Da mesi si parla del Gdpr, General Data Protection Regulation, il regolamento sul trattamento dei dati personali e sulla privacy approvato l'anno scorso dall'Unione Europea e destinato a sostituire completamente la precedente direttiva 95/46/CE quando, il 25 maggio 2018, scadranno i tempi concessi agli Stati membri per adeguarsi. A conferma di precedenti studi, un'indagine realizzata da Vanson Bourne per Ntt Security evidenzia però che le aziende europee sanno poco o nulla di queste novità, che peraltro le riguardano direttamente. Le imprese, infatti, dovranno assicurarsi la compliance a regole come l’obbligo di comunicare entro 72 ore avvenute violazioni informatiche o incidenti e come la pseudonimizzazione (il principio per cui le informazioni di profilazione devono essere conservate in una forma che impedisca l’identificazione dell’utente). Per chi sia colto in fallo sono previste sanzioni salate: fino a 20 milioni di euro o fino al 4% del fatturato annuo aziendale.
Ebbene, fra i 1.350 dirigenti aziendali (non di ambito It) intervistati in undici Paesi europei e non, solo uno su quattro ritiene che la propria organizzazione sarà toccata dal Gdpr, mentre uno su cinque ammette addirittura di non sapere a quali normative sia soggetta la propria azienda in materia di trattamento dei dati. Altrettanto grave è l'ignoranza di molte aziende non europee, che sono anch'esse toccate da questo cambiamento normativo nel caso trattino dati di cittadini del Vecchio Continente: e invece solo un quarto dei dirigenti statunitensi, il 26% di quelli australiani a il 29% di quelli di Hong Kong pensano di essere soggetti al rispetto del Gdpr.
“Il 25 maggio 2018 è una data importante”, ha ribadito Dolman Aradori, vice president e responsabile security di Ntt Data Italia. “l’applicazione del Gdpr interessa tutte le aziende operanti nell’Unione Europea o anche al di fuori, purché trattino dati relativi ai cittadini comunitari. Il suo obiettivo principale è rafforzare i diritti delle persone fisiche in termini di protezione dei dati personali pur agevolando la libera circolazione dei dati stessi all’interno del mercato unico digitale. È evidente che avrà un impatto rilevante”.
Altra evidenza emersa dall'indagine è il fatto che meno della metà dei dirigenti, il 47%, può affermare che tutti i dati critici della propria azienda siano archiviati in modo sicuro. Alcuni, semplicemente, non sanno dire dove risiedano i dati più “delicati” e importanti per l'organizzazione, mentre fra coloro che lo sanno solo il 45% può dire di essere “completamente consapevole” in cui i nuovi requisiti normativi avranno effetto sull’archiviazione dei dati nella loro azienda. Il livello di consapevolezza è tendenzialmente più elevato fra chi opera nel settore bancario e nei servizi finanziari.
Si nota, in generale, un'insufficiente attenzione al tema della protezione dei dati, che è invece intimamente legato all'andamento anche economico delle imprese. Solo un intervistato su otto ritiene che la scarsa sicurezza delle informazioni rappresenti il “singolo rischio di maggiore entità" per l'organizzazione (il rischio segnalato più di frequente è, invece, l’acquisizione di quote di mercato da parte dei concorrenti), a dispetto del crescente danno finanziario attribuibile agli incidenti informatici. Meno della metà (48%) delle organizzazioni coinvolte nello studio, inoltre, ha un piano di risposta agli incidenti, ma va detto che tra le restanti il 31% ne sta implementando uno.