Le piccole e medie imprese, non meno delle grandi, devono investire oculatamente il budget disponibile.
GDPR: siamo pronti?
Al 25 maggio erano ancora molte le aziende non adeguatesi alla normativa. Il contesto italiano può difficilmente essere paragonato a quello europeo: 145.000 piccole medie imprese a fine 2016.
In Italia le piccole aziende, con maggiore concentrazione al nord, rappresentano un fenomeno unico nel mondo.
Secondo la IDC (International Data Corporation) il 78% delle aziende italiane, in data 25 maggio, non era pronto per il GDPR.
Di che cifre parliamo?
Difficile ipotizzare che una piccola o media impresa, con un fatturato non superiore ai 5 milioni di euro, possa investire cifre impattanti in termini percentuali. Ecco alcune cifre medie stimate dalle associazioni di categoria: 50.000 euro per l’adeguamento, 25.000 euro per la gestione ordinaria degli adempimenti previsti dal GDPR.
Adeguarsi costa, ma non adeguarsi può costare di più. In caso di violazione, la sanzione più grave oscillerà tra 20 milioni di euro e il 4% del fatturato. Per una società con 5 milioni di euro di fatturato, il 4% sono 200.000 euro.
Soluzioni possibili
Alcune realtà preferiscono puntare sull’adeguamento formale più che organizzativo in risposta alla normativa. L’impegno delle risorse viene diretto alla revisione delle informative, delle policies dei dipendenti, del registro del trattamento e della regolamentazione del trasferimento dei dati all’estero.
Altre aziende colgono l’occasione di riorganizzare le infrastrutture IT. Il lavoro richiede investimenti su sistemi di autorizzazione efficaci, piani di business continuity e disaster recovery e quant’altro.
Quali sono le soluzioni che un’azienda italiana deve adottare per adeguarsi alla normativa?
Proviamo a dare tre suggerimenti:
- Scelta del consulente
Servono professionisti non improvvisati per accompagnare l’azienda al processo di adeguamento.
Una figura che non appartenga esclusivamente al settore legale, ma neppure esclusivamente ad una società informatica. La scelta deve ricadere su una proposta che contenga le due professionalità in modo coeso. - Nomina del DPO (Data Protection Officer)
Per le società che devono avere tale figura professionale, il suggerimento è nominarlo il prima possibile evitando di “pescare” all’interno dell’azienda, salvo che non vi sia un soggetto con una competenza specifica (e certificata) in materia. - Investimento in infrastrutture IT
Il GDPR costituisce un’opportunità unica non solo per trattare adeguatamente i dati personali dei propri dipendenti o di terzi (clienti, fornitori etc.), ma anche di costituire un sistema di protezione del proprio know-how aziendale.