Da un’indagine del Capgemini Research Institute è emerso che a più di un anno dall’introduzione del GDPR (General Data Protection Regulation) le imprese hanno ampiamente sovrastimato il proprio grado di preparazione alle direttive del nuovo regolamento.
Appena il 28% delle aziende intervistate è riuscito a soddisfare pienamente quanto richiesto dalla normativa , in contrapposizione ai risultati di un sondaggio dello scorso anno, secondo cui il 78% delle organizzazioni sarebbe stato pronto per l’entrata in vigore del GDPR nel maggio del 2018. Tuttavia, le aziende stanno scoprendo i vantaggi derivanti dalla conformità al regolamento: l’81% di coloro che sono in linea con il GDPR afferma di aver avuto un impatto positivo in termini di reputazione e brand image.
Il report, dal titolo “Championing Data Protection and Privacy – a Source of Competitive Advantage in the Digital Century”, evidenzia che le aziende hanno aderito al regolamento più lentamente del previsto, citando come ostacoli la complessità dei requisiti normativi, i costi di implementazione e le sfide relative alle infrastrutture legacy. Nel frattempo, un numero significativo di organizzazioni sta effettuando massicci investimenti nella protezione dei dati e nella privacy per assicurarsi di essere in linea con le normative esistenti e gettare le basi per quelle future.
Di seguito le principali evidenze del report:
Le imprese sono rimaste indietro in termini di conformità al GDPR
Nonostante sia trascorso più di un anno dall’entrata in vigore della normativa, molte imprese hanno ancora un tasso di conformità al regolamento molto basso. Se da un lato il 28% delle aziende dichiara di essere in linea con quanto stabilito dal regolamento, solo il 30% delle organizzazioni sta lavorando attivamente per risolvere le questioni in sospeso per essere completamente conforme. Gli Stati Uniti sono il paese con il miglior tasso di organizzazioni conformi al GDPR (35%), seguiti da Regno Unito e Germania (entrambi al 33%), mentre la percentuale più bassa è stata registrata in Spagna e Italia (entrambi al 21%), e in Svezia (18%).
Per i dirigenti, gli ostacoli per raggiungere una totale conformità con quanto stabilito dal GDPR sono rappresentati dalle sfide legate all’allineamento dei sistemi IT legacy (38%), dalla complessità dei requisiti del regolamento (36%) e dai costi proibitivi che vanno sostenuti per essere in linea con gli stessi (33%). Inoltre, il volume delle richieste da parte degli utenti (i cosiddetti data subject ) è stato estremamente elevato: il 50% delle imprese statunitensi coperte da GDPR ha ricevuto oltre 1.000 richieste, così come il 46% di quelle francesi, il 45% di quelle olandesi e il 40% di quelle italiane.
Se da un lato le aziende faticano a soddisfare i requisiti della normativa, dall’altro stanno effettuando investimenti significativi per coprire i costi relativi all’aumento delle commissioni professionali legate alla conformità con il GDPR: il 40% stima che, nel 2020, spenderà oltre un milione di dollari per spese legali, mentre il 44% ritiene che questa sarà la cifra da investire per effettuare aggiornamenti in ambito tecnologico. Inoltre, le organizzazioni devono affrontare una nuova sfida: l’adozione di nuove leggi in diversi paesi al di fuori dell’Unione Europea.
I vantaggi apportati dalla conformità al GDPR sono maggiori del previsto
Le aziende che non riescono ad essere totalmente in linea con il GDPR rischiano di perdere diverse opportunità. Il 92% delle organizzazioni che hanno raggiunto la conformità al regolamento ha dichiarato di aver ottenuto un vantaggio competitivo, a differenza di quanto affermato lo scorso anno, quando solo il 28% degli intervistati si aspettava di ottenere tale risultato. La stragrande maggioranza dei dirigenti delle aziende conformi al regolamento ha dichiarato di aver assistito a un impatto positivo sulla fiducia dei clienti (84%), sulla brand image (81%) e sul morale dei dipendenti (79%). Inoltre, gli stessi manager hanno identificato gli effetti positivi secondari dell’implementazione del GDPR, tra cui miglioramenti nei sistemi IT (87% rispetto al 62% del 2018), nelle pratiche di cybersecurity (91% vs. 57%) e in cambiamenti e trasformazioni a livello di organizzazione (89% vs. 56%).
La tecnologia è un elemento chiave per le aziende che rispettano la norma
Dall’indagine è emerso un chiaro divario nell’adozione della tecnologia tra le aziende in linea con i requisiti del regolamento e quelle che invece sono in ritardo. Le aziende conformi al GDPR hanno maggiori probabilità di utilizzare piattaforme cloud (84% rispetto al 73% di quelle non conformi), crittografia dei dati (70% vs. 55%), Robotic Process Automation (35% vs. 27%) e conservazione dei dati industrializzati (20% vs. 15%).
Inoltre, se da un lato l’82% delle organizzazioni conformi al GDPR aveva adottato misure per garantire che anche i propri technology vendor fossero in linea con le nuove norme sulla privacy dei dati, solo il 63% delle aziende non in linea con i requisiti ha potuto fare la stessa affermazione. La maggioranza (61%) delle organizzazioni conformi al regolamento ha dichiarato di sottoporre i subcontractor ad audit per la conformità in tema di data protection, rispetto al 48% delle aziende non conformi.
Lo sforzo per essere conformi al regolamento in tema di data protection e rispetto della privacy è continuo
Le aziende devono adottare il corretto approccio in tema di data protection e privacy, temi che è meglio affrontare in modo proattivo, piuttosto che solo come attività necessaria per allinearsi al regolamento. “Il GDPR ha un impatto perpetuo sulle organizzazioni ed è necessario lavorarci continuamente”, ha affermato Michaela Angonius, Vice President and Head of Group Regulatory and Privacy, Telia Company.
“Abbiamo iniziato a sensibilizzare l’opinione pubblica interna molto prima dell’adozione della legge, in quanto avevamo previsto che il regolamento avrebbe richiesto grandi sforzi in tema di conformità nella storia”.
“Questa ricerca mette in luce sia le sfide nel raggiungimento della conformità al GDPR, sia le interessanti opportunità per le aziende che la rispettano”, ha dichiarato Alessandro Menna, Cybersecurity Lead Capgemini Business Unit Italy. “Lo scorso anno molti dirigenti avevano delle aspettative evidentemente troppo ambiziose e ora si sono resi conto dell’entità degli investimenti e dei cambiamenti organizzativi necessari per essere in linea con i requisiti del regolamento: dall’implementazione di tecnologie avanzate che supportano la protezione dei dati alla diffusione tra i dipendenti di una mentalità adatta alla tutela della privacy e dei dati. Tuttavia, le aziende devono riconoscere che la conformità apporta vantaggi superiori al previsto, con miglioramenti in termini di fiducia dei clienti, soddisfazione dei dipendenti, reputazione e ricavi. Questi benefici dovrebbero incoraggiare ogni azienda ad essere pienamente conforme”.