Il Garante Privacy pianifica 100 ispezioni: poche le società pronte al test di conformità al Gdpr

ROMA - Nell' agenda 2019 del Garante della privacy sono programmate oltre 100 ispezioni. I settori su cui si concentrerà in particolare la sua attenzione ispettiva sono istituti di credito, sanità, sistema statistico nazionale (Sistan), Spid, telemarketing, carte di fedeltà, grandi banche dati pubbliche.

Gli accertamenti programmati riguarderanno in primo luogo i trattamenti di dati effettuati dagli istituti creditizi, con particolare riferimento ai flussi legati all'anagrafe dei conti; i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca; la gestione delle carte di fidelizzazione da parte delle aziende; il rilascio dell'identità digitale ai cittadini italiani (Spid); il Sistema integrato di microdati (Sim) dell'Istat.

Gli ispettori passeranno al vaglio anche le misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati "particolari", gli ex dati "sensibili", il rispetto delle norme sull'informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati. Il garante potrà inoltre svolgere anche ispezioni d'ufficio o a seguito di segnalazioni o reclami.

Difficoltà a conformarsi al Gdpr da parte delle aziende

Le statistiche  dicono che in Italia, così come in Europa, le aziende stentano ancora a conformarsi al Gdpr. Uno studio della società internazionale di consulenza Gartner rileva infatti che solo 4 su 10 privacy manager ritengono le società di appartenenza preparate ad affrontare e governare il Regolamento Ue sulla protezione dei dati (fonte www.iapp.org), imputando questa sfiducia, anche alla volatilità di norme generiche.

Anche la ricerca Sweep 2018 (fonte www.garanteprivacy.it) non rassicura a questo riguardo:  circa un quarto degli organismi interrogati (356 soggetti pubblici e privati analizzati in 18 paesi) risulta privo di specifici programmi di autovalutazione o di monitoraggio interno delle norme in materia di protezione dei dati; oltre la metà dei soggetti presi in esame risulta disporre di procedure documentabili di risposta in caso di incidenti che riguardano la sicurezza dei dati, nonché di registrazioni aggiornate di tutti gli incidenti e le violazioni di sicurezza, tuttavia, molti organismi non hanno ancora procedure atte a rispondere adeguatamente a questi eventi. Peraltro quasi il 75% degli organismi coinvolti, a prescindere dal settore o dal paese di attività, ha designato un responsabile o una unità incaricati di garantire il rispetto delle norme in materia di protezione dei dati.

Siti dei comuni italiani, molti non ancora sicuri 

Non sono confortanti neppure le notizie riguardanti il nostro Paese. Stando a uno studio condotto dall'Osservatorio di Federprivacy, su 3 mila siti dei comuni italiani, tra le varie non conformità e altre carenze riscontrate, 1.435 di essi (47%) continuano a utilizzare connessioni non sicure basate sul vecchio protocollo "http", e per questo sono etichettati come non sicuri dai principali browser. 1.079 siti di comuni (36%) non rendono disponibili i dati di contatto del Responsabile della protezione dei dati (il Dpo, data protection officer), figura obbligatoria per tutte le pubbliche amministrazioni.

Il percorso è ancora lungo in altri settori. Uno studio condotto da Symantec su oltre 45 siti web, che gestiscono attivamente le prenotazioni di più di 1.500 hotel- quelli coinvolti nello studio si trovano distribuiti in 54 paesi, tra i quali figurano Stati Uniti, Canada e molte nazioni dell'Unione europea - ha rilevato che il 67% dei loro siti internet per le prenotazioni ha involontariamente perso i dati personali degli ospiti.