Cosa non stanno facendo le imprese italiane sul GDPR: considerazioni dalla attività a contatto giornaliero con aziende ed organizzazioni medie e piccole.

Se pensiamo che le aziende, i professionisti, le organizzazioni, abbiamo oramai compreso il vero valore del GDPR e, in qualche maniera, metabolizzato le prescrizioni della norma, decisamente non ci siamo.

La mia esperienza personale, a contatto giornalmente con realtà piccole e medio piccole e studi professionali, mi dice l’esatto contrario. Recenti indagini ci dicono che una azienda su due è pronta per il GDPR, ma ci sono notevoli differenze tra le grandi realtà e quelle più piccole.

Tralasciamo le grandi che, per cultura, organizzazione, competenze e mezzi sono decisamente più avanti nel percorso di adeguamento e soffermiamoci sulle PMI, che peraltro costituiscono la gran parte del tessuto imprenditoriale italiano.

Perché dico che le aziende non hanno compreso che i dati sono un valore?

La mia analisi, basata su esperienza personale che non ha, assolutamente, la presunzione di avere rilevanza statistica, riguarda la capacità e le modalità con cui le aziende hanno reagito al GDPR; questo dipende moltissimo dal grado di consapevolezza che troviamo all’interno delle stessa aziende, in particolare nei vertici aziendali, e dipende essenzialmente dal grado di conoscenza e alfabetizzazione digitale.

Riguardo alla prima considerazione la percezione più diffusa riguardo il GDPR è che “bisogna adeguarsi perché è obbligatorio per legge”. Quasi nessuno ha compreso, e neppure vuole comprendere, che intraprendere con efficacia un programma di “compliance” al GDPR ha impatti molto rilevanti anche a tutela dell’azienda stessa e porta notevoli benefici al business.

Le sanzioni in caso di inadempimento sono sicuramente la conseguenza più immediata ed è, quasi sempre, l’unico aspetto considerato rilevante: quasi nessuno ha valutato con attenzione quali potessero essere le implicazioni per la realtà aziendale e si sono preoccupati di trovare, o copiare, modelli per produrre documentazione, principalmente informative, senza preoccuparsi minimamente di cosa contengano e, soprattutto, di rendere effettive le misure ed i comportamenti dichiarati.

Ma la cosa più grave, a mio modo di vedere, è che nessuno ha compreso, o vuole comprendere, che la protezione dei dati, o meglio la NON PROTEZIONE, prima o poi sicuramente avrà un impatto molto significativo sulla sopravvivenza dell’azienda.

Le sanzioni non sono certo l’unica conseguenza in caso di inadempimento: la perdita di dati, i rischi per la sicurezza, i connessi danni all’immagine sono degli aspetti non certo irrilevanti.

I dati sono il vero valore di una azienda!

Non si contano più le statistiche che ci dicono degli impatti devastanti che la indisponibilità di dati per perdita, sottrazione, eventi naturali, ecc, hanno sulle aziende.

La resistenza, soprattutto delle PMI, nel prendere coscienza dei rischi e nell’adottare le misure adeguate, è veramente incomprensibilesalvo chiedere il miracolo di recuperare i dati quando subisco un evento negativo (nella mia esperienza personale ci sono decine e decine di casi)

Considerazioni finali

Immaginate allora di entrare in ufficio o in azienda e scoprire che i vostri computer non vanno più, perché ad esempio si è rotto il server; oppure che tutti i dati sono stati criptati e non potete più utilizzarli; oppure ancora c’è stata una alluvione, un terremoto, il crollo di un ponte! Non sono scenari apocalittici ma una serie di eventi già accaduti e che conosciamo bene: sottovalutiamo la probabilità che accadano, oppure ci rifiutiamo di prenderli in considerazione, ma fanno parte della nostra vita.

Allora fate un piccolo esperimento: domani mattina, al vostro rientro in ufficio, tenete tutti i PC spenti e provate a svolgere le vostre attività quotidiane!

Luigi Duraccio

Iscriviti alla nostra newsletter