Quick read
A Marzo 2019 sono stati pubblicati gli esiti dell’indagine internazionale condotta dal GPEN -Global Privacy Enforcement Network – per verificare il rispetto del Principio di accountability tra centinaia di organizzazioni in tutto il mondo.
Dall’indagine che ha coinvolto 18 Autorità (DPAs) e 356 organizzazioni, emerge un quadro ancora non soddisfacente dove in molti casi non erano stati previsti processi dedicati alla trattazione dei reclami o delle richieste degli interessati o meccanismi idonei a gestire adeguatamente eventuali violazioni alla sicurezza dei dati. Analizziamo nel dettaglio il rapporto per capire come il Titolare può concretamente rispettare tale principio.
Close examination
Il GPEN è un network mondiali delle DPAs – Data Protection Authorities – per la cooperazione e rafforzamento delle leggi sulla protezione dati a livello globale.
L’investigazione ha coinvolto 18 DPAs e su 356 Organizzazioni di diversi settori, sia pubblici che privati, dalla sanità alle telecomunicazioni dall’educazione alla manifattura.
Cinque sono gli indicatori che secondo il GPEN misurano il rispetto del Principio di accountability delle organizzazioni:
- Politiche, procedure e governance
- Monitoraggio, Formazione e consapevolezza
- Trasparenza
- Incident Management
- Risk Assessment, Documentazione e Flussi dati.
Andiamo ad analizzare per i singoli capitoli i risultati dell’indagine:
Politiche, procedure e governance
Il 50% delle organizzazioni ha sviluppato e implementato un framework di controllo ovvero un insieme di politiche, procedure e controlli, per il trattamento dati interno all’organizzazione mentre il 33% stava implementando o, aveva parzialmente implementato le proprie politiche. Tali politiche non sono da confondere con le informative sul trattamento dati ma di fatto descrivono quello che è il sistema di governo della protezione dati in azienda.
A livello organizzativo il 67% ha dichiarato di aver identificato una figura interna responsabile per la protezione dati DPO e/o figure similari a livello di senior management. Un 27% aveva designato un DPO ma nessuna figura a livello di senior management con responsabilità sulla conformità. Solo il 6% ha dichiarato di non aver identificato figure con responsabilità per la protezione dati.
Monitoraggio, Formazione e consapevolezza
Il 50% delle organizzazioni ha dichiarato di formare i propri dipendenti anche con richiami periodici sia in tema privacy sia in tema di sicurezza dei dati . Il 38% invece pur avendo formato il proprio personale non ha definito piani di aggiornamento periodici, mentre il 9% ha dichiarato di non aver formato il proprio staff.
Il 36% ha dichiarato di eseguire regolarmente attività di self-assessment e audit per misurare e rivedere le proprie performance in merito alla normativa sul trattamento dati.
Questo ultimo aspetto è molto importante e spesso sottovalutato in quanto, soprattutto a livello italiano, dobbiamo digerire il fatto che il GDPR mette in primo piano la prevenzione e la verifica continua del sistema con la progettazione dei trattamenti (privacy by design e by default) e la verifica delle misure di sicurezza.
Trasparenza
In merito alle policy volte all’esterno ed in particolare agli interessati (informativa sul trattamento dati) le organizzazioni nel 55% dei casi hanno risposto di avere un’informativa aggiornata e facilmente disponibile al pubblico mentre il 31% questa potrebbe non essere aggiornata e mancare di alcuni elementi previsti dalla normativa e/o non essere facilmente disponibile ai propri alle parti interessate. Solo il 9% dichiara di non pubblicare politiche sul trattamento dati al pubblico. Su questo aspetto molto importante ricordare alcune delle regole d’oro che rendono un’informativa conforme ovvero deve essere concisa, trasparente, intellegibile, di facile accesso con linguaggio semplice e chiaro. Riferimenti normativi, caratteri piccoli e frasi generiche o prolisse rendono di fatto inefficace l’informativa e quindi non conforme.
Incident Management
Le organizzazioni sono state interrogate in merito alle procedure di incident management comprendendo anche le procedure per la gestione delle violazioni di dati personali e la comunicazione alle parti interessate. Il 52% delle organizzazioni ha dichiarato di avere delle procedure documentate per l’incident management. Circa il 44% disponeva di misure chiare per rispondere alle richieste degli interessati e ben organizzati per rispondere a quesiti da parte delle Autorità Garanti. Punto di partenza fondamentale nella gestione degli incidenti è la conoscenza di quando un incidente di sicurezza può trasformarsi in una possibile violazione dati. L’organizzazione intera quindi tutti i dipendenti devono poter identificare un possibile incidente di sicurezza e avere altrettanto chiaro come e a chi segnalare l’evento. Da un report di IBM emerge che in media in Italia impieghiamo 213 giorni per identificare un data breach.
Risk Assessment, Documentazione e Flussi dati
Su questa area emerge una debolezza marcata delle organizzazioni anche nelle percentuali di risposta. Infatti, su 356 organizzazioni che hanno partecipato all’investigazione solo 287 hanno fornito risposte a questa sezione. Di queste 287 il 46% (il 38% del totale) ha indicato di avere dei processi documentati per la valutazione del rischio associato all’uso/introduzione di nuovi prodotti, servizi, tecnologie o nuove attività di business. Il 19% delle organizzazioni ha dimostrato di avere scarsa o nessuna comprensione dell’importanza della valutazione dei rischi associati con l’introduzione di cambiamenti all’interno dell’organizzazione.
Siamo ancora lontani dall’aver appresso l’importanza del principio della privacy by design che dovrebbe innestarsi by default nella gestione dei progetti di introduzione o modifica di processi/ tecnologie o business. Anche l’adozione di un risk based thinking è ancora dura dall’essere un comune modo di valutare le scelte di adozione e valutazione delle misure di sicurezza.
I dati a livello italiano
A livello italiano sono stati coinvolti 19 soggetti pubblici tra Regioni e Province e 54 Società partecipate. La situazione rilevata è similare a quella internazionale con una larga maggioranza di organizzazioni 4/5 che dichiara di avere delle procedure per la protezione dei dati personali e di aver identificato delle figure responsabili della conformità idonee e ad un livello gerarchico sufficientemente elevato.
Più scarsi i risultati in merito alla formazione delle persone dove il 40% delle organizzazioni non hanno posto in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento di dati personali.
Action to do
- Instaurare un’organizzazione per il trattamento dati (Ruoli, compiti, funzioni)
- Stabilire processi snelli ma chiari per migliorare la gestione delle richieste degli interessati
- Definire processi per la gestione degli incidenti, delle violazioni dati e delle comunicazioni a Autorità Garante e interessati
- Valutare attentamente i rischi cui sono soggetti i dati trattati soprattutto in caso di cambiamenti organizzativi, di processo o tecnologici all’interno dell’organizzazione
- Valutare periodicamente la conformità del sistema di protezione dei dati personali e l’efficacia delle misure di sicurezza.
