Il GDPR, noto anche come normativa sulla privacy europea, è entrato in vigore definitivamente lo scorso 25 maggio 2018. Sernet grazie all’esperienza di questi anni ha maturato una serie di considerazioni e riflessioni, anche alla luce dei dati mostrati lo scorso 5 febbraio durante la presentazione dei risultati della ricerca proposta dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano.

La ricerca proposta dall’Osservatorio ha coinvolto diverse grandi aziende ma ha anche un focus specifico sulle Pmi. La prima cosa da evidenziare è la maggiore consapevolezza maturata in questi ultimi mesi in tema GDPR. Le aziende sono più sensibili: quelle di grandi dimensioni hanno già completato il processo di adeguamento mentre molte di quelle appartenenti alla fascia medio-piccola, sebbene non siano ancora del tutto compliant con la privacy europea, sono in fase di adeguamento.

Si osserva anche uno spostamento d’attenzione delle iniziative specifiche, ora rivolta al mantenimento del sistema implementato. Molte grandi aziende hanno dedicato un budget specifico e, dal sospetto iniziale sul Regolamento, si inizia ad apprezzare l’utilità per l’azienda delle procedure introdotte, con un aumento di considerazione da parte del top management, in virtù anche del principio di accountability che li responsabilizza maggiormente.

Come si stanno muovendo le aziende in tema di adeguamento

Cerchiamo di contestualizzare quanto detto con dei numeri a supporto. Secondo l’indagine dell’Osservatorio, il 23% delle imprese è conforme alle indicazioni date dal GDPR, mentre il 59% è ancora in fase di adeguamento. Le imprese ancora “indietro” e che hanno una scarsa conoscenza della normativa sono scese dal 16% del 2017 al 10% del 2018.

Come accennato poco sopra i budget destinati a queste attività sono aumentati: ben l’88% delle aziende coinvolte nella ricerca dichiarano di aver stanziato un budget, ben il 30% in più rispetto all’anno precedente. È interessante notare come ci sia stato anche uno spostamento dell’attenzione circa le attività da finanziare: se prima l’obiettivo era l’adeguamento al GDPR (con tutte le attività organizzative e documentali collegate) ora i budget sono dedicati alle attività di mantenimento (audit, registri, mappature, nomine,formazione) ma soprattutto di approfondimento e di valutazione dei rischi e degli impatti,  proprio come fanno due aziende su tre. Il processo  di valutazione del rischio informatico e le conseguenti  attività e soluzioni tecnologiche per la gestione e riduzione delle esposizioni, è divenuto così oggetto di interesse e attenzione.

Il 51% delle imprese ha inoltre risorse dedicate alla gestione di eventuali incidenti di sicurezza, che comprendono i costi di notifica del data breach all’Autorità e agli interessati, come previsto dal Regolamento. È evidente quindi come i temi di sicurezza informatica e privacy siano fortemente connesse. Non c’è l’una senza l’altra. Il mercato dell’Information Security infatti ha evidenziato un +9%, dopo che nel 2017 si era registrato un aumento del giro d’affari del 12%, anche se di fatto gli investimenti in questo ambito sono ancora legati alle aziende di grandi dimensioni.

Non mancano ovviamente le difficoltà nell’implementare al meglio il GDPR e queste riguardano in particolar modo:

  • la raccolta e mappatura dei dati personali (52%);
  • la scarsa sensibilizzazione sul tema da parte dei dipendenti aziendali (38%);
  • la scarsa sponsorizzazione da parte del Top Management (37%);
  • le difficoltà di comprensione della normativa (27%);
  • la mancanza di figure professionali competenti sull’argomento (23%);
  • la mancanza o la non adeguatezza del budget stanziato (20%);
  • l’inefficacia delle soluzioni tecnologiche di protezione e delle iniziative organizzative (20%).

