Visions

2 aziende su 3 non sono preparate per il Nuovo Regolamento UE Privacy

Mancanza di preparazione e consapevolezza” sulle nuove regole europee per la protezione dei dati, questa l’ardua sentenza di una ricerca di Dell.

I risultati dell’indagine

Tale ricerca evidenzia come “oltre l’80% degli intervistati sa poco o nulla, e meno di un terzo delle aziende è preparata” e soprattutto che “il 97% delle imprese non ha un piano per essere conforme al e solo il 9% dei professionisti IT e business è sicuro di essere pronto”.

Questi i risultati sorprendenti, ma non del tutto inattesi, soprattutto da parte degli addetti del settore della data protection, di una recentissimo sondaggio condotto su scala globale da Dimensional Research per conto di Dell e presentato dallo stesso produttore texano proprio nei giorni scorsi, che di fatto conferma quanto le aziende, sia di piccole che grandi dimensioni, conoscano molto poco o nulla i requisiti del nuovo Regolamento, non sappiano come prepararsi e soprattutto non siano al corrente dell’impatto delle non conformità sulla sicurezza dei dati e sullo stesso proprio business.

Più la ricerca entra nello specifico e più gli stessi dati da sorprendenti rischiano addirittura diventare allarmanti e preoccupanti stabilendo che “l’82% dei professionisti responsabili per la sicurezza dei dati presso PMI e grandi aziende sono impensieriti dall’esigenza di conformità al GDPR” e nonostante la maggior parte mostri una seria preoccupazione, gli stessi “non ne hanno la necessaria consapevolezza” e soprattutto “non sono preparati e non prevedono di esserlo” entro il 25 maggio del 2018, data in cui il GDPR troverà piena applicazione.

Il GDPR

Il nuovo pacchetto di riforma è interamente data centric, pensato proprio per un robusto e sostanziale rafforzamento della riservatezza e protezione dei dati personali che circolano liberamente nel territorio dell’Unione Europea e queste nuove regole impatteranno sul nuovo e unico mercato digitale coinvolgendo aziende, anche extra UE, e indipendentemente dalle loro dimensioni.

Queste sono anche le motivazioni per le quali la ricerca è stata effettuata su scala planetaria: 821 i responsabili privacy coinvolti; Nord America (USA e Canada), Asia Pacific (Australia, Hong Kong, Singapore e India) e Europa (Regno Unito, Germania, Svezia, Belgio, Paesi Bassi, Francia, Italia, Spagna e Polonia). Queste le regioni e i paesi interessati dal sondaggio al quale hanno contribuito anche aziende con meno di 100 dipendenti.

E in Italia?

Immaginabile la faticosa ricerca in Italia dei responsabili privacy, poiché la stragrande maggioranza delle aziende del nostro Paese, ed è un dato di fatto inconfutabile, è sprovvista di tale ruolo e relativa funzione, e diversamente dal comune pensiero questa carenza non è solo una peculiarità delle PMI, bensì anche di imprese ben più strutturate e di dimensioni maggiori. Stesso discorso anche per i responsabili IT, ove nella migliore delle ipotesi e fino a qualche anno fa, anche se con una serie seppur comprensibile di limitazioni e difficoltà, hanno cercato in qualche modo di recepire e poi forse mantenere la privacy compliance, figure professionali venute sempre meno nelle PMI a seguito dell’esternalizzazione pressochè totale dei servizi IT/ICT, professionisti oramai privilegio delle sole grandi imprese.

Contestualizzando tale ricerca calandola nel nostro contesto nazionale, questi risultati potrebbero essere addirittura fin troppo ottimistici per il nostro Paese, poiché addirittura “viziati” in positivo da scenari di data protection migliori e ben diversi dalla nostra specifica realtà: se così fosse allora saranno davvero in molti a doversi seriamente preoccupare, non solo le aziende, ma soprattutto gli interessati (soggetti privati la cui privacy dovrà essere tutelata e garantita).

A dimostrazione di quanto seria possa essere tale preoccupazione, secondo una recente indagine condotta da Compuware Corporation, il “64% delle aziende italiane non ha ancora attuato alcun piano per il recepimento del GDPR” e solo il “52% è in grado di eliminare dati in maniera sicura ed efficiente”. E la preoccupazione cresce inevitabilmente di fronte ad un altro risultato tra i più importanti di questa ricerca: “il 68% delle aziende italiane intervistate non conosce l’esatta ubicazione dei propri dati”. E lo sconforto accresce ancor di più di fronte alla relativa motivazione sostenendo che “la complessità dei moderni servizi IT e il Cloud ne sono la causa”, che sarebbe l’equivalente del sostenere la veridicità del remoto detto popolare “Si stava meglio, quando si stava peggio!”.

