Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento europeo sulla Data Protection chiamato a sostituire la Legge sulla Privacy attualmente in corso in Italia.
Ma nonostante l’imminente conto alla rovescia, e il rischio di sanzioni che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo, sono ancora troppe le aziende che sottovalutano l’importanza del GDPR e la necessità di adottare misure organizzative o tecniche per proteggere i dati personali.
A dirlo è una serie di ricerche recenti, che ha messo in luce il ritardo o la mancanza di informazioni aggiornate sugli adempimenti e sulle misure da adottare.
L’ultima, in ordine di tempo, arriva da SB Italia, che ha promosso un non meglio specificato sondaggio dedicato alle imprese che desiderano conoscere il proprio livello di preparazione in tema di GDPR.
Obiettivo della società specializzata in soluzioni IT per la gestione, l’integrazione e l’ottimizzazione dei processi aziendali: ritrarre il profilo del comportamento delle aziende nei confronti dell’adeguamento al GDPR, al fine di individuare le aree dove c’è ancora bisogno di supporto.
Che sono ancora molte, a giudicare dal quadro emerso.
Manca una corretta gestione dei dati personali
Secondo i primi dati raccolti da SB Italia, infatti, la metà degli intervistati ritiene che i vertici aziendali e i principali responsabili del business siano “solo in parte consapevoli” del cambiamento indotto dal GDPR, anche se la stragrande maggioranza conferma che in azienda c’è consapevolezza che il “costo” di una mancata compliance al GDPR porta a sanzioni molto più elevate.
Tuttavia, alla domanda se in azienda sia stata definita una struttura completa di procedure per fornire supporto e direzione alle attività di compliance alla nuova norma, quasi la metà degli intervistati risponde negativamente, a testimonianza di come, ancora, non ci sia nelle aziende una visione globale della normativa e di tutto quello che sarà necessario fare per poterla rispettare.
Allo stesso modo, alla domanda se l'azienda abbia aggiornato le proprie procedure per ottenere il consenso degli individui e se abbia reso trasparenti le proprie attività di raccolta dei dati, poco più della metà afferma che, in parte, l’azienda è pronta, mentre quasi un terzo dichiara di no. Solo una quota ancora bassa di rispondenti si è detta completamente pronta.
Come se non bastasse, per buona parte degli intervistati, il sistema attuale non è ancora preparato a gestire, con apposite procedure, eventuali richieste degli individui di poter accedere ai propri dati personali, mentre una preoccupante metà del campione dichiara di non aver ancora predisposto opportune procedure per notificare alle autorità competenti e agli individui un incidente informatico con furto o modifica di database di dati personali.
E poco importa (o quasi) se, per quanto riguarda le difese antimalware per proteggere i dati nei sistemi informatici, o delle misure e policy, per la sicurezza dei dispositivi mobili, la situazione nelle aziende appare buona.
Come ricordato in una nota ufficiale da Corrado Dati, Business Unit Manager IT Service Management di SB Italia: «L’approccio di fronte al GDPR deve essere globale: occorre che le aziende abbiano una chiara visione di insieme della normativa, che permette anche di regolamentare e rafforzare le misure minime di sicurezza, potenziando i controlli per la prevenzione di perdite o furto di informazioni, non solo riguardanti i dati personali delle persone fisiche, ma anche in una visuale più allargata inerente a copyright, proprietà intellettuali, progetti».