Il GDPR in Italia due anni dopo: a che punto è lo stato di adeguamento delle aziende?

27 aprile 2020 / Di Andrea Antonielli / 0 Comments

Il GDPR in Italia è diventato ufficialmente applicabile ormai da tempo, esattamente dal 25 maggio 2018. Il 19 settembre 2018 è entrato poi in vigore il testo di adeguamento della normativa italiana al General Data Protection Regulation, vale a dire il decreto 101/2018.


GDPR italiano: a che punto siamo?

Ma cosa significa questo per le imprese del nostro Paese? Fortunatamente il trend sembra positivo. Trascorsi quasi due anni dalla sua piena applicazione, in Italia si registrano progressi significativi in tema di adeguamento alla normativa, con aumenti nel budget a disposizione delle organizzazioni e crescita di maturità, in termini di concretezza dei progetti e di cambiamenti organizzativi mirati.

La complessità e l’importanza della materia richiedono comunque continui sforzi da parte delle imprese, necessari per adeguarsi ai principi imposti dalla normativa in materia di protezione dei dati personali e per rispondere alle richieste delle Autorità. A tal proposito, in diversi Stati europei sono state irrogate le prime sanzioni pecuniarie per violazione del Regolamento. In Italia, al contrario, l’atteggiamento dell’Autorità Garante è stato inizialmente accomodante, complici anche i ritardi nell’elezione del nuovo collegio dell’Autorità Garante.

Tuttavia, nel periodo più recente si è assistito a un’intensificazione dei controlli e delle ispezioni e all’applicazione delle prime sanzioni previste dalla normativa locale e sovranazionale in materia di protezione dei dati.

Grazie alla Ricerca condotta dall’Osservatorio Cyber Security & Data Protection, vediamo come questa normativa sta cambiando il contesto italiano.

Sei già in regola con il GDPR?
Scopri gli strumenti a tua disposizione

Scopri il Programma


Lo stato di adeguamento al GDPR italiano

Per esplorare i cambiamenti in corso nelle imprese italiane relativi alla Data Protection, l’Osservatorio ha considerato quattro aspetti:

  • stato dei progetti dei adeguamento
  • budget dedicato
  • azioni implementate
  • criticità riscontrate

Dallo studio si evince che quasi la totalità delle aziende italiane ha messo in atto o perfezionato progetti di adeguamento al GDPR. Più della metà delle organizzazioni si è dichiarata conforme ai requisiti previsti dalla normativa e, allo stesso tempo, è diminuito il numero di aziende che si dichiara poco consapevole sulle implicazioni del GDPR. Su quest’ultimo punto, tuttavia, occorre precisare che si tratta di aziende dove il tema della protezione dati non ha ancora raggiunto i vertici ma è comunque noto a funzioni specialistiche quali IT Security, Legal e Compliance.

Un altro segnale positivo della maturità e della consapevolezza sul GDPR in Italia è la bassa percentuale di aziende (5%) che si trovano ancora nella fase di analisi dei requisiti previsti e di definizione di piani di adeguamento, mentre due anni fa tale quota raggiungeva il 34%.

Il quadro è positivo anche sul fronte del budget dedicato alle misure di adeguamento al GDPR: il 45% delle aziende italiane ha aumentato il budget dedicato. Se è vero che questo numero è positivo, è anche vero che l’attenzione deve ancora spostarsi soprattutto su attività specifiche come l’audit periodico, l’aggiornamento delle procedure e delle tecnologie di sicurezza e protezione dati.

image-5

Fonte: Osservatorio Cyber Security & Data Protection

 

Le azioni di adeguamento al GDPR

Nel concreto, che cosa stanno facendo le imprese italiane per adeguarsi al GDPR? È opportuno ricordare che il percorso di adeguamento deve necessariamente essere composto da diverse fasi, che al momento presentano diversi livelli di adozione:

  • Creazione del registro dei trattamenti (85%): creazione obbligatoria di un registro dove tenere traccia di tutte le operazioni di trattamento effettuate;
  • Individuazione dei ruoli e delle responsabilità (81%): individuazione e contrattualizzazione di tutti i responsabili del trattamento;
  • Modifica della modulistica (76%): aggiornamento della modulistica secondo le prescrizioni del GDPR;
  • Procedura di Data Breach Notificaction (68%): processo per comunicare all’Autorità di Controllo le violazioni di dati riservati;
  • Definizione di politiche di sicurezza e di valutazione dei rischi (66%): adozione di misure per garantire la conformità del trattamento al Regolamento;
  • Valutazione di impatto sulla protezione dei dati personali (56%): valutazione di impatto (Data Protection Impact Assessment – DPIA) obbligatoria quando il trattamento può comportare un rischio elevato per i diritti e le libertà dei soggetti interessati;
  • Implementazione dei processi per l’esercizio dei diritti dell’interessato (54%): azioni per il rispetto dei diritti concessi agli interessati dal trattamento.

Oltre a queste azioni, occorre considerare anche l’inserimento della figura del Data Protection Officer (DPO) nelle aziende. Questa figura, la cui nomina è prevista dal GDPR in una serie di casi, è presente nel 65% delle organizzazioni. Questa cifra è certamente positiva, dato che rivela un aumento delle aziende che hanno introdotto questa figura.

 

Quali criticità comporta il GDPR per le aziende italiane?

Se è vero che il quadro sullo stato di adeguamento al GDPR italiano è generalmente positivo, è anche vero che le organizzazioni hanno riscontrato alcune difficoltà. Infatti, molte aziende registrano ancora difficoltà dal punto di vista organizzativo, per esempio nell’individuazione dei ruoli e delle responsabilità in azienda, mentre altre segnalano un rallentamento significativo nelle attività quotidiane.

Tuttavia, questi elementi negativi sono di poco conto rispetto ad uno scenario maturo dove le aziende italiane si stanno mostrando non solo orientate ad affrontare le sfide in materia di data protection, ma anche consapevoli sull’intera tematica.

 

La gestione dei Data Breach per le aziende italiane

Il GDPR disciplina anche la notifica del data breach all’Autorità di Controllo e agli interessati. Il tema delle violazioni di sicurezza che comportano una perdita di dati personali costituisce uno degli adempimenti più importanti da affrontare per le aziende. Con l’avvento del GDPR in Iatalia, infatti, sono cambiati rispetto al passato i processi di gestione dei data breach all’interno delle nostre organizzazioni.

Tali violazioni sono, come è noto, sempre più numerosi e talvolta diventa difficile per le aziende accorgersene. Per questo motivo l'Osservatorio ha realizzato un webinar per spiegare le azioni e i comportamenti da adottare al fine di garantire una gestione corretta ed efficace di un data breach.

Data Breach: quando notificarlo all'Autorità di Controllo e comunicarlo agli interessati

VAI AL WEBINAR

  • Autore

Ricercatore Osservatorio Cyber Security & Data Protection