La scadenza della piena applicabilità del GDPR, il nuovo Regolamento europeo per il trattamento dati, è ormai vicinissima (25 maggio 2018): come sono messe le grandi imprese italiane? Una fotografia dettagliata viene da un’indagine dell’Osservatorio Information Security & Privacy del Politecnico di Milano, che a fine 2017 ha intervistato 160 imprese italiane con più di 250 addetti esplorando tre aspetti in particolare: la conoscenza del tema GDPR (awareness), il budget dedicato e le azioni implementate.
In estrema sintesi il quadro è positivo e confortante. Anche se comunque si evidenzia un certo ritardo rispetto all’imminenza della scadenza, la spesa in progetti di adeguamento ad GDPR nel 2017 ha contribuito per oltre la metà alla crescita del mercato delle soluzioni di Information Security in Italia, che ha toccato il valore di 1,09 miliardi di euro, in crescita annua del 12%.
Tutti i dati di awareness, budget e iniziative inoltre sono in forte crescita rispetto a un’analoga indagine effettuata 12 mesi prima dallo stesso Osservatorio.
Il 51% ha un progetto di adeguamento GDPR in corso, il 34% un’analisi di dettaglio
Rispetto all’awareness, sono fortemente diminuite le aziende con scarsa conoscenza degli impatti del GDPR, dal 23% del 2016 all’8% di quest’anno. Coerentemente nell’85% dei casi il tema è ormai all’attenzione del vertice aziendale, e non solo delle funzioni specialistiche (Security, Legal, Compliance, ecc.). Nel 2016 solo il 9% aveva già in corso un progetto strutturato di adeguamento alla normativa, nel 2017 tale percentuale è salita al 51%, mentre il 34% ha in corso un’analisi di dettaglio dei requisiti richiesti e dei piani di attuazione possibili.
Parallelamente sono in forte aumento anche le risorse dedicate all’adeguamento al nuovo regolamento europeo. Mentre nel 2016 solamente nel 15% dei casi esisteva un budget GDPR dedicato, ora siamo al 58%: il 35% con orizzonte annuale, il 23% pluriennale. Resta però una percentuale molto alta, il 42%, di aziende senza budget: nel 23% dei casi sarà stanziato nei prossimi 6 mesi e nel 19% non è previsto del tutto.
Le principali azioni in corso, dal Registro trattamenti alla gestione Data Breach
Le principali azioni in corso o già implementate riguardano la valutazione della compliance (87%), l’individuazione dei ruoli e responsabilità (80%), la stesura o modifica della documentazione (77%), la definizione delle politiche di sicurezza e valutazione dei rischi (77%), la creazione e aggiornamento del registro dei trattamenti (74%), la valutazione di impatto sulla protezione dei dati personali (57%), la procedura di gestione dei data breach (53%), il servizio di DPO – Data Protection Officer (50%) e l’implementazione dei processi per l’esercizio dei diritti dell’interessato (49%).
Le imprese più dimensionate, o comunque appartenenti ai settori dove il trattamento del dato personale è core-business (prima di tutto GDO, settore finanziario, bancario e assicurativo, fashion & luxury), hanno avviato ormai da mesi importanti e complessi progetti di adeguamento al GDPR seppur, in larga parte, in grande ritardo rispetto ai due anni che il legislatore europeo aveva lasciato per adeguarsi.
È vero che in Italia, dove la legislazione vigente e i vari provvedimenti del Garante hanno creato un apparato normativo parallelo al decreto legislativo 196/2003 (protezione dei dati personali), la scelta di mantenere o meno tali provvedimenti può determinare una sostanziale diversità di costo e di complessità di adeguamento e mantenimento della conformità rispetto agli altri Paesi.
Polimi: «Lo scopo normativo, almeno nelle grandi imprese, è stato raggiunto»
La Ricerca rende comunque evidente che è in corso un sostanziale cambio di marcia. «Il fatto che quasi tutte le aziende dichiarino di aver intrapreso processi di valutazione della compliance normativa e di individuazione di ruoli e responsabilità significa che lo scopo normativo, perlomeno sulle aziende di più alto livello, è stato raggiunto – spiega Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio -. Il dato probabilmente più significativo è che più di 3 organizzazioni su 4 hanno steso o iniziato a stendere politiche di sicurezza e valutazione dei rischi: significa aver coinvolto le giuste competenze, aver avviato un processo di valutazione interna, di analisi dei rischi e quindi, in definitiva, di coscienza della problematica».
Who's Who
Gabriele Faggioli
CEO di Digital360, CEO di P4I - Partners4Innovation, Presidente Clusit
Nei prossimi mesi assisteremo al completamento dei progetti di adeguamento al GDPR: saranno finiti gli assessment, stesi i registri dei trattamenti, adottate le procedure interne a garanzia dei diritti degli interessati ed effettuate le analisi dei rischi. Perlomeno dalle società più attente al tema.
«Assisteremo a una progressiva esternalizzazione delle attività GDPR»
In seguito, continua Faggioli, l’attenzione sul tema GDPR comincerà a salire anche nelle PMI per cui i dati personali non rappresentano il core-business. È probabile inoltre che si assista a una progressiva esternalizzazione dei servizi verso soggetti che, potendo contare su economie di scala, possano proteggere meglio le infrastrutture e le applicazioni e, in ultimo, i dati dei clienti.
«Infine ci si può attendere un’ulteriore crescita degli investimenti in sicurezza ICT e uno spostamento delle attività consulenziali dai progetti di adeguamento al GDPR alle attività di mantenimento della compliance: analisi dei rischi su nuovi trattamenti, Data Protection Impact Assessment, e impostazione legale e tecnologica della privacy by design».