In Italia, così come nel Regno Unito, in Francia, Germania, Benelux, Giappone, Australia e Stati Uniti quasi il 90% delle aziende ignora l’impatto delle normative comunitarie per la riservatezza dei dati sulla spesa IT: lo riferisce uno studio commissionato da Compuware a Vanson Bourne.
Le aziende, sottolinea l’indagine, raccolgono ed elaborano una grande quantità di dati sui consumatori di tutto il mondo, dal luogo in cui viviamo al posto in cui andiamo in vacanza, fino alle nostre abitudini di spesa. L’Unione Europea ha fatto passi avanti per proteggere i dati dei cittadini e sta per promulgare una nuova direttiva. Sebbene le implicazioni della proposta siano di vasta portata, secondo lo studio al momento c’è scarsa consapevolezza sulle nuove misure di sicurezza o sul regolamento attuativo che dovrà essere approvato.
Dal sondaggio, commissionato nel 2013 da Compuware ed effettuato da Vanson Bourne nel Regno Unito, in Francia, Germania, Benelux, in Italia, Giappone, Australia e Stati Uniti è innanzitutto emerso che i 43% degli intervistati che condivide i dati dei clienti con terze parti non comprende chiaramente le leggi e le normative attuali sulla protezione delle informazioni. Lo studio evidenzia poi che l’82% delle aziende del Regno Unito non conosce la propria spesa IT attuale associata alla protezione dei dati. Un altro 87% non conosce l’impatto che la normative sulla protezione dei dati personali avrà sulla spesa IT. Il 20% delle aziende non maschera né protegge i dati dei propri clienti prima di renderli disponibili all’esterno con l’obiettivo di testare le applicazioni. L’87% delle aziende non maschera i dati dei clienti prima di passarli a terzi avvalendosi di accordi di non divulgazione (Nda) per proteggere i dati dei loro clienti.
Conoscere l’impatto sul business delle normative per la riservatezza dei dati, specifica Compuware, è importante anche per i costi alti da affrontare in caso di inadempienza. Secondo la proposta di legge, una violazione dei dati causata da inadempienza può costare una multa fino a 100 milioni di Euro, o il 5% del fatturato annuale dell’impresa. A fronte di ciò il governo inglese ha stimato che la direttiva costerà all’economia inglese da 100 a 360 milioni di sterline all’anno, ed è il costo di base per eseguire la legge.
Oltre a questo le aziende dovranno affrontare i costi per mettere in regola il sistema secondo le disposizioni di legge. Non ci sono solamente i costi di implementazione di nuove tecnologie ma anche, soprattutto, quelli di analisi della situazione attuale e il deficit di sicurezza, per i quali le aziende si affidano spesso a società di consulenza.
Una volta che la proposta diventa legge, le aziende devono adottare un approccio moderno per la gestione sicura dei dati entro due anni. Può sembrare abbastanza facile ma, sostiene Compuware, con il livello attuale di conoscenza e urgenza sarà difficile rispettare questa legge. L’analisi per individuare dove risiedono i dati e come interagiscono con gli altri dati può richiedere più del tempo previsto.
“È essenziale che le aziende – ha detto Elizabeth Maxwell, Emea Technical Director di Compuware – definiscano una strategia accorta, una sorta di progetto di conformità. Possedere un piano realistico ed eseguibile minimizzerà i costi iniziali richiesti per adeguare le applicazioni e le procedure alle nuove norme, comprovarne il rispetto e mantenere la conformità”.
Per Maxwell occorre “capire le implicazioni della legge sulle operazioni della propria azienda, analizzare dove risiedono i dati personali e sensibili, determinare come desensibilizzare i dati pur utilizzandoli, sviluppare la soluzione mediante una serie selezionata di strumenti e inserire la soluzione nel framework operativo esistente della divisione IT”.
“Mentre la Commissione Europea segue l’iter parlamentare della direttiva – conclude – è essenziale che i reparti IT inizino a pianificare sin da ora l’adeguamento dei loro sistemi per conformarsi alle nuove normative. Anche con la prevista finestra di adeguamento di due anni, le cose da fare sono molte: si pensi ai volumi di dati coinvolti, alla complessità delle relazioni esistenti tra gli oggetti di dati (in molti casi non documentate) e all’integrità interpiattaforma, tutti elementi di cui tenere conto nell’approccio alla minimizzazione e a rendere anonimi i dati che riduce i rischi organizzativi di violazione delle informazioni”.
