A 18 mesi dalla sua entrata in vigore, le imprese europee si sono adeguate al GDPR? Quanto è diffusa la figura del DPO, e in che misura collabora con le funzioni di risk management e audit? Le risposte arrivano da un’indagine di FERMA e ECIIA

Tra ottobre e dicembre dello scorso anno FERMA (Federazione Europea delle Associazioni di Risk e Insurance Manager) e ECIIA (Confederazione Europea degli Istituti di Audit) hanno sondato, tramite un’indagine rivolta alla propria rete, alcuni aspetti sull’attuazione del GDPR, a diversi mesi dalla sua entrata in vigore. E’ emerso che già prima del maggio 2018 la maggior parte delle organizzazioni europee aveva compiuto notevoli sforzi di adeguamento. Va considerato, nell’interpretare questo dato, che l’indagine ha avuto come target aziende di medie e grandi dimensioni, sensibili alle tematiche di gestione del rischio e quindi ragionevolmente più proattive rispetto alle piccole realtà. Nel corso dei mesi successivi l’impegno è stato poi rivolto ad integrare i cambiamenti imposti dal GDPR nel quadro di governance preesistente, ed è su questo punto che le imprese chiedono attenzione ai regolatori in caso di prossime revisioni della norma. Tali aggiornamenti dovrebbero tenere conto dei quadri di governo societario più diffusi, come il Three Lines of Defence model, e considerare come la gestione dei rischi legati alla privacy viene già attuata. Alle autorità per la protezione dei dati viene invece richiesta chiarezza, e soprattutto maggiore uniformità a livello europeo, nell’interpretare il regolamento, per evitare disparità di trattamento e conseguenti svantaggi nell’operare in alcuni paesi. Sul fronte interno, le aziende hanno riscontrato complessità nel mediare le spinte all’innovazione con i vincoli previsti dalla normativa e nel creare una cultura aziendale di gestione dei rischi legati ai dati. Manifestano inoltre preoccupazione per gli impatti di eventuali data breach e relative conseguenze reputazionali.

GDPR e DPO

Il Data Protection Officer è una figura presente nell’82% delle imprese del campione, e nella metà dei casi (49%) è stato scelto a livello europeo e agisce anche sulle filiali nazionali, talvolta in coordinamento con team locali. Nella maggior parte delle organizzazioni (89%) la carica è stata affidata ad una risorsa interna, di nuova introduzione (36%) o preesistente (53%), e in questi casi più frequentemente abbinata a mansioni di legal & compliance, a seguire IT, di Risk Management o Finance. In ogni caso, la persona scelta come DPO ha una profonda conoscenza dell’organizzazione e solitamente più di cinque anni di esperienza in essa. Le ragioni che hanno portato l’11% delle imprese ad avvalersi di un servizio esterno variano dalla mancanza di una figura interna con competenze adatte all’idea che l’outsourcing garantisca una maggiore indipendenza, fino al non ritenere di necessitare di un DPO full time.

Che la figura sia interna o esterna, nell’86% delle casistiche collabora strettamente e si interfaccia con frequenza regolare con chi si occupa di risk management. Sono effettivamente figure con requisiti e affinità in comune, dalla necessità di conoscere a fondo i processi organizzativi a quella di strutturare un sistema di reporting al top management e di mantenere la confidenzialità sulle attività.

GDPR e RISK MANAGER

Per la maggior parte dei Risk Manager (76%) la privacy dei dati è già da tempo considerata nel processo di mappatura dei rischi, anche perché le problematiche relative alla sfera informatica sono da qualche anno al vertice delle classifiche dei rischi, e dunque il GDPR si è inserito in un contesto di sensibilità già sviluppata verso tali tematiche. Alla fine del 2019, il 91% dei Risk Manager aveva implementato misure per prevenire e gestire le violazioni della sicurezza dei dati, misure che prevedono ad esempio l’inclusione del risk assessment sulla privacy nei nuovi servizi e prodotti o la creazione di piani di continuità aziendale e di gestione delle crisi. Su cinque conseguenze correlate al rischio GDPR per le imprese, nelle quattro più preoccupanti rientrano il rischio reputazionale (47%), il rischio di conformità (42%), il rischio operativo (41%) e strategico (31%). Gli aspetti finanziari sono considerati un “rischio medio” nel 49% dei casi, con un impatto comunque minore rispetto ai precedenti.