non è ancora un tema all’attenzione

del vertice. In quasi la metà delle

organizzazioni (il 46%) è in corso

un’analisi dei requisiti richiesti e

dei piani di attuazione possibili, ma

solo nel 9% è già in corso un pro-

getto strutturato di adeguamento

alla normativa. Solo in pochi casi

esiste un budget dedicato (nel 7%

con orizzonte pluriennale, nel 8%

con orizzonte annuale); nel 35% dei

casi sarà stanziato a breve, mentre

nel restante 50% non è presente

e non lo sarà neanche in futuro.

I cambiamenti organizzativi sono

ancora limitati: nel 12% dei casi

con la definizione di nuovi ruoli

oppure con l’identificazione di un

team di lavoro trasversale (9%); nel

34% dei casi non ci è ancora stato

alcun cambiamento, ma sarà attuato

nei prossimi 6 mesi; nel restante

45% non sono previste modifiche

in futuro. Tra le principali azioni

già avviate dalle organizzazioni vi

sono l’assessment sui rischi privacy

(42%), il coinvolgimento di consu-

lenti esterni (39%), la definizione di

responsabilità e owner di processo

(26%), azioni informative verso Bo-

ard e Top Management (25%), revi-

sione profonda degli attuali sistemi

di IT security (22%), ricerche e corsi

di formazione (20%), definizione di

nuovi processi decisionali e com-

portamentali (12%).

@lurossi_71

delle aziende, sfruttando il tempo a

disposizione per compiere tutte le

analisi necessarie, per non giungere

impreparati alla scadenza prefissa-

ta, evitando il rischio di commettere

un illecito ed essere sanzionati da

un’autorità amministrativa”: l’allar-

me lo lancia Gabriele Faggioli, re-

sponsabile scientifico dell’Osserva-

torio Information Security & Privacy

del Politecnico di Milano.

Il regolamento europeo è stato ap-

provato in via definitiva il 14 aprile

2016 e pubblicato il 4 maggio 2016

sulla Gazzetta Ufficiale dell’Unione

Europea. Il Gdpr è già realtà per gli

Stati membri, ma si applicherà do-

po due anni dalla data dell’entrata

in vigore, in modo che i soggetti

destinatari possano compiere tutte

le azioni necessarie per mettersi in

regola. Cosa stanno facendo le azien-

de italiane? L’Osservatorio Security

& Privacy del Politecnico di Milano

ha svolto una ricerca tra settembre

e novembre 2016 su come le im-

prese si stanno organizzando per

adempiere agli obblighi derivanti

dall’applicazione del General Data

Protection Regulation, indagando la

consapevolezza sulla normativa, il

budget dedicato alle azioni, i cambia-

menti organizzativi in atto e le azioni

effettivamente realizzate.

I dati della ricerca

“La ricerca mostra uno scenario

ancora in divenire - rileva Alessan-

dro Piva, direttore dell’Osservatorio

Security & Privacy del Politecnico di

Milano -: le imprese italiane stan-

no progressivamente prendendo

confidenza delle implicazioni della

nuova regolamentazione sulla pro-

tezione dei dati personali, ma la

regolamentazione è ancora perce-

pita perlopiù come un questione di

carattere legale, di cui si conoscono

in modo ancora poco chiaro le im-

plicazioni concrete per le soluzioni

di information security. È necessaria

un’accelerazione per non farsi tro-

vare impreparati alla scadenza del

prossimo anno”. Dalla ricerca risulta

che la consapevolezza delle imprese

sul Gdpr è ancora limitata: per il

23% del campione le implicazioni

non sono note in dettaglio nell’or-

ganizzazione, per il 22% sono note

solo nelle funzioni specialistiche, ma

progettare

405

APRILE

2017

43