di Nicola Penna ♦ Quattro mesi. Riusciranno le aziende italiane, manifatturiere comprese, ad adeguarsi alle nuove regole UE sul trattamento dei dati ? Per IDC il ritardo è già preoccupante. Che cosa fare: i suggerimenti di Microsoft
Deadline 25 maggio 2018, e poi scatteranno le contromisure per chi non si adegua. Si parte dall’ ammonizione, nel caso di una prima mancata osservanza non intenzionale, fino ad arrivare alle sanzioni, che vanno dai dieci milioni di euro fino al 4 per cento del volume d’affari a seconda dei casi. Il Regolamento europeo GDPR– General Data Protection Regulation – 2016/679 è l’apparato normativo che tutela i dati personali e che entrerà in vigore tra pochi mesi. Il GDPR guarda alla così detta Economia 4.0 per la quale sono stati previsti rilevanti vantaggi fiscali in caso di investimenti, a fronte dell’esercizio adeguato della tutela dei dati. Questi ultimi possono essere di tipo personale (e appunto il Regolamento europeo GDPR- General Data Protection Regulation – 2016/679 è l’apparato normativo che li tutela) e non personale (i così detti non personal machine generated data) attualmente non disciplinati specificatamente e che sono tutelati come diritti di proprietà intellettuale, o come Data bank protection oppure come Trade secret. Concentriamoci sui primi.
Un approccio innovativo e nuove figure aziendali
Come dicevamo, il GDPR richiede, soprattutto alle Pmi, un approccio innovativo. Tutelare la privacy impone che in azienda venga diffusa una cultura dell’Accountability, della responsabilità incondizionata. Centrali, in questa chiave, saranno le figure che questa cultura devono costruire, diffondere e controllare. E sono figure già previste, ma anche da prevedere. Il GDPR impone alle aziende la figura del Responsabile dati privacy (Rdp) ma soprattutto quella del Data protection Office (Dpo), figure che potranno anche eventualmente coincidere in un unico ruolo interno. Il Dpo in ogni caso dovrà avere sia competenze legali e normative che di sistemi informatici e delle misure di sicurezza aziendali.
Qual è il punto di partenza?
Diventa quindi importante, per chi non lo ha ancora fatto, predisporre un vero e proprio piano per la compliance al GDPR, che deve partire, oltre che dalla awareness sulle misure previste, da un adeguato grado di consapevolezza sullo stato dell’arte e dalla conseguente adozione di una dotazione tecnologica di strumenti tali da garantire l’ossequio delle nuove norme. Dell’argomento Industria Italiana ha già parlato diffusamente ( vedi qui ), e si sono succeduti ultimamente diverse indagini ed elaborazioni per tastare il polso alle aziende nazionali a riguardo. L’ultima in ordine di tempo è firmata IDC, e rivela che, nell’ ambito di un quadro eterogeneo del grado di preparazione, ben il 43% delle imprese italiane sopra i 10 addetti non ha ancora predisposto un vero e proprio piano per la compliance al GDPR.
Avanti PA e finanza, il manifatturiero in ritardo
Secondo le nuove elaborazioni IDC, messe a punto per per Microsoft, solo il 3% delle realtà con più di 10 addetti è compliant, il 43% ha appena iniziato l’analisi e il 54% ha già un piano per la conformità. In alcuni settori strategici, come quello finanziario e come la Pubblica Amministrazione, si registra un maggior tasso di compliance, rispettivamente il 10% e l’8%, e una maggiore presenza di roadmap già definite per l’adeguamento, rispettivamente nel 76% e 85% dei casi. Mentre in altri settori altrettanto strategici, come il Manufacturing e i Servizi, è più alta la percentuale delle aziende che hanno da poco iniziato ad affrontare il problema, rispettivamente il 53% e il 60%. Un quadro che si conferma anche tra le realtà più grandi sopra i 250 addetti, non solo italiane, ma anche europee: secondo IDC il ritardo è spesso dovuto alla percezione di alcuni requisiti della nuova normativa quali vere e proprie sfide tecnologiche e organizzative.
I costi e le sfide tecnologiche e organizzative da affrontare
Nello specifico, se si guarda al mercato italiano, oltre la metà delle imprese evidenzia come particolarmente impegnativi i requisiti tecnici, quali l’obbligo di notifica dei data breach entro 72 ore (70%), la necessità di implementare in modo sempre più strategico soluzioni di crittografia e/o anonimizzazione dei dati (60%), e la definizione di casi d’uso specifici nella gestione del consenso (48%). Al contempo i processi organizzativi ritenuti più impegnativi dalle aziende italiane sono la classificazione di tutti i dati (67%), la sensibilizzazione dei dipendenti ai cambiamenti nelle policy di sicurezza (62%), e l’eliminazione dei dati irrilevanti (62%).
