|
Forse abbiamo perduto un'altra buona occasione.
Se, prima, le aziende italiane (o meglio: quelle che ne avevano sentito parlare.)
avevano l'impressione che la nuova legge sulla privacy fosse l'ennesima
leggina incomprensibile ed inutile, ed i suoi adempimenti poco più che sterili
formalismi inventati tanto per fare piacere al Garante o ad un maresciallo della
Finanza in corso di ispezione, ora che è anche passato il tanto annunciato ed
invocato decreto di proroga sui tempi di adeguamento hanno avuto la matematica
certezza che comunque non è una cosa seria.
E, forse, almeno in questo non hanno tutti i torti: non è
infatti serio che una legge pubblicata in Gazzetta da un anno, ed in vigore da
sei mesi, sia totalmente ignorata dal pubblico e dal privato; non è serio che
un Governo debba intervenire prorogandone i termini di attuazione, a causa della
situazione di totale inadempienza nella quale versa la pubblica amministrazione;
non è serio che all'ultimo minuto un intero Paese si dichiari in emergenza
nei confronti di un adempimento, la compilazione del DPS, che in buona sostanza
era obbligatorio da almeno quattro anni se non addirittura da otto! (Si veda a
questo proposito l'articolo di Paolo Ricchiuto DPS: non tutti gli obblighi
sono stati prorogati).
In questo modo si continua purtroppo a dare alla gente l'impressione
che tutta la legge sulla privacy sia una "bufala" di cui non importa nulla a
nessuno, in primis al Governo; e che hanno fatto bene coloro che non se
ne sono occupati fino all'ultimo, tanto poi è arrivata, come previsto, la
proroga. Accompagnata peraltro, proprio pochi giorni prima, da un'interpretazione
"autografa" del Garante la quale oltretutto semplificava, fin quasi a
svilirla, la norma di legge relativa proprio alle modalità di redazione ed ai
contenuti del tanto vituperato DPS.
Già, il DPS: spauracchio delle (poche) aziende italiane che,
decidendo di voler fare le cose per bene, hanno iniziato ad occuparsene nei
tempi previsti dalla legge. Con risultati spesso tragici, ed approcci a volte
perfino ridicoli. E sì che questa volta la legge, al contrario di come era
avvenuto per la vecchia 675/96, aveva spiegato bene, ancorché in modo generale,
come dovesse essere fatto e cosa dovesse contenere. Anzi, a dire il vero aveva
proprio tracciato l'intero percorso metodologico che, partendo dal censimento
dei trattamenti effettuati e passando per la necessaria analisi dei rischi sui
dati, giungesse a definire e giustificare le contromisure adottate. La legge
dunque si era addirittura posto il mandato di educare le aziende: ad
esempio costringendole a seguire un approccio più che corretto nella
definizione dei meccanismi di protezione dei dati da esse trattate, obbligandole
ad un utile momento di riflessione sulla propria attività e sulla relazione tra
sé ed il mondo dei soggetti esterni, ed accertandosi addirittura che
adottassero anche misure contro la perdita od il danneggiamento dei dati in una
sana ottica di business continuity.
Il DPS doveva dunque essere al centro di questo processo di
riflessione e adeguamento, costituendo il repository istituzionale ove
far confluire, a beneficio dell'azienda stessa prima ancora che del Garante,
la documentazione di prima mano su tutte le informazioni, le decisioni, le
scelte e le motivazioni che avevano portato i responsabili del business a
dotarsi proprio di quella struttura tecnico/organizzativa di protezione e non di
un'altra, dando nel contempo anche adeguata evidenza della natura e
composizione di quest'ultima. Uno strumento di lavoro, dunque, da mantenere
vivo ed aggiornato e da usare come riferimento interno per tutte le questioni
riguardanti la tutela dei dati personali: dalla definizione delle policy
alla ubicazione degli archivi, dalle modalità di effettuazione dei backup
alla descrizione della catena di responsabilità legata alla tenuta dei dati,
dalle norme contrattuali che regolano il rapporto coi fornitori esterni di
servizi alle infrastrutture tecniche di prevenzione e protezione contro
intrusioni ed intercettazioni, e così via. Un compendio talmente importante da
dover essere redatto dal titolare (ossia l'azienda in sé) e citato
nella relazione di bilancio.
