NEWS TLC/ICT

Il GDPR compie 10 anni, ma due imprese su tre non sanno cos’è.

6 maggio 2026

5 minuti di lettura

wavesNegative

Solo un terzo delle aziende italiane dichiara di rispettare le normative vigenti sulla protezione dei dati personali. La colpa? Poche risorse, e poca chiarezza. Ma anche una cultura che ora deve cambiare.

GDPR

Privacy, questa sconosciuta. Sebbene quella personale sia per ognuno di noi un valore difficilmente rinunciabile, quando si parla di privacy aziendale le cose cambiano. Solo un’impresa su tre infatti dichiara di rispettare le corrette normative sulla protezione dei dati aziendali. 

E questo appare quantomeno bizzarro, a 10 anni dall’approvazione del  Regolamento Generale sulla Protezione dei Dati, meglio noto come GDPR, entrato poi in vigore nel 2018.

Perché dopo il “fuoco” dei primi mesi, con tutte le imprese interessate a informarsi e tentare di adeguarsi, l’entusiasmo e la sensibilità nei confronti del tema sono via via venuti meno. Tanto rumore per nulla, o quasi? Nì, perché una certa cultura, almeno sul valore economico dei dati, è effettivamente passata. Sull’importanza di proteggerli e mantenerli al sicuro invece c’è ancora strada da fare.

Vediamo cos’è cambiato e su cosa si deve lavorare meglio.

Dal “dato come risorsa” al “dato come responsabilità”

Piccolo recap. Prima del GDPR, la gestione dei dati personali di clienti, dipendenti e fornitori era spesso percepita come un tema secondario. Con il regolamento UE 2016/679, invece, è cambiato il paradigma.

  • il dato è diventato un asset critico
  • la sua gestione una responsabilità legale e organizzativa
  • la sicurezza un obbligo strutturale

Il GDPR ha introdotto il principio chiave della cosiddetta accountability. Non basta essere conformi, bisogna dimostrare di esserlo. E soprattutto continuare a esserlo nel tempo. E questo ha avuto un impatto diretto su infrastrutture IT, processi e governance.

10 anni di GDPR, cosa è andato bene

Oggi qualcosina è effettivamente cambiato. Le aziende hanno una maggiore attenzione verso la protezione dei dati, la gestione dei consensi e la sicurezza informatica. E la privacy in molti casi è diventata una parte integrante della strategia digitale, non più solo un adempimento isolato.

Senza contare che il GDPR ha permesso di applicare a livello europeo uno degli standard più avanzati al mondo in materia di privacy e sicurezza, uniformando regole, rafforzando i diritti degli utenti ma soprattutto incoraggiando le aziende a investire in misure adeguate di sicurezza, come data center, infrastrutture cloud e sistemi di sicurezza.

Cosa non ha funzionato (o solo in parte)

Veniamo adesso al rovescio della medaglia, ossia le due imprese su tre non ancora adeguate al GDPR. Secondo una ricerca recente condotta da Usercentrics, il 67% delle imprese italiane afferma di non essere pienamente conforme, per un mix di:

  • mancanza di risorse interne da dedicare a un tema che richiede presidio nel tempo
  • poca comprensione di normative ritenute con troppe aree grigie a livello interpretativo
  • necessità di maggiore formazione
  • mancanza di investimenti in infrastrutture

Per farla ancora più breve, se il GDPR non ha preso piede è perché è ancora visto come un obbligo “costoso”. E chi si preoccupa solo di adempiere all’obbligo avrà pure documenti più o meno in regola, ma si ritrova comunque sistemi vulnerabili. 

Digital omnibus, privacy come infrastruttura

Le resistenze delle Pmi europee (non solo italiane) sono uno dei motivi che ha spinto la Commissione Europea a valutare una semplificazione. Che non smantelli naturalmente i principi cardine del regolamento, ossia la difesa dei diritti degli utenti, ma che tenga conto degli aspetti più pratici attraverso i quali rendere concreta e sostenibile questa tutela.

Anzi la Commissione si è spinta pure un po’ più in là, pubblicando il cosiddetto “Digital Omnibus”. Il Digital Omnibus è la somma di due proposte di regolamento che punta a semplificare e razionalizzare tutto il corpo normativo digitale dell’Unione.

E così si parla di GDPR, ma anche di Data e AI Act, petr trasformare la privacy in una componente strutturale dell’ecosistema digitale in azienda.

Cosa devono fare oggi le aziende

Dopo 10 anni, la differenza quindi non la fa più chi può dire di essere “a norma”, ma chi ha integrato la privacy nel proprio modello operativo. Tradotto: partire da un’infrastruttura sicura, con connettività affidabile e dati protetti già mentre circolano, non solo quando sono archiviati.

Oggi i dati vivono ovunque – tra cloud, piattaforme e fornitori – e serve una gestione consapevole dei flussi, più che un semplice controllo formale. E poi c’è la cyber security, che non può più essere un intervento una tantum: deve diventare un processo continuo fatto di monitoraggio, prevenzione e risposta agli incidenti. Perché il punto è semplice (e spesso sottovalutato): la compliance senza sicurezza reale non regge.

Gli scenari in arrivo

Il prossimo passo è già iniziato: le normative stanno smettendo di vivere separate e iniziano a lavorare insieme. GDPR, AI Act, NIS2 e Data Act come pezzi di un unico ecosistema.

Questo significa una cosa molto concreta per le imprese: non basterà più “gestire i dati”, servirà governare infrastrutture digitali complesse. In questo scenario, la rete diventa centrale: non è più solo connettività, ma il punto in cui passano dati, sicurezza e continuità operativa. Ed è proprio lì che si giocherà la partita competitiva dei prossimi anni.

Vuoi capire se la tua infrastruttura è davvero all’altezza?

In Axera supportiamo le imprese proprio in questo: progettare ambienti digitali performanti, sicuri e pronti alle sfide normative di oggi e di domani.

👉 Contattaci per una consulenza e scopri come evolvere la tua infrastruttura in modo concreto.

Vuoi sapere se la tua azienda rientra nella normativa GDPR?

PARLA CON AXERA
CONDIVIDI SUI SOCIAL

Articoli correlati

onde articoli
Cerca

logo axera