I saggi su InterLex

Rinviato il DPS, ma non è una cosa seria

InterLex n° 294, 28 giugno 2004

Forse abbiamo perduto un'altra buona occasione.

Se, prima, le aziende italiane (o meglio: quelle che ne avevano sentito parlare...) avevano l'impressione che la nuova legge sulla privacy fosse l'ennesima leggina incomprensibile ed inutile, ed i suoi adempimenti poco più che sterili formalismi inventati tanto per fare piacere al Garante o ad un maresciallo della Finanza in corso di ispezione, ora che è anche passato il tanto annunciato ed invocato decreto di proroga sui tempi di adeguamento hanno avuto la matematica certezza che comunque non è una cosa seria. E, forse, almeno in questo non hanno tutti i torti: non è infatti serio che una legge pubblicata in Gazzetta da un anno, ed in vigore da sei mesi, sia totalmente ignorata dal pubblico e dal privato; non è serio che un Governo debba intervenire prorogandone i termini di attuazione, a causa della situazione di totale inadempienza nella quale versa la Pubblica Amministrazione; non è serio che all'ultimo minuto un intero Paese si dichiari in emergenza nei confronti di un adempimento, la compilazione del DPS, che in buona sostanza era obbligatorio da almeno quattro anni se non addirittura da otto!

In questo modo si continua purtroppo a dare alla gente l'impressione che tutta la legge sulla privacy sia una "bufala" di cui non importa nulla a nessuno, in primis al Governo; e che hanno fatto bene coloro che non se ne sono occupati fino all'ultimo, tanto poi è arrivata, come previsto, la proroga. Accompagnata peraltro, proprio pochi giorni prima, da un'interpretazione autografa del Garante la quale oltretutto semplificava fin quasi a svilirla la norma di legge relativa proprio alle modalità di redazione ed ai contenuti del tanto vituperato DPS.

Già, il DPS: spauracchio delle (poche) aziende italiane che, decidendo di voler fare le cose per bene, hanno iniziato ad occuparsene nei tempi previsti dalla legge. Con risultati spesso tragici, ed approcci a volte perfino ridicoli. E sì che questa volta la legge, al contrario di come era avvenuto per la vecchia 675/96, aveva spiegato bene ancorché in modo generale come dovesse essere fatto e cosa dovesse contenere. Anzi, a dire il vero aveva proprio tracciato l'intero percorso metodologico che, partendo dal censimento dei trattamenti effettuati e passando per la necessaria analisi dei rischi sui dati, giungesse a definire e giustificare le contromisure adottate. La legge dunque si era addirittura posto il mandato di educare le aziende: ad esempio costringendole a seguire un approccio più che corretto nella definizione dei meccanismi di protezione dei dati da esse trattate, obbligandole ad un utile momento di riflessione sulla propria attività e sulla relazione tra sé ed il mondo dei soggetti esterni, ed accertandosi addirittura che adottassero anche misure contro la perdita od il danneggiamento dei dati in una sana ottica di business continuity.

Il DPS doveva dunque essere al centro di questo processo di riflessione e adeguamento, costituendo il repository istituzionale ove far confluire, a beneficio dell'azienda stessa prima ancora che del Garante, la documentazione di prima mano su tutte le informazioni, le decisioni, le scelte e le motivazioni che avevano portato i responsabili del business a dotarsi proprio di quella struttura tecnico/organizzativa di protezione e non di un'altra, dando nel contempo anche adeguata evidenza della natura e composizione di quest'ultima. Uno strumento di lavoro, dunque, da mantenere vivo ed aggiornato e da usare come riferimento interno per tutte le questioni riguardanti la tutela dei dati personali: dalla definizione delle policy alla ubicazione degli archivi, dalle modalità di effettuazione dei backup alla descrizione della catena di responsabilità legata alla tenuta dei dati, dalle norme contrattuali che regolano il rapporto coi fornitori esterni di servizi alle infrastrutture tecniche di prevenzione e protezione contro intrusioni ed intercettazioni, e così via. Un compendio talmente importante da dover essere redatto dal titolare (ossia l'azienda in sé, nella figura del suo legale rappresentante) e citato nella relazione di bilancio.

