“C’è ancora una grave mancanza di attenzione alla protezione dei dati personali e alla nuova normativa europea della General Data Protection Regulation (Gdpr). Per poter realizzare le modifiche organizzative richieste occorre coinvolgere il management delle aziende, sfruttando il tempo a disposizione per compiere tutte le analisi necessarie, per non giungere impreparati alla scadenza prefissata, evitando il rischio di commettere un illecito ed essere sanzionati (fino al 4% del fatturato globale di gruppo, ndr) da un’autorità amministrativa”. Secondo Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano, i ritardi di applicazione della normativa che sarà applicata tra poco più di un anno, da maggio 2018, sono importanti e bisogna mettersi in moto quanto prima.
Snocciolando i dati del rapporto, presentati stamattina a Milano ad un convegno promosso dall’Osservatorio in collaborazione con Clusit, Cefriel, Deib ed Europrivacy, Faggioli sottolinea che “solo un’azienda italiana su cinque conosce nel dettaglio le implicazioni del Gdpr, il regolamento europeo sulla protezione dei dati personali. E sono pochissime, il 9%, quelle che hanno già strutturato un progetto per adeguarsi. Mentre molte, ma non abbastanza (46%), hanno in corso un’analisi dei requisiti richiesti”. Al convegno, a cui ha partecipato anche Antonio Caselli, Responsabile dell’Unità Documentazione internazionale e revisione del quadro normativo Ue dell’Autorità Garante per la Protezione dei Dati Personali, è stato illustrato il quadro della nuova normativa che entrerà in vigore nel mese di maggio del 2018. 
Il Gdpr è infatti già realtà per gli Stati membri, ma si applicherà dopo due anni dalla data dell’entrata in vigore, in modo che i soggetti destinatari possano compiere tutte le azioni necessarie per mettersi in regola. Cosa stanno facendo le aziende italiane? Dall’Osservatorio risulta che la consapevolezza delle imprese sul Gdpr è ancora limitata: per il 23% del campione le implicazioni non sono note in dettaglio nell’organizzazione, per il 22% sono note solo nelle funzioni specialistiche, ma non è ancora un tema all’attenzione del vertice. In quasi la metà delle organizzazioni (il 46%) è in corso un’analisi dei requisiti richiesti e dei piani di attuazione possibili, ma solo nel 9% è già in corso un progetto strutturato di adeguamento alla normativa. Solo in pochi casi esiste un budget dedicato (nel 7% con orizzonte pluriennale, nel 8% con orizzonte annuale); nel 35% dei casi sarà stanziato a breve, mentre nel restante 50% non è presente e non lo sarà neanche in futuro.
I cambiamenti organizzativi sono ancora limitati: nel 12% dei casi con la definizione di nuovi ruoli oppure con l’identificazione di un team di lavoro trasversale (9%); nel 34% dei casi non ci è ancora stato alcun cambiamento, ma sarà attuato nei prossimi 6 mesi; nel restante 45% non sono previste modifiche in futuro. Tra le principali azioni già avviate dalle organizzazioni vi sono l’assessment sui rischi privacy (42%), il coinvolgimento di consulenti esterni (39%), la definizione di responsabilità e owner di processo (26%), azioni informative verso Board e Top Management (25%), revisione profonda degli attuali sistemi di IT security (22%), ricerche e corsi di formazione (20%), definizione di nuovi processi decisionali e comportamentali (12%).
“La ricerca mostra uno scenario ancora in divenire – rileva Alessandro Piva, direttore dell’Osservatorio Security & Privacy del Politecnico di Milano -. Le imprese italiane stanno progressivamente prendendo confidenza delle implicazioni della nuova regolamentazione sulla protezione dei dati personali, ma la regolamentazione è ancora percepita perlopiù come un questione di carattere legale, di cui si conoscono in modo ancora poco chiaro le implicazioni concrete per le soluzioni di information security. È necessaria un’accelerazione per non farsi trovare impreparati alla scadenza del prossimo anno”.