GDPR: imprese ancora impreparate

07/08/2017 - Venezia

Secondo i dati emersi da due recenti studi, uno di Veritas e uno di NTT Security, molte aziende arriveranno impreparate all’appuntamento con il nuovo regolamento europeo sulla privacy.

A meno di un anno dall’entrata in vigore del GDPR (di cui avevamo già parlato in questo articolo), il Risk Value Report 2017 di NTT Security ha intervistato un campione di 1.350 decision maker da tutto il mondo per scoprire la loro visione del rischio sulla sicurezza e le azioni che intendono mettere in atto per proteggere i dati.

Ecco alcuni dei dati emersi dall’indagine:

  • un manager su cinque (19%) dichiara di non conoscere il nuovo regolamento
  • il 33% ha dichiarato di non saper dove sono conservati fisicamente i dati aziendali
  • Solo il 47% delle aziende pensa che ad oggi i propri dati critici siano al sicuro infatti il 57% prevede di dover gestire violazioni al proprio sistema di sicurezza informatica
  • Il 45% delle aziende del settore finanza sono consapevoli dell’impatto del GDPR, mentre nel settore retail la percentuale è del 33%

A meno di un anno dall’entrata in vigore del nuovo regolamento – sarà in essere dal 25 maggio 2018 - sembra proprio che le organizzazioni abbiano ancora un’idea confusa sulla norma e sulle scelte da fare. Le sanzioni però non saranno indulgenti con chi non si adeguerà in tempo: previsti fino a 20 milioni di euro o l’equivalente del 4% del fatturato annuo globale in caso di inadempienza.

La consapevolezza dell’impatto che il GDPR avrà sulle aziende è ancora inferiore se si esce dal territorio UE: il 25% dei manager negli Stati Uniti, il 26% in Australia e il 29% a Hong Kong credono che le loro imprese non saranno soggette alla nuova normativa sulla privacy, nonostante la legge sia chiara al riguardo e imponga l’adeguamento a qualsiasi azienda che tratti dati personali di cittadini europei, a prescindere da dove essa sia locata. I settori che si sono dimostrati più informati e consapevoli sono quello bancario, dei servizi finanziari, delle tecnologie e dei servizi informatici.

IL GDPR spesso è visto dai decision maker come un adeguamento costoso che non porterà di fatto nessun valore aggiunto all’azienda. La nuova norma è invece un’occasione per innovare non solo i sistemi ma anche la mentalità aziendale all’interno delle organizzazioni: “Cybersecurity is a journey, not a destination” come si riporta nell’Executive Summary di NTT.

Il secondo studio che conferma come la quadratura del cerchio sulla questione sia ancora lontana, è quello di Veritas che evidenzia di fatto come molte organizzazioni abbiano delle lacune in tema di tutela della privacy, che non sono loro stesse in grado di riconoscere. Il 48% delle imprese che dichiara di essere conforme al GDPR non ha visibilità totale sugli incidenti legati a perdita di dati personali. Fra queste il 61% ammette come sia difficile identificare e segnalare una fuga di dati entro 72 ore - tempo massimo previsto dal Regolamento – e circa il 50% è convinto che l'unico responsabile della compliance dei dati memorizzati sulla propria infrastruttura sia il cloud provider. Anche in questo caso la nuova norma prevede uno scenario ben differente: i responsabili della compliance sono i controllori dei dati, che devono assicurarsi che il fornitore esterno utilizzi procedure in linea con le indicazioni della nuova normativa.

Per avere ulteriori informazioni sul GDPR, contattaci a marketing@venicecom.it o al 041. 2525811