Solo il 27% delle imprese conosce gli obblighi della nuova normativa sulla protezione dei dati personali che entrerà in vigore a maggio del 2018, appena il 9% ha già avviato un progetto per adeguarsi

eugdpr

Solo un’azienda italiana su cinque conosce nel dettaglio le implicazioni del General Data Protection Regulation, il regolamento europeo sulla protezione dei dati personali. E sono pochissime, il 9%, quelle che hanno già strutturato un progetto per adeguarsi. Mentre molte, ma non abbastanza, il 46%, hanno in corso un’analisi dei requisiti richiesti. I dati dell’Osservatorio Security & Privacy del Politecnico di Milano parlano chiaro: c’è ancora una grave mancanza di attenzione alla protezione dei dati personali delineato dalla nuova normativa del GDPR che sarà applicata tra poco più di un anno, da maggio 2018. Per poter realizzare le modifiche organizzative richieste dal regolamento europeo occorre coinvolgere il management delle aziende, sfruttando il tempo a disposizione per compiere tutte le analisi necessarie, per non giungere impreparati alla scadenza prefissata, evitando il rischio di commettere un illecito ed essere sanzionati da un’autorità amministrativa.

È l’allarme lanciato da Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano al convegno “Il Nuovo Regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza”, promosso dall’Osservatorio in collaborazione con CLUSIT, CEFRIEL, DEIB e Europrivacy.

Al convegno, a cui ha partecipato anche l’Antonio Caselli, Responsabile dell’Unità Documentazione internazionale e revisione del quadro normativo Ue dell’Autorità Garante per la Protezione dei Dati Personali, è stato illustrato il quadro della nuova normativa che entrerà in vigore nel mese di maggio del 2018. Il regolamento europeo è stato approvato in via definitiva il 14 aprile 2016 e pubblicato il 4 maggio 2016 sulla Gazzetta Ufficiale dell’Unione Europea. Il GDPR è già realtà per gli Stati membri, ma si applicherà dopo due anni dalla data dell’entrata in vigore, in modo che i soggetti destinatari possano compiere tutte le azioni necessarie per mettersi in regola. Cosa stanno facendo le aziende italiane?

L’Osservatorio Security & Privacy del Politecnico di Milano ha svolto una ricerca tra settembre e novembre 2016 su come le imprese si stiano organizzando per adempiere agli obblighi derivanti dall’applicazione del General Data Protection Regulation, indagando la consapevolezza sulla normativa, il budget dedicato alle azioni, i cambiamenti organizzativi in atto e le azioni effettivamente realizzate. “La ricerca mostra uno scenario ancora in divenire – rileva Alessandro Piva, direttore dell’Osservatorio Security & Privacy del Politecnico di Milano -: le imprese italiane stanno progressivamente prendendo confidenza delle implicazioni della nuova regolamentazione sulla protezione dei dati personali, ma la regolamentazione è ancora percepita perlopiù come un questione di carattere legale, di cui si conoscono in modo ancora poco chiaro le implicazioni concrete per le soluzioni di information security. È necessaria un’accelerazione per non farsi trovare impreparati alla scadenza del prossimo anno”.

Dalla ricerca risulta che la consapevolezza delle imprese sul GDPR è ancora limitata: per il 23% del campione le implicazioni non sono note in dettaglio nell’organizzazione, per il 22% sono note solo nelle funzioni specialistiche, ma non è ancora un tema all’attenzione del vertice. In quasi la metà delle organizzazioni (il 46%) è in corso un’analisi dei requisiti richiesti e dei piani di attuazione possibili, ma solo nel 9% è già in corso un progetto strutturato di adeguamento alla normativa. Solo in pochi casi esiste un budget dedicato (nel 7% con orizzonte pluriennale, nel 8% con orizzonte annuale); nel 35% dei casi sarà stanziato a breve, mentre nel restante 50% non è presente e non lo sarà neanche in futuro. I cambiamenti organizzativi sono ancora limitati: nell’12% dei casi con la definizione di nuovi ruoli oppure con l’identificazione di un team di lavoro trasversale (9%); nel 34% dei casi non ci è ancora stato alcun cambiamento, ma sarà attuato nei prossimi 6 mesi; nel restante 45% non sono previste modifiche in futuro. Tra le principali azioni già avviate dalle organizzazioni vi sono l’assessment sui rischi privacy (42%), il coinvolgimento di consulenti esterni (39%), la definizione di responsabilità e owner di processo (26%), azioni informative verso Board e Top Management (25%), revisione profonda degli attuali sistemi di IT security (22%), ricerche e corsi di formazione (20%), definizione di nuovi processi decisionali e comportamentali (12%).