L’adeguamento alle norme previste dal GDPR nelle PMI italiane è ancora molto lontano dall’essere compiuto. É proprio il Garante per la Privacy durante la lectio magistralis tenuta all’Università di Firenze a evidenziare una lentezza e una difficoltà nel raggiungimento della compliance.
Questa situazione deriva dai ridotti budget destinati all’adeguamento, ma anche da una mancanza di consapevolezza sul vantaggio competitivo che il nuovo regolamento sulla privacy può portare.
Quali sono gli interventi che le PMI possono adottare per adeguarsi al GDPR, senza la necessità di ricorrere a eccessivi investimenti?
Le difficoltà economiche delle PMI nell’adeguamento al GDPR
Ad affrontare l’argomento è stato Antonello Soro durante la sua lectio magistralis [link], tenuta a inizio marzo, all’Università di Firenze. Il Garante per la Privacy ha cercato di identificare le difficoltà che le PMI stanno riscontrando con il nuovo regolamento europeo e ha evidenziato la necessità di superarle per cogliere un’importante occasione di crescita in termini di competitività.
“Il punto centrale di questa riforma sta nel fatto che la protezione del dato è un investimento che l’impresa fa per se stessa, per avere tutela del proprio patrimonio informativo, per essere competitiva e non vulnerabile”, ha sottolineato Soro nel suo intervento. “Questo comporta un impegno economico per le imprese, ma è un elemento di modernizzazione delle stesse.” Così facendo potranno “entrare nella società digitale non in modo passivo ma come protagoniste: è un mutamento straordinario”.
Un “mutamento straordinario”, per riprendere Soro, che per realizzarsi necessita innanzitutto di investimenti economici. In questo senso, la ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano ci fornisce dati interessanti. Lo studio, infatti, sottolinea come il 75% degli investimenti in soluzioni information security & privacy sia stato trainato in questo 2018 da progetti di adeguamento al GDPR.
Tuttavia, sempre lo stesso report sottolinea come gli investimenti non siano distribuiti tra tutte le imprese. Leggiamo, infatti che 1 azienda su 5 ha dichiarato di stanziare risorse solo in caso di necessità.
Applicare il GDPR a basso costo è possibile
Se non tutte le aziende hanno la possibilità di ricorrere a strumenti organizzativi e di sicurezza economicamente impegnativi, è anche vero che non tutte le aziende necessitano di grandi investimenti.
Molte PMI italiane, nel concreto, lavorano in settori in cui l’utilizzo di dati personali è molto contenuto, spesso vengono trattati quasi solo quelli dei propri dipendenti.
In questi casi, le aziende possono proteggere il patrimonio dei propri dati personali misure molto semplici e che richiedono budget ridotti:
- password: moltissime PMI sottovalutano l’importanza di questa misura di sicurezza disattivandola, spesso per comodità. Altre volte sono i dipendenti stessi che ne disattivano la funzionalità. Eppure utilizzare una password è un’opzione molto utile, totalmente gratuita, di semplice utilizzo e poco limitante.
- antivirus: tutte le aziende ne hanno uno, il problema è che spesso viene mal utilizzato, disattivato o non aggiornato. È fondamentale per le imprese avere una licenza dedicata all’uso in azienda e non personale. Anche nel caso di antivirus gratuiti o a basso costo, è importante prevedere una licenza adeguata alle proprie esigenze, mantenendo il software sempre attivo e aggiornato.
- wi-fi: quasi tutte le imprese hanno un modem Wi-Fi. Il tema del Wi-Fi e delle reti aziendali in generale è sempre molto sottovalutato, eppure la maggior parte degli attacchi informatici avvengono proprio attraverso le falle presenti nell’infrastruttura internet aziendale. È buona prassi creare sempre due reti distinte e separate: una dedicata all’uso aziendale da parte dei dipendenti e una dedicata ai visitatori (la cosiddetta rete guest). In entrambi i casi è opportuno limitare l’accesso solo ad alcuni siti web, adottare password che abbiano una difficoltà di composizione minima (per evitare che vengano scoperte e utilizzate da estranei) e modificarle con cadenza regolare.
- accesso alle cartelle di rete: per quanto piccola sia un’azienda, è fondamentale regolamentare l’accesso alle cartelle di rete presenti. Queste restrizioni sono semplici da impostare ed hanno un grande valore per garantire la sicurezza informatica nelle aziende.
La tua azienda mette già in atto queste accorgimenti per migliorare il livello di sicurezza? Se vuoi approfondire l’argomento e scoprire nuove soluzioni contattaci.