pagina La rivoluzione della privacy «volontaria» Imprese e la... · 2018-04-27 · adeguamenti;...
Transcript of pagina La rivoluzione della privacy «volontaria» Imprese e la... · 2018-04-27 · adeguamenti;...
Venerdì 27 Aprile 2018 IL GIORNALE DELL’ECONOMIA REALE www.ilsole24ore.com
t @ 24ImpresaTerr
upagina upagina
Riservatezza dati. Le imprese e il nuovo regolamento in vigore dal 25 maggio 2018
Banche, sanità e commercioLa rivoluzione della privacyNell’industria solo il 12% dispone di un budget pluriennaleBiagio SimonettaMILANO
pAncora ventotto giorni, poi il dado sarà tratto. Il nuovoregolamento europeo sulla protezione dei dati personali (Gdpr) entrerà in vigore ilprossimo 25 maggio: nessuna deroga, nessun rinvio. Da quelgiorno scatta una sorta di “dentro o fuori”, e per le aziende non a norma il rischio sanzionatorio sarà importante, dato che le multe previste arrivano fino al 4% del fatturato.
L’arrivo del Gdpr segna unospartiacque importante col passato. Col nuovo regolamento subentra l’obbligo di dimostrare la legittimità dei trattamenti dei dati personali e obbliga le imprese ad adottare procedure molto più stringenti (ed esplicite) per assolvere all’onere probatorio. Quello che maggiormente preoccupa, oggi, è il grado di consapevolezza da parte delleimprese italiane circa il nuovoquadro normativo. Consapevolezza che, secondo i dati in possesso dell’OsservatorioInformation Security & Privacy, School of Management del Politecnico di Milano, è cresciuta nel corso dell’ultimoanno. Sono infatti diminuite leaziende che dichiarano una scarsa conoscenza delle implicazioni del Gdpr, passando dal 23% del campione del 2016 all’8% nel 2017. Coerentemente è emerso come nell’85% dei casi l’intera tematica sia ormaiposta all’attenzione del vertice e non solo delle funzioni specialistiche (Security, Legal, Compliance, ecc.). A sostegno di tali dati va rilevatocome nel 2016 solamente il 9%del campione dichiarava che fosse già in corso un vero e proprio progetto strutturato di adeguamento alla normativa; nel 2017 tale percentuale si è attestata invece sul 51%, mentre il 34% ha affermato che è in corso un’analisi di dettaglio dei requisiti richiesti e dei piani di attuazione possibili.
Budget: manifatturiero indietroParallelamente alla crescita della consapevolezza, il Poli
tecnico di Milano ha registrato un notevole incremento delbudget dedicato a misure di adeguamento e risposta alGDPR. Mentre nel 2016 solamente nel 15% dei casi esistevaun budget dedicato, nel 2017 lapercentuale ha raggiunto il 58%. Più nel dettaglio: la percentuale di organizzazioni operanti nel mondo della Gdo (Grande distribuzione) che hastanziato un budget si attesta sul 53% (35% con orizzonte annuale, 18% pluriennale). Nel settore bancario la percentuale sale al 65% (29% annuale, 36% pluriennale), mentre incampo assicurativo un budgetdedicato è stanziato addirittura nell'80% dei casi. Tra le aziende manifatturiere il 47% ha stanziato un budget dedicato al Gdpr con orizzonte annuale, mentre solo il 12% (pocopiù di un’azienda manifatturiera su 10) ha previsto uno
stanziamento pluriennale.
I settori più impattatiMa quali sono i settori più impattati dal nuovo regolamento? «Indiscutibilmente tutto il mondo consumeristico: dalla sanità alle banche, dalla Gdo alle assicurazioni» dice al Sole24 Ore Gabriele Faggioli, responsabile dell’Osservatorio milanese, che però mette in prima fila i cosiddetti Over The Top come Google e Facebook. Per quanto riguarda il settore della Gdo, il percorso verso l’adeguamento al Gdpr risulta essere, secondo i dati del Politecnico, ben tracciato: il 71% delle aziende dichiarainfatti che è in corso un progetto strutturato in materia. Volgendo lo sguardo al settorebancario, il 67% delle aziende ha già messo in atto un progetto di adeguamento e la stessapercentuale si registra tra le organizzazioni rientranti nel settore assicurativo. Tra le aziende manifatturiere, poco più della metà (il 51%) afferma l’esistenza di un processo dianalisi dettagliata dei requisitirichiesti dalla normativa e dei piani di attuazione possibili.
