venerdì, 29 marzo 2024

W la Privacy

W la Privacy

GDPR: la rivoluzione della privacy è in arrivo

02/05/2018

MILANO - Mancano poco più di tre settimane al 25 maggio, data in cui il nuovo regolamento europeo sulla protezione dei dati personali (Gdpr) entrerà in vigore: nessuna deroga, nessun rinvio. Da quel giorno scatta una sorta di “dentro o fuori”, e per le aziende non a norma il rischio sanzionatorio sarà rilevante, dato che le multe previste arrivano fino al 4% del fatturato.

L’arrivo del Gdpr segna uno spartiacque importante col passato. Col nuovo regolamento subentra l’obbligo di dimostrare la legittimità dei trattamenti dei dati personali e obbliga le imprese ad adottare procedure molto più stringenti ed esplicite per assolvere all’onere probatorio.

Quanto oggi maggiormente preoccupa è il grado di consapevolezza da parte delle imprese italiane circa il nuovo quadro normativo. Consapevolezza che, secondo i dati in possesso dell’Osservatorio Information Security & Privacy, School of Management del Politecnico di Milano, è aumentata nel corso dell’ultimo anno.

Le aziende che dichiarano una scarsa conoscenza delle implicazioni del Gdpr sono infatti diminuite, passando dal 23% del campione del 2016 all’8% nel 2017. Di conseguenza è emerso come nell’85% dei casi l’intera tematica sia ormai posta all’attenzione del vertice e non solo delle funzioni specialistiche (Security, Legal, Compliance). A sostegno di tali dati va rilevato come nel 2016 solo il 9% del campione dichiarava che fosse già in corso un vero e proprio progetto strutturato di adeguamento alla normativa; nel 2017 tale percentuale si è attestata invece sul 51%, mentre il 34% ha affermato che è in corso un’analisi di dettaglio dei requisiti richiesti e dei piani di attuazione possibili.

 

Un budget dedicato alle misure di adeguamento

 

Il Politecnico di Milano ha registrato un notevole incremento del budget dedicato a misure di adeguamento e risposta al GDPR. Se nel 2016 soltanto nel 15% dei casi era previsto un budget dedicato, nel 2017 la percentuale ha raggiunto il 58%. Più nel dettaglio: la percentuale di organizzazioni operanti nel mondo della Gdo (Grande distribuzione) che ha stanziato un budget si attesta sul 53% (35% con orizzonte annuale, 18% pluriennale). Nel settore bancario la percentuale sale al 65% (29% annuale, 36% pluriennale), mentre in campo assicurativo un budget dedicato è stanziato addirittura nell'80% dei casi. Tra le aziende manifatturiere il 47% ha stanziato un budget dedicato al Gdpr con orizzonte annuale, mentre solo il 12% (poco più di un’azienda manifatturiera su 10) ha previsto uno stanziamento pluriennale.

 

Come sottolinea, in un'intervista rilasciata al Sole 24 Ore, Gabriele Faggioli, responsabile dell’Osservatorio milanese, i settori più impattati dal nuovo regolamento: "Indiscutibilmente tutto il mondo consumeristico: dalla sanità alle banche, dalla Gdo alle assicurazioni". Per quanto riguarda il settore della Gdo, il percorso verso l’adeguamento al Gdpr risulta essere, secondo i dati del Politecnico, ben tracciato: il 71% delle aziende dichiara infatti che è in corso un progetto strutturato in materia. Volgendo lo sguardo al settore bancario, il 67% delle aziende ha già messo in atto un progetto di adeguamento e la stessa percentuale si registra tra le organizzazioni rientranti nel settore assicurativo. Tra le aziende manifatturiere, poco più della metà (il 51%) afferma l’esistenza di un processo di analisi dettagliata dei requisiti richiesti dalla normativa e dei piani di attuazione possibili.

 

Faggioli aggiunge come "fattore molto importante quello relativo alla sensibilità del dato: non è importante solo la quantità dei dati trattati, ma la tipologia degli stessi. Se ho un piccolo laboratorio di analisi del sangue, i dati degli utenti in mio possesso sono molto più importanti rispetto ad altri. Il punto è: cosa puoi farci con quel dato. Più il dato è “profondo”, più è problematico». A rendere più complesso il tutto, inoltre, c’è tutto il mondo legato all’IoT. Con miliardi di oggetti connessi in tutto il mondo, la probabilità che il business di una Pmi possa essere coinvolto è sempre più elevata: "Pensiamo a un produttore di valigie che oggi monta un dispositivo Gps per evitare lo smarrimento del bavaglio - racconta Faggioli –. In questo caso l’impatto del Gdpr, essendoci di mezzo il trattamento dei dati di localizzazione di un utente, è notevole. Eppure stiamo parlando di un’azienda che produce valigie".

Secondo il docente milanese, inoltre, i parametri su cui settarsi non sono solo relativi al dato, ma anche allo strumento: "Il rischio sicurezza è dietro l’angolo: un produttore di automobili deve tener conto del fatto che con il computer di bordo subentra un discorso relativo ai dati dell’utente, ma anche un rischio intrusione e manomissione".

Il ritardo delle Pmi 

A pochi giorni dall'entrata in vigore del Gdpr, il quadro italiano evidenzia una differenza sostanziale fra grandi aziende e Pmi. "Le aziende private di altissimo livello – spiega ancora  Faggioli - si stanno muovendo bene. I progetti di adeguamento normativo sono partiti, il problema è all'ordine del giorno ed è affrontato. Rispetto alle Pmi, invece, la nostra percezione è quella di un ritardo cronico sugli adempimenti normativi. Un ritardo dovuto al fatto che un adempimento sul modello delle aziende di grandi dimensioni ha costi troppo elevati".

Ma qual è la strada da seguire? "Devi capire qual è il tuo business e coglierne le criticità. – aggiunge Faggioli. Devi sapere cosa fai: se stampi pezzi di plastica non hai problemi, se fai analisi del sangue devi adeguarti, e in fretta. Il punto è che il Gdpr chiede tante cose ma non ti dice come farle, ti lascia scegliere, e devi essere in grado di declinarlo in modo corretto. Credo che le associazioni di categoria dovrebbero dare una mano. Poi in futuro arriveranno i codici di condotta".

Nonostante questo, il Gdpr è un’opportunità o un limite? La verità sta un po’ nel mezzo: "In un’ottica di imbrigliamento normativo - conclude Faggioli - penso che l’occasione sia quella di avere una modalità di gestione più interessante dei dati, nel rispetto del cittadino. Certo, dal punto di vista del marketing è un freno. Ma anche il tutor stradale è una limitazione. Però serve affinché la gente non si ammazzi".

 

(Fonte: Il sole 24 Ore, 27\4\2018)

 

Su questi temi, ci saranno molti spunti informativi  e formativi a secsolutionforum 2018 a Milano. La partecipazione all'evento è gratuita. Registrazioni al seguente link: https://www.secsolutionforum.it/registrazione.asp

#Secsolutionforum è anche su Facebook: https://www.facebook.com/secsolutionforum

 
https://www.secsolutionforum.it

 

 



Tutte le news

Privacy e Videosorveglianza

Preparazione alla Certificazione

Ethos Academy

Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia

Webinar
La Norma CEI 64-8

Cybersecurity

Webinar

Ethos Academy

La cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia