Vi ricordate del vecchio Documento Programmatico per la Sicurezza (il DPO) ?
Quando fu rimosso dalle misure minime, l’Autorita’ italiana per la Protezione dei Dati Personali non intendeva consentire alle aziende di abbandonare le analisi che venivano eseguite sui diversi tipi di trattamento dei dati, la definizione dei corrispondenti rischi e il piano delle misure necessarie per mitigarli. In realta’ le societa’ che ambivano ad un mero soddisfacimento formale dei requisiti hanno fatto corrispondere il fatto che l’abolizione di un documento significasse per loro la possibilita’ di abbandonare le attivita’ sottostanti.
Vi ricordate della possibile inclusione dei reati di violazione della Privacy tra quelli regolamentati secondo il decreto 231/2001 (che regola le responsablita’ amministrative delle persone giuridiche da parte delle Societa’) ?
Era previsto che i reati contro la Privacy venissero inclusi nella lista di quelli regolamentati da questo decreto, in particolare quelli legati ai trattamenti illeciti dei dati, alle false dichiarazioni rilasciate all’Autorita e alle non conformita’ rispetto ai Provvedimenti dell’Autorita’ stessa. Benche’ previsto, questo decreto non e’ piu’ stato convertito in legge.
Stessa storia sembra stia accadendo al requisito (art. 35) che prevede la nomina del DPO nella discussione per l’approvazione del nuovo Regolamento Europeo per la Protezione dei Dati Personali. Per di piu’ numerosi commi dettagliano il ruolo, definiscono quali competenze sono necessarie per la nomina e i compiti che gli competono, tutti riportati con un tale dettaglio da rendere paradossale la semplice riformulazione del requisito da “deve” a “puo’” se si pensa che tutte le parole prima spese per dettagliare il requisito possono essere semplicemente ignorate. Inoltre la dimensione minima per le aziende che sono chiamate a soddisfare il requisito, anche se corretto da “con piu’ di 250 dipendenti” a “che trattano i dati riferiti a piu’ di 5000 interessati”, rivela una colpevole intenzione di soppressione.
La continua riformulazione e il ripensamento degli approcci, sia a livello locale sia a livello comunitario, appare voler ridurre continuamente le responsabilita’ e l’entita’ dei requisiti organizzativi e di governance per le aziende che trattano Dati Personali. Ma e’ davvero tutto qui ?