Poco più di un mese è trascorso dalla tanto temuta “entrata in vigore delle nuove norme” (così si sentiva dire purtroppo in quei giorni…) in tema di privacy e già ci troviamo alle prese con i primi bilanci e le prime riflessioni. Come è noto, infatti, il 31 marzo scorso imprese, liberi professionisti e pubbliche amministrazioni si sono, bene o male, adeguati a quelle misure minime di sicurezza previste dall’art. 34 del D.Lgs. 196/2003, fra le quali rientra il tanto discusso Documento Programmatico sulla Sicurezza: la sua tormentata redazione, infatti, ha messo in crisi soprattutto i professionisti e i piccoli imprenditori che, vuoi per mancanza di informazione, vuoi per disinteresse nella materia, si sono trovati a dover fare i conti con una realtà del tutto nuova e inaspettata. Attraverso una puntuale applicazione della disciplina contenuta nel “Codice Privacy”, i professionisti e gli imprenditori avrebbero dovuto sviluppare, infatti, un forte cambiamento nella loro struttura operativa e, quindi, gestire diversamente e in maniera più efficace e sicura tutte le risorse interne.
Ciò che è successo veramente e che è davanti agli occhi di tutti è stata una corsa sfrenata a mettersi in regola e ad accaparrarsi l’ultima “offerta privacy” più conveniente sviluppata da qualche “consulente privacy” dell’ultimo minuto (ne sono nati come funghi e con offerte sempre più stracciate!). Il tutto si è ridotto ad una compilazione frettolosa del documento programmatico della sicurezza (alcune volte affidata addirittura ad un miracoloso software!) e – se andava bene – di qualche informativa magari inviata successivamente al trattamento (in sicura violazione dell’art. 13 del D. Lgs. 196/2003)!
Quello che dieci anni di normativa non sono riusciti a far comprendere, infatti, è che “privacy” (anzi, meglio, “corretto trattamento di dati personali”) non è sinonimo di compilazione del DPS (o DPSS o DS, come abbiamo sentito dire in questi mesi da autorevoli esperti della materia!) e, per adeguarsi alle nuove norme sulle misure minime di sicurezza, non basta una inconsapevole e svogliata compilazione di qualche documento o un timido riassetto delle attrezzature hardware e software interne: la sicurezza non si compra in scatola e gli strumenti informatici da soli non bastano! Il trattamento corretto e sicuro di un dato personale, infatti, non è un prodotto che si acquista al supermercato, ma è un corretto processo da avviare necessariamente nella propria struttura per non subire inconsapevolmente i rischi della digitalizzazione che stiamo vivendo…
Per avviare questo processo occorre, quindi, guardare dentro la propria struttura, osservare con attenzione i tanti “flussi di dati” che vengono sviluppati al suo interno, prestare molta attenzione sulle procedure con cui si effettuano i trattamenti e riconsiderare o modificare tante vecchie abitudini, uniformandosi gradualmente a ciò che il D.Lgs. 196/2003 richiede e non solo a quanto riferito nell’Allegato B, con una visione prospettica sia giuridica, sia informatica. I rischi della Società dell’informazione possono essere superiori ai vantaggi, se non ci prenderemo la briga di studiare con attenzione i cambiamenti che ci riguardano e, quindi, di considerare gli strumenti informatici non come dei giocattolini con cui si fa più in fretta qualche lavoro, ma come dei potenti e pericolosi mezzi che vanno guidati con attenzione e con cognizione di causa. Questo il legislatore ha cercato di riferirci con una normativa, certamente farraginosa e migliorabile, ma da prendere in considerazione e non certo da ignorare nella sostanza!
Il “processo privacy” che doveva essere contenuto e disegnato nel DPS, come un vestito cucito addosso alla nostra struttura, si è alla fine rivelato e venduto in questi giorni come un “pacchetto privacy” limitato sempre più spesso, da una parte alla redazione del fastidioso Documento da sottoscrivere entro la fatidica data, in maniera ovviamente stereotipata e, dall’altra, a qualche piccola, noiosa modifica dell’infrastruttura informatica. Di lettere di incarico, informative, regolamenti interni, notificazioni o comunicazioni al Garante, nomine di responsabili in outsourcing o responsabili della formazione, poi, neppure a parlarne! Troppo fastidio!
Qualcuno ha, inoltre, voluto avviare (come accennato all’inizio) una incredibile pioggia di informative inutili (giunte molto spesso via telefax, dando vita al nuovo, allarmante fenomeno dello “spamming privacy”!).
Insomma un caos che può portare anche a conseguenze molto gravi per un’impresa o uno studio professionale. Tante volte ci si è preoccupati di inserire una data certa al DPS (non richiesta – si ripete per l’ennesima volta! – dalla normativa) e si procede in fretta e furia all’adeguamento per paura di chissà quali conseguenze penali e poi, nella foga di rispettare date certe che non ci sono, non ci si preoccupa neppure di quello che si va riferendo in quel documento, magari con il rischio di firmare documenti sostanzialmente falsi, perché ricchi di “copia incolla” e di descrizioni non veritiere! E questo sì che può configurare ipotesi di reato ben più gravi rispetto alla violazione di una qualche misura minima di sicurezza (si faccia un confronto tra gli articoli 168 e 169 del Codice per comprendere bene quello che si sta cercando di dire!).
In ogni caso, a prescindere da queste considerazioni, resta un ulteriore adempimento da adottare a breve: entro il 15 maggio 2006, infatti, dovranno essere redatti dalle pubbliche amministrazioni i c.d. “Regolamenti interni sul corretto trattamento dei dati personali, sensibili e giudiziari”, allo scopo di rendere trasparenti ai cittadini non solo la tipologia di dati personali sensibili e giudiziari che vengono utilizzati, ma anche le finalità perseguite e le modalità del loro trattamento (*). E’ necessario, pertanto, che le Pubbliche Amministrazioni, che non hanno ancora provveduto, inizino la solita corsa alla disperata ricerca del “miracoloso software” per risolvere ogni cosa!
In verità, questa potrebbe essere l’ultima occasione utile per comprendere come l’adeguamento a questa “nuova” normativa richieda uno sforzo da parte di tutti i soggetti interessati, senza dimenticare che la tutela della privacy non deve essere considerata un valore antagonista alle esigenze operative di imprese, professionisti e pubbliche amministrazioni, ma un valore aggiunto in grado di trasformare la tecnologia da costo a risorsa. Infatti, la tutela del proprio patrimonio aziendale (che è sempre di più costituito da dati personali e informazioni) sempre di più si rivelerà la strategia vincente per chi vuol competere nei nuovi mercati digitali!
^^^^
(*) Per una breve guida sulla materia ci permettiamo di consigliare la lettura del recente volume “Pubblica Amministrazione e Privacy: istruzioni per l’uso”, di A. Lisi e F. Bretoni, Cierre Edizioni, 2006 – aggiori info alla pagina http://www.scint.it/news_new.php?id=733
di Andrea Lisi e Graziano Garrisi – www.studiodl.it
Scrivi un commento
Accedi per poter inserire un commento