Data Protection by Design, by Default, by Deception

Guardo con un certo interesse al brulicare dei “consulenti privacy” (già l’errato utilizzo del termine dovrebbe (s)qualificarne la competenza) rinvigorito dall’avvicinarsi dell’entrata in vigore del Regolamento comunitario sulla protezione dei dati personali. E capita anche in questo caso, come in passato, a proposito del D.lgs. 196/03, di leggere proposte di “messa a norma” che si traducono nella semplice produzione di un po’ carta, di qualche letterina di incarico (c’è ancora chi nomina aziende “incaricato esterno del trattamento”) e delle draconiane istruzioni su come (non) si usa l’email aziendale.

Dall’altro lato, va detto per onestà intellettuale, ci sono aziende che prendono l’adeguamento alla normativa sui dati personali per quello che è: un inutile orpello burocratico. E che, dunque, non concepiscono di sprecare soldi in consulenze inutili. In questo modo, il fornitore ideale incontra il cliente perfetto: il primo vende fumo, il secondo è disposto a comprarlo (pagandolo poco).

Una prova empirica di questo ragionamento sta nel fatto che difficilmente, nei modelli organizzativi di gestione dei dati personali, sono presenti – e se ci sono, rimangono lettera morta – i cosiddetti “controlli di primo livello”. Quelli, cioè, che ciascun responsabile interno dovrebbe eseguire periodicamente e che dovrebbe mettere a disposizione del responsabile del trattamento, per attivare i processi di analisi ed eventuale correzione dei processi di trattamento dei dati personali.

Come in tanti altri ambiti della consulenza aziendale, anche quella sui dati personali si traduce, by design e by default, in una ipocrita Deception. Che in Italiano si traduce con “inganno”.

 

Possibly Related Posts: