I saggi su InterLex

Minime anche le linee guida

InterLex n° 293, 17 giugno 2004

Con undici giorni di ritardo sulla scadenza che si era oltretutto data da solo, lo scorso 11 giugno il Garante per la privacy ha finalmente pubblicato la tanto attesa "Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)". Questo documento, messo a punto con la collaborazione di un non meglio identificato gruppo di esperti di sicurezza, fa seguito alla bozza del 23 maggio denominata "Prime riflessioni sui criteri di redazione del DPS" e mira, come dice lo stesso Garante in prefazione, "a facilitare l'adempimento dell'obbligo di redazione del DPS nelle organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche". L'intento è lodevole ma il risultato ci sembra sostanzialmente deludente, e comunque le modalità ed i tempi di attuazione dell'iniziativa del Garante non appaiono purtroppo esenti da critiche di varia natura.

Cominciamo dalla fine, ossia dai tempi di pubblicazione. L'11 giugno è ormai straordinariamente a ridosso della data di scadenza (peraltro già inopinatamente prorogata...) che la legge impone per la redazione del DPS, ossia il 30 giugno. Definire tardivo l'intervento del Garante, a questo punto, è dire poco: in venti giorni scarsi è infatti difficile impiantare un DPS serio e sostenibile, per cui chi ha atteso sino ad ora la pubblicazione delle linee guida ufficiali per mettersi al lavoro si troverà, volendo rispettare tanto la scadenza quanto le indicazioni del Garante, nella condizione di poter fare solo un lavoro meccanico ed acritico di mera compilazione delle tabelle di cui la "Guida operativa" sostanzialmente si compone. Una pubblicazione più tempestiva del documento da parte del Garante avrebbe invece contribuito senz'altro a migliorare la qualità del processo di redazione del DPS soprattutto nelle organizzazioni medio-piccole, favorendo la riflessione secondo il valido approccio metodologico che evidentemente aveva ispirato l'estensore della legge ed in particolare dell'Allegato B.

Passando al merito, e dunque al contenuto della "Guida operativa", c'è da rimanere piuttosto perplessi: quanto è stridente il contrasto con la filosofia che traspare dalla norma di legge! Laddove infatti l'Allegato B suggerisce un approccio al DPS completo ed esaustivo, metodologicamente corretto e conseguenziale, basato su un ragionamento da farsi intorno alla propria realtà operativa, la "Guida operativa" sembra ridurre la redazione del DPS alla mera compilazione meccanica di un template predefinito, senza invitare ad effettuare quella necessaria riflessione critica e maturazione dei contenuti che invece costituisce il vero valore del DPS per l'organizzazione che lo redige nel modo originariamente suggerito dalla legge. Quella che avevamo salutato come la maggiore innovazione del nuovo Codice, ossia l'obbligo di impostare in azienda un processo organico di risk management fondato sull'analisi profonda delle proprie specificità in relazione ai dati trattati, con focalizzazione soprattutto sulle tematiche organizzative e di business continuity, viene di fatto cancellata da un approccio al DPS di tipo prête-à-porter basato sul riempimento, in modalità essenzialmente dichiarativa, di un certo numero di tabelle dal contenuto semplificato e semplicistico, molte delle quali addirittura indicate come facoltative. Fatto in questo modo il DPS torna purtroppo ad essere quello sterile e tutto sommato inutile adempimento formale che era nella vecchia legge 675, perdendo invece l'occasione di divenire un importante strumento di lavoro e di crescita anche culturale per le aziende, quale sembrava delinearlo il nuovo testo unico. Peccato per la buona occasione perduta.

Vero è che il Garante si sgola a furia di ripetere che l'approccio indicato è puramente esemplificativo, ed è possibile aumentare a piacere il dettaglio di analisi e la complessità della trattazione: in mancanza di esplicito obbligo in tal senso è ovvio che tutti adotteranno alla lettera le tabelle ed i criteri di compilazione indicati nella "Guida operativa", appiattendosi su un massimo comun denominatore francamente molto lontano da ciò che lo spirito originario della norma sembrava indicare.

In conclusione sembra comunque necessario rilevare come l'insegnamento che si può trarre dal comportamento del Garante non risulti affatto edificante: esso infatti conferma implicitamente il malvezzo, tutto italiano, di premiare i ritardatari e gli inadempienti penalizzando invece chi fa il proprio dovere con zelo e puntualità. Vediamo perché. Il DPS in origine andava fatto entro il 31 marzo, e tale circostanza era nota sin dalla pubblicazione sulla Gazzetta Ufficiale del testo del Decreto Legislativo 196/03, risalente al luglio dello scorso anno. In teoria dunque le aziende italiane hanno avuto tempo più che sufficiente (otto mesi!) per predisporre il DPS entro i termini originari di scadenza. Ben poche tuttavia lo hanno fatto, tanto è vero che a ridosso del 31 marzo il Garante, con un'interpretazione la cui liceità ha peraltro fatto molto discutere, ha pensato bene prorogare di ben tre mesi la data ultima di redazione; e non contento di ciò, in prossimità della nuova ulteriore scadenza ha addirittura presentato un modello preimpostato di DPS sorprendentemente semplificato rispetto a quello che la legge stessa lasciava intendere. Il risultato netto di tutto ciò è che coloro i quali hanno predisposto il DPS nei termini originari lo hanno fatto senza alcun aiuto da parte del Garante, mentre i ritardatari si sono trovati la pappa fatta! E mentre i primi hanno dovuto faticare ed hanno impiegato tempo e risorse per impostare da zero, sulla propria pelle, un modello realizzativo del DPS basato sull'interpretazione personale del codice, spesso addirittura eccedendo in profondità di analisi per non rischiare di tradire il senso della legge ed essere accusati di superficialità, gli ultimi arrivati hanno beneficiato di un'interpretazione autentica del Garante straordinariamente semplificativa e buonista, secondo la quale il DPS si riduce in sostanza a quattro tabelle in croce da riempire in mezzo pomeriggio di lavoro. La morale sembra dunque essere la stessa che si ritrova purtroppo in altri ambiti della nostra tormentata vita sociale nazionale, dall'evasione fiscale agli abusi edilizi: conviene trasgredire le leggi e superarne le scadenze, tanto arriverà un condono che sistemerà tutto. Per la serie: "chi tardi arriva, meglio alloggia". Tant'è vero che proprio in questi giorni si vocifera addirittura di un'ulteriore proroga per la scadenza del DPS, per mezzo di un decreto legge predisposto ad hoc dal Ministro della Giustizia, motivata dalla pressoché totale inadempienza alla norma proprio da parte delle pubbliche amministrazioni...

Saggio pubblicato su InterLex n° 293 del 17 giugno 2004 (Anno VIII)
Copyright © 2004, Corrado Giustozzi. Tutti i diritti riservati.

Ultima modifica: 31 maggio 2009
Visitatori dal 6 maggio 2003: 115,606

Torna alla Pagina dei saggi pubblicati su InterLex
Vai alla Pagina dei Commenti

Copyright © 1995-2012 Corrado Giustozzi