jump to navigation

Provvedimento del Garante sugli amministratori di sistema: troppa teoria e nessuna pratica martedì 9 giugno 2009

Posted by andy in Internet e società, Miglioramento, privacy.
Tags:
trackback

Ho letto molti commenti sul tema.
Mi sono stupito della consultazione del Garante dopo aver fatto la legge, ma … ben venga; il tema è spinoso e prima lo si sviscera e meglio è.

Il problema che permane però, a parer mio, e che nessuno credo abbia ancora affrontato, è quello della correlazione tra l’impatto dell’attuazione del provvedimento sulle aziende rispetto alle capacità ed ai benefici.

I requisiti posti dal Garante non sono ‘scalabili’: sono un ‘tutto o niente’, e il niente è male per la legge.

Con ‘niente’ non intendo lo stare a guardare e girare i pollici: intendo invece adottare misure e spendere soldi per ottenere qualcosa che, di fatto, non risolve il problema.

Manca una prospettiva, e manca la definizione degli obiettivi.

Provo ora a sintetizzare un po’ dei problemi che si sono incontrati, per poi passare ad una proposta costruttiva.

I principali problemi che il provvedimento solleva sono:
1. L’amministratore di sistema viene caricato di responsabilità anche penali;
2. L’amministratore di sistema, nella maggior parte dei casi, non ha le competenze per affrontare il problema in modo risolutivo;
3. L’amministratore di sistema, in generale, non viene pagato per le responsabilità che ci si aspetta egli si assuma;
4. L’amministratore di sistema, in generale, non ha potere decisionale né di spesa per quanto riguarda l’implementazione delle soluzioni che ritiene necessarie;
5. Le aziende sono realtà che possono essere Telecom, banche, il Ministero della Giustizia, ma anche imprese a conduzione familiare, che hanno da proteggere soltanto i dati di qualche collaboratore.

Il punto 5. ha due implicazioni fondamentali:
a. l’azienda può gestire dati estremamente sensibili (medici, giudiziari, etc.), indipendentemente da quanti ne tratta;
b. l’azienda può gestire dati non molto sensibili, o anche soltanto riservati, ma in quantità enormi.

Con quanto sopra ho, credo, evidenziato il fatto che il provvedimento del Garante è sproporzionato (verso l’alto o verso il basso) rispetto alla realtà; anzi, proprio non ha correlazioni rispetto ai fattori in gioco.

E vengo ora alla parte propositiva.

A parer mio occorre:
1. creare un collegamento tra responsabilità, competenze e retribuzione degli Amministratori di Sistema;
ovverosia: dato il livello di responsabilità richiesta, deve essere corrispondentemente richiesto un adeguato livello di certificazione della persona (e perché no? anche di irreprensibilità), ed in cambio deve essere stabilito un compenso minimo adeguato ai requisiti di cui sopra;

2. stabilito il tipo di trattamento di dati necessario all’azienda, stabilire quale siano i requisiti minimi in termini di professionalità e numero di persone necessarie;
ovverosia: il tipo di trattamento dei dati deve essere correlato alla loro sensibilità / importanza, ed alla loro quantità; in relazione a ciò devono essere stabilite delle risorse minime necessarie per assicurare la protezione dei dati e la correttezza dell’utilizzo delle infrastrutture (rammento che le aziende hanno serie sanzioni per la responsabilità amministrativa).

Tutto ciò, per legge.
Ovvio che la legge risulta troppo ‘lasca’ nel rapporto responsabilità / retribuzioni, nessuno farà più l’amministratore e le aziende si troveranno inadempienti nei confronti della legge.

L’aspetto delle certificazioni è facilmente risolto: ve ne sono di ogni tipo, sia personali che aziendali.

C’è anche da dire, infine, che il Garante potrebbe assumere un atteggiamento più costruttivo, coinvolgendo il CNIPA nella definizione di strumenti e regole operative minime tali da garantire il rispetto della legge.
Dovrebbe in sostanza venire incontro a tutte quelle mini e micro-aziende che non hanno né budget né competenze, per consentire anche ad esse di mettersi in regola senza doversi ipotecare la casa.

L’aspetto tecnologico di come realizzare un sistema economico che soddisfi i requisiti del Garante, li svilupperò in un altro post.

Annunci

Commenti»

No comments yet — be the first.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: