Sono trascorsi ‘solo’ due anni dall’entrata in vigore del GDPR (e uno dalla sua piena attuazione): ma nella percezione di molte imprese italiane, grandi e piccole, probabilmente, è come se ne fossero passati dieci, o anche di più. Un cambio di paradigma e un passaggio evolutivo che stanno incidendo profondamente e trasversalmente su molte funzioni aziendali e sui rapporti con l’ecosistema nel quale operano.
Lo stato dei progetti GDPR
Dalla recente foto di gruppo scattata dall’Osservatorio Information Security & Privacy (promosso dalla School of Management del Politecnico di Milano) sul processo di adeguamento ai requisiti imposti dal GDPR da parte di 166 grandi aziende operanti in Italia (con un focus specifico su quattro aspetti: lo stato dei progetti di compliance, il budget destinato, le azioni sviluppate, le criticità riscontrate) emerge un quadro relativamente confortante.
Il 63% delle organizzazioni segnala un incremento della sensibilità del Top Management sul tema della protezione dei dati. Il 56% delle aziende del campione ha messo a punto almeno un Dpia-Data Protection Impact Assessment, il 52% ha introdotto corsi di formazione dedicati ai dipendenti sui temi centrali del Regolamento UE e il 50% dichiara di prendere in considerazione gli aspetti relativi alla sicurezza nella fase preparatoria di ogni nuovo trattamento dei dati personali (privacy by design). Il 47% ha investito in nuove tecnologie, e il 34% ha inserito in organico nuove figure professionali specifiche per la gestione tecnica e legale della protezione dei dati.
Ciò non toglie, però, che il 26% delle imprese abbia registrato criticità organizzative, per esempio nell’individuazione dei ruoli e delle relative responsabilità al proprio interno, che il 16% ritenga di aver sostenuto costi ingenti per le attività consulenziali e l’8% abbia addirittura rilevato un generale rallentamento dei processi e delle attività quotidiane. Senza contare, comunque, che il 52% delle aziende-campione ammette di avere incontrato difficoltà nella raccolta e mappatura dei dati e il 27% riconosce di aver riscontrato qualche problema nella comprensione della normativa.
GDPR e contratti: una guida per definire procedure, rapporti, interazioni
Per molte grandi imprese, infine, un’area grigia, emersa già in fase di avvicinamento all’entrata in vigore del GDPR e confermatasi anche in questi due ultimi anni di rodaggio, è quella della valutazione degli impatti del GDPR sui contratti dei fornitori di servizi IT, che in non pochi casi ha inceppato o rallentato la revisione e il rinnovo dei contratti su entrambi i fronti.
Il tema è di particolare rilievo per i suoi evidenti risvolti gestionali, operativi ed economici anche all’interno delle aziende che meglio hanno padroneggiato il processo di adeguamento alle richieste del Regolamento: tanto che, in parallelo allo svolgimento della Ricerca 2018 condotta dall’Osservatorio Information Security & Privacy, è stato istituito un apposito Gruppo di Lavoro di approfondimento verticale con l’obiettivo di creare una metodologia e una linea guida operativa per il mondo delle grandi imprese che definisca le procedure, i rapporti e le interazioni tra Titolari e Responsabili del trattamento nel contesto del GDPR.
Il progetto ha visto la partecipazione di 18 organizzazioni, tra aziende end user e società fornitrici di servizi e soluzioni di information security & privacy operanti nel mercato italiano.
Come già avvenuto per una precedente pubblicazione, la Linea Guida per la Data Protection Impact Assessment, prodotta sempre all’interno dell’Osservatorio Information Security & Privacy, anche quella della valutazione degli impatti del nuovo regolamento sulle clausole contrattuali dei fornitori di servizi IT appena disponibile sarà scaricabile gratuitamente online sul sito www.osservatori.net.
Un progetto condiviso da aziende e fornitori IT
“Il coinvolgimento dei partecipanti è stato molto elevato già nel primo incontro – ha spiegato Luca Bechelli, membro del Comitato Tecnico Scientifico del Clusit, che nell’ambito dell’Osservatorio Privacy & Security ha coordinato il progetto e la redazione delle linee guida – a fine ottobre 2018, nel corso del quale sono stati formati, sulla base di candidature volontarie, i gruppi di lavoro incaricati della stesura delle varie sezioni del documento. Per ognuno di essi è stata individuata una persona di riferimento che ha assunto il ruolo di team leader. Abbiamo quindi cercato di codificare quelle che sono le domande centrali da porsi su entrambi i fronti, quello delle aziende e quello dei fornitori del mondo IT, cloud e non, e di definire la struttura concreta del documento. I singoli gruppi sono poi stati invitati a partecipare a una cartella di lavoro condivisa, in cui raccogliere i vari contributi e monitorare lo stato di avanzamento delle attività”.
A dicembre, in un secondo incontro, sono stati vagliati i diversi contributi sviluppati per la stesura della linea guida ed è stata assemblata una prima bozza del documento. Dopodiché, a ogni partecipante è stata richiesta una revisione del proprio contributo, sulla base dei feedback recepiti. “Gli incontri diretti sono stati proficui, per quanto limitati all’indispensabile – ha aggiunto Bechelli – ma la cosa più significativa è che i momenti di interazione online per l’elaborazione del documento sono stati numerosi e vivaci, a dimostrazione dell’interesse suscitato dal tema e della necessità di mettere a fattor comune le diverse esperienze aziendali, per definire meglio le capacità, le conoscenze, le competenze, i fattori di scala richiesti e di ridurre il più possibile i margini d’incertezza e di dubbi in fase contrattuale su entrambi i fronti. E nel reciproco interesse: sia di quelle aziende che si trovano ad avere a che fare magari con numerosi fornitori IT e con tutta una serie di contratti che richiedono in qualche modo una revisione, sia delle società di tecnologie e servizi digitali che devono riformulare le proprie proposte con nuove garanzie da offrire e, magari, nuove opportunità di servizi aggiuntivi, visto che il GDPR richiede di fornire un supporto che può essere anche più ampio rispetto a quello dei servizi di base forniti prima della sua entrata in vigore”.