sabato 5 novembre 2011

DPS: uno, nessuno, centomila


Si sta parlando tanto, troppo forse, sulle disposizioni contenute nella bozza di decreto sullo sviluppo che, oltre a rivedere il concetto di dati personali, elimina con un vero e proprio colpo di spugna l’obbligo dell’adozione del Documento Programmatico sulla Sicurezza. Sinceramente la disposizione non mi ha sorpreso più di tanto, poiché sappiamo bene che la tendenza dell’attuale governo da tempo è quella di svuotare i contenuti del Codice in materia di protezione dei dati personali e lo si è visto anche in precedenti interventi legislativi (non da ultimo il precedente decreto sullo sviluppo).
Il ragionamento è fin troppo semplice e cioè: riduciamo il più possibile questi balzelli che sono un problema e principalmente un costo per le imprese.
Questa volta però credo che il governo rischi di fare un flop clamoroso, poiché in realtà il DPS è sempre stato un aiuto per le imprese ed i professionisti in quanto consente al titolare del trattamento di avere sempre sott’occhio qual è il punto della situazione in merito alle misure minime di sicurezza adottate e porre rimedio laddove ci siano delle deficienze. Si ricorda che il decreto abroga solo la misura minima di sicurezza del DPS (tra l’altro l’unica cartacea), ma tutte le altre misure minime previste dall’art. 34 del Codice rimangono in vita e sono obbligatorie (le sanzioni previste in caso di inosservanza sono anche di carattere penale).
Se dovesse, quindi, essere confermata questa disposizione le aziende non si preoccuperanno più di tanto di aggiornare le proprie misure minime di sicurezza pensando di essere ormai immuni da disposizioni così inutili. La conseguenza sarà quella di incorrere non solo in pesanti sanzioni, ma anche in richieste di risarcimento danni da parte di terzi e dipendenti i cui dati personali siano stati trattati illegittimamente.
Per quanto mi riguarda consiglierò, quindi, sempre l’adozione di un documento (DPS o altro) che possa avere la funzione di monitorare la sicurezza informatica e non di un’azienda a prescindere da "buoniste" iniziative di carattere normativo che in questo campo possono essere solo controproducenti.
L’unica iniziativa valida a questo punto sarebbe la totale abrogazione del Codice in materia di protezione dei dati personali!!!