Non concordo con te, Alessandro. Eliminare l'onere di redazione del DPS non significa eliminare le misure di sicurezza (il DPS è solo uno degli obblighi previsti dal Disciplinare tecnico di cui all'Allegato B del codice privacy ed è previsto solo per trattamenti di dati sensibili e giudiziari eseguiti con mezzi elettronici). Le due cose, IMHO, sono infatti correlate, ma solo in parte. Nella mia esperienza professionale, inoltre, ho rilevato che per le aziende (soprattutto quelle medio-piccole) si risolve in un adempimento meramente burocratico. Certo in qualche misura il DPS impone alle imprese una "cultura privacy", ma io sono profondamente convinta che la cultura non si possa infondere col bastone. Ed in questo senso concordo, invece, sulla necessità di praticare altre vie di semplificazione, come quelle da te indicate. Un caro saluto Monica (by iPad2) Il giorno 27/gen/2012, alle ore 11:14, "MANTELERO ALESSANDRO" <alessandro.mantelero@polito.it> ha scritto:
Stando ad indiscrezioni di stampa (http://goo.gl/hYWCh) fra le varie semplificazioni nell'ennesimo decreto oggi in via di approvazione si pensa anche di abolite il DPS concernente i dati personali.
Due riflessioni: - l'UE rafforza il quadro normativo (data protection impact assessment, data protection officer, privacy by default, privacy by design, ecc.) ed il genio italico "semplifica". - "Semplificare" è cosa diversa da diminuire la tutela degli interessi: il DPS è uno strumento di analisi dei rischi a tutela della sicurezza dei dati e solo imprese miopi possono fare lobbying contro un simile strumento. Scoprire delle falle nel proprio sistema di gestione dei dati, individuare gli strumenti per porvi rimedio è solo un bene per una società in cui l'asset informativo è centrale per l'attività di impresa. - Semplificare sarebbe invece offrire strumenti efficienti per adempiere agli obblighi normativi, prevedere centri locali di assistenza, realizzare guide operative, software di supporto, ecc. Certo costa fatica, più che tirare un tratto di penna su una norma, ma domani, senza DPS, la gestione dei dati sarà un po' meno sicura e non credo che questo vada davvero a favore delle imprese!
Un sistema meno sicuro nel trattamento dei dati, che espone a maggiori rischi di danni e di contenzioso, non è "semplificato" affatto, bensì complicato dall'assenza di un metodo di gestione e prevenzione del rischio. Né tale intervento riduce i costi, laddove si risparmiano subito i quattrini per il DPS, ma poi si spenderà per gli effetti negativi della mancata analisi dei rischi (sanzioni in caso di violazione del d.lgs. 196/2003, contenzioso in caso di danni per trattamento non conforme alle misure di sicurezza, danno reputazionale, ecc.)
-- Avv. Alessandro Mantelero, PhD Confirmed Assistant Professor http://staff.polito.it/alessandro.mantelero
Department of Production Systems and Business Economics Politecnico di Torino Corso Duca degli Abruzzi, 24 10129 Torino - Italy _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa