Di seguito riportiamo la nostra traduzione – da considerarsi, pertanto, unofficial – del comunicato stampa realizzato dall’Information Commissioner’s Office (ICO) del Regno Unito in qualità di autorità leader dell’indagine Sweep 2017 condotta dal Global Privacy Enforcement Network (GPEN). In fondo alla pagina sono consultabili i link ad alcuni comunicati stampa dei Paesi che hanno partecipato allo studio in relazione al proprio ambito di indagine.

Uno studio di carattere internazionale ha accertato che c’è bisogno di maggiore apertura, onestà e trasparenza nel modo in cui le imprese descrivono le modalità di trattamento dei dati nelle loro informative privacy online.

Un’indagine condotta da 24 Autorità per la protezione dei dati personali di tutto il mondo (ndr: tra cui il Garante italiano) – coordinate dall’ ICO del Regno Unito – ha concluso che “c’è un significativo margine di miglioramento per quanto attiene i dettagli specifici che devono essere indicati nelle comunicazioni in materia di privacy”.

Informative, comunicazioni e condotte di 455 siti web e app operativi in diversi settori (tra cui vendita retail, credito e finanza, viaggi, social media, giochi e scommesse, educazione e salute) sono stati analizzati per valutare se – dalla prospettiva dell’utente – risultasse chiaro quali informazioni siano precisamente raccolte, per quali scopi, e come esse siano trattate, utilizzate e condivise.

Nel complesso, il Global Privacy Enforcement Network (GPEN) ha tratto le seguenti conclusioni:

  • Le informazioni di privacy rese nei vari settori analizzati tendono ad essere vaghe, carenti di dettagli e comprensive di clausole generiche
  • La maggior parte di siti e app omette di informare gli utenti spiegando loro cosa accadrà ai loro dati una volta rilasciati
  • Le imprese sono generalmente chiare nel far capire quale tipo di informazioni intendono raccogliere dall’utente
  • Solitamente si manca di specificare i soggetti terzi con cui i dati saranno condivisi
  • In molti omettono di riferire circa il livello di sicurezza garantito ai dati raccolti e detenuti; spesso non c’è chiarezza circa il Paese in cui i dati saranno conservati e le tutele garantite
  • Oltre la metà dei soggetti esaminati ha indicato modalità per l’esercizio dei diritti di accesso ai dati da parte dell’utente

Il GPEN Sweep 2017 ha rivelato che alcuni siti e app fanno ancora riferimento a normative obsolete; altri che offrono servizi a livello internazionale non sono chiari in riferimento alla legge o alla giurisdizione applicabile.

Si è, inoltre, denotato che molti rivenditori che rilasciano ricevute o fatture elettroniche omettono di fornire sul proprio sito la benché minima informazione a riguardo.

I siti delle banche, infine, hanno evidenziato una carenza circa il livello di dettaglio delle proprie privacy policy (ndr: il Garante italiano ha precisato che, sul punto, i siti dei nostri istituti di credito rendono informazioni più adeguate e corrette).

L’ ICO Intelligence and Research Group Manager Adam Stevens ha affermato: “Le evidenze suggeriscono che – in riferimento i siti che noi e i nostri colleghi internazionali abbiamo esaminato – la gente non viene correttamente informata riguardo cosa succede ai loro dati una volta che sono raccolti. E’ importante che alle persone sia chiaro che loro possono avere il controllo delle proprie informazioni online”. E ancora: “Lavorare con i nostri partner esteri ci ha aiutato ad identificare che siamo innanzi ad un problema globale. Il GDPR entrerà in scena nel maggio 2018 e, per quel che abbiamo finora appurato, le imprese che vogliono far business ed operare nell’Area Economica Europea avranno molto lavoro da svolgere se non voglio infrangere le nuove regole”.

Alcune Autorità aderenti al GPEN forniranno ai titolari del trattamento delle linee guida per consigliarle su come migliorare condotte e pratiche in materia di privacy. Alcune di loro provvederanno anche a confrontarsi con i titolari per stabilire quali azioni migliorative possono essere intraprese al fine di elevare il controllo degli utenti sui propri dati personali.

Comunicati stampa di alcune Autorità partecipanti:

Canada

https://www.priv.gc.ca/en/opc-news/news-and-announcements/2017/nr-c_171024/ (English)

https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2017/nr-c_171024/ (Français)

Mexico

http://inicio.inai.org.mx/Comunicados/Comunicado%20INAI-350-17.pdf (Español)

New Zealand

https://privacy.org.nz/news-and-publications/statements-media-releases/nz-website-privacy-notices-could-do-better-to-inform-users-study/

United Kingdom

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/10/international-enforcement-operation-finds-website-privacy-notices-are-too-vague-and-generally-inadequate/