Secondo Faggioli c’è da aggiungere che «un fattore molto importante è quello relativoalla sensibilità del dato: non è importante solo la quantità deidati trattati, ma la tipologia degli stessi. Se ho un piccolo laboratorio di analisi del sangue,i dati degli utenti in mio possesso sono molto più importanti rispetto ad altri. Il punto è: cosa puoi farci con quel dato.Più il dato è “profondo”, più è problematico».
A rendere più complesso iltutto, inoltre, c’è tutto il mondo legato all’IoT. Con miliardidi oggetti connessi in tutto il mondo, la probabilità che il business di una Pmi possa essere coinvolto è sempre più elevata: «Pensiamo a un produttore di valigie che oggi monta un dispositivo Gps per evitare lo smarrimento del bavaglio racconta Faggioli –. In questo caso l’impatto del Gdpr, essendoci di mezzo il trattamento dei dati di localizzazione di un utente, è notevole. Eppure stiamo parlando di
un’azienda che produce valigie».
Secondo il docente milanese, inoltre, i parametri su cui settarsi non sono solo relativi al dato, ma anche allo strumento: «Il rischio sicurezza è dietro l’angolo: un produttore di automobili deve tener conto del fatto che con il computerdi bordo subentra un discorso relativo ai dati dell’utente, ma anche un rischio intrusione e manomissione».
Pmi in ritardoIl quadro italiano, a ventotto giorni dall'entrata in vigoredel Gdpr, racconta di una differenza sostanziale fra grandi aziende e Pmi. «Le aziende private di altissimo livello – dice Faggioli si stanno muovendo bene. I progetti di adeguamento normativo sono partiti, il problema è all'ordinedel giorno ed è affrontato. Rispetto alle Pmi, invece, la nostra percezione è quella di un ritardo cronico sugli adempimenti normativi. Un ritardo dovuto al fatto che un adempimento sul modello delle aziende di grandi dimensioni ha costi troppo elevati». Ma qual è la strada maestra? «Devicapire qual è il tuo business e coglierne le criticità. – aggiunge il docente milanese . Devi sapere cosa fai: se stampi pezzidi plastica non hai problemi, sefai analisi del sangue devi adeguarti, e in fretta. Il punto è cheil Gdpr chiede tante cose ma non ti dice come farle, ti lascia scegliere, e devi essere in grado di declinarlo in modo corretto. Credo che le associazioni di categoria dovrebbero dare una mano. Poi in futuro arriveranno i codici di condotta». Ciononostante, il Gdpr è un’opportunità o un limite? Laverità sta un po’ nel mezzo: «Inun’ottica di imbrigliamento normativo conclude Faggioli penso che l’occasione siaquella di avere una modalità digestione più interessante deidati, nel rispetto del cittadino. Certo, dal punto di vista del marketing è un freno. Ma anche il tutor stradale è una limitazione. Però serve affinché la gente non si ammazzi».
© RIPRODUZIONE RISERVATA
Fonte: Osservatorio Information Security & Privacy, School of Management Politecnico di Milano; IDC 2017
VERSO IL GDPR: LA MATURITÀ DEL MERCATO ITALIANO
Mediacomplessiva
Grandedistribuzione
Finance (banche + assicurazioni)
Manufacturing
La percentuale di aziende italiane, divise per settore di mercato, che ha stanziato un budget dedicato a misure di risposta al GDPR
Esiste un budgetcon orizzontepluriennale
Esiste un budgetcon orizzonte annuale
Il budgetsarà stanziato nel corsodei prossimi 6 mesi
Non esiste unbudget dedicato
23 35 23 19 18 35 24 23 37 32 21 10 12 47 26 15
?
?
