A tre mesi dall’entrata in vigore del Regolamento Europeo in materia di Protezione dei dati personali, solo un terzo delle aziende si è adeguato. Alcuni consigli per facilitare l’adempimento ed evitare ai ritardatari di incorrere in sanzioni.
Secondo una recente indagine di Dla Piper, studio legale internazionale, solo un terzo delle aziende è riuscito ad adeguarsi al regolamento europeo sulla privacy, che sarà pienamente operativo dal 25 maggio 2018. Da quel momento, le aziende rischieranno di incorrere in sanzioni che vanno dai 20 milioni di euro al 4% del fatturato. Cifre importanti, ma alle piccole medie imprese italiane costa molto anche l’adeguamento alle norme per la sicurezza dei dati.
I costi per l’adempimento pesano sul bilancio delle PMI
IAPP (International Association of Privacy Professionals) ed EY, network di servizi di consulenza, in una ricerca su 600 esperti di privacy da tutto il mondo, riporta il valore medio di investimento per l’adeguamento al GDPR per le aziende nel 2017: 480.000 euro, in crescita rispetto ai 349.000 euro dell’anno precedente. L’importo comprende i costi relativi alla nuova figura del DPO, ai consulenti e agli investimenti in IT necessari alla compliance alla normativa. Molte imprese faticano a sostenere tali investimenti e sono portate a scegliere gli asset strategici su cui è più urgente intervenire. Intanto, secondo IDC, società mondiale di ricerche di mercato, consulenza ed eventi in ambito IT e innovazione digitale, il 78% delle aziende italiane non è pronto per il GDPR e probabilmente non lo sarà nemmeno per il termine di maggio 2018.
Come ottimizzare le spese
Molte aziende si sono formalmente adeguate alla normativa tramite operazioni di revisione delle informative, policies dei dipendenti, registro del trattamento, regolamentazione del trasferimento dei dati all’estero. Queste misure, utili nel breve termine per evitare di arrivare gravemente impreparati alla scadenza per l’adempimento, nel lungo periodo dovranno essere riviste e rielaborate alla luce di un progresso tecnologico, e quindi normativo, sempre più rapido. Una scelta accurata sarebbe invece cogliere l’occasione per riorganizzare l’intero sistema IT aziendale, spesso inadeguato anche rispetto al Codice della Privacy italiano. Ad esempio, è necessario predisporre sistemi di autorizzazione efficaci, piani di business continuity e disaster recovery, utilizzare piattaforme cloud che gestiscano i dati compatibilmente con il regolamento europeo e prevedere audit sui fornitori di servizi IT.
E’ possibile investire nella sicurezza dei dati e nella compliance aziendale in modo intelligente, focalizzandosi su alcune scelte che supportano e accelerano l’adeguamento al nuovo regolamento:
- Scegliere un consulente esperto: il GDPR cambia significativamente il modo in cui i dati vanno gestiti e prevede accorgimenti tecnici e operativi importanti. Inoltre, il principio dell’accountability espresso nella normativa, lascia all’azienda il compito di dimostrare l’adeguatezza dei propri processi di compliance, rendendo fondamentale una scelta attenta dei professionisti che possano supportare e guidare il processo di adeguamento. Le figure adatte devono avere competenze trasversali che vanno dalle conoscenze legali a quelle in ambito informatico;
- Nominare un Data Protection Officer il prima possibile, che l’impresa sia tenuta da regolamento a dotarsi di questa figura, o meno. Il DPO, preferibilmente esterno all’azienda, può snellire il lavoro relativo alla compliance, facilitare il dialogo con i consulenti e risparmiare sulla futura gestione degli adempimenti;
- Effettuare una preventiva, completa e accurata analisi dell’attuale processo di gestione dei dati e valutare il tipo e il grado di rischio a cui si è esposti. E’ opportuno organizzare e conservare un registro dei trattamenti, consigliabile anche alle aziende che non sono obbligate ad averlo.
- Nel processo di adeguamento, può essere utile concentrarsi prima di tutto sulla revisione delle modulistiche che entreranno in contatto con consumatori, cittadini, dipendenti o stakeholder di altro genere;
- Investire in infrastrutture IT: il GDPR rappresenta un’opportunità per costruire un sistema di protezione del know-how aziendale e della ricchezza che i dati rappresentano, sempre più minacciata dai cyber criminali e dalla disattenzione, o peggio, diseducazione, dei dipendenti. Non solo: la compliance con il Regolamento Europeo in materia di Protezione dei Dati Personali si rivelerà decisiva per rimanere al passo con la concorrenza, in ambito tecnologico, etico e di affidabilità, quindi di immagine.
I vantaggi del servizio Assiteca
Seguire tutti i processi necessari per l’adeguamento al Regolamento Generale sulla Protezione dei Dati Personali risulta sicuramente impegnativo per l’impresa, in quanto rende necessario il coordinamento di una molteplicità di attori con professionalità diverse.
Assiteca è in grado di supportare le aziende che devono disporre procedure organizzative e adeguare i propri sistemi informatici in tempi relativamente stretti, entro la scadenza del prossimo 25 maggio.
Il vantaggio di affidarsi a un broker assicurativo e consulente consiste nell’avere un unico interlocutore per tutti gli aspetti legati al GDPR, organizzativi, legali, IT e assicurativi, grazie a team integrati di professionisti in grado di coprire interamente tutte le tematiche di progetto.
Un percorso progressivo e modulare implementerà un’adeguata struttura di controlli, includendo il trasferimento al mercato assicurativo dei rischi residui.
Consulenti specializzati lavoreranno al fianco dell’impresa, con un approccio pragmatico volto a minimizzare l’impatto della nuova normativa e cogliere, allo stesso tempo, le opportunità di miglioramento del livello di sicurezza dei sistemi aziendali.