Una ricerca dell’Osservatorio Security & Privacy consegna dati sconfortanti: solo un’impresa su cinque conosce il regolamento europeo in vigore il prossimo anno e pochissime hanno avviato un progetto per adeguarsi
Non siamo messi proprio bene per quello che riguarda la protezione dei dati personali, un ambito decisivo in una società caratterizzata dai rapidi cambiamenti tecnologici dovuti all’avvento del digitale. Solo un’azienda italiana su cinque conosce nel dettaglio le implicazioni del General Data Protection Regulation, il regolamento europeo sulla protezione dei dati personali. E sono pochissime, il 9%, quelle che hanno già strutturato un progetto per adeguarsi. Molte, ma non abbastanza, il 46%, hanno in corso un’analisi dei requisiti richiesti.
E’ vero e proprio grido d’allarme quello che viene dal Politecnico di Milano. Lo ha lanciato Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano nel corso del convegno “Il Nuovo Regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza”, promosso dall’Osservatorio in collaborazione con CLUSIT, CEFRIEL, DEIB e Europrivacy. Al convegno ha partecipato anche lAntonio Caselli, Responsabile dell’Unità Documentazione internazionale e revisione del quadro normativo Ue dell’Autorità Garante per la Protezione dei Dati Personali .
Scadenza: maggio 2018
C’è ancora una grave mancanza di attenzione alla protezione dei dati personali delineato dalla nuova normativa del GDPR (General Data Protection Regulation). E non manca molto tempo all’applicazione che inizierà tra poco più di un anno, il 25 maggio 2018 . Per poter realizzare le modifiche organizzative richieste dal regolamento europeo occorre coinvolgere il management delle aziende, sfruttando il tempo a disposizione per compiere tutte le analisi necessarie, per non giungere impreparati alla scadenza prefissata, evitando il rischio di commettere un illecito ed essere sanzionati da un’autorità amministrativa.
Il regolamento europeo
Il GDPR è stato approvato in via definitiva il 14 aprile 2016 e pubblicato il 4 maggio 2016 sulla Gazzetta Ufficiale dell’Unione Europea, è già realtà per gli Stati membri, ma si applicherà dopo due anni dalla data dell’entrata in vigore, in modo che i soggetti destinatari possano compiere tutte le azioni necessarie per mettersi in regola. L‘Osservatorio Security & Privacy del Politecnico di Milano ha svolto una ricerca tra settembre e novembre 2016 su come le imprese si stanno organizzando per adempiere agli obblighi derivanti dall’applicazione del General Data Protection Regulation, indagando la consapevolezza sulla normativa, il budget dedicato alle azioni, i cambiamenti organizzativi in atto e le azioni effettivamente realizzate.
Cosa stanno facendo le aziende italiane?
«La ricerca mostra uno scenario ancora in divenire – rileva Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy del Politecnico di Milano -: le imprese italiane stanno progressivamente prendendo confidenza delle implicazioni della nuova regolamentazione sulla protezione dei dati personali, ma la regolamentazione è ancora percepita perlopiù come un questione di carattere legale, di cui si conoscono in modo ancora poco chiaro le implicazioni concrete per le soluzioni di information security. È necessaria un’accelerazione per non farsi trovare impreparati alla scadenza del prossimo anno». Vediamo i dati .
Scarsa consapevolezza
Dalla ricerca risulta che la consapevolezza delle imprese sul GDPR è ancora limitata: per il 23% del campione le implicazioni non sono note in dettaglio nell’organizzazione, per il 22% sono note solo nelle funzioni specialistiche, ma non è ancora un tema all’attenzione del vertice. In quasi la metà delle organizzazioni (il 46%) è in corso un’analisi dei requisiti richiesti e dei piani di attuazione possibili, ma solo nel 9% è già in corso un progetto strutturato di adeguamento alla normativa. Solo in pochi casi esiste un budget dedicato (nel 7% con orizzonte pluriennale, nel 8% con orizzonte annuale); nel 35% dei casi sarà stanziato a breve, mentre nel restante 50% non è presente e non lo sarà neanche in futuro.
Pochi i cambiamenti oganizzativi
I cambiamenti organizzativi sono ancora limitati: nell’12% dei casi con la definizione di nuovi ruoli oppure con l’identificazione di un team di lavoro trasversale (9%); nel 34% dei casi non ci è ancora stato alcun cambiamento, ma sarà attuato nei prossimi 6 mesi; nel restante 45% non sono previste modifiche in futuro. Tra le principali azioni già avviate dalle organizzazioni vi sono l’assessment sui rischi privacy (42%), il coinvolgimento di consulenti esterni (39%), la definizione di responsabilità e owner di processo (26%), azioni informative verso Board e Top Management (25%), revisione profonda degli attuali sistemi di IT security (22%), ricerche e corsi di formazione (20%), definizione di nuovi processi decisionali e comportamentali (12%).
