Il giro di boa è arrivato: manca un anno esatto alla completa applicabilità del nuovo Regolamento europeo sulla data protection (GDPR). Lo abbiamo riassunto in #oneyeartoGDPR.
Ma cosa significa in pratica?
Innanzi tutto che, per le imprese che ancora non si sono poste il problema, il tempo scarseggia. Una recente indagine commissionata da Compuware Corporation evidenzia come la maggioranza delle aziende europee, nazionali comprese, non sia ancora pronta per gestirne l’impatto della nuova normativa. Un piano completo per raggiungere la compliance entro il 25 maggio 2018 riguarda infatti solo il 38% della organizzazioni europee ed il 28% di quelle italiane.
Paradossalmente sono le imprese oltreoceano a risultare meglio preparate a recepire la GDPR:
- il 60% delle aziende statunitensi intervistate che possiedono dati di clienti europei ha dichiarato di avere un piano dettagliato e di ampia portata, facendo registrare un lieve aumento rispetto al 56% dello scorso anno
- le aziende del Regno Unito sono risultate le meno preparate, con solo il 19% di organizzazioni dotate di un piano dettagliato in atto, un lievissimo aumento dal 18% dello scorso anno
Quali i maggiori ostacoli al raggiungimento della conformità GDPR?
Oltre la metà degli intervistati (circa 400 CIO di grandi aziende che coprono una sezione trasversale di mercati verticali in Francia, Germania, Italia, Spagna, Regno Unito e Stati Uniti), ovvero il 56% ha dichiarato che la complessità e la qualità dei dati sono i due principali ostacoli che dovranno essere superati per ottenere la conformità con il GDPR. Un dato che in Italia raggiunge solo il 32%. I costi per l’implementazione sono invece il principale ostacolo per il nostro Paese, con ben il 64%.
La complessità IT, che rende difficoltoso sapere dove risiedono i dati di tutti i clienti, preoccupa il 75% delle organizzazioni (56% in Italia), solo poco più della metà (53%) – 40% in Italia – sostiene infatti di poter individuare rapidamente tutti i dati di una persona. Un aspetto, quest’ultimo, da non sottovalutare per rispettare il “diritto all’oblio” previsto dalla GDPR.
L’aspetto più preoccupante è che quasi un terzo (31% in Europa e Usa – 36% in Italia) ha ammesso di non poter garantire di riuscire a trovare tutti i dati di un cliente.
Risulta evidente che, se si appartiene ai più preoccupati, 12 mesi non sono molti, ma sono un tempo che si può utilizzare in modo proficuo.
Da dove iniziare?
Alessandro Cecchetti, General Manager di Colin & Partners, ha suggerito – nella breve video pillola di seguito – alcuni punti chiave su cui le imprese devono assolutamente concentrarsi da qui in avanti.
- Gap Analysis dei sistemi informativi, per comprendere se applicativi e software utilizzati sono conformi rispetto ai principi di privacy by design e privacy by default
- Contrattualistica: revisione in ottica GDPR di accordi e rapporti con fornitori UE e/o extra UE
- Mappatura interna dei ruoli e delle responsabilità rispetto ai trattamenti effettuati
- Strutturare un sistema di gestione privacy calibrato sulla specifica vita aziendale
- Capire l’opportunità di individuare un Data Protection Officer (DPO) e individuarne correttamente la figura con rispettivi compiti
Si tratta, ovviamente, di spunti non esaustivi che possono tuttavia tracciare una linea che andrà disegnata in modo personalizzato (col supporto di risorse interne o affiancati da professionisti della materia) sulla base delle specifiche esigenze aziendali tenendo conto di: core business, trattamenti effettuati, ecc.
L'articolo One year to GDPR: a un anno esatto dalla sua applicazione, le priorità per le aziende sembra essere il primo su Colin.