Vai al contenuto

Protezione dei dati personali, in arrivo il Regolamento europeo

Ancora non è entrato in vigore ma già le aziende italiane mostrano di aver accumulato un ritardo. Parliamo del nuovo Regolamento europeo sulla protezione dei dati personali, che entrerà in vigore a maggio 2018 .
Solo un’azienda italiana su cinque, infatti, conosce la nuova normativa. Questo il dato che emerge dalla ricerca dell’Osservatorio Security & Privacy del Politecnico di Milano sull’applicazione del General Data Protection Regulation in Italia.
La ricerca, svolta tra settembre e novembre 2016, ha preso in considerazione:

  • il modo in cui le imprese si stanno organizzando per adempiere agli obblighi derivanti dall’applicazione del Regolamento europeo sulla protezione dei dati personali,
  • la consapevolezza sulla normativa
  • il budget dedicato alle azioni
  • i cambiamenti organizzativi in atto
  • le azioni effettivamente realizzate.

Le aziende italiane difronte alla protezione dei dati personali

protezione-dei-dati-personali

In un panorama in cui il nuovo regolamento resta sconosciuto ai più, sono pochissime le aziende, solo il 9%, che hanno già strutturato un progetto per adeguarsi alla nuova normativa. Mentre il 46% ha in corso un’analisi dei requisiti richiesti.
“Per poter realizzare le modifiche organizzative richieste dal regolamento europeo sulla protezione dei dati personali – spiega Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano – occorre coinvolgere il management delle aziende, sfruttando il tempo a disposizione per compiere tutte le analisi necessarie, per non giungere impreparati alla scadenza prefissata, evitando il rischio di commettere un illecito ed essere sanzionati da un’autorità amministrativa”.
Dalla ricerca risulta che la consapevolezza delle imprese in tema di Regolamento europeo sulla protezione dei dati personali è ancora limitata: per il 23% del campione le implicazioni non sono note in dettaglio nell’organizzazione, per il 22% sono note solo nelle funzioni specialistiche, ma non è ancora un tema all’attenzione del vertice.
Pochi i  casi in cui esiste un budget dedicato (nel 7% con orizzonte pluriennale, nel 8% con orizzonte annuale); nel 35% dei casi sarà stanziato a breve, mentre nel restante 50% non è presente e non lo sarà neanche in futuro.
protezione-dei-datiSebbene con lentezza, le aziende italiane iniziano a prendere confidenza con le implicazioni della nuova regolamentazione sulla protezione dei dati personali. Ma questa, come spiega  Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy del Politecnico di Milano, è ancora percepita come un questione di carattere legale, di cui si conoscono in modo ancora poco chiaro le implicazioni concrete per le soluzioni di information security. Per questo “è necessaria un’accelerazione per non farsi trovare impreparati alla scadenza del prossimo anno”.

L’organizzazione delle aziende per la protezione dei dati personali

I cambiamenti su questo fronte sono ancora limitati. Nel 12% dei casi con la definizione di nuovi ruoli, oppure con l’identificazione di un team di lavoro trasversale (9%). Se nel 34% dei casi non ci è ancora stato alcun cambiamento, ma sarà attuato nei prossimi 6 mesi, il  45% delle aziende campione non prevede modifiche in futuro.
Tra le principali azioni già avviate dalle organizzazioni ci sono:

  • l’assessment sui rischi privacy (42%)
  • il coinvolgimento di consulenti esterni (39%),
  • la definizione di responsabilità e owner di processo (26%),
  • azioni informative verso Board e Top Management (25%),
  • revisione profonda degli attuali sistemi di IT security (22%)
  • ricerche e corsi di formazione (20%),
  • definizione di nuovi processi decisionali e comportamentali (12%).