A poco più di un mese dal 25 maggio, quando sarà direttamente applicabile il GDPR, PMI e pubbliche amministrazioni sono in ritardo nell’adeguamento alle disposizioni del Regolamento europeo sulla Protezione dei Dati Personali. C’è ancora l’opportunità di mettersi in regola, ma è necessario affrettarsi e fare molta attenzione per non cadere nella trappola di un percorso di adeguamento superficiale, con il rischio di incorrere in sanzioni. È il messaggio lanciato da “GDPR: ultima chiamata”, il summit organizzato da Digital360 come momento di ultima verifica per le aziende dei requisiti richiesti dal regolamento europeo e di approfondimento dei risvolti della rivoluzione della protezione dati. Un evento a cui ha partecipato anche Giovanna Bianchi Clerici, Componente del Garante per la protezione dei dati personali.
Dalla ricerca dell’Osservatorio Information Security & Privacy del Politecnico di Milano, a fine 2017 emerge come solo l’8% delle imprese italiane non sia a conoscenza delle implicazioni del GDPR, mentre il 51% ha in corso un progetto strutturato di adeguamento e il 34% un’analisi di dettaglio dei requisiti e dei piani di attuazione. Le principali azioni attivate dalle aziende per mettersi in regola sono la valutazione della compliance (già realizzata dall’87%), l’individuazione dei ruoli e delle responsabilità (80%), la stesura o la modifica della documentazione (77%), la definizione delle politiche di sicurezza e la valutazione rischi (77%).
Non mancano però le criticità. In particolare, le aziende ritengono che dovrebbero essere precisati meglio con apposite linee guida il principio della “privacy by design” e la pseudonimizzazione dei dati personali (evidenziato dal 55%), la valutazione d’impatto sulla protezione dei dati personali (42%), il tema della comunicazione della violazione dei dati personali all’interessato (40%) e la figura del Data ProtectionOfficer (32%).
Siamo ormai agli sgoccioli: mancano meno di 50 giorni alla piena efficacia del GDPR – dice Gabriele Faggioli, CEO di P4I-Partners4Innovation e presidente del Clusit –. Le grandi aziende sono a buon punto nel processo di adeguamento alla normativa, ma non si può dire lo stesso delle pmi e delle pubbliche amministrazioni che appaiono in netto ritardo. L’esperienza di questi mesi di lavoro ci insegna che è ancora possibile fare qualcosa per mettersi in regola puntando sugli adempimenti essenziali. Ma occorre fare presto, perché un adeguamento sostanziale alla nuova normativa non è possibile semplicemente stilando qualche documento. Serve di più: approfondimento giuridico, analisi organizzativa, valutazione tecnologica e verifica di sicurezza. Non c’è più tempo da perdere se non si vogliono rischiare sanzioni.
Nel corso della tavola rotonda dedicata, nel corso dell’evento, a “Processi e servizi, buone pratiche per l’adeguamento”, Vera Bevilacqua, Senior Solution Consultant di Nodes, ha ricordato come l’avvento del GDPR sia anche e soprattutto un’occasione da non mancare, per aziende e istituzioni, per attuare pratiche virtuose di governance e mastering dei dati, che consentano di stabilire con i propri clienti e cittadini quel rapporto di fiducia considerato dagli analisti come il principale fattore di successo per le organizzazioni che vogliono mettere a frutto le opportunità della Digital Evolution.