L’entrata in vigore del GDPR il prossimo 25 maggio, è ormai vicina e una grande maggioranza di aziende non è stata finora in grado di raggiungere nemmeno una preparazione di base.
La considerazione importante emerge da una recente ricerca effettuata da Commvault in Italia, ed è corroborata da un dato: solamente il 12% delle realtà interpellate si è infatti dichiarato pronto a implementare le misure che consentiranno di affrontare completamente il GDPR.
Alla base della conformità rispetto alla normativa, che entrerà ufficialmente in vigore il prossimo 25 maggio, vi sono diversi requisiti di gestione e accesso ai dati, che tutte le organizzazioni che operano sul territorio dell’Unione Europa devono rispettare, e con loro tutte le realtà anche globali, che però trattano dati di cittadini europei.
Il senso delle informazioni personali
La ricerca ha rivelato alcuni aspetti significativi legati specificatamente alla gestione delle informazioni personali.
Solamente il 18% delle organizzazioni interpellate ha dichiarato di essere in grado di cancellare i dati da tutti i sistemi e supporti, in caso di richiesta. Solo il 9% si è mostrato fiducioso della propria capacità di anonimizzare i dati su richiesta, mentre un numero ancora inferiore (8%) pensa di poter raccogliere e trasferire dati specifici a un’altra organizzazione, nel caso di richiesta da parte di un individuo.
Relativamente ad altri aspetti di gestione dei dati personali critici ai fini del GDPR, come il cosiddetto diritto all’oblio, il 16% delle organizzazioni si è dichiarato fiducioso di poter trovare immediatamente dati relativi a individui specifici, il 36% pensa che questa ricerca potrebbe richiedere alcune ore, il 25% la stima in giorni, il 18% in settimane. Addirittura, un 5% degli intervistati ammette di non avere la possibilità di trovare questi dati, cosa che renderebbe non solo il diritto all’oblio, ma anche la conformità al GDPR nel suo complesso, assolutamente irrealizzabile.
Leggi tutti i nostri articoli sul General Data Protection Regulation
Inoltre, lo studio ha evidenziato come l’89% delle organizzazioni e del personale IT intervistato sia ancora confuso sugli elementi chiave della normativa, cosa che rivela di fatto un gap significativo ancora esistente tra le competenze attuali e la capacita di intraprendere le azioni necessarie a stabilire una strategia di data management che consenta una reale conformità al GDPR.
Nello specifico, solamente il 21% pensa di avere una buona comprensione delle implicazioni pratiche del GDPR: il 18% pensa di aver chiaro di quali dati dispone la propria azienda e dove sono collocati; solamente 17% crede di aver compreso l’impatto potenziale del GDPR sul suo business complessivo; il 12% ritiene chiari gli effetti del GDPR sui servizi cloud; solamente l’11% pensa di aver realmente compreso cosa si intende per dati personali.
Secondo Vincenzo Costantino, EMEA South Technical Services Director di Commvault, “a seguito di questa scarsa reattività, è molto probabile che vedremo diverse organizzazioni anche di alto profilo chiamate in causa per il mancato rispetto del GDPR anche dopo la sua entrata in vigore a maggio, soprattutto per una inefficace comprensione dei dati di cui sono in possesso e del loro rapporto con il GDPR“.
Come fare per evitare contravvenzioni?
Secondo Costantino aggiungere la conformità con il GDPR non è semplice come accendere un interruttore. “Se vogliono evitare il rischio di contravvenzioni, o addirittura del divieto di trattare dati personali, oltre a danneggiare potenzialmente il loro brand e la loro reputazione, le aziende devono agire. Sfortunatamente, sul GDPR c’è ancora uno scollamento notevole tra i responsabili di business e gli specialisti dell’IT, con i primi che ritengono la conformità una mera questione di scelte tecnologiche, e i secondi che invece la riconducono a un problema di processi di business”.
Rallineare i processi di business attorno ai dati personali può effettivamente contribuire ai programmi di modernizzazione o trasformazione digitale, e le modifiche apportate per rispettare il GDPR possono andare a ridurre le quote di budget necessarie per entrambi i programmi: «questo tipo di allineamento può portare vantaggi di business e benefici in termini di efficienza ma, se non si inizia ad affrontare ora, certo le aziende non saranno pronte per il prossimo 25 maggio».
