Indagine del Garante Privacy sul rispetto del principio di responsabilizzazione da parte di Regioni, Province autonome e...
Il Garante Privacy ha analizzato, nell’ambito dall’indagine a carattere internazionale (“sweep 2018”) avviata dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN) per verificare il rispetto del principio di responsabilizzazione (“accountability”), 19 soggetti pubblici italiani (Regioni e Provincie autonome) e 54 società in-house italiane che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico.
Da tale indagine risulta che:
- nel 40% dei casi, le Regioni e le società in-house non hanno posto in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali;
- il 24% delle società in-house e il 48% delle Regioni non hanno definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità;
- un quinto di tali organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa, tra l’altro, la notifica al Garante Privacy e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi;
- il 24% delle società in-house, e addirittura il 58% delle Regioni, non hanno adottato processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi.
Questa indagine, oltre a evidenziare un livello di revisione e controllo delle procedure interne particolarmente approfondito da parte del Garante Privacy, deve mettere in guardia anche le aziende private.
Sia i soggetti pubblici che i privati, infatti, devono impregnarsi affinché i principi a tutela della privacy vengano declinati correttamente anche e soprattutto nelle pratiche quotidiane, nei processi organizzativi e lungo tutta la catena decisionale.