Rapporto Clusit … punto sullo stato dell’adeguamento GDPR

Indice del contenuto

Quick read

Si è tenuto a marzo il Security Summit di Milano, la manifestazione dedicata alla sicurezza delle informazioni, delle reti e dei sistemi informatici che, da anni, appassiona i partecipanti con contenuti e approfondimenti sull’evoluzione tecnologica del mercato.

Come ogni anno è l’occasione per la presentazione del rapporto Clusit sulla sicurezza IT in Italia. Tra i vari approfondimenti la premessa è l’aumento nel 2018 degli attacchi informatici del 38% a livello globale.

Uno degli approfondimenti del rapporto, sullo stato di applicazione del GDPR in Italia vede la maggior parte delle aziende impegnate in un percorso di adeguamento anche in quei settori come il manufacturing dove il trattamento del dato personale non rappresenta il core business come può esserlo nel settore della GDO o Finanziario.

Close examination

La survey a cura dell’Osservatorio Information Security & Privacy del Politecnico di Milano, ha coinvolto 667 figure tra CISO, CSO, CIO, Compliance Manager, Risk Manager, Chief Risk Officer e DPO di imprese italiane – 166 organizzazioni grandi (>249 dipendenti) e 501 PMI (tra 10 e 249 dipendenti).

L’indagine nell’analizzare il percorso di adeguamento del GDPR ha esplorato cinque aspetti in particolare: lo stato dei progetti di adeguamento, il budget dedicato, le azioni implementate, le principali criticità riscontrate e la figura del DPO.

Il dato generale evidenzia che la quasi totalità del campione ha avviato un percorso di adeguamento anche in quei settori merceologici, come il manufacturing ove il trattamento di dati personali non rappresenta il core business. Dalla rilevazione il 59% delle organizzazioni ha un progetto in corso mentre il 23% ha già portato a conclusione l’adeguamento. Un ulteriore sintomo del raggiungimento di un maggiore grado di maturità e consapevolezza sul tema è dato dalla limitata percentuale di aziende (8%) che si trova ancora nella fase di analisi dei requisiti richiesti e dei piani di attuazione possibili in netto miglioramento rispetto al dato del 2017 dove la percentuale era del 34%.

Parallelamente allo stato di avanzamento dei progetti di adeguamento si registra un notevole incremento del budget dedicato a misure di adeguamento al GDPR. Mentre nel 2017 solo nel 58% dei casi risultava un budget dedidcato, nell’ultimo anno la percentuale ha raggiunto l’88%. E’ necessario tuttavia che l’attenzione si questi temi permanga per il mantenimento della conformità e per dimostrare la cosidetta Accoutnability del titolare. A titolo esemplificativo le attività di mantenimento includeranno attività periodiche di audit, la revisione del registro dei trattamenti e l’aggiornamento delle procedure e delle tecnologie di sicurezza e protezione dei dati. Nel 67% dei casi le organizzazioni hanno già definito un budget dedicato al mantenimento mentre nel 33% non è ancora previsto (nel 25% dei casi è previsto nei prossimi 12 mesi).

Le fasi condotte nel processo di adeguamento hanno riguardato la creazione del registro dei trattamenti (85%), l’individuazione dei ruoli e delle responsabilità (81%), la raccolta e la mappatura dei dati (78%), la modifica della modulistica (76%), la procedura di data breach notification (68%), la definizione delle politiche di sicurezza e di valutazione dei rischi (66%), la valutazione di impatto sulla protezione dei dati personali (56%), l’implementazione dei processi per l’esercizio dei diritti dell’interessato (54%) e la revisione della contrattualistica con le terze parti/fornitori di servizi tecnologici (48%).

Tra le principali difficoltà riscontrate nel processo di adeguamento vi sono:

  1. Difficoltà nella raccolta e nella mappatura dei dati
  2. Mancanza di sensibilizzazione sul tema da parte dei dipendenti aziendali
  3. Scarsa sponsorizzazione da parte del Top Management
  4. Difficoltà di comprensione della normativa
  5. Mancanza di figure professionali competenti sul tema
  6. Mancanza o inadeguatezza del budget stanziato
  7. Soluzioni tecnologiche di protezione e iniziative organizzative inadeguate.

La ricerca ha affrontato anche il tema della presenza del Responsabile della protezione dati R.P.D. o, nella versione inglese, Data Protection Officer D.P.O., all’interno delle organizzazioni. Tale figura è presente nel 65% delle realtà in modo formale come normato dall’ art. 37 del Regolamento mentre nel 6% in modo informale.

Essendo il DPO una figura non obbligatoria per tutti, il dato per settore vede differenze marcate nell’adozione di questa figura, passando dal 86% circa di Banche e Assicurazioni al 45% del Manufacturing dove è facile aspettarsi un livello di rischio dei trattamenti minore considerando le tipologie di dati e la numerosità degli interessati.

In conclusione, il quadro che emerge dall’indagine sullo stato di adeguamento al GDPR delle imprese italiane è un trend positivo che nonostante diverse criticità organizzative e di budget fa ben sperare.  La sfida per le aziende però è appena iniziata e nel cammino vi sono ancora molti sforzi da intraprendere nella protezione dei dati anche in considerazione di un panorama degli attacchi informatici in forte crescita sia numerica che dal punto di vista dell’impatto.

Riferimenti

https://clusit.it/rapporto-clusit/

© Copyright Axsym Srl – Riproduzione riservata

Condividi articolo:

Condividi su facebook
Condividi su linkedin
Condividi su twitter
Condividi su email

Leggi anche

Iscriviti alla nostra newsletter

per rimanere aggiornato su novità e servizi

Cliccando sul pulsante di invio del modulo acconsenti a ricevere le comunicazioni Axsym su novità, servizi e attività promozionali secondo quanto indicato nell’informativa privacy

Compila il form per essere ricontattato

Cliccando il pulsante di invio si dichiara di accettare le condizioni di trattamento come indicato nell’informativa privacy

Richiedi informazioni

Cliccando il pulsante di invio si dichiara di accettare le condizioni di trattamento come indicato nell’informativa privacy

Richiedi informazione su Atena

Cliccando il pulsante di invio si dichiara di accettare le condizioni di trattamento come indicato nell’informativa privacy

INVIA UN MESSAGGIO