Fabio Zezza, di Dell, ci racconta a che punto sono le aziende a più di due anni dall’introduzione del GDPR, tra compliance e complessità dell’IT
Zezza, Modern Data Centre Senior Sales Manager di Dell Technologies Western European Region, spiega come, nonostante il GDPR sia entrato in vigore ormai da due anni, molte aziende sono ancora in affanno.
Il periodo che stiamo vivendo, con la pandemia che ha portato all’adozione esponenziale delle nuove tecnologie digitali, ha fatto sì che si comprendesse quanto critico e importante fosse garantire la sicurezza dei dati dei cittadini di fronte a un possibile aumento degli attacchi informatici e azioni da parte di hacker.
Sul tema della protezione dei dati e della privacy, l’Europa è all’avanguardia: il regolamento conferisce ai singoli individui diritti sulle modalità di raccolta, archiviazione e cancellazione dei propri dati e fornisce alle autorità preposte nei vari Paesi i mezzi per redarguire le aziende che non si conformano alle norme. E se lo spettro di pesanti multe – fino a 20 milioni di euro o il 4% delle entrate – non fosse sufficiente a far sì che una azienda si adegui al regolamento, dovrebbe esserlo il potenziale danno reputazionale causato dal mancato rispetto della normativa.
Il GDPR e la compliance normativa, multe e sanzioni
Da quando il GDPR è entrato in vigore, sono state centinaia le multe inflitte. Secondo il GDPR Enforcement Tracker, è la Spagna il Paese che ha dato il più alto numero di multe in questo ambito: ottanta, per un ammontare di oltre 2 milioni e mezzo di euro. In questa particolare classifica, la Germania si trova invece nella terza posizione per numero di multe (venti), ma per un equivalente in denaro di oltre 25 milioni di euro.
Il Paese che finora ha inflitto le multe più pesanti è il Regno Unito: oltre 315.310.200 euro in sole 3 multe. Le società oggetto delle ammende sono state, in due occasioni, la compagnia aerea British Airways (183 milioni di sterline) e il gruppo alberghiero Marriott International, che si è vista comminare una multa di 99 milioni di sterline. La Francia conta invece cinque multe per un totale di oltre 50 mila euro, mentre l’Italia undici per circa 40 mila euro (39.452.000 euro).
Nel complesso, dalla entrata in vigore del regolamento fino a maggio 2020, sono state inflitte 237 multe: le infrazioni più ricorrenti sono state per insufficienza di misure tecniche e organizzative atte a garantire la sicurezza delle informazioni, per insufficiente base giuridica in merito al trattamento dei dati e per il mancato rispetto dei principi generali di trattamento dei dati.
Il GDPR e la compliance normativa, la protezione del dato
In generale, le cifre raccontano che il GDPR viene rispettato e ciò non può che essere positivo, ma sarebbe sbagliato trasferire il messaggio che le multe riguardino solo le grandi imprese; è bene infatti evitare di alimentare un falso senso di sicurezza, che porterebbe solo ad abbassare la guardia.
Nessuno può credersi immune da possibili multe, tutte le aziende dovrebbero considerare non solo l’aspetto economico, ma anche quello meno direttamente quantificabile, ma potenzialmente più dannoso: il venir meno della fiducia dei consumatori di fronte a una ammenda.
Nel mese di marzo 2020, sono state inflitte 32 multe record; oggi, in uno scenario dove si assiste a una accelerazione della trasformazione digitale da parte delle imprese, con l’adozione sempre più massiccia da parte della forza lavoro di tecnologie che abilitano lo smartworking, è essenziale che le imprese non vengano meno alle loro responsabilità e mantengano alta l’attenzione e i controlli in materia di protezione dei dati.
La recente ricerca di Dell Technologies: “Dell Technologies Global Data Protection Index 2020”, pone l’accento su un aumento degli attacchi informatici e degli eventi dirompenti che colpiscono l’82% delle organizzazioni. Secondo lo studio, queste ultime si trovano a gestire oggi 13,53 petabyte (PB) di dati, quasi il 40% in più rispetto alla media di 9,70 PB del 2018, e l’831% in più rispetto alla media di 1,45 PB del 2016.
Il GDPR e la compliance normativa: le minacce
La minaccia maggiore per tutti questi dati sembra essere il crescente numero di eventi cosiddetti disruptive: cyber-attacchi, con conseguente perdita di dati e fermo dei sistemi.
La maggior parte delle organizzazioni (l’82% nel 2019 contro il 76% nel 2018) ha subìto un evento di questo genere negli ultimi 12 mesi, mentre il 68% del campione intervistato teme che la propria organizzazione ne possa essere oggetto nel corso del prossimo anno.
Di fronte a un continuo evolvere delle tecnologie emergenti, le organizzazioni stanno pensando a come utilizzarle per migliorare i propri risultati di business; tuttavia, all’utilizzo di queste tecnologie non sempre corrispondono adeguate soluzioni di protezione dei dati. Lo pensa il 67% del campione, rispetto alle infrastrutture 5G e edge, e il 64% rispetto alle piattaforme AI e ML.
Per le medie imprese, che tipicamente hanno disponibilità di budget limitati e non vantano grandi team IT, verificare costantemente di essere conformi al GDPR non è semplice e potenzialmente molto oneroso in termini di tempo. La buona notizia è che i regolatori hanno migliorato la modalità di approccio alle piccole e medie imprese, fornendo una maggiore consulenza.
Anche se la normativa non è prescrittiva, i principi delineati sono chiari e certamente le società che dimostrano l’intenzione di conformarsi, ad esempio garantendo che tutti i dati personali siano criptati, vengano memorizzati solo se essenziali e che i cittadini abbiano la possibilità di accedere al sistema, sono visti sotto una luce migliore rispetto a quelle che sembrano ignorarle.
Ci sono comunque anche interventi che possono essere fatti senza grandi budget. L’importante, se si vuole che la propria impresa diventi a prova di futuro in un mondo digitale, è che la strategia di protezione dei dati sia centrale, oltre che, a nostro avviso, agile e sostenibile, in grado di scalare, in un mondo multi-platform e multi-cloud.