copia&incolla

GPPR: tutti pronti per maggio 2018?

Il nuovo Regolamento europeo sulla Data Protection (), che sostituirà la Legge sulla Privacy attualmente in corso in Italia, è sotto i riflettori. La scadenza del 25 maggio 2018, quando entrerà in vigore, è vicina: le aziende interessate sono pronte? Quali gap devono ancora colmare?

Sottovalutare l’importanza del GDPR e la necessità di adottare misure organizzative o tecniche per proteggere i dati personali significa esporsi a sanzioni, che possono arrivare a cifre importanti, fino a 20 milioni di euro o al 4% del fatturato globale annuo. Nonostante manchino pochi mesi, ricerche recenti hanno infatti messo in luce il ritardo o la mancanza di informazioni aggiornate sugli adempimenti e sulle misure da adottare.

SB Italia, società specializzata in soluzioni IT per la gestione, l’integrazione e l’ottimizzazione dei processi aziendali, ha recentemente promosso un sondaggio dedicato alle imprese che desiderano conoscere il proprio livello di preparazione in tema di GDPR. La ricerca mira a ritrarre il profilo del comportamento delle aziende nei confronti dell’adeguamento al GDPR, al fine di individuare le aree dove c’è ancora bisogno di supporto. E sono molte.

Per prima cosa è importante essere consapevoli dei cambiamenti che ci attendono e dei costi per eventuali negligenze. Secondo i primi dati raccolti da SB Italia, soltanto il 15,6% degli intervistati ritiene che i vertici aziendali e i principali responsabili del business siano pienamente consapevoli del cambiamento indotto dal GDPR, il 50% pensa che lo siano solo in parte, mentre il 10% afferma che non lo siano per niente. Dal lato della consapevolezza dei rischi, sembra che ci sia maggiore attenzione: alla domanda “in azienda c’è consapevolezza che il “costo” di una mancata compliance al GDPR porta a sanzioni molto più elevate, nei casi più gravi fino a 20 milioni di euro, o se superiore, fino al 4% del fatturato annuo?” ha risposto positivamente il  71,88%.

Le aziende dovranno poter dimostrare di aver applicato misure e processi per essere compliant. Alla domanda se, in azienda, sia stato definito una struttura completa di procedure per fornire supporto e direzione alle attività di compliance alla nuova norma, risponde di no quasi la metà degli intervistati, il 40%, a testimonianza di come, ancora, non ci sia nelle aziende una visione globale della normativa e di tutto quello che sarà necessario fare per poterla rispettare.

Sul lato della conoscenza dei dati interessati dalla nuova normativa, il 62,07% degli intervistati afferma che la propria azienda ha documentato quali siano i dati personali in uso, da dove provengono questi dati e con chi sono condivisi. Afferma, inoltre, che è stato pianificato un audit informativo attraverso l’organizzazione per creare una mappa completa dei flussi dei dati.

Il GDPR sottolinea come gli utenti abbiano diritto a sapere come sono raccolti i loro dati personali, come vengano utilizzati e per quali scopi, quali possono essere gli usi secondari e a quali terze parti possono essere comunicati. Alla domanda se l’azienda abbia aggiornato le proprie procedure per ottenere il consenso degli individui e se abbia reso trasparenti le proprie attività di raccolta dei dati, poco più della metà ha affermato che, in parte, l’azienda è pronta, mentre il 24% ha dichiarato di no. Solo il 16% si dichiara completamente pronto.

L’azienda, inoltre, deve essere in grado di gestire, con apposite procedure, eventuali richieste degli individui di poter accedere ai propri dati personali, come richiesto dal GDPR. Per il 32% degli intervistati, il sistema attuale non è ancora pronto a gestire le richieste, il 32% afferma di esserlo in parte, mentre il 24% del tutto. Sempre per quanto riguarda la gestione interna dei dati sensibili, sembra che le aziende siano pronte: si dichiarano pronte in tutto il 38,8 %, e in parte 44,4% per quando riguarda l’adozione di misure per permettere l’accesso solo alle persone autorizzate per prevenire danni o utilizzi non conformi dei dati. Solo il 4,4% dichiara che la propria azienda non è ancora pronta.

