Sassonia: verifiche GDPR su 50 organizzazioni

Sassonia verifiche GDPR dell'Autorità Protezione Dati

L’Autorità per la protezione dei dati della Bassa Sassonia ha condotto, nei mesi scorsi, un audit di verifica, sulla GDPR compliance, su 50 organizzazioni di grandi e medie dimensioni inviando loro un questionario da compilare (questionario disponibile qui in tedesco).

L’obiettivo principale dell’audit non è stato quello di emettere sanzioni bensì di capire dove le organizzazioni hanno ancora lacune in merito alla conformità con il GDPR e di conseguenza cercare di sensibilizzare e fornire indicazioni utili.

Il questionario comprende 10 categorie di domande e circa 200 criteri di conformità al GDPR.

Categoria di domande Principali criteri di conformità al GDPR
Preparazione del GDPR • In che modo la vostra organizzazione si è preparata per il GDPR?

• Quali dipartimenti della vostra organizzazione sono stati coinvolti nella preparazione del GDPR?

• La vostra organizzazione ha formato i dipendenti sul GDPR?

Registri delle attività di trattamento • In che modo l’organizzazione ha creato i registri per tutte le attività di trattamento necessarie?

• In che modo l’organizzazione garantisce l’aggiornamento dei registri?

Basi legali per l’elaborazione dei dati • Quali sono le basi legali per le attività di elaborazione della vostra organizzazione?

• L’organizzazione tiene traccia dei consensi avuti?

Diritti dell’interessato • Quali processi ha adottato l’organizzazione per garantire che gli interessati possano far valere i propri diritti ai sensi del GDPR?

• Spiegare, in particolare, in che modo l’organizzazione rispetta i propri obblighi informativi.

Sicurezza dei dati • In che modo la vostra organizzazione implementa le misure tecniche e organizzative (MTO) necessarie per garantire un livello di sicurezza adeguato ai rischi?

• In che modo la vostra organizzazione garantisce che tali misure siano all’avanguardia?

• In che modo l’organizzazione garantisce che disponga di un concetto di autorizzazione documentato per le applicazioni IT attuali e future?

• In che modo l’organizzazione garantisce che i requisiti di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita siano implementati nel processo di creazione o modifica di beni o servizi?

Valutazione dell’impatto sulla protezione dei dati (DPIA) • In che modo l’organizzazione riesce a riconoscere che un’attività di elaborazione richiede una DPIA?

• Per quali attività di elaborazione la vostra organizzazione ha stabilito che è necessaria una DPIA?

Accordi sul trattamento dei dati • La vostra organizzazione ha aggiornato gli accordi/contratti esistenti con i responsabili del trattamento dei dati?

• Gli accordi/contratti soddisfano tutti i requisiti richiesti dal GDPR?

Responsabile della protezione dei dati (DPO) • In che modo il DPO è integrato nella vostra organizzazione?

• La vostra organizzazione ha documentato che il DPO ha una conoscenza sufficiente della protezione dei dati?

• Il DPO è stato comunicato all’autorità di controllo?

Notifiche di violazione dei dati • Qual è il processo della vostra organizzazione per garantire la notifica di violazioni dei dati entro i termini legali?
Accountability • In che modo la vostra organizzazione dimostra la conformità ai requisiti sopra elencati?

 

I risultati ottenuti a seguito dell’ audit sono stati pubblicati alcuni giorni fa in un rapporto riepilogativo (Rapporto disponibile in tedesco qui).

Sintesi dei risultati del rapporto

Nel rapporto le organizzazioni controllate sono state classificate utilizzando i colori del semaforo:

Verde (= soddisfacente): 9 organizzazioni

Giallo (= quasi insufficiente): 32 organizzazioni

Rosso (= molto  insufficiente): 8 organizzazioni

Il Rapporto evidenzia soprattutto gli elementi di conformità al GDPR che ancora risultano problematici.

Nella maggior parte dei casi si è riscontrato un forte carenza nella sicurezza IT e delle valutazioni d’impatto (DPIA); un media carenza per quanto riguarda la gestione dei Registri delle attività di trattamento, consenso, diritti dell’interessato.

E poca carenza nel campo degli incarichi/contratti di trattamento dei dati, data protection officers (DPO), notifica di violazioni dei dati, accountability.

Il rapporto nel dettaglio.

Per la sicurezza IT è stata riscontrata un mancanza di comprensione di ciò che il GDPR richiede effettivamente in materia di sicurezza (ad esempio, approccio basato sul rischio), mancanza di comprensione dei concetti di Protezione dei dati fin dalla progettazione e Protezione per impostazione predefinita.

Anche per la DPIA ci sono grossi problemi che tipicamente sono: una conoscenza insufficiente per esempio in merito alla necessità o meno di condurre una valutazione d’impatto; mancanza di un approccio sistematico; i DPO che non hanno effettuato la DPIA; descrizioni insufficiente dei fatti riguardanti le complesse attività di elaborazione dei dati (solo mezza pagina); mancanza di misure per affrontare i rischi identificati.

Altra nota dolente per i Registri delle attività di trattamento. Scarsa conoscenza del processo di aggiornamento per i detti registri. Non è stato possibile identificare le procedure standard (ad esempio, per il funzionamento di un sito Web o la gestione delle domande di lavoro). Mancanza delle informazioni di contatto (ad esempio del DPO).

Per il Consenso è stato verificato che i trattamenti dati sono basati sul consenso anche quando potrebbero basarsi su altre condizioni giuridiche di cui all’articolo 6 del GDPR.

Inoltre è stata riscontrata mancanza di granularità e  mancanza di informazioni sulla revoca del consenso.

Per i Diritti dell’interessato si è visto il proliferare del “copia e incolla” selvaggio delle pagine di privacy policy senza che le stesse siano state adattate alle specifiche realtà delle aziende, come pure una conoscenza insufficiente in merito all’interesse legittimo e bilanciamento degli interessi ed una scarsa conoscenza relativamente alla verifica dell’interessato e alla fornitura di copie dei dati personali trattati in relazione alle richieste di accesso.

Per il Data Processing Agreement (gli accordi per il trattamento dei dati personali) si è vista scarsa o assente conformità con le linee guida dell’Autorità (per esempio riguardo alla manutenzione dei sistemi IT).

Per il DPO le organizzazioni non hanno preteso nessuna prova delle sue conoscenze specialistiche.

Per la notifica delle violazioni dei dati è stata riscontrata una mancanza di regole chiare sulla responsabilità per la gestione del data breach.

Conclusioni

Sicuramente la Checklist dell’Autorità tedesca è uno valido strumento molto utile alle aziende che vogliano verificare la compliance al GDPR in quanto evidenzia i principali argomenti su cui le autorità di vigilanza potrebbero concentrarsi.