Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

storie da consulente

GDPR, come (non) si stanno adeguando le aziende: ecco la realtà

Vita vissuta a contatto con aziende grandi, medie e piccole alla prese con il GDPR. Il livello di maturità è molto oscillante e ridotto soprattutto tra le Pmi. Ecco che succede nel mondo reale: cosa stanno e non stanno facendo le aziende per adeguarsi

17 Mag 2018

Francesca Bonora

Senior Advisor ICT Security & ICT Governance


Sbagliato pensare che ormai le aziende hanno metabolizzato il Gdpr. E’ quanto risulta dalla mia esperienza a contatto con loro negli ultimi mesi. Ed è pure confermato dai dati Capgemini e Idc, secondo cui solo un’azienda italiana su due, circa, è pronta al Gdpr.

La differenza tra teoria e pratica nell’adeguamento delle aziende al Gdpr

Dal Registro dei Trattamenti alla garanzia di gestione del dato personale in coerenza con le finalità dichiarate, dai diritti dell’interessato alla gestione strutturata degli eventi di data breach e via discorrendo, tutto quanto oramai dovrebbe aver trovato:

  1. corretta declinazione all’interno di ciascun contesto aziendale,
  2. una compiuta verifica delle differenze tra lo status quo ed il requisito normativo ed infine
  3. il completamento dei piani di adeguamento o di rientro dalle cosiddette GAP.

Dai vari incontri avuti con le aziende (grandi, medie e piccole), le società di consulenza (meno le strategiche, molto i system integrator) e i fornitori di soluzioni tecniche in occasione dei tanti eventi dedicati a GDPR negli ultimi due anni e ancor di più dalle attività che in prima persona ho seguito per diverse realtà aziendali nell’ultimo anno (vari settori, dal luxury al financial service, dalle utilities ai servizi ICT), mi sembra emergere una situazione diversa.

Che cosa stanno facendo (ancora) le aziende per il Gdpr

Il mercato ancora adesso cerca senior advisor o consulenti esperti per coordinare i lavori dei cantieri GDPR, sia direttamente che, nel caso di grandi aziende o PA, tramite gara, a testimonianza di una significativa mole di lavori ancora in corso.

Cerco di proporre qui una sintesi di ciò che ho visto io, senza la pretesa di rappresentare in maniera precisa la situazione di ciascuno, ma proponendo un quadro dello stato dell’arte che consenta di valutare la fatica che a causa di GDPR le organizzazioni stanno sopportando.

Il panorama che vedo è ovviamente composito e lo stato dell’arte dipende evidentemente da variabili di sistema di ciascun contesto:

  • Le grandi aziende: in prevalenza oggi piuttosto avanti nel percorso di adeguamento.
  • Le medie aziende: ho riscontrato casi eccellenti, ma anche vari casi dove il percorso è ancora fermo al palo della GAP analysis.
  • Le piccole aziende, gli studi professionali, gli ordini professionali, eccetera eccetera.

Forse sono stata sfortunata io, ma in questo caso sono state per me molto più frequenti le occasioni dove le persone, anche a primo quarto 2018 già parte del nostro passato, stavano giusto chiedendosi in che senso GDPR fosse per la propria organizzazione un argomento da approfondire. Certamente ci sono casi dove invece il cambiamento è stato ben gestito e agilmente superato, ma meno di frequente, almeno nella mia esperienza.

Fino ad un paio d’anni fa mi sarei certamente aspettata di leggere o scrivere un articolo come questo a ridosso della scadenza (ci manca pure che arriviamo tutti baldanzosamente all’arrivo per tempo e su tutto come se fosse una passeggiata!), ma mi sarei giocata l’occhio dritto che la discriminante sarebbe stata il tipo di business o modello operativo, non la dimensione.

Intendo dire che mi sarei aspettata che per esempio tutte le aziende ICT e quelle di servizi appoggiati sui sistemi ICT avrebbero completato il proprio percorso anche in netto anticipo, addirittura prima le “piccole” e poi le grandi per via della minore complessità interna, invece no.

La pur stretta relazione tra GDPR e la data protection, intesa come prassi tecnica di protezione dell’informazione e branca della sicurezza ICT, pare non essere infatti bastata a sollecitare in modo più efficace le aziende IT o IT driven rispetto alle altre.

