Solo il 3% delle realtà con più di 10 addetti è compliant alla GDPR, il 43% ha appena iniziato l’analisi e il 54% ha già un piano per la conformità. E' quanto rileva uno studio di IDC per Microsoft, che ha indagato il livello di preparazione delle aziende al nuovo Regolamento Generale sulla Protezione dei Dati, che entrerà definitivamente in vigore il 25 maggio.
Secondo i dati della ricerca, è in alcuni settori strategici come il Finance e la Pubblica Amministrazione che si registra un maggior tasso di conformità, rispettivamente il 10% e l’8%, oltre che una maggiore presenza di roadmap già definite per l’adeguamento, nel 76% e 85% dei casi. Ma è in altri settori altrettanto strategici, come il Manufacturing e i Servizi, che è invece più alta la percentuale delle aziende che hanno da poco iniziato ad affrontare il problema, rispettivamente il 53% e il 60%.
Un ritardo che si conferma anche tra le grandi aziende, quelle con più di 250 dipendenti, che non è solo italiano e che secondo IDC nella maggior parte dei casi è dovuto alla percezione di alcuni requisiti della GDPR come delle vere e proprie sfide tecnologiche e organizzative.
Infatti, se si guarda al mercato italiano, oltre la metà delle imprese segnala come particolarmente impegnativi i requisiti tecnici, quali l’obbligo di notifica dei data breach entro 72 ore (70%), la necessità di implementare in modo sempre più strategico soluzioni di crittografia e/o anonimizzazione dei dati (60%), e la definizione di casi d’uso specifici nella gestione del consenso (48%). E tra i processi organizzativi ritenuti più sfidanti ci sono la classificazione di tutti i dati (67%), la sensibilizzazione dei dipendenti ai cambiamenti nelle policy di sicurezza (62%), e l’eliminazione dei dati irrilevanti (62%).
Tutti cambiamenti che naturalmente comportano anche dei costi. A tal proposito oltre 2 imprese italiane su 3 concordano sulle tematiche che assorbono più investimenti: la creazione di nuovi processi di documentazione (70%) e le attività di comunicazione interna e formazione (69%) vengono considerati i principali oneri, ma è considerato importante anche il peso di investimenti per soluzioni di Identity and Access Management (66%), per la mappatura dei dati (65%) e per l’aggiornamento dei processi di back-up (64%).
La risposta di Microsoft
Da ciò si evince come
la mancanza di risorse e competenze possa rappresentare un effettivo ostacolo all'adattamento delle aziende alla normativa. Un problema che Microsoft - che già offre alle aziende soluzioni in linea con i requisiti del GDPR - si propone di risolvere attraverso la
messa a punto di alcuni strumenti di supporto alle imprese in vista del 25 maggio: un
test di autovalutazione online gratuito, per consentire alle aziende di verificare il proprio grado di preparazione rispetto ai requisiti del GDPR e iniziare a definire un piano verso la compliance; un
servizio di consulenza a realtà di qualsiasi settore e dimensione, grazie al proprio ecosistema di 10.000 partner sul territorio; e il Microsoft 365 Circle, un
ciclo di webinar online accessibili anche on demand per restare sempre aggiornati sulle nuove tecnologie, tra cui sono già disponibili video e contenuti multimediali sul tema Cybersecurity e GDPR.
«Le sfide sono molte e la nuova normativa europea per la tutela dei dati personali deve essere vista come un’opportunità per ripensare il proprio approccio alla Cybersecurity e dare avvio a un percorso di Trasformazione Digitale che non trascuri l’elemento imprescindibile della Privacy e della Sicurezza a supporto di una crescita di lungo termine - dichiara Carlo Mauceli, National Technology Officer di Microsoft Italia -. Già oltre 10 anni fa in Microsoft abbiamo stabilito delle regole di condotta per un Cloud in linea con i principi di sicurezza, privacy, compliance e trasparenza, gli stessi principi che guidano anche il nuovo GDPR. Siamo convinti che
la nuova normativa rappresenti un passo importante per i diritti della privacy di ogni individuo, consentendo a coloro che risiedono all'interno dell'Unione Europea di rendere più sicura la protezione dei dati personali, ovunque questi vengano inviati, elaborati o conservati e
stiamo operando per supportare le realtà italiane coinvolte nel processo di adeguamento».
«Gestire il rischio IT con consapevolezza è un passaggio evolutivo necessario per la Digital Transformation. Il GDPR offre l’opportunità per un cambiamento strutturale, non solo dei processi di business, ma anche della cultura aziendale. L’approssimarsi dell’entrata in vigore della nuova normativa implica un ripensamento delle strategie di sicurezza e privacy delle aziende italiane. Non esiste una soluzione univoca, ma a partire da un’analisi delle peculiarità delle singole realtà è possibile definire strategie e soluzioni ad hoc.
Il Cloud Computing può rappresentare una valida risposta, soprattutto per le organizzazioni più piccole e meno strutturate, che possono così affidarsi ad IT provider qualificati e delegare loro la compliance ai nuovi requisiti tecnici e organizzativi previsti dalla normativa», aggiunge Giancarlo Vercellino, Research & Consulting Manager di IDC Italia.