skip to Main Content
GPEN E DPA Nazionali Pubblicano I Risultati Sulla Responsabilità Della Privacy

GPEN e DPA nazionali pubblicano i risultati sulla responsabilità della privacy

Il 5 marzo 2019, la Global Privacy Enforcement Network (“GPEN”), una rete globale di oltre 60 autorità di protezione dei dati (“DPA”) in tutto il mondo, ha pubblicato i risultati dell’operazione di raccolta di informazioni del 2018 sulla privacy dei dati delle organizzazioni pratiche di responsabilità (la “spazzata”). Nella stessa data, alcuni DPA partecipanti hanno pubblicato i risultati dell’esercizio effettuato nelle rispettive giurisdizioni.

Lo Sweep è stato coordinato congiuntamente dall’Ufficio neozelandese del Privacy Commissioner (“OPC”) e dall’Information Commissioner’s Office del Regno Unito (“ICO”). È stato realizzato da 18 DPA in tutto il mondo per valutare in che misura le organizzazioni hanno implementato il concetto di responsabilità nelle proprie politiche e programmi interni sulla privacy. Questo concetto è esplicitamente richiesto dal Regolamento generale sulla protezione dei dati dell’UE (“GDPR”) e da altre leggi nazionali sulla protezione dei dati (come quelle di Canada, Messico, Columbia, Australia, Brasile e Singapore) ed è diventato un elemento chiave dei dati regolatori di protezione e orientamento del settore in generale.

I DPA partecipanti hanno contattato 667 organizzazioni con una serie di domande predeterminate incentrate sui seguenti elementi chiave: (1) l’importanza delle politiche e delle procedure e della governance interna; (2) formazione e consapevolezza sulla privacy; (3) trasparenza sulle pratiche relative ai dati; (4) la valutazione e l’attenuazione dei rischi per la privacy; (5) verifica e monitoraggio; e (6) gestione dei reclami e gestione degli incidenti.

Mentre molti DPA partecipanti hanno contattato le organizzazioni in un particolare settore o settori rilevanti per loro, alcuni DPA partecipanti hanno contattato organizzazioni in una vasta gamma di settori, come l’ICO, l’Irish Data Protection Commission e l’ufficio di Hong Kong del Privacy Commissioner for Personal Dati. In Francia, il responsabile della protezione dei dati francese (“CNIL”) ha deciso di controllare i responsabili del trattamento dei dati per determinare come rispettano i loro nuovi obblighi derivanti dall’applicazione del GDPR.

Delle 667 organizzazioni contattate, 356 organizzazioni hanno risposto. I DPA partecipanti hanno notato le seguenti tendenze a livello internazionale:

  • Politiche e procedure: circa la metà delle organizzazioni ha dichiarato di mantenere una politica sulla privacy interna in linea con i requisiti legali e che sarebbe in grado di dimostrare che le proprie pratiche quotidiane sono eseguite secondo questa politica.
  • Governance: quasi tre quarti delle organizzazioni di tutti i settori e giurisdizioni hanno nominato un individuo o un team dedicato responsabile di assicurare che la propria organizzazione rispettasse le norme e i regolamenti sulla protezione dei dati.
  • Formazione e consapevolezza: le organizzazioni sono generalmente risultate abbastanza brave nel fornire una qualche forma di formazione sulla protezione dei dati ai propri dipendenti. Alcune organizzazioni hanno fornito esempi di buone pratiche, rilevando che i sistemi di formazione online erano stati implementati e l’accesso alla rete sarebbe stato revocato se la formazione non fosse stata completata prima di una scadenza specificata. Tuttavia, è stato riscontrato che le organizzazioni spesso non sono state in grado di fornire una formazione di aggiornamento regolare o di fornire formazione ad alcuni dipendenti.
  • Monitoraggio: quando si tratta di monitorare le prestazioni interne in relazione agli standard di protezione dei dati, molte organizzazioni sono risultate inadeguate, con circa un quarto che hanno risposto senza programmi in atto per condurre autovalutazioni e / o audit interni. Le organizzazioni che hanno indicato di disporre di programmi di monitoraggio in genere hanno fornito esempi di buone pratiche, rilevando che conducono audit o revisioni annuali e / o periodiche autovalutazioni.
  • Trasparenza: una grande maggioranza di organizzazioni ha dichiarato di mantenere attivamente le politiche sulla privacy, che spiegano come gestiscono i dati personali e che sono spesso facilmente accessibili al pubblico. Meno del 10% delle organizzazioni ha risposto senza alcuna politica.
  • Reattività e gestione degli incidenti: oltre la metà delle organizzazioni intervistate ha dichiarato di aver documentato le procedure di risposta agli incidenti e di mantenere una documentazione aggiornata di tutti gli incidenti e le violazioni della sicurezza dei dati. Tuttavia, un certo numero di organizzazioni ha indicato di non disporre di processi per rispondere in modo appropriato in caso di incidente di sicurezza dei dati. È stato inoltre riscontrato che un certo numero di organizzazioni non disponeva di procedure per gestire i reclami e le domande sollevate dagli interessati.

Nel complesso, i DPA partecipanti hanno scoperto che alcune organizzazioni hanno una buona comprensione di come implementare e dimostrare la responsabilità, e molti stanno costruendo alcuni degli elementi della responsabilità. È tuttavia necessaria una migliore attuazione nei settori chiave della responsabilità.

A seguito dello Sweep, i singoli DPA possono contattare le organizzazioni nei propri paesi per valutare quali azioni correttive devono adottare per migliorare i controlli degli utenti sulle proprie informazioni personali. Inoltre, questa Sweep dimostra quanto sia importante per tutte le organizzazioni costruire e implementare un programma di gestione della privacy dei dati completo, coerente e sostenibile che incorpori i requisiti di privacy nel tessuto delle organizzazioni. Ci si aspetta che le organizzazioni siano sempre più in grado di dimostrare l’esistenza di tali programmi sia alle parti interessate interne, ai consigli di amministrazione e alla direzione che ai regolatori della privacy dei dati in tutto il mondo.

Per ulteriori informazioni sulle tendenze osservate a livello internazionale, consultare il rapporto internazionale completo . Per ulteriori informazioni sui risultati nazionali dello Sweep effettuato in Francia, Irlanda, Regno Unito e Hong Kong, consultare il comunicato stampa del CNIL , il Modulo di report dei risultati Sweep del DPC , il blog dell’ICO e il Rapporto di studio 2018 del PCPD su Implementazione del programma di gestione della privacy da parte degli utenti dei dati, rispettivamente.

 

FONTE: Office of the Privacy Commissioner for Personal Data, Hong Kong –  pcpd.org.hk

Back To Top