Solo un’azienda italiana su cinque conosce nel dettaglio le implicazioni del GDPR (General Data Protection Regulation), il regolamento europeo sulla protezione dei dati personali. E sono pochissime, il 9%, quelle che hanno già strutturato un progetto per adeguarsi. Mentre molte, ma non abbastanza (il 46%) hanno in corso un’analisi dei requisiti richiesti.

È quanto emerge dai dati dell’Osservatorio Security & Privacy del Politecnico di Milano presentati ieri nel corso del convegno Il Nuovo Regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza tenutosi a Milano. Risulta insomma come ci sia ancora una grave mancanza di attenzione alla protezione dei dati personali delineato dalla nuova normativa del GDPR, che sarà applicata da maggio 2018.

“Per poter realizzare le modifiche organizzative richieste dal regolamento europeo, occorre coinvolgere il management delle aziende, sfruttando il tempo a disposizione per compiere tutte le analisi necessarie e per non giungere impreparati alla scadenza prefissata, evitando il rischio di commettere un illecito ed essere sanzionati da un’autorità amministrativa” ha commentato Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano.

Il GDPR è già realtà per gli Stati membri, ma si applicherà dopo due anni dalla data dell’entrata in vigore, in modo che i soggetti destinatari possano compiere tutte le azioni necessarie per mettersi in regola. Ma nel frattempo cosa stanno facendo le aziende italiane?

Dalla ricerca risulta che la consapevolezza delle imprese sul GDPR è ancora limitata. Per il 23% del campione le implicazioni non sono note in dettaglio nell’organizzazione, per il 22% sono note solo nelle funzioni specialistiche, ma non è ancora un tema all’attenzione del vertice.

Solo in pochi casi inoltre esiste un budget dedicato (nel 7% con orizzonte pluriennale, nel 8% con orizzonte annuale) e, nel 35% dei casi, sarà stanziato a breve, mentre nel restante 50% non è presente e non lo sarà neanche in futuro.

I cambiamenti organizzativi sono ancora limitati, tanto che nel solo nel 12% dei casi è stata decisa la definizione di nuovi ruoli, mentre solo il 9% del campione intervistato ha già identificato un team di lavoro trasversale. Nel 34% dei casi non ci è ancora stato alcun cambiamento, ma sarà attuato nei prossimi 6 mesi, mentre nel restante 45% non sono previste modifiche in futuro.

Tra le principali azioni già avviate dalle organizzazioni vi sono l’assessment sui rischi privacy (42%), il coinvolgimento di consulenti esterni (39%), la definizione di responsabilità e owner di processo (26%), azioni informative verso Board e Top Management (25%), revisione profonda degli attuali sistemi di IT security (22%), ricerche e corsi di formazione (20%) e definizione di nuovi processi decisionali e comportamentali (12%).