Il grande impatto organizzativo che le norme di concezione "moderna" sulla protezione dei dati, come il GDPR, stanno promettendo di avere non deriva solo dalla volontà del legislatore di creare una base normativa ampia e applicabile in qualsiasi situazione. Viene anche dal fatto che rispetto a qualche anno fa le tecnologie e la digitalizzazione sono molto più pervasive. Questo - ha spiegato Andrea Mariotti, Associate Partner Cybersecurity & Data Protection di EY Advisory - porta sicuramente vantaggi ma amplia di molto la superficie per eventuali attacchi cyber.

Molte imprese, anche in Italia, sono state attente a recepire i temi del GDPR anche più di quanto sia stato evidente al loro esterno. C'è comunque una sorta di corsa contro il tempo: il GDPR è stato formalmente adottato a metà 2016 ma solo poche aziende già nella seconda metà di quell'anno hanno iniziato a muoversi. Il primo passo necessario - un assessment per capire la propria "security posture" rispetto ai requisiti della norma - è stato intrapreso di norma l'anno scorso.

Il punto potenzialmente critico è proprio questo, sottolinea Mariotti: "C'è un alto rischio di arrivare alla scadenza senza aver implementato tutte le iniziative, in particolare tecnologiche, identificate nel corso dell'assessment che molte imprese hanno eseguito soprattutto verso metà 2017". E poi va considerato che molte imprese l'argomento non lo hanno ancora affrontato.


Una situazione quantomeno migliorabile che per EY è dimostrata anche dai numeri. Lo IAPP-EY Annual Privacy Governance Report 2017 indica ad esempio che in media solo il 40 percento delle aziende ritiene di arrivare a maggio essendo in regola con i requisiti del GDPR. Il 57 percento si vede come "parzialmente compliant" e per fortuna solo il restante 3 percento sarà "in gran parte non compliant".

L'impressione che viene dai numeri è che molte imprese abbiano sostanzialmente identificato i punti su cui intervenire ma non abbiano chiarissimo in che direzione muoversi per farlo. Il report EY spiega infatti che la maggioranza delle aziende (80 percento del campione, il 26 percento affidandosi a figure esterne) ha eseguito una gap analysis, ma solo il 57 percento ha anche definito un piano per colmare le lacune tecnologiche e di processo rilevate.

In realtà, spiega EY, le attività di assessment e gap analysis identificano problematiche comuni a vari tipi di aziende e, di conseguenza, le aree di impatto potenziale del GDPR sono abbastanza ben identificate. E sono, prevedibilmente, organizzative. Spesso nelle aziende manca un modello di governo della privacy, quindi ruoli e responsabilità non sono abbastanza chiari e non sono in atto processi ben definiti per la gestione di eventi come i data breach e le richieste degli interessati al trattamento dei dati. C'è poi da lavorare su formazione, awareness e - tecnologicamente - sull'adozione di soluzioni in cui la privacy sia, come stiamo imparando a indicare, by design e by default.


Affrontare questi temi è importante non solo perché serve ad affrontare il "problema" del GDPR. Implementare le giuste soluzioni e procedure diventa anche un fattore abilitante per la digitalizzazione in generale dell'impresa. L'importante è che sui tre punti chiave del percorso verso le "soluzioni" al GDPR - analisi dei rischi e valutazione degli impatti, gestione dei data breach, privacy by design e by default - ci sia chiarezza. E questo non sempre accade.

Si nota in particolare una "confusione su DPIA e analisi del rischio", spiega Mariotti: "Molte aziende lavorano bene sul registro dei trattamenti e sul DPIA ma non sull'analisi del rischio, che era prevista anche dalla normativa precedente. Le aziende virtuose hanno fatto analisi nel tempo, altre hanno smesso con la scomparsa del DPS".