Privacy: via il DPS, viva la "semplificazione"
Stando ad indiscrezioni di stampa (http://goo.gl/hYWCh) fra le varie semplificazioni nell'ennesimo decreto oggi in via di approvazione si pensa anche di abolite il DPS concernente i dati personali. Due riflessioni: - l'UE rafforza il quadro normativo (data protection impact assessment, data protection officer, privacy by default, privacy by design, ecc.) ed il genio italico "semplifica". - "Semplificare" è cosa diversa da diminuire la tutela degli interessi: il DPS è uno strumento di analisi dei rischi a tutela della sicurezza dei dati e solo imprese miopi possono fare lobbying contro un simile strumento. Scoprire delle falle nel proprio sistema di gestione dei dati, individuare gli strumenti per porvi rimedio è solo un bene per una società in cui l'asset informativo è centrale per l'attività di impresa. - Semplificare sarebbe invece offrire strumenti efficienti per adempiere agli obblighi normativi, prevedere centri locali di assistenza, realizzare guide operative, software di supporto, ecc. Certo costa fatica, più che tirare un tratto di penna su una norma, ma domani, senza DPS, la gestione dei dati sarà un po' meno sicura e non credo che questo vada davvero a favore delle imprese! Un sistema meno sicuro nel trattamento dei dati, che espone a maggiori rischi di danni e di contenzioso, non è "semplificato" affatto, bensì complicato dall'assenza di un metodo di gestione e prevenzione del rischio. Né tale intervento riduce i costi, laddove si risparmiano subito i quattrini per il DPS, ma poi si spenderà per gli effetti negativi della mancata analisi dei rischi (sanzioni in caso di violazione del d.lgs. 196/2003, contenzioso in caso di danni per trattamento non conforme alle misure di sicurezza, danno reputazionale, ecc.) -- Avv. Alessandro Mantelero, PhD Confirmed Assistant Professor http://staff.polito.it/alessandro.mantelero Department of Production Systems and Business Economics Politecnico di Torino Corso Duca degli Abruzzi, 24 10129 Torino - Italy
Non concordo con te, Alessandro. Eliminare l'onere di redazione del DPS non significa eliminare le misure di sicurezza (il DPS è solo uno degli obblighi previsti dal Disciplinare tecnico di cui all'Allegato B del codice privacy ed è previsto solo per trattamenti di dati sensibili e giudiziari eseguiti con mezzi elettronici). Le due cose, IMHO, sono infatti correlate, ma solo in parte. Nella mia esperienza professionale, inoltre, ho rilevato che per le aziende (soprattutto quelle medio-piccole) si risolve in un adempimento meramente burocratico. Certo in qualche misura il DPS impone alle imprese una "cultura privacy", ma io sono profondamente convinta che la cultura non si possa infondere col bastone. Ed in questo senso concordo, invece, sulla necessità di praticare altre vie di semplificazione, come quelle da te indicate. Un caro saluto Monica (by iPad2) Il giorno 27/gen/2012, alle ore 11:14, "MANTELERO ALESSANDRO" <alessandro.mantelero@polito.it> ha scritto:
Stando ad indiscrezioni di stampa (http://goo.gl/hYWCh) fra le varie semplificazioni nell'ennesimo decreto oggi in via di approvazione si pensa anche di abolite il DPS concernente i dati personali.
Due riflessioni: - l'UE rafforza il quadro normativo (data protection impact assessment, data protection officer, privacy by default, privacy by design, ecc.) ed il genio italico "semplifica". - "Semplificare" è cosa diversa da diminuire la tutela degli interessi: il DPS è uno strumento di analisi dei rischi a tutela della sicurezza dei dati e solo imprese miopi possono fare lobbying contro un simile strumento. Scoprire delle falle nel proprio sistema di gestione dei dati, individuare gli strumenti per porvi rimedio è solo un bene per una società in cui l'asset informativo è centrale per l'attività di impresa. - Semplificare sarebbe invece offrire strumenti efficienti per adempiere agli obblighi normativi, prevedere centri locali di assistenza, realizzare guide operative, software di supporto, ecc. Certo costa fatica, più che tirare un tratto di penna su una norma, ma domani, senza DPS, la gestione dei dati sarà un po' meno sicura e non credo che questo vada davvero a favore delle imprese!
Un sistema meno sicuro nel trattamento dei dati, che espone a maggiori rischi di danni e di contenzioso, non è "semplificato" affatto, bensì complicato dall'assenza di un metodo di gestione e prevenzione del rischio. Né tale intervento riduce i costi, laddove si risparmiano subito i quattrini per il DPS, ma poi si spenderà per gli effetti negativi della mancata analisi dei rischi (sanzioni in caso di violazione del d.lgs. 196/2003, contenzioso in caso di danni per trattamento non conforme alle misure di sicurezza, danno reputazionale, ecc.)
