Un anno e mezzo dopo l’entrata in vigore del Regolamento generale sulla protezione dei dati (Gdpr, General Data Protection Regulation), il 30% delle imprese europee ammette di non essere ancora conforme alla nuova normativa. È quanto emerge da un sondaggio condotto dagli European Business Awards per Rsm, leader internazionale nei servizi di Audit, Consulting, Tax & Legal. Solo il 57% delle imprese si dichiara sicura che la propria attività rispetti le regole, e il 38% di quelle non conformi al Gdpr non riesce a comprendere quando è richiesto il consenso per conservare ed elaborare i dati. Ancora, secondo il sondaggio commissionato da Rsm il 35% delle aziende europee non è sicuro di come monitorare l’utilizzo dei dati personali dei propri dipendenti e il 34% non capisce quali procedure siano necessarie per garantire la conformità dei contratti con i fornitori terzi. «Le imprese hanno faticato a gestire la pressione per soddisfare i requisiti di conformità al Gdpr» dice Steven Snaith, Technology Risk Assurance Partner di Rsm Uk, «spesso sono state travolte dalla gran mole di informazioni che venivano dalla stampa, dagli organismi industriali e dalle parti interessate. Così molte si sono semplicemente arrese, e sono tornate al vecchio modo di fare le cose».
Il Gdpr viene visto come una tassa e non come un’opportunità perché l’attenzione verso la sicurezza informatica resta deficitaria
Non mancano, però, gli elementi positivi: il 73% delle aziende afferma che il Gdpr le ha incoraggiate a migliorare il modo in cui gestiscono i dati dei clienti, e il 62% afferma di aver visto aumentare i propri investimenti nella sicurezza informatica. Secondo gli esperti di Rsm, l’entrata in vigore della nuova normativa ha sensibilmente aumentato il livello di consapevolezza tra le imprese europee in merito alle violazioni dei dati derivanti dal crimine informatico, e alla necessità di protezione. Dal lavoro svolto con aziende di tutta Europa emerge che la minaccia di sanzioni finanziarie dovute alla mancanza di conformità, con il conseguente danno reputazionale, hanno spinto all’azione. «Il Gdpr è complesso e impegnativo, ma è anche un’opportunità per le aziende di differenziarsi con la loro capacità di rispondere e dimostrare la propria agilità organizzativa» commenta Jean Stephens, Ceo di Rsm International, «Lasciando andare i sistemi legacy e ripensando il modo in cui interagiscono con i dati, queste imprese possono diventare, sulla scena globale, partner più attraenti e concorrenti più innovativi».
In Italia il tasso di conformità al Gdpr è più basso a causa della predominanza di Pmi: la percentuale di aziende che non si sono ancora adeguate al nuovo regolamento, infatti, aumenta al diminuire della dimensione aziendale. «Tra le nano imprese, quelle con meno di 10 dipendenti, il rapporto 70% di conformi al Gdpr e 30% di non conformi tende a invertirsi» dice Fabrizio Bulgarelli, Head of RAS e IT Services di Rsm Italia, «manca la sensibilità al rischio, che si afferma solo dopo che il danno informatico è fatto e i buoi-dati sono scappati». L’attenzione delle piccole imprese italiane alla sicurezza informatica resta insomma molto deficitaria. «Quello che gran parte delle Pmi italiane non ha ancora fatto è un’analisi dei rischi con un esperto di privacy informatica» spiega Bulgarelli, «dovrebbero investire su un certo numero di giornate per fare un assessment. Noi di Rsm mettiamo a disposizione dei clienti un team misto: legal, organizzativo e IT, funzionale a questa analisi. Non è detto che il risultato sia dover investire in soluzioni di sicurezza informatica molto costose, se ne possono trovare di standardizzate che sono già conformi al Gdpr». Spesso le piccole imprese subiscono danni importanti da attacchi informatici che sarebbero evitabili non solo con spettacolari apparati di cybersecurity, ma anche solo con un minimo di attenzione in più. «Spesso chi apre un’aziendina mette i suoi file word e excel su uno spazio cloud Google che usa anche a casa, uno spazio non business» mette in evidenza l’Head of Ras e It Services di Rsm Italia, «anche solo passare a un semplice contratto business di fornitura degli spazi cloud in questi casi significa aumentare la sicurezza dei dati». La stessa considerazione, quasi banale se non si trattasse di una questione estremamente seria, vale per i software antivirus: «Tante aziende utilizzano quelli gratuiti» osserva Bulgarelli, «mentre lo installi a un certo punto è specificato chiaramente che puoi andare avanti solo se lo utilizzo ad uso personale e non aziendale. Ho visto aziende con 100 dipendenti, che utilizzavano antivirus gratuiti, a cui un cryptolocker ha bloccato l’accesso a risorse indispensabili per l’operatività». In quei casi, l’azienda si ferma per 2-3 giorni nel caso disponga di un salvataggio dei dati, ma non di rado lo stop è di 10 giorni o perfino di un mese perché si sono dovute recuperare le informazioni da clienti e fornitori, prima di reinserirle. Dal punto di vista normativo, in Italia il Decreto legislativo 10 agosto 2018, n. 101 ha adeguato il Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196) alle disposizioni del Regolamento (UE) 2016/679. «Tale decreto ha rimarcato il fondamentale approccio al rischio anche per le micro imprese» rimarca l’Head of RAS e IT Services di Rsm Italia, «l’imprenditore deve conoscere a quali rischi va in contro e valutare le adeguate contromisure». Per quanto riguarda le imprese medio-grandi, le problematiche possono essere diverse. «Spesso in Italia il responsabile IT fa da parafulmine ai rischi in carico alla proprietà o alla direzione dell’azienda» afferma l’Head of RAS e IT Services di Rsm Italia, «così quando c’è un danno provocato da un data breach o da un cryptolocker a saltare è proprio lui, caricato di responsabilità che spesso non gli competono». Un modo di gestire le cose che va superato: «Questo approccio al rischio va scardinato facendo escalation sulla proprietà o la direzione per un nuovo approccio olistico» rimarca Bulgarelli, «i vertici devono comprendere che la responsabilità è anche loro, la consapevolezza è elemento fondamentale del Gdpr. Quando lo implementiamo presso questo tipo di cliente chiedo da subito di incontrare tutte le figure aziendali responsabili delle linee di business, e inizio a stravolgere il modello secondo il quale è tutto in capo all’IT manager». Questo cambio di approccio produce un miglioramento della sicurezza. «I direttori e la direzione si fanno molte più domande» insiste l’Head of RAS e IT Services di Rsm Italia, «per esempio iniziano a chiedersi quale Informativa o Consenso utilizzare in questa o quella situazione. Domande che non sarebbero mai uscite se non avessimo distribuito la consapevolezza al rischio».
