Un enorme afflusso giornaliero di dati personali, la loro dispersione in diversi sistemi di archiviazione e l’incertezza sulla loro effettiva proprietà sono i tre principali problemi che le aziende italiane devono affrontare quando si parla di conformità al GDPR (General Data Protection Regulation). E’ quanto emerge da una nuova ricerca commissionata da Citrix e realizzata da OnePoll che ha intervistato 500 addetti IT con responsabilità decisionali in altrettante aziende italiane, di tutte le dimensioni.
Dispersione dei dati
Secondo la ricerca, le aziende italiane intervistate stanno affrontando un’importante sfida per quanto riguarda il controllo di enormi quantità di dati presenti su sistemi diversi. Mentre le aziende medio grandi intervistate utilizzano infatti in media 25 diversi sistemi per gestire e archiviare i dati personali, il 17% del campione ne usa addirittura più di 40.
Inoltre, quasi il 57% condivide i dati personali dei clienti con una media di circa 36 altre aziende, contribuendo così alla loro ulteriore dispersione. La maggioranza (in media oltre l’80%) pensa di avere il pieno controllo di questi dati condivisi, mentre il 10% ammette di perdere almeno un grado di controllo una volta che i dati sono stati condivisi.
Sovraccarico di informazioni
In media, le aziende italiane intervistate raccolgono i dati personali di oltre 500 persone al giorno, con quelle al di sopra dei 1000 dipendenti (il 18% del campione) che arrivano a oltre 700, creando così un enorme afflusso di dati che devono poi essere archiviati e gestiti.
Circa il 70% delle aziende intervistate ammette di archiviare i dati personali per un periodo di tempo di oltre un anno, mentre il 18% per più di 10 anni e il 5% afferma addirittura di non utilizzare nessuno dei dati personali archiviati.
Pareri discordi sulla proprietà
Quasi il 63% delle aziende intervistate gestisce e archivia i dati personali e li utilizza come base per la realizzazione di analisi previsionali ma è interessante notare che non c’è reale accordo intorno a chi attribuire il possesso dei dati. La metà del campione è infatti convinta che i dati siano effettiva proprietà dell’organizzazione mentre il 36% pensa che siano dei clienti.
Riconoscere la proprietà e a la responsabilità dei dati è in realtà il passo iniziale del lungo viaggio verso la conformità al GDPR. Ma nonostante le idee in merito non siano chiarissime, ben il 56% delle aziende intervistate afferma di possedere tutti i requisiti per essere già conforme, mentre il 34% circa di non avere idea se effettivamente gli standard richiesti vengano di fatto rispettati e meno della metà delle aziende interpellate (44%) esegue valutazioni di impatto sulla privacy dei dati come passo essenziale dell’implementazione di policy a essa legate.
Benjamin Jolivet, Country Manager di Citrix Italia, South Eastern Europe e Israele ha affermato: “Il GDPR farà molto di più che rafforzare i diritti relativi alla privacy dei dati. Questa regolamentazione porterà a un nuovo livello responsabilità e accountability e non tutte le aziende ce la faranno nei tempi richiesti. Mentre molte stanno muovendosi per essere conformi in tempo rispettando la scadenza di maggio 2018, la nostra ricerca mostra che ci sono ostacoli significativi, inclusa la dispersione incontrollata dei dati e la mancanza di consapevolezza in merito alla loro proprietà.
Assicurare che processi e sistemi per la privacy dei dati siano a punto richiede che un’organizzazione sappia esattamente dove si trovano i dati e chi può avere accesso a essi. Molte aziende tendono a perdere di vista i dati, distribuiti in una molteplicità di sistemi e condivisi con diversi partner cercando anche di immagazzinare e controllare l’enorme afflusso di dati personali che ricevono ogni giorno.
Le aziende devono riconoscere che ambienti applicativi e di storage più centralizzati renderanno più facile adempiere ai requisiti di conformità. Questa centralizzazione può essere realizzata in vari modi, dall’introduzione di controlli dell’accesso unificati attraverso servizi cloud e on-premise con procedure di single sign-in oppure realizzando workspace virtuali gestiti centralmente. Comunque ciò venga fatto, controllare la dispersione dei dati e riconoscere le responsabilità dentro l’azienda della privacy dei dati saranno passi molto importanti per la conformità al GDPR.”