-- Avv. Alessandro Mantelero, PhD Confirmed Assistant Professor http://staff.polito.it/alessandro.mantelero
Department of Production Systems and Business Economics Politecnico di Torino Corso Duca degli Abruzzi, 24 10129 Torino - Italy _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
On Fri, 27 Jan 2012 11:29:29 +0100 "avv. Monica A. Senor " <senor@penalistiassociati.it> wrote:
Non concordo con te, Alessandro. Eliminare l'onere di redazione del DPS non significa eliminare le misure di sicurezza (il DPS è solo uno degli obblighi previsti dal Disciplinare tecnico di cui all'Allegato B del codice privacy ed è previsto solo per trattamenti di dati sensibili e giudiziari eseguiti con mezzi elettronici). Le due cose, IMHO, sono infatti correlate, ma solo in parte.
infatti non ho detto questo, solo che senza analisi preventiva dei rischi e monitoraggio dello stato attuale non è così facile capire dove occorre intervenire
Nella mia esperienza professionale, inoltre, ho rilevato che per le aziende (soprattutto quelle medio-piccole) si risolve in un adempimento meramente burocratico.
Dipende da come si fa il DPS. Se c'è una vera analisi dei rischi (specie in micro e piccole) il DPS è un momento di verifica reale della gestione dei dati, certo va fatto coinvolgendo diverse competenze. Quando qualche hanno fa svolgemmo lo studio sull'attuazione del d. lgs. 196/2003 nelle imprese (oltre 100 imprese) emersero molte discrepanza cui un buon DPS avrebbe potuto por rimedio.
Certo in qualche misura il DPS impone alle imprese una "cultura privacy", ma io sono profondamente convinta che la cultura non si possa infondere col bastone. Ed in questo senso concordo, invece, sulla necessità di praticare altre vie di semplificazione, come quelle da te indicate.
non mi pare una questione solo culturale, qui ci sono in gioco diritti fondamentali delle persone. E' da anni che aspettiamo la cultura della privacy, la cultura della sicurezza sul lavoro ecc., ma purtroppo le logiche di profitto delle imprese non sono interessate alla cultura e percepiscono molto di più la sanzione (non è un caso che delle misure di sicurezza tutti si curino soprattutto di quelle minime proprio in ragione della sanzione).
Un caro saluto
Monica (by iPad2)
Il giorno 27/gen/2012, alle ore 11:14, "MANTELERO ALESSANDRO" <alessandro.mantelero@polito.it> ha scritto:
Stando ad indiscrezioni di stampa (http://goo.gl/hYWCh) fra le varie semplificazioni nell'ennesimo decreto oggi in via di approvazione si pensa anche di abolite il DPS concernente i dati personali.
Due riflessioni: - l'UE rafforza il quadro normativo (data protection impact assessment, data protection officer, privacy by default, privacy by design, ecc.) ed il genio italico "semplifica". - "Semplificare" è cosa diversa da diminuire la tutela degli interessi: il DPS è uno strumento di analisi dei rischi a tutela della sicurezza dei dati e solo imprese miopi possono fare lobbying contro un simile strumento. Scoprire delle falle nel proprio sistema di gestione dei dati, individuare gli strumenti per porvi rimedio è solo un bene per una società in cui l'asset informativo è centrale per l'attività di impresa. - Semplificare sarebbe invece offrire strumenti efficienti per adempiere agli obblighi normativi, prevedere centri locali di assistenza, realizzare guide operative, software di supporto, ecc. Certo costa fatica, più che tirare un tratto di penna su una norma, ma domani, senza DPS, la gestione dei dati sarà un po' meno sicura e non credo che questo vada davvero a favore delle imprese!
Un sistema meno sicuro nel trattamento dei dati, che espone a maggiori rischi di danni e di contenzioso, non è "semplificato" affatto, bensì complicato dall'assenza di un metodo di gestione e prevenzione del rischio. Né tale intervento riduce i costi, laddove si risparmiano subito i quattrini per il DPS, ma poi si spenderà per gli effetti negativi della mancata analisi dei rischi (sanzioni in caso di violazione del d.lgs. 196/2003, contenzioso in caso di danni per trattamento non conforme alle misure di sicurezza, danno reputazionale, ecc.)
-- Avv. Alessandro Mantelero, PhD Confirmed Assistant Professor http://staff.polito.it/alessandro.mantelero
Department of Production Systems and Business Economics Politecnico di Torino Corso Duca degli Abruzzi, 24 10129 Torino - Italy _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Avv. Alessandro Mantelero, PhD Confirmed Assistant Professor http://staff.polito.it/alessandro.mantelero Department of Production Systems and Business Economics Politecnico di Torino Corso Duca degli Abruzzi, 24 10129 Torino - Italy
participants (2)
-
avv. Monica A. Senor -
MANTELERO ALESSANDRO