GDPR, le aziende si preparano ma la compliance resta un problema
Un nuovo studio commissionato da Compuware – coinvolgendo circa 400 CIO di grandi aziende che coprono una sezione trasversale di mercati verticali in Francia, Germania, Italia, Spagna, Regno Unito e Stati Uniti – rivela come, nonostante il progresso degli ultimi 12 mesi, la maggior parte delle aziende europee e statunitensi non sia ancora adeguatamente preparata a rispettare il nuovo regolamento generale sulla protezione dei dati (GDPR) della Commissione Europea, la cui entrata in vigore è prevista per il prossimo anno.
I principali risultati:
- Il 67% delle organizzazioni in Europa (76% in Italia) ritiene di essere ben informata sul GDPR e sul suo impatto in relazione alle modalità di gestione dei dati dei clienti – in crescita rispetto al 55% dell’anno precedente.
- Del 94% di aziende statunitensi che possiedono dati di clienti europei, l’88% sostiene di conoscere il GDPR e il relativo impatto sul modo in cui vengono gestiti tali dati; un aumento significativo rispetto al 73% del 2016.
- Solo il 38% di tutti gli intervistati (28% in Italia) ha in atto un piano completo per garantire la conformità con il GDPR, mentre la maggioranza è a rischio di sanzioni per non conformità. In questo caso sii tratta solo di un lieve miglioramento rispetto al 33% della scorsa edizione.
Tuttavia, i risultati mostrano che le organizzazioni statunitensi sono meglio preparate a recepire il GDPR rispetto alle controparti europee. Il 60% delle aziende statunitensi intervistate che possiedono dati di clienti europei ha dichiarato di avere un piano dettagliato e di ampia portata, facendo registrare un lieve aumento rispetto al 56% dello scorso anno. Le aziende del Regno Unito sono risultate le meno preparate, con solo il 19% di organizzazioni dotate di un piano dettagliato in atto, un lievissimo aumento dal 18% dello scorso anno.
“Le aziende sono sicuramente sulla buona strada per ottenere la conformità con il GDPR, ma c’è ancora tanto lavoro da fare in un lasso di tempo molto breve“, ha affermato Elizabeth Maxwell, PDP, Direttore tecnico Compuware per l’area EMEA. “Il ritardo delle aziende del Regno Unito può essere dovuto all’incertezza iniziale sull’impatto della Brexit. Ma ogni organizzazione che opera in Europa dovrà mettersi in pari entro la scadenza di maggio 2018. La mancata osservanza del nuovo regolamento potrebbe portare a conseguenze devastanti nel caso si verificasse una violazione dei dati, cosa altamente probabile, vista la crescita della criminalità informatica e delle minacce degli insider.”
Ostacoli alla conformità
Nell’indicare le aree di maggiore criticità, il 56% degli intervistati ha dichiarato che la complessità e la qualità dei dati sono i due principali ostacoli che dovranno essere superati per ottenere la conformità con il GDPR. Un dato che in Italia raggiunge solo il 32%, il più basso dei Paesi intervistati. I costi per l’implementazione sono invece il principale ostacolo per il nostro Paese, con ben il 64%.
Inoltre, il 75% delle organizzazioni (56% in Italia) ha dichiarato che la complessità dei moderni servizi IT implica il fatto che non sempre è possibile sapere dove risiedono i dati di tutti i clienti, mentre solo poco più della metà (53%) – 40% in Italia – sostiene di poter individuare rapidamente tutti i dati di una persona, come sarà necessario per rispettare il “diritto all’oblio” previsto dal GDPR. L’aspetto più preoccupante è che quasi un terzo (31% in Europa e Usa – 36% in Italia)) ha ammesso di non poter garantire di riuscire a trovare tutti i dati di un cliente.
“Se le organizzazioni non sono in grado di individuare i dati dei clienti, sarà impossibile rispettare il diritto all’oblio previsto dal GDPR“, ha continuato Elizabeth Maxwell. “Grazie alla sicurezza e alla scalabilità dei mainframe, la maggior parte delle grandi organizzazioni memorizza i dati dei clienti su questo tipo di sistemi. I dati in genere risiedono in un complesso labirinto di database che si estende su più sistemi e le organizzazioni utilizzano metodi manuali e lunghi per individuarli ed estrarli. Le aziende hanno bisogno di un metodo automatizzato per mappare e visualizzare le relazioni tra i dati, in modo da poter trovare rapidamente quelli specifici e rilevanti ed eliminarli, senza bisogno di competenze specifiche.“