Enrico Corradini, legal di Var Group, ha partecipato in prima persona al percorso di costruzione delle competenze e delle strategie per la protezione dei dati e della privacy sia per Var Group stessa sia per i clienti. IctBusiness.it lo ha intervistato per capire fino a che punto il GDPR è stato recepito dalle aziende italiane e quanto lo sarà nel prossimo futuro.
Facciamo un primo bilancio del GDPR: sì è trattato finora di un vero business?
Var Group si è mossa fin da subito: all’interno della business unit Digital Security abbiamo creato una specifica divisione dedicata alla privacy, dove ci sono consulenti senior che operano nel settore da dieci anni, aiutando le piccole e le medie imprese. Il team è stato costituito un anno fa e in questi mesi abbiamo potuto constatare che il GDPR è un business reale. L’adeguamento alle normative richiede infatti alle aziende l’intervento di profili che abbiano sia competenze legali sia tecniche ed informatiche, perché i dati vengono trattati con strumenti digitali. I nostri consulenti conoscono la normativa ma sanno anche come funzionano i sistemi informativi.
Quali sono le tipologie di aziende (in termini di dimensioni, settori di mercato e geografia) che si sono mosse meglio e prima sul fronte della sicurezza dei dati?
Il nostro business ha fatto registrare una forte crescita soprattutto sul fronte della piccola impresa, anche per l’adeguamento di un singolo sito Web e il relativo database. Ma non trascuriamo le grandi aziende e abbiamo seguito diversi progetti di adeguamento dell’intero sistema di trattamento dei dati personali all’interno di organizzazioni anche complesse, mettendo a disposizione i nostri asset, soprattutto la competenza tecnico-informatica. Dal punto di vista geografico, il nord e il centro sono sicuramente partiti prima, mentre il sud si attarda. Teniamo però sempre presente che in generale, l’80% delle imprese deve ancora adeguarsi.
Quali sono i problemi più rilevanti incontrati dai clienti nell’approcciare la conformità al GDPR?
Le principali resistenze sono sicuramente a livello culturale, perché il tema della protezione dei dati personali viene visto come un peso imposto dal legislatore comunitario. In realtà noi cerchiamo di spiegare che è un’opportunità di crescita, che permette all’azienda di migliorare l’efficienza e la gestione dei dati. Un’azienda che protegge i dati dimostra di essere un’azienda matura. Altre resistenze sono di tipo economico, ma questo aspetto è strettamente correlato al precedente: la privacy è vista come una seccatura. In generale la protezione dei dati è trattata come un argomento residuale.
Quali sono le soluzioni tecnologiche più richieste dalle aziende per proteggere meglio i dati aziendali e quindi la privacy?
Si parte dalle soluzioni di base come firewall e antivirus, che vanno a proteggere soprattutto la posta elettronica. Le medie e grandi imprese comprano anche servizi più sofisticati come il Security Operation Center, che opera 24 su 24 per rilevare potenziali minacce di intrusione, o come il Data Protection Officer as-a-service. Poi ci sono le attività di cyber intelligence: noi abbiamo un team dedicato di 15 persone che sonda il dark Web alla ricerca di tracce di data breach, cioè dati che sono stati sottratti. Noi riusciamo a individuare e segnalare alle aziende questi eventi.
Che sviluppo vede, per i prossimi mesi, nel segmento delle soluzioni e dei servizi relativi alla sicurezza?
Secondo noi il business crescerà ancora, perché sta aumentando la consapevolezza da parte dei clienti, e soprattutto sta arrivando il timore delle sanzioni, soprattutto per le medie e grandi imprese. Molto dipenderà infatti dai controlli effettivi che partiranno da settembre con l’adozione dei decreti attuativi.