Spiace dunque constatare oggi come quasi nulla di tutto ciò
sia stato compreso e recepito dai destinatari del provvedimento, nonostante la
grande quantità di informazione che comunque taluni organi di stampa hanno
provveduto a dare tempestivamente. Nella grande confusione, tra suggerimenti
strumentali ed impostazioni contrastanti, spesso purtroppo con l'involontaria
complicità di alcune associazioni di categoria che hanno diramato linee guida
carenti se non proprio fuorvianti, la disinformazione ha finito per farla da
padrona e le aziende hanno visto nel DPS l'ennesimo sterile ed inutile
adempimento formale richiesto da una legge incomprensibile, finendo così per
affrontarne la stesura in modo acritico e non ragionato.
Il DPS è così ritornato ad essere, come già era stato nel
2000, un tomo di carta raffazzonato e non meditato, commissionato al consulente
di turno o al proprio ufficio legale (se non addirittura a qualcuno dell'informatica
perché "è roba tecnica".), da tenere ad impolverarsi in un cassetto per
essere eventualmente esibito in caso di controllo. Sono così state
completamente vanificate le intenzioni del legislatore, che invece aveva
concepito il DPS, ed i relativi obblighi normativi, come strumento di crescita
anche culturale delle nostre aziende.
Spiace oggi vedere come aziende anche serie ed importanti non
abbiano fatto quasi alcuno sforzo per comprendere il significato profondo della
norma e per tentare di porsi in un atteggiamento mentale costruttivo, quello per
il quale il DPS andava considerato come un'opportunità e non come un
fastidio; spiace vedere aziende che hanno adempiuto alla norma limitandosi a
prendere il DPS del 2000 e cambiandogli la data ed i riferimenti di legge;
spiace sentire i responsabili di aziende con una forte componente giornalistica
dichiarare candidamente di non trattare dati personali al di fuori degli
stipendi dei propri dipendenti; spiace vedere DPS di duemila pagine, chiaramente
redatti solo nella pia speranza di "impressionare favorevolmente" l'eventuale
maresciallo della Finanza di cui sopra; spiace vedere aziende che ancora oggi
pensano che il DPS andasse allegato al bilancio di esercizio e lo hanno
redatto in quest'ottica (il DPS, contenendo tra l'altro la descrizione di
tutti i propri meccanismi di sicurezza, è ovviamente un documento riservato, al
contrario del bilancio che è pubblico!).
Spiace tutto ciò, ma soprattutto spiace vedere come una
buona occasione di crescita e di progresso per l'intera società sia andata
essenzialmente sprecata. Ora c'è l'estate e della privacy non se ne
riparlerà fino all'autunno. e poi, "Dio provvederà". Qualcuno ad un
certo punto si ricorderà di quella scocciatura della privacy e, cercando magari
di non arrivare a ridosso di fine anno per non rovinarsi le ferie di Natale,
raffazzonerà un DPS sulla base delle linee guida del Garante, senza capirne il
senso né l'utilità. Le pubbliche amministrazioni, dal canto loro, bandiranno
(è già successo.) le gare per appaltare a qualche società di consulenza la
redazione dei propri DPS, ottenendo come risultato inutili tomi di carta che
nessuno leggerà mai e vanificando ancora di più lo spirito della legge. Alla
fine della fiera avremo tutti mediamente sprecato un po' di tempo ed un po'
di soldi per un qualcosa che, comunque, rimarrà incomprensibile ai più.
Ma forse non è il caso di disperarsi troppo: in fin dei conti siamo pur
sempre in Italia, e da qui a dicembre tante cose possono ancora succedere. Hai
visto mai, il Governo potrebbe anche decidere che il DPS è un adempimento
inutile ed abrogarlo per decreto legge.
|
Pagina stampabile
