è giunto proprio il momento per una revisione.
Il 19 maggio scade il periodo di transizione, previsto all’art. 22, comma 13, del D.lgs. 101/2018 in cui il Garante ha tenuto conto, ai fini dell’applicazione delle sanzioni “della fase di prima applicazione delle disposizioni sanzionatorie” per cui dopo tale data non ci saranno più giustificazioni.