Di Gdpr, il nuovo regolamento europeo sulla protezione dei dati personali, si parla ormai da un po', specie in vista della sua formale entrata in vigore nei Paesi Ue a partire dal prossimo 25 maggio. Eppure dubbi, perplessità e timori ancora abbondano fra le aziende (senza eccezione per quelle italiane) chiamate ad adeguarsi, come svelato da uno studio della software house californiana Senzing, titolato “Finding The Missing Link in Gdpr Compliance” e basato sulle opinioni di oltre mille dirigenti di aziende italiane, britanniche, francesi, spagnole e tedesche.
L'obiettivo della compliance sembra ancora irraggiungibile, quando non vago o confuso, per molte realtà aziendali. Tra gli intervistati, infatti, il 44% si è detto preoccupato di non sapersi adeguare alle linee guida, e fra costoro spicca un 14% di dirigenti “molto preoccupati”. Il dato italiano si discosta poco dalla media, arrivando al 43%, mentre lo scenario più critico pare essere quello spagnolo (76% di aziende preoccupate). I pensieri volano soprattutto ai rischi di reputazione connessi alla notizia di una eventuale mancata compliance e del conseguente danno economico che indirettamente l'attività potrebbe subire (lo temono il 47% delle grandi imprese, il 38% delle Pmi e il 29% delle microimprese), mentre è abbastanza scarsa la consapevolezza delle multe che potrebbero piombare sulla testa di chi venga colto in fallo.
Solo poco più di un terzo delle mille realtà censite, il 35%, sa dire quanto una multa per mancata compliance possa avere impatto sul proprio business, mentre il 30% pensa di non poter subire contraccolpi e il 15% riconosce di non sapere se e quanto una sanzione possa danneggiare l'azienda. Le italiane non brillano su questo punto, poiché anzi da noi la percentuale di realtà consapevoli dell'impatto delle multe si ferma al 29%.
Infografica: Senzing, "Finding the Missing Link in Gdpr Compliance", 2018
Di fronte a tutto questo, non si può comunque dire che le aziende stiano con le mani in mano, o almeno non lo si può dire in gran parte dei casi. Circa un'azienda italiana su due ha in programma una revisione dei propri sistemi informatici di trattamento dei dati dei clienti, mentre un più ristretto 16% intende impiegare un maggior numero di professionisti incaricati della raccolta e gestione dei dati. Una società tricolore su dieci, inoltre, progetta di affidare a terzi la gestione dei propri dati a terzi.
Esiste in effetti, e non solo in Italia, un problema di risorse di tempo e di competenze, un problema che dimostra come gli investimenti in nuove tecnologie non bastino per assiscurarsi la compliance al Gdpr. Le imprese dovranno destinare in media otto ore al giorno (dedicando una risorsa a questa sola attività per l'intera giornata, o dividendo il compito su più persone) a setacciare banche dati per adempiere alle disposizioni del regolamento, come a quella che pretende di conoscere la collocazione esatta di ogni dato.
Limitando il calcolo alle sole grandi aziende, la media di impegno quotidiano sale a 60 ore, il che supera la somma del lavoro a tempo pieno di sette persone (equivale cioè a 7,5 giornate di lavoro). Dal sondaggio di Senzing si evince inoltre che le imprese riceveranno mediamente 89 richieste collegate al Gdpr al mese, per le quali dovranno effettuare ricerche in una media di 23 diverse banche dati, dedicando a ciascuna ricerca cinque minuti.
“A soli quattro mesi dall'entrata in vigore, il fatto che il 43% delle imprese italiane si dichiarino preoccupate in merito alla loro capacità di essere pronte ad adempiere al nuovo regolamento rappresenta un grave segnale d'allarme”, ha sottolineato il fondatore e Ceo di Senzing, Jeff Jonas. “Non soltanto il management, ma anche gli azionisti hanno tutte le ragioni per innervosirsi davanti a simili cifre: per molte società quotate in borsa il rischio di multe salate è infatti elevato e la loro quotazione ne risentirebbe. Le grandi aziende italiane appaiono particolarmente vulnerabili”. In sintesi, sembrano coesistere paradossalmente due tendenze opposte: c'è preoccupazione, ma il problema appare sottovalutato nelle sue conseguenze e nelle azioni da compiere per affrontarlo. Forse, un po' come accade con gli attacchi informatici, esiste l'errata percezione che i guai possano sempre riguardare gli altri, e mai noi stessi.