Cultura e formazione giocano oggi un ruolo di primo piano per la privacy e la protezione dei dati personali, aspetti assurti a priorità assoluta nell’agenda di qualsiasi azienda dall’introduzione del GDPR in poi. La quasi totalità delle aziende, infatti, ha intenzione di mantenere gli investimenti destinati a tale scopo nel breve termine e, anzi, più di 1 società su 5 intende investire di più nei prossimi 12 mesi.
È quanto emerge dall’indagine sulla gestione della privacy, condotta a fine 2021 da DNV – uno dei principali enti di terza parte a livello globale – su 493 aziende appartenenti a diversi settori in Europa, Nord America, Centro e Sud America e Asia.
La compliance è una priorità ma non basta a garantire la business continuity
In quanto a privacy management, le aziende sono molto concentrate sulla compliance: 1 azienda su 2 ha una policy ad hoc, con obiettivi specifici; il 43% ha creato una specifica funzione o assegnato l’incarico e il 40% dichiara di effettuare regolari verifiche per assicurarsi di essere in regola con le normative. Dal punto di vista operativo, tuttavia, c’è ancora da fare. Solo 1 azienda su 4, ad esempio, affronta la questione secondo il principio della “privacy by design”, ovvero prevedendo che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione. Quanto a gestione delle emergenze, inoltre, sono ancora molte le aziende che ritengono di essere non del tutto pronte da un punto di vista tecnico. Il 16,4% non ha un sistema valido per gestire gli incidenti e le violazioni dei dati e il 33,7% lo ha implementato solo in parte.
Privacy: l’errore umano si conferma il rischio più grande
La principale fonte di rischi? Le persone. Le aziende sono preoccupate principalmente dagli errori umani (45%), dalla mancanza di consapevolezza o cultura organizzativa (28%) e di competenze legali (25%). Una situazione speculare al 2019, quando la prima edizione dell’indagine è stata realizzata. Rispetto a due anni fa, però, è cambiata la reazione da parte delle aziende. Allora, si concentravano per lo più sul potenziamento dell’infrastruttura IT, mentre oggi l’attenzione si sta spostando verso le persone.
Quasi 1 partecipante al sondaggio su 2 ha ritenuto prioritario investire per la formazione del personale, mentre il potenziamento della sicurezza IT è al secondo posto in classifica (43,6%). Segue a ruota sul podio delle priorità, la messa a punto/miglioramento di un sistema di gestione e dei processi utile a migliorare la cultura organizzativa (22%).
Come sottolineato in una nota da Massimo Alvaro, Managing Director Italy & Adriatics per Business Assurance in DNV: «Le aziende che si concentrano sullo sviluppo di competenze e consapevolezza, puntano anche a implementare un sistema di gestione. Affrontare le problematiche relative agli errori umani facendo leva solo sulla formazione risolverebbe, infatti, il problema solo temporaneamente. Un sistema di gestione conforme è un investimento più a lungo termine, capace di creare una cultura organizzativa che investe l’intera azienda: non si perderà con gli avvicendamenti di personale e sarà facilmente assorbita dai nuovi talenti che si uniscono all’azienda».
Oltre ai benefici in termini di vantaggio competitivo riferiti dalle aziende (dalla capacità di soddisfare i requisiti di legge, al miglioramento delle prestazioni, fino alla piena soddisfazione dei clienti), dotarsi di un sistema di gestione basato sulle buone pratiche formalizzate nello standard ISO 27701 consente anche di capitalizzare sulla formazione. Lo standard, infatti, prevede aggiornamenti periodici e un focus continuativo sullo sviluppo di consapevolezza, per assicurare lo stesso livello di coerenza in tutta l’organizzazione e aumentare l’engagement dei dipendenti.
Come concluso da Alvaro: «Un sistema di gestione conforme ai requisiti ISO 27701 aiuta le imprese non solo a soddisfare i requisiti normativi, ma anche a mitigare l’errore umano. Le aziende che hanno scelto di seguire questa direzione, infatti, sono meglio attrezzate sia per gestire i rischi legali, sia per garantire una solida cultura della sicurezza trasversale a tutte le funzioni aziendali. Anche perché, in una società multiconnessa, le minacce alla privacy spaziano dalla sicurezza delle informazioni all’utilizzo dei dati, fino alla loro conservazione e cessione».
*il sondaggio è stato condotto a dicembre 2021. Ulteriori informazioni nel documento disponibile a questo link.