In effetti due sono state le forze interne in competizione per la leadership dello stimolo delle organizzazioni alla compliance GDPR: l’ICT (o la Sicurezza ICT) e il Legal (o la Compliance).

A quanto pare ha vinto il Legal (o la Compliance), rivelandosi la forza prevalente di stimolo e guida dell’avvio dei programmi di adeguamento.

E visto che disporre di un dipartimento Legal di spessore sufficiente per influenzare tutta l’organizzazione è più tipico delle grandi aziende che delle medie o piccole, le prime sono quelle attualmente più avanti nel percorso…e così se io avessi davvero scommesso il mio occhio dritto oggi l’avrei perso, meno male che non l’ho fatto.

Certamente non è solo questo il motivo per cui le grandi aziende sono partite per tempo e con giusta determinazione, ma volendo sfruttare anche questa chiave di lettura, una prima conclusione a cui possiamo arrivare è che nonostante la conoscenza di temi quali la data protection, data breach, privacy, ecc sia molto più diffusa anche solo di qualche anno fa, la readiness alla compliance di un regolamento quale GDPR sembra essere alla portata solo di una parte del mercato, quella più attrezzata ad aver a che fare con regolamenti e normative, mentre il resto fatica ad entrare in argomento e reagire anche imprenditorialmente in modo adeguato.

Pur se di innegabili guida e supporto, per il taglio del traguardo per tempo non sono bastate le informative pubblicate in ogni dove, non sono bastati i workshop e gli eventi dedicati a GDPR che hanno riempito le agende di tutti, non sono bastati i vari scandali di violazione dei dati personali che negli ultimi due anni sono diventati casi scuola, come lo è per esempio il caso di Cambridge Analytics, che rispetto ad altri ha l’unica caratteristica in più di essere il più recente. Non è che sia una gran bella notizia in effetti.

Come sono andate o stanno andando le cose?

I passaggi chiave che le organizzazioni hanno attraversato o stanno attraversando sono:

  • Composizione del team e nomina del responsabile del Progetto GDPR
  • Istituzione dello Steering Commettee e del processo di escalation (una cosa immediatamente chiara a tutti i gruppi di lavoro che ho incontrato è la immediata consapevolezza che per riuscire a fare/far fare le attività, presto o tardi il processo di escalation sarebbe stato imprescindibile)
  • Declinazione dei requisiti GDPR all’interno del contesto operativo di riferimento
  • Valutazione delle aree di non compliance (gap)
  • Definizione delle priorità di intervento per il rientro dalle gap
  • Avvio programmi e progetti di adeguamento

Modalità, tempi ed esperienze dei tre diversi contesti sono stati davvero molto diversi.

Che stanno facendo le grandi aziende sul GDPR

Le grandi aziende si sono quasi tutte trovate di fronte al classico multi-year plan, causa la pervasività dell’impatto dei vari requisiti normativi, tant’è che molti progetti di remediation sono ancora oggi in corso.

Quali sono stati i momenti chiave del loro percorso?

Dunque, molte grandi aziende o i grandi gruppi, hanno spontaneamente iniziato a lavorare su GDPR ben più di un anno fa, cercando di chiamare a raccolta tutte le discipline che certamente (o anche solo probabilmente) avrebbero dovuto o potuto contribuire a capire cosa fare.

Ogni organizzazione ha la propria nomenclatura e le proprie dinamiche interne, ma per fare una sintesi possiamo dire che le persone ai tavoli di lavoro sin dall’inizio sono state:

