Privacy Sweep 2019: il Global Privacy Enforcement Network fa il punto sulla gestione dei data breach

Pubblicati dal Garante per la protezione dei dati personali i risultati del “Privacy Sweep 2019”, l’iniziativa coordinata dal Global Privacy Enforcement Network (Gpen), che quest’anno ha visto la partecipazione di 16 autorità garanti (tra cui quella italiana) nello svolgimento di un’indagine dedicata alle procedure adottate, per la gestione delle violazioni dei dati personali, da soggetti pubblici e privati.

Secondo quanto riportato sul sito del Garante, dall’inchiesta è emerso che l’84% dei soggetti intervistati nei diversi Paesi hanno designato un’equipe per la gestione dei data breach nonché per la ricezione delle relative segnalazioni. Inoltre, nel 75% dei casi le procedure prevedono fasi essenziali (i.e. attività di contenimento, di valutazione e di analisi dei rischi associati) e il 65% degli organismi dispone di procedure buone o eccellenti in caso di violazione dei dati al fine di prevenire quelle future; per il rimanente 35%, le procedure previste risultano insufficienti o non vengono specificate. Gli organismi che hanno risposto di non avere policy interne in caso di data breach hanno specificato di fare riferimento agli orientamenti forniti dalla competente Autorità di protezione dati, ove necessario. Altri dati raccolti mostrano che il 45% circa degli organismi tengono registri aggiornati di tutte le violazioni (anche di quelle potenziali).

Si rileva altresì che in 12 dei 16 Paesi che hanno partecipato allo Sweep sono previsti obblighi di notifica delle violazioni di dati: al riguardo, la quasi totalità degli organismi interpellati conosce il quadro giuridico di riferimento – compresi i criteri e le tempistiche per tale notifica – e la maggioranza di essi giudica utili le indicazioni fornite in merito dalle rispettive Autorità.

Meno positivi i risultati relativi al monitoraggio della performance interna, con riguardo agli standard in materia di protezione dei dati: oltre il 30% delle strutture, infatti, non dispone di programmi per l’autovalutazione né per la conduzione di audit interni.

A corredo di quanto precede, è peraltro opportuno segnalare che i dati analizzati tengono conto di un cluster di intervistati relativamente esiguo: infatti, sebbene siano stati interpellati 1145 soggetti, soltanto il 21% (258) ha fornito risposte puntuali. Tra i motivi ipotizzati dai coordinatori dello Sweep riguardo al limitato numero di soggetti che ha deciso di rispondere alle domande dell’inchiesta, c’è anche il timore che, nei Paesi dove la segnalazione dei data breach è obbligatoria, i Garanti nazionali avrebbero potuto avviare attività di accertamento e sanzione sulla base delle risposte fornite