Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Le criticità di assicurare la compliance al GDPR (per Enterprise e PMI)

20 Novembre 2019 in GRC360

Non per tutte le realtà aziendali assicurare la compliance al GDPR (Regolamento (UE) 2016/679 del parlamento europeo e del consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE “regolamento generale sulla protezione dei dati”) è facile allo stesso modo. I grandi gruppi industriali hanno i mezzi economici per adottare gli strumenti adeguati ed acquisire le competenze necessarie a garantire la compliance alla normativa europea. Per queste imprese, dover seguire il Regolamento europeo non rappresenta un trauma, perché l’impatto economico è mitigato dalla disponibilità di budget, sufficiente per ottenere strumenti informatici di livello e professionisti che apportino la giusta consapevolezza in azienda sul tema privacy. Lo stesso non si può dire per le PMI. A causa delle limitazioni di budget e le difficoltà operative con cui le piccole medie aziende si scontrano quotidianamente, le stesse sono portate a ritenere la data protection un noioso compito cui adempiere solo per evitare sanzioni. La figura del legal, dunque, si trova ad affrontare problemi diversi a seconda delle realtà in cui opera.

Aziende e compliance al GDPR: i dati

Tra grandi gruppi aziendali e PMI il divario in materia di compliance è rilevante. Secondo i dati dell’Osservatorio Information Security & Privacy del Politecnico di Milano, aggiornati al febbraio 2019, le grandi imprese coprono il 75% della spesa totale relativa a security e privacy dove la voce principale è quella dedicata ai piani per adeguarsi al GDPR. D’altra parte, solo il 18% delle PMI è a un buon livello in questo percorso di adeguamento. Dal report emerge inoltre che il 23% delle aziende a febbraio 2019 aveva già provveduto a adeguarsi al regolamento europeo ed è risultata compliant.

In generale, il quadro è positivo ed emerge una maggiore consapevolezza sul tema privacy rispetto agli anni precedenti. Come precisano i dati del rapporto Clusit 2019, infatti, indicano anche che è diminuita la percentuale di aziende poco formate sul tema data protection, dal 15% del 2018 al 10% di quest’anno. Un dato da mettere in relazione con quelli riguardanti lo stanziamento di budget appositamente dedicato alle attività di adeguamento al GDPR.

Infatti, l’aumento di consapevolezza sull’argomento è direttamente proporzionale all’investimento per attuare la compliance normativa. L’Osservatorio del Politecnico spiega che l’88% delle aziende ha fondi dedicati a progetti di adeguamento al GDPR, mentre il 67% gode di un budget anche per mantenersi compliant nel tempo (quindi per svolgere attività come monitoraggio, audit, aggiornamento del registro dei trattamenti e così via). Inoltre, il 51% delle imprese ha riservato budget per la gestione degli incidenti di cyber security.

Le criticità nell’adeguarsi al GDPR

Dal report dell’Osservatorio del Politecnico di Milano emerge che nell’adeguarsi al GDPR i principali problemi riscontrati dalle aziende, di qualsiasi dimensione, sono:

Scarsa consapevolezza dei dipendenti dell’impresa sul tema data protection e, d’altra parte, poca sponsorizzazione da parte dei vertici manageriali;
Raccolta e mappatura dei dati in modo adeguato alla normativa;
Regole difficili da comprendere;
Carenza di professionisti esperti del settore;
Budget per la privacy scarso o inesistente;
Adozione di soluzioni tecniche ed organizzative inefficaci.

In questo scenario, le PMI soffrono di più. Vediamo perché.

PMI e compliance GDPR, le difficoltà

Le aziende più piccole, infatti, sono strutturate dal punto di vista organizzativo per essere orientate ai costi, quindi l’ipotesi di dover investire e stanziare budget per la privacy viene vissuto come un onere difficile da sormontare, soprattutto in un possibile contesto di difficoltà economica. Inoltre, tra le PMI regna la confusione, perché il GDPR non indica con precisione cosa fare in concreto per rendersi compliant, ma spiega quali procedure adottare per non correre rischi in materia di data protection. La normativa quindi viene avvertita come complessa, poco chiara e molte aziende hanno l’impressione di non avere completo controllo degli adempimenti.

Invece, le principali criticità nelle azioni concrete riscontrate tra le PMI alle prese con la compliance sono:

La scelta del DPO. I dubbi vertono: sull’obbligo o meno di designarlo, sui requisiti professionali che deve avere la figura individuata, con l’aggiunta della difficoltà del reperire un soggetto indipendente che non abbia conflitti di interesse;
Compilare e aggiornare i registri del titolare e del responsabile, monitorando costantemente la situazione e indicando ogni trattamento svolto e ogni eventuale incidente;
La formazione del personale.

È evidente quindi la necessità di dotarsi di professionisti seri e qualificati capaci di guidare le piccole realtà verso un maggiore livello di consapevolezza.

Le criticità dei grandi gruppi

I grandi gruppi, invece, hanno meno difficoltà, perché nel tempo, crescendo, si sono abituati ad affrontare le sfide della normativa, non solo in ambito privacy, ma su diversi fronti. I grandi gruppi aziendali hanno maggiori risorse per far fronte all’adeguamento al GDPR. Tuttavia, anche in queste realtà si riscontrano difficoltà. In particolare, emerge la criticità di attuare l’accountability, per lo stesso discorso di confusione che permea la quotidianità delle PMI.
Il GDPR, infatti, non fornisce un elenco di adempimenti cui sottostare che garantiscano la piena compliance, ma dà delle indicazioni generiche lasciando piena libertà al Titolare del trattamento, che dovrà semplicemente provare di avere adottato tutte le misure adeguate a tutelare la Privacy in ossequio al principio di accountability (art. 5 paragrafo 2 del GDPR). Bisogna, dunque, individuare sistemi di valutazione di aderenza al modello e dotarsi di organizzazioni competenti, processi strutturati e competenze professionali idonee al compito.

Anna Cataleta – Senior Legal Advisor

New call-to-action
Share