Spiace dunque constatare oggi come quasi nulla di tutto ciò sia stato compreso e recepito dai destinatari del provvedimento, nonostante la grande quantità di informazione che comunque taluni organi di stampa hanno provveduto a dare tempestivamente. Nella grande confusione, tra suggerimenti strumentali ed impostazioni contrastanti, spesso purtroppo con l'involontaria complicità di alcune associazioni di categoria che hanno diramato linee guida carenti se non proprio fuorvianti, la disinformazione ha finito per farla da padrona e le aziende hanno visto nel DPS l'ennesimo sterile ed inutile adempimento formale richiesto da una legge incomprensibile, finendo così per affrontarne la stesura in modo acritico e non ragionato. Il DPS è così ritornato ad essere, come già era stato nel 2000, un tomo di carta raffazzonato e non meditato, commissionato al consulente di turno o al proprio ufficio legale (se non addirittura a qualcuno dell'informatica perché "è roba tecnica"...), da tenere ad impolverarsi in un cassetto per essere eventualmente esibito in caso di controllo. Sono così state completamente vanificate le intenzioni del legislatore, che invece aveva concepito il DPS, ed i relativi obblighi normativi, come strumento di crescita anche culturale delle nostre aziende.

Spiace oggi vedere come aziende anche serie ed importanti non abbiano fatto quasi alcuno sforzo per comprendere il significato profondo della norma e per tentare di porsi in un atteggiamento mentale costruttivo, quello per il quale il DPS andava considerato come un'opportunità e non come un fastidio; spiace vedere aziende che hanno adempiuto alla norma limitandosi a prendere il DPS del 2000 e cambiandogli la data ed i riferimenti di legge; spiace sentire i responsabili di aziende con una forte componente giornalistica dichiarare candidamente di non trattare dati personali al di fuori degli stipendi dei propri dipendenti; spiace vedere DPS di duemila pagine, chiaramente redatti solo nella pia speranza di "impressionare favorevolmente" l'eventuale maresciallo della Finanza di cui sopra; spiace vedere aziende che ancora oggi pensano che il DPS andasse allegato al bilancio di esercizio e lo hanno redatto in quest'ottica (il DPS, contenendo tra l'altro la descrizione di tutti i propri meccanismi di sicurezza, è ovviamente un documento riservato, al contrario del bilancio che è pubblico!).

Spiace tutto ciò, ma soprattutto spiace vedere come una buona occasione di crescita e di progresso per l'intera società sia andata essenzialmente sprecata. Ora c'è l'estate e della privacy non se ne riparlerà fino all'autunno... e poi, "Dio provvederà". Qualcuno ad un certo punto si ricorderà di quella scocciatura della privacy e, cercando magari di non arrivare a ridosso di fine anno per non rovinarsi le ferie di Natale, raffazzonerà un DPS sulla base delle linee guida del Garante, senza capirne il senso né l'utilità. Le Pubbliche Amministrazioni dal canto loro bandiranno (è già successo...) le gare per appaltare a qualche società di consulenza la redazione dei propri DPS, ottenendo come risultato inutili tomi di carta che nessuno leggerà mai e vanificando ancora di più lo spirito della legge. Alla fine della fiera avremo tutti mediamente sprecato un po' di tempo ed un po' di soldi per un qualcosa che, comunque, rimarrà incomprensibile ai più.

Ma forse non è il caso di disperarsi troppo: in fin dei conti siamo pur sempre in Italia, e da qui a dicembre tante cose possono ancora succedere. Hai visto mai, il Governo potrebbe anche decidere che il DPS è un adempimento inutile ed abrogarlo per decreto legge...

Saggio pubblicato su InterLex n° 294 del 28 giugno 2004 (Anno VIII)
Copyright © 2004, Corrado Giustozzi. Tutti i diritti riservati.

Ultima modifica: 31 maggio 2009
Visitatori dal 6 maggio 2003: 115,666

Torna alla Pagina dei saggi pubblicati su InterLex
Vai alla Pagina dei Commenti

Copyright © 1995-2012 Corrado Giustozzi