Di fronte al rischio di un attacco, le aziende quanto sono pronte? Alla domanda se l’azienda si sia dotata di una procedura per la gestione di un incidente informatico con furto o modifica di database di dati personali e se abbia predisposto opportune procedure per notificare le autorità competenti e gli individui un preoccupante 48% dichiara di non essere pronto a questa evenienza.

Per prevenire eventuali attacchi, è importante mantenere sempre aggiornato il proprio software aziendale. Sul fronte delle procedure per la gestione degli aggiornamenti software alla domanda “L’azienda dispone di una procedura per gli aggiornamenti software, per evitare l’utilizzo malevolo di eventuali vulnerabilità nel software?” il 94% degli intervistati si dichiara pronto, in tutto o in parte.

Buona appare anche la situazione della sicurezza dello : la totalità degli intervistati afferma che l’’azienda dispone di misure e tecnologie per prevenire la perdita, il furto, la compromissione dei dati personali, mentre l’88,88% afferma che sì, l’azienda è pronta (del tutto o in parte).

Anche per quanto riguarda le difese , sembra che la situazione nelle aziende sia buona: alla domanda se l’azienda si sia dotata di efficaci difese antivirus/antimalware per proteggere i dati nei sistemi informatici, il 55% dichiara che la propria azienda è pronta del tutto, mentre il 33% in parte.

Infine, per quanto riguarda il mobile working, alla domanda se l’azienda disponga di misure e policy per la sicurezza di notebook, smartphone, collegamenti in rete, dati personali trattati e conservati, il 55,56% afferma che sì, in parte l’azienda è pronta, mentre l’11,11% degli intervistati afferma che l’azienda non è ancora pronta per quanto concerne questo aspetto. 

Corrado Dati, Business Unit Manager IT Service Management di SB Italia dichiara: “Dai nostri dati emerge una forte criticità nella corretta gestione dei dati personali: le aziende devono lavorare ancora molto per assicurare la piena trasparenza e definire i flussi interni. Per noi di SB Italia l’approccio di fronte al GDPR deve essere globale: occorre che le aziende abbiano una chiara visione di insieme della normativa, in modo da assicurare il pieno rispetto delle regole e da poter gestire in modo organico ed efficiente l’intero flusso dei dati, dalla raccolta alla cancellazione. Ciò che risulta invece ben chiaro a tutti è l’entità gravosa di eventuali sanzioni.

L’implementazione di un sistema di gestione e compliance come il GDPR – continua Dati – può inoltre essere preso come spunto di miglioramento dalle Aziende che hanno in programma una revisione dei requisiti, delle procedure e della messa in atto di contromisure per la salvaguardia della custodia delle informazioni. L’introduzione e l’adeguamento al GDPR permette inoltre di regolamentare e rafforzare le misure minime di sicurezza, potenziando i controlli per la prevenzione di perdite o furto di informazioni (data breach, data loss prevention, ecc), non solo riguardanti i dati personali delle persone fisiche, ma anche in una visuale più allargata inerente ai copyright, proprietà intellettuali, progetti. Per tutti questi motivi crediamo sia necessario fare informazione e affidarsi a professionisti competenti”.

Copia & Incolla: perché questo titolo? Perché i contenuti di questa categoria sono stati pubblicati SENZA ALCUN INTERVENTO DELLA REDAZIONE. Sono comunicati stampa che abbiamo ritenuto in qualche modo interessanti, ma che NON SONO PASSATI PER ALCUNA ATTIVITÀ REDAZIONALE e per la pubblicazione dei quali Tech Economy NON RICEVE ALCUN COMPENSO. Qualche giornale li avrebbe pubblicati tra gli articoli senza dire nulla, ma noi riteniamo che non sia corretto, perché fare informazione è un’altra cosa, e li copiamo ed incolliamo (appunto) qui per voi. 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This