  • Il legal. Giusto no? Si tratta di capire bene bene cosa dice la norma.
  • La Compliance. Giusto, si tratta anche di valutare di volta in volta se ci sono delle distanze tra ciò che l’azienda fa e ciò che la normativa si aspetta.
  • Processi & Procedure (talvolta indicata anche come Organizzazione o Modelli), in quanto detentrice della conoscenza dei modus operandi delle diverse strutture organizzative interne. Ecco, già qui i percorsi hanno iniziato ad essere un po’ meno lineari. Chi guida? Il legale che dice in un linguaggio adeguato a noi poveri mortali qual è l’obiettivo da raggiungere o i Processi che per ciascun comparto dell’azienda fanno più facilmente emergere dove GDPR, inesorabile, colpisce?
  • Le Risorse Umane. Come “perché”? Dato personale, vuoi non coinvolgere il Personale, appunto? Battute a parte, quasi tutti hanno coinvolto i propri referenti HR che però sono rimasti, almeno inizialmente, abbastanza silenti in disparte, talvolta allarmati dalla piega che la discussione stava prendendo (monitorare gli accessi utente – leggi dipendenti – ai dati sensibili? Forse dobbiamo confrontarci con i sindacati?), ma in buona sostanza in disparte, anche quando si è trattato di affrontare i capitoli di formazione e awareness del personale.
  • Information Technology. Giusto, perché si dovrà procedere a cifrare tutto, no? Anzi, a pensarci bene tenere l’IT al tavolo forse è una perdita di tempo, potrebbe da subito iniziare a cifrare tutto, dischi, data base, log file, file e basta, immagini, comunicazioni, email e chi più ne ha più ne metta….e una volta che tutto è stato cifrato, il problema più grosso è risolto, giusto? Questo è stato il tenore delle discussioni iniziali su/con l’IT, alcune organizzazioni sono anche partite a razzo a cifrare davvero tutto in modo indiscriminato, per poi, ovviamente, fermarsi a valutare se in effetti fosse la cosa giusta da fare. L’IT ha avuto momenti alterni di gloria nei cantieri GDPR delle grandi aziende, più evidenti quando si è trattato di trovare soluzioni a problemi apparentemente irrisolvibili (es: ma come si fa a fare una mappa completa di tutti, ma proprio tutti, i “posti” dove memorizziamo i dati personali dei nostri clienti?!).
  • La Sicurezza ICT. Talvolta inclusa o ricompresa nella rappresentanza dell’Information Technology, ma in effetti sempre presente con un referente dedicato.

La creazione di team multidisciplinari è stata la scelta di quasi tutti, scelta per altro più che condivisibile.

Poi tutti a scontrarsi su chi, a regime, dovrà mantenere la responsabilità del tutto, cercando di darsi un razionale valido, tipo:

“ma alla fine chi è responsabile se i dati del cliente restano nel sistema anche dopo che il contratto di servizio è stato chiuso? Diamo una risposta a questa domanda e troveremo il responsabile del progetto GDPR!” …salvo poi scoprire che quasi nessuna area aziendale aveva già definito la propria struttura funzionale interna responsabile della protezione del dato per la propria area di competenza, per cui la risposta non è immediata.

oppure: “qual è l’area aziendale che più di tutte dovrà concretamente garantire all’azienda che i dati sono protetti? Diamo una risposta a questa domanda e….” talvolta con colpevole premeditazione per fare eleggere l’informatica….salvo poi scoprire che “protetti” non significa solo cifrati e quindi che l’IT è chiave solo per alcuni aspetti del trattamento del dato, per cui non è fattibile aspettarsi un manager IT che batta i tempi ai colleghi di marketing e vendite (per le comunicazioni e le informative all’interessato), al legal, alla compliance, ecc. nella consumazione dei secoli.

Le soluzioni alla fine sono state le più diverse. Chi ha deciso di ingaggiare colui che poi sarebbe stato nominato il responsabile della protezione dei dati (DPO), chi invece ha scelto una modalità progettuale eterodiretta, beneficiando ogni volta dei relativi pro e pagando le conseguenze dei contro.

Presto o tardi, comunque, in tutti i casi che conosco anche il top management è intervenuto per seguire più da vicino l’evolversi del programma (anche, ma non solo, a causa degli ingenti investimenti che è stato necessario avviare) e quindi per quanto complesso e articolato, il gruppo di lavoro ha poi trovato una stabile configurazione di gestione e presidio.

Le criticità incontrate sono state molte, dall’interpretazione della norma (vedi per esempio la diatriba sui codici tecnici quali Codice Cliente, IBAN, NDG, eccetera) alla ricognizione di tutti i processi che avrebbero dovuto essere rivisti, dalla reingegnerizzazione del proprio framework policy all’avvio dei progetti tecnici di Data Discovery, Audit Log, cifratura e quant’altro.