Mediacomplessiva
Grandedistribuzione
Finance (banche + assicurazioni)
Manufacturing
La consapevolezza delle aziende italiane, divise per settore di mercato, circa l’arrivodel nuovo regolamento europeo sulla Privacy
È in corso un progettostrutturato di adeguamento alla normativa
È in corso un’analisi dei requisiti richiesti e dei piani di attuazionepossibili
Le implicazioni sononote nelle funzionispecialistiche ma il temanon è all’attenzionedel vertice
Le implicazioni del GDPR non sononote in dettaglio
51 34 7 8 71 29 - - 67 14 10 9 42 51 5 2
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Aziende che hanno appena avviato un’analisi
Aziende che sono già conformi al GDPR
Aziende che hanno un piano per la conformità al GDPR
TotaleServiziTlcManifatturaFinanzaCommercioPa/Sanità/Scuola
Le imprese e la privacy
LA PAROLACHIAVE
Gdpr
7Il regolamento generale sulla protezione dei dati (RGPD, in inglese GDPR, General Data Protection Regulation Regolamento UE 2016/679) è un regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini della Ue e dei residenti nell’Unione, sia all’interno che all’esterno dei confini dell’Unione stessa. Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dellostesso anno, inizierà ad avere efficacia il 25 maggio 2018
GLI OBBLIGHIScatta la corsa agli adeguamenti; per le aziende fuori norma il rischio sanzionisarà rilevante: previste multe fino al 4% del fatturato
Media e social
Fake news,la Ue varala stretta«volontaria»
Laura CavestriMILANO
pArriva l’attesa stretta Ue anti fakenews. Nessuna censura ma misure per i social network – da Facebook a Twitter e aiuti ai media tradizionali – per fare chiarezza tra informazione e disinformazione. E, su questa scia, nasce anche la prima piattaforma targata Ue per factcheckers “certificati”. La Commissione Ue ha pubblicato, ieri, una comunicazione –cioè un documento non vincolante, ovvero privo di forza di legge – per chiedere a media e social di darsi regole di trasparenza.
«A ottobre – ha spiegato ilcommissario per l’Economia digitale, Mariya Gabriel – si farà una valutazione dei risultati ottenuti. Se ci saranno passi avanti tangibili bene, altrimenti ci riserviamo il diritto di decidere, entro dicembre, misure ulteriori». Insomma, o si cambia spontaneamente o arriveranno interventi legislativi obbligatori e multe.
Nella comunicazione sulladisinformazione di Bruxelles, si prevede di lanciare un forumdi alto livello per riunire piattaforme, industria della pubblicità, media e società civile per coordinare gli sforzi nella lotta alla fake news. Sarà questo foruma dover delineare, entro luglio, il “Codice sulle pratiche” che Facebook e simili dovranno seguire, con l’obiettivo di avere una prima valutazione misurabile del loro impatto a ottobre.
Tra le misure suggerite dallaCommissione Ue, i social dovranno monitorare meglio il fenomeno del clickbaiting, ridurre le opzioni di targeting mirato per il marketing politico, assicurare la trasparenza dei contenuti politici sponsorizzati, aumentare gli sforzi perchiudere i profili falsi e dei trolle identificare i bots che diffondono disinformazione.
In parallelo, la Commissionesosterrà la creazione, prima dell’estate, di una rete europea indipendente di factcheckers e a settembre di una piattaforma europea sulla disinformazione per aiutarli nel loro lavoro. Inoltre Bruxelles lancerà unnuovo bando quest’anno per laproduzione di informazione di qualità sulla Ue attraverso notizie fondate sui dati.
© RIPRODUZIONE RISERVATA
L’EBOOKLe istruzioniper farsi trovarepronti il 25 maggio
In vendita sul sito del “Sole 24 Ore” a 2,69 euro
http://24o.it/norme
Conto alla rovesciaper la nuova privacy
Mercoledì 25 Aprile 2018 www.ilsole24ore.com
NORME & TRIBUTI | FOCUS
EBOOK
Area Edificabile Industriale (Con progetto ad impatto zero)
Pronto ad inizio Lavori. Lotto di circa 45000 mq.
Per una superficie coperta costruibile di circa 15000 mq. Oltre a viabilità necessaria.
PER INFOGeom. Francesco Pablo Paoli335.1433613 - 0583.491288
Lucca – Via San Girolamo n° 24.info@luccaffi tto.it
VENDESI
Studio Paoli Francesco Consulenze Immobiliari
In zona strategica
all’uscita autostradale
Lucca – Capannori
In Prossimità
Dello Scalo Ferroviario