Solo il 27% delle imprese conosce gli obblighi della nuova normativa sulla protezione dei dati personali che entrerà in vigore a maggio del 2018, appena il 9% ha già avviato un progetto per adeguarsi. In pochi casi è già previsto un budget e sono stati decisi cambiamenti organizzativi. L’indagine dell’Osservatorio Security & Privacy del Politecnico di Milano
Solo un’azienda italiana su cinque conosce nel dettaglio le implicazioni del General Data Protection Regulation, il regolamento europeo sulla protezione dei dati personali. E sono pochissime, il 9%, quelle che hanno già strutturato un progetto per adeguarsi. Mentre molte, ma non abbastanza, il 46%, hanno in corso un’analisi dei requisiti richiesti. I dati dell’Osservatorio Security & Privacy del Politecnico di Milano parlano chiaro: c’è ancora una grave mancanza di attenzione alla protezione dei dati personali delineato dalla nuova normativa del GDPR che sarà applicata tra poco più di un anno, da maggio 2018.
È l’allarme lanciato da Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano durante il convegno “Il Nuovo Regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza”, promosso dall’Osservatorio in collaborazione con CLUSIT, CEFRIEL, DEIB e Europrivacy.
Il regolamento europeo è stato approvato in via definitiva il 14 aprile 2016 e pubblicato il 4 maggio 2016 sulla Gazzetta Ufficiale dell’Unione Europea. Il GDPR è già realtà per gli Stati membri, ma si applicherà dopo due anni dalla data dell’entrata in vigore, in modo che i soggetti destinatari possano compiere tutte le azioni necessarie per mettersi in regola. Cosa stanno facendo le aziende italiane? L’Osservatorio Security & Privacy del Politecnico di Milano ha svolto una ricerca tra settembre e novembre 2016 su come le imprese si stanno organizzando per adempiere agli obblighi derivanti dall’applicazione del General Data Protection Regulation, indagando la consapevolezza sulla normativa, il budget dedicato alle azioni, i cambiamenti organizzativi in atto e le azioni effettivamente realizzate.
Dalla ricerca risulta che la consapevolezza delle imprese sul GDPR è ancora limitata: per il 23% del campione le implicazioni non sono note in dettaglio nell’organizzazione, per il 22% sono note solo nelle funzioni specialistiche, ma non è ancora un tema all’attenzione del vertice. In quasi la metà delle organizzazioni (il 46%) è in corso un’analisi dei requisiti richiesti e dei piani di attuazione possibili, ma solo nel 9% è già in corso un progetto strutturato di adeguamento alla normativa. Solo in pochi casi esiste un budget dedicato (nel 7% con orizzonte pluriennale, nel 8% con orizzonte annuale); nel 35% dei casi sarà stanziato a breve, mentre nel restante 50% non è presente e non lo sarà neanche in futuro.
I cambiamenti organizzativi sono ancora limitati: nell’12% dei casi con la definizione di nuovi ruoli oppure con l’identificazione di un team di lavoro trasversale (9%); nel 34% dei casi non ci è ancora stato alcun cambiamento, ma sarà attuato nei prossimi 6 mesi; nel restante 45% non sono previste modifiche in futuro. Tra le principali azioni già avviate dalle organizzazioni vi sono l’assessment sui rischi privacy (42%), il coinvolgimento di consulenti esterni (39%), la definizione di responsabilità e owner di processo (26%), azioni informative verso Board e Top Management (25%), revisione profonda degli attuali sistemi di IT security (22%), ricerche e corsi di formazione (20%), definizione di nuovi processi decisionali e comportamentali (12%).