Gli elementi facilitatori o acceleranti, dopo un iniziale vuoto di scena, sono oggi numerosi e le organizzazioni ne stanno facendo uso e tesoro. Mi riferisco tanto alle fonti informative (articoli, discussion group, eccetera) quanto agli strumenti che supportano i processi oggetto di normativa (come per esempio il Registro dei Trattamenti).

Il cammino non è finito, forse la fine in effetti ancora non è prossima, ma grossi dubbi sembrano non essercene più.

Che stanno facendo le medie aziende sul GDPR

In questo caso la capacità di agire per tempo mi sembra essere stata direttamente proporzionale all’attitudine del top management a non sottovalutare le tematiche regolamentari almeno in termini di impatto che queste possono avere sulla salute del proprio business. Il capo azienda ha fatto (spesso, a mio modo di vedere nei casi che ho avuto modo di studiare) la differenza tra avviare efficacemente il programma GDPR non solo a tutela dell’azienda, ma anche per poterne strategicamente beneficiare dal punto di vista business, e avviare il programma GDPR perché bisogna farlo, è la legge.

Per cui ho visto casi dove la reazione dell’azienda a GDPR magari è stata a volte intempestiva, ma una volta stimolata è stata decisa e ferma, così come casi dove invece la reazione è stata per lungo tempo ammalata di apatia, malattia infettiva causata dalla pericolosa percezione che la legge sulla Privacy imponga un sacco di obbligazioni di carattere meramente amministrativo (che, diciamolo, siamo sempre in tempo a sistemare prima che sia tardi) e nulla più.

Per questo motivo oggi le aziende di medie dimensioni che ho avuto modo di incontrare sono suddivise di netto in due categorie: quelle che, anche beneficiando di una dimensione più gestibile rispetto alle grandi aziende, hanno trovato i giusti tempi e modi per portarsi al corretto livello di compliance (in tempo o quasi) e quelle che sono, bene che vada, a metà del cammino, per cui sono ancora lontane le notti in cui potranno fare sonni tranquilli rispetto a GDPR.

Il nodo dei costi degli investimenti necessari dal punto di vista tecnologico è talvolta un nodo realmente difficile da sciogliere in questi contesti, in alcuni casi ha costretto le organizzazioni a ripiegare su soluzioni di compromesso che presto, temo, si riveleranno non sostenibili.

Che stanno facendo le piccole aziende sul GDPR

La numerosità limitata dei casi di cui mi sono occupata in prima persona mi impedisce di proporre, pur con le dovute cautele, un quadro di sintesi che possa avere chance di essere solidamente rappresentativo.

Tuttavia, mi trovo nella singolare situazione in cui, per quanto pochi, tutti i casi che ho incontrato sin qui dimostrano una significativa immaturità del processo di adeguamento al requisito normativo, per questo dicevo in apertura che forse sono stata sfortunata io e il quadro complessivo è migliore di quello di cui ho avuto esperienza io. Le realtà con cui mi sono confrontata, non più tardi del mese scorso, ancora non avevano valutato le implicazioni della norma nel loro caso specifico e cercavano qualche caso scuola che potesse rappresentare per loro un modello da imitare e quindi una formidabile scorciatoia (ops, acceleratore). Non che riusare il risultato delle fatiche di altri sia sbagliato, anzi, ma visto che GDPR è nuova per tutti, l’approccio è, per taluni aspetti, forse rischioso.

Forse un elemento su tutti, ancor che non generalizzabile, può essere però di interesse: le startup hanno, rispetto ad organismi da tempo sul mercato, la grande opportunità di fare le cose bene da subito, senza accollarsi cambiamenti né costi significativi di set up come invece accade alle aziende diversamente giovani. Quelle che ho incontrato io, in effetti, il tema se lo sono posto già in fase di disegno (del proprio, ovviamente). Includendo le realtà non italiane con cui ho lavorato negli ultimi mesi, posso testimoniare l’intenzione di partire con il piede giusto, il che mi sembra un ottimo segnale rispetto al grado di digestione da parte del cosiddetto sistema certamente di GDPR, ma soprattutto del principio di salvaguardia dell’individuo, anche tramite le informazioni che lo riguardano.

GDPR, quanto costa a una pmi adeguarsi (e come ottimizzare la spesa)

Articolo 1 di 3