Il Gdpr (General Data Protection Regulation) entrerà in vigore a maggio 2018 e impatterà enormemente sulle policy aziendali. Ma quale è la percezione dei manager relativamente alla capacità delle di adeguarsi al cambiamento? Oggi, a un anno di distanza, a farla da padrona è la confusione. A dirlo due studi, uno di Ntt Security e l’altro di Veritas.
Secondo il Risk Value 2017 di Ntt Security meno della metà dei dirigenti aziendali nel mondo ritiene che la conformità Gdpr sia importante per la propria azienda, ma il dato più preoccupante è che uno su cinque (19%) ammette di non sapere a quali normative è soggetta l’organizzazione. Nel Regno Unito, solo il 39% degli intervistati attualmente considera la Gdpr un problema di conformità e il 20% ammette di non saperne niente, mentre al di fuori dell’Europa il livello di consapevolezza è perfino inferiore. Appena un quarto dei decision-maker aziendali negli Stati Uniti, il 26% in Australia e il 29% a Hong Kong ritiene di essere soggetto a Gdpr, sebbene queste norme saranno applicabili a qualsiasi azienda che tratta dati di cittadini europei.
Un quadro a tinte fosche soprattutto tenuto conto che sono previste sanzioni fino a 20 milioni di euro o pari al 4% del fatturato annuo globale in cado di inadempienza.
Analizzando la maturità di trattamento dei dati, componente chiave del Gdpr, il report rivela anche che un terzo degli intervistati non sa dove siano archiviati i dati dell’azienda, mentre appena il 47% afferma che tutti i dati critici sono archiviati in modo sicuro. Di quelli che sanno dove sono archiviati i dati, meno della metà (45%) si definisce “completamente consapevole” del modo in cui i nuovi requisiti normativi avranno effetto sull’archiviazione dei dati nella loro organizzazione. Il maggior livello di conoscenza e consapevolezza in tal senso è stato registrato tra le organizzazioni nel settore bancario e dei servizi finanziari, e in quello delle tecnologie e dei servizi informatici.
Il report indica chiaramente che un numero significativo di dirigenti non è ancora consapevole di questa norma o la ignora del tutto. Purtroppo, spesso la conformità è considerata un costoso adempimento che genera un valore minimo o del tutto assente. Tuttavia, il Gdpr rappresenta per le aziende l’occasione per considerare la protezione dei dati come parte integrante della propria strategia di business, inoltre il mancato rispetto delle norme comporta il pagamento di notevoli sanzioni.
C’è poi una proporzione importante di imprese che dichiarano di essere pronte agli adempimenti connessi al Regolamento generale europeo sulla protezione dei dati (Gdpr) ma in realtà mostrano lacune che non sono sempre in grado di riconoscere. Un’indagine condotta a livello mondiale da Veritas rileva che circa un terzo delle imprese dichiara di essere già compliant alle principali esigenze della normativa. Tuttavia, un’analisi incrociata delle risposte con le disposizioni contenute nel Gdpr rileva come solamente il 2% di queste siano realmente pronte, rivelando una certa confusione e mancanza di preparazione.
Il rapporto Veritas Gdpr 2017 rileva che il 48% delle imprese che pensa di essere conforme non ha visibilità totale sugli incidenti legati a perdita di dati personali. Inoltre, il 61% di queste ammette come sia difficile identificare e segnalare una fuga di dati entro 72 ore, come richiesto dal Regolamento.
Di fatto, anche le realtà più fiduciosa devono rivedere le loro strategie di compliance, poiché una violazione porterebbe a una multa che può arrivare al 4% del volume d’affari annuo o fino a 20 milioni di euro. Infine, l’indagine mostra l’esistenza di una certa confusione sulle responsabilità legate ai dati presenti in ambienti cloud. Circa la metà delle imprese che pensa di essere conforme al Gdpr pensa che il cloud provider sia l’unico responsabile della compliance dei dati memorizzati sulla propria infrastruttura. Tuttavia, questa incombenza spetta ai controllori dei dati e sono loro a doversi assicurare che il fornitore esterno fornisca garanzie in linea con i dettami della normativa.
Per Lorenzo Piatti, Analyst Consulenza di processo e normativa di InfoCert (società del gruppo Tecnoinvestimenti) “è evidente come, per le imprese, lo scenario creato dal Gdpr sia estremamente sfidante”.
“Lo scenario creato dalle nuove regole Ue può rivelarsi ricco di opportunità per le imprese che sceglieranno di puntare sul digital trust non solo per rispondere agli obblighi di legge, ma per incrementare la propria competitività”, dice l’esperto.
