Manca un anno all’entrata in vigore del GDPR, il nuovo regolamento generale sulla protezione dei dati della Commissione Europea eppure, a livello globale, solo il 38% delle aziende ha un piano completo per gestirne l’impatto.
Lo dicono i dati di uno studio commissionato da Compuware e condotto da Vanson Bourne su circa 400 CIO di grandi aziende che coprono una sezione trasversale di mercati verticali in Francia, Germania, Italia, Spagna, Regno Unito e Stati Uniti: un vero e proprio follow up di una ricerca analoga eseguita nel 2016 da cui si evince come l’Europa sia indietro rispetto agli Stati Uniti quanto alla capacità di definire piani per la conformità con il GDPR.
Ma mentre potremmo aspettarci di trovare, come di consueto, l’Italia, in posizione di coda, l’indagine ha rilevato che sono le aziende britanniche a risultare le meno preparate.
Più in generale, il 67% delle organizzazioni in Europa, pari al 76% in Italia, ritiene di essere ben informata sul GDPR e sul suo impatto in relazione alle modalità di gestione dei dati dei clienti. Un primo dato, questo, che segna un miglioramento rispetto al 55% dello scorso anno, quando venne posta la stessa domanda.
Similmente, del 94% di aziende statunitensi che possiedono dati di clienti europei, l’88% sostiene di conoscere il GDPR e il relativo impatto sul modo in cui vengono gestiti tali dati: un aumento significativo rispetto al 73% che ha risposto affermativamente alla stessa domanda lo scorso anno.
Ciò detto, solo il 38% di tutti gli intervistati, il 28% in Italia, ha in atto un piano completo per garantire la conformità con il GDPR, mentre la maggioranza è a rischio di sanzioni per non conformità. Un dato, quest’ultimo, solo in lieve miglioramento rispetto al 33% espresso lo scorso anno.
Effetto Brexit? Le aziende del Regno Unito le meno preparate
I risultati mostrano che le organizzazioni statunitensi sono meglio preparate a recepire il GDPR rispetto alle controparti europee. Il 60% delle aziende statunitensi intervistate che possiedono dati di clienti europei ha dichiarato di avere un piano dettagliato e di ampia portata, facendo registrare un lieve aumento rispetto al 56% dello scorso anno. Le aziende del Regno Unito sono risultate le meno preparate, con solo il 19% di organizzazioni dotate di un piano dettagliato in atto, un lievissimo aumento dal 18% dello scorso anno.
“Le aziende sono sicuramente sulla buona strada per ottenere la conformità con il GDPR, ma c’è ancora tanto lavoro da fare in un lasso di tempo molto breve”, ha affermato Elizabeth Maxwell, PDP, Direttore tecnico Compuware per l’area EMEA. “Il ritardo delle aziende del Regno Unito può essere dovuto all’incertezza iniziale sull’impatto della Brexit. Ma ogni organizzazione che opera in Europa dovrà mettersi in pari entro la scadenza di maggio 2018. La mancata osservanza del nuovo regolamento potrebbe portare a conseguenze devastanti nel caso si verificasse una violazione dei dati, cosa altamente probabile, vista la crescita della criminalità informatica e delle minacce degli insider”.
Complessità e qualità del dato i principali ostacoli alla conformità
Nell’indicare le aree di maggiore criticità, il 56% degli intervistati ha dichiarato che la complessità e la qualità dei dati sono i due principali ostacoli che dovranno essere superati per ottenere la conformità con il GDPR. Un dato che in Italia raggiunge solo il 32%, il più basso dei Paesi intervistati. I costi per l’implementazione sono invece il principale ostacolo per il nostro Paese, con ben il 64%.
La relazione tra i dati al centro
Inoltre, il 75% delle organizzazioni (56% in Italia) ha dichiarato che la complessità dei moderni servizi It implica il fatto che non sempre è possibile sapere dove risiedono i dati di tutti i clienti, mentre solo poco più della metà (53%) – 40% in Italia – sostiene di poter individuare rapidamente tutti i dati di una persona, come sarà necessario per rispettare il “diritto all’oblio” previsto dal GDPR. L’aspetto più preoccupante è che quasi un terzo (31% in Europa e Usa – 36% in Italia) ha ammesso di non poter garantire di riuscire a trovare tutti i dati di un cliente.
“Se le organizzazioni non sono in grado di individuare i dati dei clienti, sarà impossibile rispettare il diritto all’oblio previsto dal GDPR”, ha continuato Elizabeth Maxwell. “Grazie alla sicurezza e alla scalabilità dei mainframe, la maggior parte delle grandi organizzazioni memorizza i dati dei clienti su questo tipo di sistemi. I dati in genere risiedono in un complesso labirinto di database che si estende su più sistemi e le organizzazioni utilizzano metodi manuali e lunghi per individuarli ed estrarli. Le aziende hanno bisogno di un metodo automatizzato per mappare e visualizzare le relazioni tra i dati, in modo da poter trovare rapidamente quelli specifici e rilevanti ed eliminarli, senza bisogno di competenze specifiche”.