Basta DPS privacy? Non è proprio così…

BASTA DPS PRIVACY? Veramente non sarebbe proprio così. Ho letto in questi giorni in particolare su un quotidiano nazionale, un “rilassante” articolo circa l’adeguamento della nostra normativa interna a quella europea con abbattimento totale degli obblighi in caso di trattamento dati persone giuridiche, enti ed associazioni, nonché totale decadimento dell’obbligo di redazione del documento programmatico di sicurezza. Ma non è così. Per lo meno non sulla base del testo in bozza attualmente al vaglio. Difatti, il medesimo testo innanzi tutto ridefinisce il dato personale quale dato atto ad individuare la persona fisica, andandosi così ad escludere quanto precedentemente indicato dal Codice privacy che considerava tale anche il dato inerente la persona giuridica, l’ente o l’associazione. A questi ultimi quindi non si applica il Codice privacy. Ok. E quindi? Mi dite qual è un gestionale aziendale nel quale all’interno non si trovino dati personali??? Secondo la nuova definizione intendo … Ditta Alfa, con sede in Teneropoli, n. 777, referente interno Mister Alfa. Dato personale. Signor Capriccio, assunto il 10 ottobre 1975. Dato personale. Prospect: azienda interessante, parlare con Pinco Pallo, responsabile investimenti. Dato personale.  Quello che esce dalla porta rientra dalla finestra. O dalla porta secondaria. Ma rientra. Quindi, ridefiniamo pure il concetto di dato personale. Condivido.

Quando faccio formazione devo spiegare che dato personale non vuol dire solo dato riferito a persona fisica, ma anche ente. E si aprono le nebbie … quindi va benissimo, appoggio la scelta. Poi mi si dice in bozza che viene abolito il DPS. E qui è come andar di notte… non si sa  cosa si trova. Ho il sospetto che il DPS sia stato per anni l’incubo degli italiani da tanto che lo vogliono cassare ad ogni decreto sviluppo. La bozza infatti indica l’abolizione della lettera h) comma 1 art. 43. Già, ma dell’Allegato B non se ne parla. Quindi? Lecito pensare che in caso di dati sensibili comunque permanga l’obbligo. Ma se viene soppresso il concetto di DPS richiamato anche nelle semplificazioni emanate dal Garante insieme all’autocertificazione e quindi all’impianto della semplificazione stessa, come si considera di dover gestire i dati sensibili dei dipendenti? Rimettendo in carreggiata il DPS? Non è dato sapere. Ma non è tanto questo il problema. Qui si sta parlando di sopprimere l’unico strumento di auto-analisi inerente la sicurezza informatica aziendale. Lo stesso strumento che seppur tanto odiato, ha consentito ad aziende anche di un certo livello, di mantenere nel tempo la propria sicurezza informatica stimolando investimenti che i titolari aziendali – spesso ignari del fatto che l’IT è il fulcro della vita aziendale –  hanno accettato solo grazie al pungolo normativo.

Un DPS che – spina nel fianco dei responsabili – ha costretto alla razionalizzazione dei criteri di assegnazione di credenziali piuttosto che alla ristabilizzazione degli idonei livelli di autenticazione secondo il ruolo aziendale, impedendo accessi non dovuti e circolazione di informazioni aziendali non opportune. Tutti valori scontati oggi, ma assolutamente sottovalutati prima del 2004. DPS che troppi hanno bollato come “quel documento terribile e dispersivo” che in realtà se ben fatto ha consentito negli anni di programmare investimenti informatici e far crescere nella mentalità aziende e professionisti. Adesso si toglie quel documento. O per lo meno, lo si riduce solo ai casi di dati sensibili (resterebbe vigente infatti l’Allegato B). Sono d’accordo sulle realtà minime (artigiani, aziende di produzione) rabbrividisco su soggetti che fanno una ampia gestione anche solo di dati contabili (un’azienda con un milione di dati su persone giuridiche non deve fare il DPS?). I commenti nella bozza del testo sono: ci dobbiamo uniformare alla normativa europea. Ok, ma la mentalità italiana in merito al dato trattato, non è quella europea. L’italiano parla in ambito aziendale del “suo pc”, non del “pc aziendale”. Dei “suoi clienti” non dei “clienti della mia azienda”. La nostra mentalità non è quella europea, per lo meno non ancora.

Ci sono aziende dove l’obbligo del DPS ha costretto alla mappatura di server, di trattamenti, di soggetti autorizzati ad accedere ai dati ed ai relativi livelli di visualizzazione. Certo, a fronte di consulenti che hanno predisposto 500 pagine di DPS forse a qualcuno non è sembrata proprio una incombenza intelligente … ma non era questo il DPS. Il DPS era – è – un documento di programmazione ed autoanalisi atto a far rilevare vulnerabilità ed a programmare miglioramenti. Il DPS è uno degli strumenti che consolidano le procedure nell’applicazione della 231 in azienda. Ora sono proprio curiosa di sapere l’Autorità Garante che cosa ne pensa di questa bozza. Anche se è pur vero che tanto il Garante ha sempre sostenuto – al contrario della sottoscritta – che il DPS si sarebbe dovuto fare solo sulla base dell’Allegato B, che comunque rimarrà vigente qualora non cambino la bozza del Decreto Sviluppo. E sempre che questo decreto sia approvato nei termini indicati.