Al comune di Roma la privacy è un’optional

Hacker’s Dictionary. La Capitale non ha un Data Protection Officer per tutelare la privacy e i dati personali dei cittadini-utenti, ma le nostre regioni non stanno meglio. Lo dice un rapporto internazionale cui ha partecipato anche l’Autorità italiana guidata da Antonello Soro

di ARTURO DI CORINTO per Il Manifesto del 7 Marzo 2019

Il Comune di Roma si è dotato di un esperto di bitcoin ma non di un Data Protection Officer, il “difensore della privacy” previsto dal nuovo Regolamento europeo sulla protezione dei dati personali nota come GDPR. Il funzionario precedentemente incaricato di assolvere a questa delicata funzione è andato in pensione a dicembre e non è ancora stato sostituito. Eppure ogni modulo scaricabile dal sito comunale riporta i riferimenti telefonici ed email per contattarlo, pur senza riportarne il nome.

Il mancato adeguamento alla nuova normativa sulla privacy non è un problema solo della capitale d’Italia. In seguito a un’indagine svolta da 18 garanti europei, sono molto le realtà che su questo fronte arrancano.

Come parte di questa indagine il Garante ha effettuato un monitoraggio delle Regioni italiane ed ha documentato che il 24% delle società da queste partecipate e il 48% delle Regioni stesse non hanno ancora definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità.

Un quinto delle regioni non ha ancora adottato una procedura interna per la gestione dei dati personali nell’organizzazione o non l’ha applicata correttamente nelle attività quotidiane. Quasi tutte, però, hanno incaricato una o più persone competenti in materia di governance e gestione della protezione dei dati personali, a un livello gerarchico sufficientemente elevato nell’organizzazione.

Invece, per quanto riguarda il monitoraggio dei rischi, il 24% delle società in-house, e il 58% delle Regioni non hanno processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi anche se la maggior parte dei soggetti analizzati ha creato un registro dei trattamenti effettuati.Nel 40% dei casi, infine, le organizzazioni non hanno posto in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali.

Gli enti evidenziano carenze in merito alla gestione degli incidenti di sicurezza – i Data Breach – tanto che un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti che includa, tra l’altro, la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi. Un quarto delle organizzazioni, inoltre, sembra non disporre di un registro per documentare le violazioni subite.

Questi dati proiettano un’ombra su quella che doveva essere una buona notizia. Proprio ieri il Garante privacy Antonello Soro e il generale Gennaro Vecchione a capo del Dipartimento Informazioni per la Sicurezza hanno infatti sottoscritto un nuovo Protocollo d’intenti sulla protezione dei dati personali nelle attività di sicurezza cibernetica.

Il documento, revisionato per consentire l’adeguamento al GDPR e alla direttiva “law enforcement”, mira a favorire un’agevole interlocuzione tra le due istituzioni attraverso lo scambio di informazioni e la promozione di buone pratiche di sicurezza cibernetica. In base agli accordi il Garante inoltrerà al DIS le notizie di data breach rilevanti ai fini della sicurezza cibernetica ricevute dai soggetti tenuti alla notifica in caso di violazione dei dati personali. Tutto questo per “aumentare la resilienza del Sistema Paese e la tutela dei diritti dei cittadini”, e favorire il “necessario equilibrio tra libertà e sicurezza che costituisce il fondamento primario di ogni democrazia.”

A patto di esserne informati, in tempo.