Banche, sanità e commercio: la rivoluzione della privacy

Ancora ventotto giorni, poi il dado sarà tratto. Il nuovo regolamento europeo sulla protezione dei dati personali (Gdpr) entrerà in vigore il prossimo 25 maggio: nessuna deroga, nessun rinvio. Da quel giorno scatta una sorta di “dentro o fuori”, e per le aziende non a norma il rischio sanzionatorio sarà importante, dato che le multe previste arrivano fino al 4% del fatturato.

L’arrivo del Gdpr segna uno spartiacque importante col passato. Col nuovo regolamento subentra l’obbligo di dimostrare la legittimità dei trattamenti dei dati personali e obbliga le imprese ad adottare procedure molto più stringenti (ed esplicite) per assolvere all’onere probatorio. Quello che maggiormente preoccupa, oggi, è il grado di consapevolezza da parte delle imprese italiane circa il nuovo quadro normativo. Consapevolezza che, secondo i dati in possesso dell’Osservatorio Information Security & Privacy, School of Management del Politecnico di Milano, è cresciuta nel corso dell’ultimo anno. Sono infatti diminuite le aziende che dichiarano una scarsa conoscenza delle implicazioni del Gdpr, passando dal 23% del campione del 2016 all’8% nel 2017. Coerentemente è emerso come nell’85% dei casi l’intera tematica sia ormai posta all’attenzione del vertice e non solo delle funzioni specialistiche (Security, Legal, Compliance, ecc.). A sostegno di tali dati va rilevato come nel 2016 solamente il 9% del campione dichiarava che fosse già in corso un vero e proprio progetto strutturato di adeguamento alla normativa; nel 2017 tale percentuale si è attestata invece sul 51%, mentre il 34% ha affermato che è in corso un’analisi di dettaglio dei requisiti richiesti e dei piani di attuazione possibili.

Budget: manifatturiero indietro

Parallelamente alla crescita della consapevolezza, il Politecnico di Milano ha registrato un notevole incremento del budget dedicato a misure di adeguamento e risposta al GDPR. Mentre nel 2016 solamente nel 15% dei casi esisteva un budget dedicato, nel 2017 la percentuale ha raggiunto il 58%. Più nel dettaglio: la percentuale di organizzazioni operanti nel mondo della Gdo (Grande distribuzione) che ha stanziato un budget si attesta sul 53% (35% con orizzonte annuale, 18% pluriennale). Nel settore bancario la percentuale sale al 65% (29% annuale, 36% pluriennale), mentre in campo assicurativo un budget dedicato è stanziato addirittura nell'80% dei casi. Tra le aziende manifatturiere il 47% ha stanziato un budget dedicato al Gdpr con orizzonte annuale, mentre solo il 12% (poco più di un’azienda manifatturiera su 10) ha previsto uno stanziamento pluriennale.

I settori più impattati

Ma quali sono i settori più impattati dal nuovo regolamento? «Indiscutibilmente tutto il mondo consumeristico: dalla sanità alle banche, dalla Gdo alle assicurazioni» dice al Sole 24 Ore Gabriele Faggioli, responsabile dell’Osservatorio milanese, che però mette in prima fila i cosiddetti Over The Top come Google e Facebook. Per quanto riguarda il settore della Gdo, il percorso verso l’adeguamento al Gdpr risulta essere, secondo i dati del Politecnico, ben tracciato: il 71% delle aziende dichiara infatti che è in corso un progetto strutturato in materia. Volgendo lo sguardo al settore bancario, il 67% delle aziende ha già messo in atto un progetto di adeguamento e la stessa percentuale si registra tra le organizzazioni rientranti nel settore assicurativo. Tra le aziende manifatturiere, poco più della metà (il 51%) afferma l’esistenza di un processo di analisi dettagliata dei requisiti richiesti dalla normativa e dei piani di attuazione possibili.

Secondo Faggioli c’è da aggiungere che «un fattore molto importante è quello relativo alla sensibilità del dato: non è importante solo la quantità dei dati trattati, ma la tipologia degli stessi. Se ho un piccolo laboratorio di analisi del sangue, i dati degli utenti in mio possesso sono molto più importanti rispetto ad altri. Il punto è: cosa puoi farci con quel dato. Più il dato è “profondo”, più è problematico».

A rendere più complesso il tutto, inoltre, c’è tutto il mondo legato all’IoT. Con miliardi di oggetti connessi in tutto il mondo, la probabilità che il business di una Pmi possa essere coinvolto è sempre più elevata: «Pensiamo a un produttore di valigie che oggi monta un dispositivo Gps per evitare lo smarrimento del bavaglio - racconta Faggioli –. In questo caso l’impatto del Gdpr, essendoci di mezzo il trattamento dei dati di localizzazione di un utente, è notevole. Eppure stiamo parlando di un’azienda che produce valigie».

Secondo il docente milanese, inoltre, i parametri su cui settarsi non sono solo relativi al dato, ma anche allo strumento: «Il rischio sicurezza è dietro l’angolo: un produttore di automobili deve tener conto del fatto che con il computer di bordo subentra un discorso relativo ai dati dell’utente, ma anche un rischio intrusione e manomissione».

Pmi in ritardo

Il quadro italiano, a ventotto giorni dall'entrata in vigore del Gdpr, racconta di una differenza sostanziale fra grandi aziende e Pmi. «Le aziende private di altissimo livello – dice Faggioli - si stanno muovendo bene. I progetti di adeguamento normativo sono partiti, il problema è all'ordine del giorno ed è affrontato. Rispetto alle Pmi, invece, la nostra percezione è quella di un ritardo cronico sugli adempimenti normativi. Un ritardo dovuto al fatto che un adempimento sul modello delle aziende di grandi dimensioni ha costi troppo elevati». Ma qual è la strada maestra? «Devi capire qual è il tuo business e coglierne le criticità. – aggiunge il docente milanese -. Devi sapere cosa fai: se stampi pezzi di plastica non hai problemi, se fai analisi del sangue devi adeguarti, e in fretta. Il punto è che il Gdpr chiede tante cose ma non ti dice come farle, ti lascia scegliere, e devi essere in grado di declinarlo in modo corretto. Credo che le associazioni di categoria dovrebbero dare una mano. Poi in futuro arriveranno i codici di condotta». Ciononostante, il Gdpr è un’opportunità o un limite? La verità sta un po’ nel mezzo: «In un’ottica di imbrigliamento normativo - conclude Faggioli - penso che l’occasione sia quella di avere una modalità di gestione più interessante dei dati, nel rispetto del cittadino. Certo, dal punto di vista del marketing è un freno. Ma anche il tutor stradale è una limitazione. Però serve affinché la gente non si ammazzi».

Le imprese e la privacy

Le imprese e la privacy