Il ruolo del DPO e i segnali positivi per l’occupazione

Dall’Osservatorio emerge una crescita sempre maggiore del numero di figure professionali interne ed esterne all’azienda che ricoprono il ruolo di DPO (Data Protection Officer). Il DPO è quella figura fondamentale per le aziende che hanno una complessa gestione dei dati personali poiché supporta il titolare del trattamento nel garantire che  tutte le disposizioni del Regolamento siano implementate e applicate al meglio. L’azienda può scegliere se affidare il compito ad una persona interna all’azienda oppure se affidarsi ad un consulente esterno. È però fondamentale che il DPO sia una persona presente in azienda, che conosca il business, e che, nel caso di un DPO di gruppo (come per le multinazionali che hanno più sedi sparse in Europa), sia declinata in tutte le filiali in modo da essere a conoscenza di tutte le dinamiche della realtà specifica e della legislazione nazionale di riferimento.

La crescente importanza del DPO deve essere intesa anche come un segnale positivo per l’occupazione dato che la richiesta di questo ruolo è cresciuta vertiginosamente: si è passati infatti da un incremento della sua presenza dal 31% del 2016 al 57% del 2017. Anche nell’area IT si sta assistendo ad un aumento della richiesta di figure specializzate e competenti in materia di privacy europea, figure di fatto ancora non sufficienti a coprire le esigenze di mercato. L’alternativa per le aziende è investire nella formazione dei propri collaboratori affinché acquisiscano le competenze e le skill necessarie per poter gestire il day by day aziendale e per coprire il ruolo di DPO.

L’esperienza di Sernet in materia GDPR

Sernet, alla luce di questi dati esposti, ha trovato conferma dei trend evidenziati rispetto alle case history su cui ha avuto la possibilità di lavorare in questi due anni e allo stato attuale del recepimento del GDPR da parte delle aziende è pronta ora a passare alla fase due del cammino e cioè il mantenimento, il controllo e l’audit.

La macchina quindi si è mossa e il livello di maturità e consapevolezza è cresciuto.

Tra il 2017-2018 Sernet ha portato a termine oltre 30 progetti di adeguamento per società di vari settori economici (brokers assicurati, servizi ICT, servizi assicurativi, editoria, industrie alimentari, industrie chimiche, industrie produttrici di apparecchiature RX, contact center,  componentistica, servizi di trasporto, aziende di orologeria, prodotti di ferramenta e abiti da lavoro, apparecchiature elettriche, studi legali, ecc…), alcune delle quali caratterizzate dalla presenza di servizi e-commerce.

Sono stati progettati template e metodologie di riferimento per la stesura del Manuale GDPR aziendale, per il risk assessment e per le valutazioni di impatto, per la redazione del Registro dei trattamenti  e per l’Audit delle soluzioni GDPR  già realizzate.  Inoltre è stato istituito un Centro di competenza Privacy che ha favorito la continua ottimizzazione di soluzioni specifiche, sempre focalizzate sulle caratteristiche dei processi  di trattamento dei dati personali nelle diverse aziende, con un continuo allineamento all’evoluzione normativa. Ampio spazio è stato dedicato alla progettazione ed erogazione di interventi formativi destinati ai livelli manageriali e operativi delle  aziende, oltre che allo svolgimento di approfondimenti tematici, come per esempio l’Application security. Sernet dispone di consulenti qualificati Lead auditor ISO 27001 (sicurezza delle informazioni) e, in alcuni casi, DPO Kiwa-Cermet  secondo la Norma UNI 11697:2017. Non da ultimo Sernet è qualificata da Assintel, per il tramite di un autorevole Comitato interdisciplinare di valutazione,  a svolgere il ruolo di DPO per le aziende associate che richiedono tale servizio.

Ti informiamo che il nostro sito utilizza cookie al fine di migliorare la fruibilità del sito. Accedendo ai contenuto di questo sito accetti l'utilizzo di questi cookie. Per maggiori informazioni ti chiediamo di consultare la nostra Privacy e Cookie Policy Informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi