|
Con undici giorni di ritardo sulla scadenza che si era
oltretutto data da solo, lo scorso 11 giugno il Garante per la privacy ha
finalmente pubblicato la tanto attesa Guida operativa per redigere il
Documento programmatico sulla sicurezza (DPS). Questo documento, messo
a punto con la collaborazione di un non meglio identificato gruppo di esperti di
sicurezza, fa seguito alla bozza del 23 maggio denominata Prime
riflessioni sui criteri di redazione del DPS e mira, come dice lo
stesso Garante in prefazione, "a facilitare l'adempimento dell'obbligo di
redazione del DPS nelle organizzazioni di piccole e medie dimensioni o,
comunque, non dotate al proprio interno di competenze specifiche".
L'intento è lodevole ma il risultato ci sembra sostanzialmente deludente, e
comunque le modalità ed i tempi di attuazione dell'iniziativa del Garante non
appaiono purtroppo esenti da critiche di varia natura.
Cominciamo dalla fine, ossia dai tempi di pubblicazione. L'11
giugno è ormai straordinariamente a ridosso della data di scadenza (peraltro
già inopinatamente prorogata.) che la legge impone per la redazione del DPS,
ossia il 30 giugno. Definire tardivo l'intervento del Garante, a questo punto,
è dire poco: in venti giorni scarsi è infatti difficile impiantare un DPS
serio e sostenibile, per cui chi ha atteso sino ad ora la pubblicazione delle
linee guida ufficiali per mettersi al lavoro si troverà, volendo rispettare
tanto la scadenza quanto le indicazioni del Garante, nella condizione di poter
fare solo un lavoro meccanico ed acritico di mera compilazione delle tabelle di
cui la "Guida operativa" sostanzialmente si compone. Una pubblicazione
più tempestiva del documento da parte del Garante avrebbe invece contribuito
senz'altro a migliorare la qualità del processo di redazione del DPS
soprattutto nelle organizzazioni medio-piccole, favorendo la riflessione secondo
il valido approccio metodologico che evidentemente aveva ispirato l'estensore
della legge ed in particolare dell'allegato B.
Passando al merito, e dunque al contenuto della "Guida
operativa", c'è da rimanere piuttosto perplessi: quanto è stridente il
contrasto con la filosofia che traspare dalla norma di legge! Laddove infatti l'allegato B suggerisce un approccio al DPS completo ed esaustivo,
metodologicamente corretto e conseguenziale, basato su un ragionamento da farsi
intorno alla propria realtà operativa, la "Guida operativa" sembra
ridurre la redazione del DPS alla mera compilazione meccanica di un template
predefinito, senza invitare ad effettuare quella necessaria riflessione critica
e maturazione dei contenuti che invece costituisce il vero valore del DPS per
l'organizzazione che lo redige nel modo originariamente suggerito dalla legge.
Quella che avevamo salutato come la maggiore innovazione del
nuovo Codice, ossia l'obbligo di impostare in azienda un processo organico di risk
management fondato sull'analisi profonda delle proprie specificità in
relazione ai dati trattati, con focalizzazione soprattutto sulle tematiche
organizzative e di business continuity, viene di fatto cancellata da un
approccio al DPS di tipo prêt-à-porter basato sul riempimento, in
modalità essenzialmente dichiarativa, di un certo numero di tabelle dal
contenuto semplificato e semplicistico, molte delle quali addirittura indicate
come facoltative. Fatto in questo modo il DPS torna purtroppo ad essere quello
sterile e tutto sommato inutile adempimento formale che era nella vecchia legge
675, perdendo invece l'occasione di divenire un importante strumento di lavoro e
di crescita anche culturale per le aziende, quale sembrava delinearlo il nuovo
testo unico. Peccato per la buona occasione perduta.
Vero è che il Garante si sgola a furia di ripetere che
l'approccio indicato è puramente esemplificativo, ed è possibile aumentare a
piacere il dettaglio di analisi e la complessità della trattazione: in mancanza
di esplicito obbligo in tal senso è ovvio che tutti adotteranno alla lettera le
tabelle ed i criteri di compilazione indicati nella "Guida operativa",
appiattendosi su un massimo comun denominatore francamente molto lontano da ciò
che lo spirito originario della norma sembrava indicare.
In conclusione sembra comunque necessario rilevare come l'insegnamento che si
può trarre dal comportamento del Garante non risulti affatto edificante: esso
infatti conferma implicitamente il malvezzo, tutto italiano, di premiare i
ritardatari e gli inadempienti penalizzando invece chi fa il proprio dovere con
zelo e puntualità. Vediamo perché.
Il DPS in origine andava fatto entro il 31 marzo, e tale
circostanza era nota sin dalla pubblicazione sulla Gazzetta ufficiale del testo
del DLgs 196/03, risalente al luglio dello scorso anno. In teoria, dunque, le
aziende italiane hanno avuto tempo più che sufficiente (otto mesi!) per
predisporre il DPS entro i termini originari di scadenza. Ben poche tuttavia lo
hanno fatto, tanto è vero che a ridosso del 31 marzo il Garante, con
un'interpretazione la cui liceità ha peraltro fatto molto discutere, ha pensato
bene prorogare di ben tre mesi la data ultima di redazione; e non contento di
ciò, in prossimità della nuova ulteriore scadenza ha addirittura presentato un
modello preimpostato di DPS sorprendentemente semplificato rispetto a quello che
la legge stessa lasciava intendere.
Il risultato netto di tutto ciò è che coloro i quali hanno
predisposto il DPS nei termini originari lo hanno fatto senza alcun aiuto da
parte del Garante, mentre i ritardatari si sono trovati la pappa fatta! E mentre
i primi hanno dovuto faticare ed hanno impiegato tempo e risorse per impostare
da zero, sulla propria pelle, un modello realizzativo del DPS basato
sull'interpretazione personale del codice, spesso addirittura eccedendo in
profondità di analisi per non rischiare di tradire il senso della legge ed
essere accusati di superficialità, gli ultimi arrivati hanno beneficiato di
un'interpretazione autentica del Garante straordinariamente semplificativa e "buonista",
secondo la quale il DPS si riduce in sostanza a quattro tabelle in croce da
riempire in mezzo pomeriggio di lavoro.
La morale sembra dunque la stessa che si ritrova purtroppo in
altri ambiti della nostra tormentata vita sociale nazionale, dall'evasione
fiscale agli abusi edilizi: conviene trasgredire le leggi e superarne le
scadenze, tanto arriverà un condono che sistemerà tutto. Per la serie:
"chi tardi arriva, meglio alloggia". Tant'è vero che proprio in
questi giorni si vocifera addirittura di un'ulteriore proroga per la scadenza
del DPS, per mezzo di un decreto legge predisposto ad hoc dal Ministro della
giustizia, motivata dalla pressoché totale inadempienza alla norma proprio da
parte delle pubbliche amministrazioni.
|
Pagina stampabile