Conclusioni e suggerimenti

La tecnologia e il relativo utilizzo dovrebbero essere sinonimo di miglioramento e progresso, naturalmente se impiegata in maniera consapevole e responsabile, e non solo come un mero strumento di spending review che sposta poi eventualmente il prezzo da pagare su coloro che invece hanno diritto alla privacy.

Anche perché un prezzo da pagare e pure molto salato è anche previsto per le aziende con sanzioni che a seconda delle violazioni possono raggiungere i 10 e/o 20 milioni di euro, e qualora le stesse non potranno essere considerate adeguate sulla base di alcuni parametri, tali sanzioni potranno arrivare fino al 2 e/o 4 per cento dell’intero fatturato consolidato world wide.

Le sanzioni non saranno contenute o gestibili tramite un ravvedimento lieve e anche per tale ragione le aziende dovrebbero ben rendersi conto che la non conformità al GDPR impatterà fortemente sulla sicurezza dei propri dati e sul proprio business.

I crimini in rete sono sensibilmente aumentati, in Italia, del 30% nel solo 2015 e nel mondo valgono ben 500 miliardi l’anno: 12 le vittime al secondo del crimine on line. Tra queste sempre di più le aziende coinvolte e le nostre imprese dovranno necessariamente fare i conti con queste nuove minacce, e soprattutto nessuno dovrà sentirsi quale non potenziale e interessante bersaglio, tutti e nessuno escluso, in particolare le PMI proprio per i bassi livelli di sicurezza dei propri sistemi informativi.

Con lo sviluppo dell’economia digitale – spiega Soro, intervenuto settimana scorsa ad un convegno sulle novità del nuovo Regolamento di protezione – la vulnerabilità delle imprese è una vera emergenza” e “Le imprese dovranno ripensare tutti i processi e le modalità di gestione dei dati personali – ha sottolineato – con la consapevolezza che il rispetto delle norme è diventato un fattore abilitante e non un onere burocratico“.

Cosa fare allora?

Se l’attuale quadro normativo non è stato ancora recepito, o poco è stato fatto, non resta che procedere ad una mappatura dei flussi informativi e relativa analisi dei rischi che incombono sui dati e non solo di tipo personale, individuando tutti i soggetti interni ed esterni che concorrono al trattamento dei dati, adottare tutte le necessarie misure di sicurezze fisiche e logiche, recepire gli adempimenti non solo di natura formale (designazioni e nomine, informative e consensi, procedure, regolamenti, policy, etc.), ma soprattutto in maniera sostanziale per il tramite della loro applicazione, presidiare in maniera consapevole e con adeguate competenze, e soprattutto formazione continua tenendo in dovuta considerazione che i pericoli in termini di sicurezza spesso sono più interni che esterni. Il tutto ovviamente con un occhio già proiettato verso il nuovo Regolamento UE Privacy.

Se diversamente si è già dotati di un adeguato Modello Organizzativo Privacy, si renderà necessario procedere al cosiddetto Data Protection Impact Assessment (valutazione di impatto) come peraltro previsto dal GDPR e individuare i nuovi obblighi o il rafforzamento di quelli già attuali statuiti dalle nuove regole europee privacy al fine di un successivo adeguato recepimento.

In entrambi i casi, anche ove tale figura non fosse obbligatoria e previa valutazione, avvalersi di un Data Protection Officer (DPO), professionista con determinate caratteristiche e competenze interdisciplinari, che potrà garantire e mantenere adeguato il livello di conformità previsto dal GDPR.

I termini del nuovo Regolamento stanno già decorrendo visto che parliamo di legge già entrata in vigore, e le attività da farsi sono complesse e molteplici con un nuovo impianto sanzionatorio fortemente rafforzato.

La sicurezza e protezione dei propri dati devono essere una priorità come la stessa business continuity e il tutto volto anche alla mitigazione del rischio di potenziali data breach e relativi danni reputazionali, oltre che evitare salate sanzioni.

Rimandare all’ultimo minuto? Pensateci bene.

Francesco Traficante

Francesco Traficante

Data Protection Officer e Consulente Privacy Certificato ISO 17024 Bureau Veritas e TÜV Italia. Founder e CEO di MicroEll s.r.l. , soluzioni IT, consulenza e formazione in materia privacy, information security management, sicurezza IT e reati informatici.
Laureato in Scienze Politiche ad indirizzo Data Protection Officer e Privacy Specialist.

Facebook Twitter LinkedIn Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This