Gdpr: è lunga la strada verso l’adeguamento
Opportunità di crescita o onere aggiuntivo? Le aziende si dividono sull’opinione in merito al Regolamento Ue 2016/679 e certamente a poche settimane dal fatidico 25 maggio in cui l’adeguamento diverrà obbligatorio sono ancora molte, quasi la metà, quelle che non sono pronte. Per molti il Gdpr (General Data Protection Regulation), con il quale la Commissione europea intende aumentare e rendere più omogenea la protezione dei dati personali dei propri cittadini, può rappresentare per l’azienda un’opportunità di crescita, per altri è un tema per addetti ai lavori o solo un ulteriore obbligo di legge con relativi costi aggiuntivi. La nuova norma avrà influenza anche nel mercato italiano della cybersecurity, che vale oggi circa un miliardo di euro.
Secondo Paola Guerra Anfossi, fondatrice e direttrice della Scuola Internazionale Etica & Sicurezza, che ha in questi giorni presentato il corso Data Protection: il professionista del trattamento e della protezione dei dati personali, “il Gdpr introduce un approccio di data protection viva, condivisa tra le unità organizzative e spostata verso i diritti fondamentali degli individui: dal diritto di accesso a quello di rettifica, dal diritto alla cancellazione/oblio a quello di limitare il trattamento, dal diritto alla portabilità dei dati a quello di opposizione”. Una norma da non sottovalutare, che presenta sanzioni pesanti che possono arrivare fino al 4% del fatturato annuo mondiale dell’azienda.
L’orientamento delle aziende
Le imprese e gli enti che acquisiscono, trattano ed elaborano i dati personali, sono tenuti non solo a soddisfare tutti i requisiti richiesti dal Regolamento ma dovranno anche essere in grado di produrre documenti che dimostrino la compliance in modo da giustificare le scelte intraprese. Secondo i dati presentati recentemente dall’Osservatorio Information Security & Privacy del Politecnico di Milano, nel 51% delle imprese italiane è già in corso un progetto strutturato di adeguamento alla norma (era il 9% un anno fa), mentre il 34% sta analizzando nel dettaglio requisiti e piani di attuazione; inoltre il 58% delle aziende ha già un budget dedicato all’adeguamento al Gdpr, erano il 15% dodici mesi fa. Tali risultati rispecchiano la survey qualitativa condotta dalla Scuola Internazionale Etica & Sicurezza: “Dalle aziende di grandi dimensioni che abbiamo interpellato direttamente risulta che i settori su cui si ritiene che il Gdpr avrà maggior peso sono Telecomunicazioni e Sanità, la metà delle aziende ha iniziato il processo di adeguamento, un quarto non era a conoscenza della norma Uni 11697:2017, un quinto ritiene che il nuovo Regolamento non sia utile”, spiega Guerra.
Nel Regolamento un ruolo di primo piano è dato alla figura del Data protection officer (Dpo), un professionista interno o esterno all’azienda, con competenze giuridiche, normative, organizzative, gestionali e tecnologiche: “Il Dpo agisce da supervisore indipendente per garantire che la struttura sia conforme al Gdpr, coprendo un ruolo simile a quello dell’Organismo di Vigilanza, ex d.lgs. 231/01”, precisa Paola Guerra, “utile alla definizione del profilo è avere come riferimento la norma Uni 11697:2017, che delinea le qualifiche e i requisiti di studio e professionali; ulteriore garanzia potrà essere la certificazione volontaria del professionista”.