Cambiamenti importanti che naturalmente comportano anche dei costi e oltre 2 imprese italiane su 3 concordano sui driver degli investimenti relativi ai progetti di compliance: la creazione di nuovi processi di documentazione (70%) e le attività di comunicazione interna e formazione (69%) vengono considerati i principali oneri. Altrettanto importante il peso di investimenti per soluzioni di Identity and Access Management (66%), per la mappatura dei dati (65%) e per l’aggiornamento dei processi di back-up (64%). Uno scenario di luci e ombre, ove la mancanza di risorse e competenze può rappresentare un ostacolo alla compliance. Che cosa si può fare? Nella prospettiva che l’esigenza di adeguamento alla normativa perdurerà oltre la data del 25 maggio 2018, Microsoft, tra gli altri, ha sviluppato alcuni strumenti per supportare le aziende italiane nel percorso verso la conformità.
Un test di autovalutazione
Innanzitutto ha reso disponibile un test di autovalutazione online gratuito, per consentire alle aziende di verificare il proprio grado di preparazione rispetto ai requisiti del GDPR e iniziare a definire un piano verso la compliance. Appoggiandosi sul proprio ecosistema di 10.000 partner sul territorio, l’azienda offre consulenza a realtà di qualsiasi settore e dimensione attraverso un modello di adeguamento strutturato in 4 tappe, seguendo un percorso progressivo che prevede di:
1. Identificare quali dati personali si possiedono e dove risiedono;
2. Gestire gli accessi e il modo in cui i dati vengono usati;
3. Stabilire controlli di sicurezza per prevenire, rilevare e risolvere vulnerabilità e violazioni;
4. Conservare la documentazione necessaria e gestire le richieste di dati e notifiche delle violazioni.
Con l’obiettivo di offrire risorse utili per la consapevolezza e la formazione delle aziende, Microsoft ha anche organizzato il Microsoft 365 Circle, un ciclo di webinar online accessibili anche on demand per restare sempre aggiornati sulle nuove tecnologie, tra cui sono già disponibili video e contenuti multimediali sul tema Cybersecurity e GDPR.
Il GDPR come occasione per salvaguardare la sicurezza
Carlo Mauceli, National Technology Officer di Microsoft Italia, ricorda che «Secondo l’ultimo Rapporto Clusit, oltre il 50% delle organizzazioni mondiali ha subito almeno un attacco grave e qualsiasi organizzazione, indipendentemente da dimensione o attività, rischia di subire un attacco informatico di entità significativa nei prossimi mesi. L’Italia è al 4° posto per le minacce a livello globale e la criminalità informatica pesa sull’economia nazionale. In questo scenario le sfide sono molte e la nuova normativa europea per la tutela dei dati personali deve essere vista come un’opportunità per ripensare il proprio approccio alla Cybersecurity e dare avvio a un percorso di Trasformazione Digitale che non trascuri l’elemento imprescindibile della Privacy e della Sicurezza a supporto di una crescita di lungo termine».
Le soluzioni Microsoft
Microsoft offre alle aziende soluzioni in linea con i requisiti del GDPR e i propri device e software sono dotati di funzionalità di gestione delle identità e degli accessi, di protezione delle informazioni, di tutela dalle minacce cyber e disaster recovery, e di gestione degli strumenti di sicurezza. Tra queste soluzioni, sulle quali Industria Italiana si propone a breve di tornare in maniera più approfondita, segnaliamo in particolare il Cloud di Microsoft, che integra alcune nuove funzionalità per aiutare le aziende ad essere in linea con i requisiti del GDPR, come Azure Information Protection per la tracciatura dei documenti o Office 365 Advanced Data Governance per gestire in modo intelligente i dati aziendali classificandoli. Anche Microsoft 365, la nuova suite che include strumenti per la creatività e la collaborazione quali Office 365, Windows 10 ed Enterprise Mobility + Security, aiuta le aziende a proteggere i dati personali dalla perdita, dall’accesso e dalla divulgazione non autorizzati, rispettando i nuovi standard per la trasparenza e privacy.
[…] https://www.industriaitaliana.it/gdpr-parte-il-conto-alla-rovescia-ma-oltre-meta-delle-aziende-sono-… […]