Forum Gdpr

Le diverse velocità del GDPR

Con il GDPR in dirittura d'arrivo le imprese italiane si stanno attrezzando nei tempi e nei modi che possono sostenere. E per le PMI il tempo è davvero poco.

Autore: Redazione ImpresaCity

Siamo ormai a ridosso della definitiva entrata in vigore del regolamento GDPR. Molto è stato fatto dalle aziende italiane per adeguarsi alla nuova normativa ma molto resta probabilmente ancora da fare. Per dare una fotografia della situazione italiana abbiamo posto tre domande ad alcuni vendor di settore. Qui le risposte di Rosy Cinefra, Senior Counsel di CA Technologies.

L’entrata in vigore del GDPR è ormai alle porte. L’opinione generale è che le aziende italiane siano ancora indietro per quanto riguarda l’adeguamento alla nuova normativa, ma comunque più o meno nella media europea. Per quella che è la vostra visibilità, concordate con questa opinione o avete constatato uno scenario diverso?
Si, concordiamo con questa opinione, sebbene sia molto probabile che vi siano diversi gradi di adeguamento alla normativa in base alle dimensioni delle aziende. Per quella che è la nostra visibilità, molte medie e piccole imprese non riusciranno ad essere adempienti al GDPR entro il 25 maggio 2018, soprattutto perché per tali imprese non si tratta di un semplice adeguamento per colmare alcune lacune, ma di un cambio radicale di approccio alla privacy che richiede l’adozione diffusa di politiche, procedure e misure organizzative e tecniche, sino ad oggi spesso inesistenti, che consentano di proteggere i dati personali, ma anche di essere in grado di documentare quanto effettuato e reagire nei tempi necessari in caso di violazione.

Proprio per la mancata adozione di misure adeguate di sicurezza, le piccole e medie imprese sono le più esposte ai rischi di violazione ed indirettamente creano delle falle di vulnerabilità anche per le grandi imprese che operano con loro. La percezione è anche che molte grandi imprese sono in ritardo e stanno ancora rivedendo la gap analysis ed indirizzando i rischi rilevati, con la differenza però che queste ultime hanno già implementato in passato sistemi di sicurezza spesso molto efficienti e, quindi, il lavoro complessivo di adeguamento alla normativa è meno imponente.

Assessment dei propri processi, aggiornamento tecnologico, privacy by design, impatti organizzativi... La compliance al GDPR si porta dietro molte tematiche complesse. Sempre secondo le vostre esperienze, quali aspetti sono stati affrontati meglio e quali sono ancora troppo trascurati dalle imprese italiane?
Anche qui credo dipenda molto dalle dimensioni dell’impresa. Nel caso di grandi imprese si tratta di fare una analisi dei processi esistenti e rilevare le lacune rispetto al GDPR, valutare i rischi e definire le misure di adeguamento necessarie per essere conformi al regolamento. Nelle piccole e medie imprese, spesso si tratta di mettere in piedi processi sino a ieri inesistenti. Se da una parte creare un sistema del tutto nuovo può essere per certi versi più semplice, gli investimenti invece potrebbero essere più alti e i tempi di adozione e adattamento delle risorse umane che operano nell’impresa più complessi. Inoltre, in generale le piccole imprese scontano una arretratezza tecnologica che difficilmente riusciranno a colmare in così breve tempo. Anche solo decidere quali sono le soluzioni tecnologiche migliori per proteggersi richiede tempo.
database generico
Per le piccole e medie imprese potrebbe essere opportuno raccogliersi in cluster di settore e valutare insieme quali sono le soluzioni tecnologiche più appropriate per quel settore di modo da semplificare il processo di scelta della singola piccola o media impresa. Adottando un tale approccio le piccole-medie imprese potrebbero avere vantaggi derivanti dalla condivisione di alcuni costi legati agli investimenti in tecnologia o dal maggior potere contrattuale nei confronti dei fornitori. Eventuali specifiche peculiarità integrabili con soluzioni più standard ed adattabili a tutte le imprese potrebbero essere poi gestite individualmente.
Con riferimento ai vari aspetti del GDPR, eccetto che per alcuni esempi virtuosi, quelli non ancora indirizzati in maniera appropriata sono relativi alla privacy by design e security by design. Invece, gli aspetti affrontati meglio sono quelli relativi alla individuazione di dove risiedono i dati personali nei sistemi.

Il GDPR è certamente visto come un problema dalle imprese, secondo molti osservatori ha però anche una valenza positiva: da un lato impone un approccio alla gestione dei dati ideale per mantenere (o riconquistare) la “fiducia digitale” dei clienti finali, dall’altro spinge molte imprese a incrementare il proprio tasso di digitalizzazione. Cosa pensate di questo punto di vista? Avete esperienze dirette che lo confermino (o lo smentiscano)?
Il GDPR è un elemento che contribuisce all’incremento della digitalizzazione ma non è il fattore determinante. L’incremento della digitalizzazione delle imprese è un fattore indipendente dalla normativa. Quello che sta accadendo è che molte imprese ora si rendono conto che nel loro percorso di trasformazione digitale non hanno tenuto abbastanza conto del fattore sicurezza dei dati e delle garanzie che devono fornire ad utenti e consumatori circa la protezione e la portabilità dei dati personali e che, quindi, non hanno allocato le giuste risorse né acquisito le tecnologie necessarie per indirizzare tali esigenze.

Sebbene un fattore decisamente importante nella spinta alla conformità al GDPR sia stato lo spettro di sanzioni molto elevate, la mia percezione è che la recente attenzione dei giornali ad alcuni casi di non corretta gestione dei dati personali, insieme all’imminente entrata in vigore del GDPR ed al proliferare di eventi e conferenze sul tema, abbia reso le imprese più consapevoli dei danni alla reputazione e degli impatti sul business che una violazione dei dati personali potrebbe determinare.