Se il DPS non dava valore aggiunto a quelle organizzazioni, soprattutto di piccole dimensioni, che lo vedevano solo come un inutile costo è giusto sopprimerlo, a condizione che la privacy sia gestita correttamente in azienda. Allora piuttosto che sottostare al rigido schema del DPS sarebbe più utile spostare i contenuti importanti del DPS in altri documenti aziendali quali procedure, istruzioni, organigrammi e mansionari, piani di formazione, ecc..
Certamente gli obblighi della privacy – realmente abolita in toto dal precedente Governo per quelle organizzazioni che non trattano dati sensibili o giudiziari eccetto che quelli dei propri dipendenti e trattano unicamente dati di persone giuridiche per adempimenti amministrativo-contabili – potevano indurre alcune organizzazione a proteggere meglio tutte le informazioni gestite, non solo quelle dei propri clienti, fornitori e dipendenti o soggetti terzi. Oggi, infatti, è importante che le imprese capiscano l’importanza delle informazioni da esse memorizzate negli archivi cartacei e nei sistemi informatici.
Senza avere la sicurezza dei dati le organizzazioni di tutti i tipi possono subire gravi danni, sia intermini economici, sia di immagine nei confronti dei clienti e della collettività. Dove per sicurezza dei dati intendo essere adeguatamente garantiti che:
- I dati sono mantenuti adeguatamente riservati, cioè non sono conosciuti da chi, se li sapesse, potrebbe crearci qualche problema (ad es. dati commerciali, offerte, progetti di prodotti noti a concorrenti);
- I dati sono integri, ovvero i dati che noi leggiamo nei sistemi informatici e nei documenti sono aggiornati, corretti e non sono stati alterati (ad es. dati di produzione o di vendita inesatti), dunque non possono portare a decisioni sbagliate);
- I dati sono disponibili, cioè li possiamo consultare ed utilizzare quando ne abbiamo bisogno per lavorare (ad es. documenti e dati necessari per preparare un’offerta quando sta per scadere il termine, dati in input a processi produttivi interni o necessari per svolgere un servizio).
Poiché la privacy e la sicurezza delle informazioni prevede regole che servono a minimizzare i rischi potenziali di subire danni (incorrere in sanzioni, perdere dati, far conoscere dati riservati a chi non li dovrebbe conoscere, ecc.) occorre anzitutto effettuare un’adeguata valutazione dei rischi, cosa che – in generale – ben poche imprese fanno, anche su altre tematiche.
Poi si può discutere se sia giusto abolire il DPS per “semplificare” la vita delle imprese, molte delle quali se la sono già abbastanza semplificata non curandosi di tante regole. Per quelli che sono stati finora scrupolosi ed osservanti delle leggi e lo hanno sempre redatto ed aggiornato è un po’ una beffa favorire tutte quelle imprese che hanno finora trascurato la redazione del DPS in questi anni. Assomiglia un po’ ad un condono fiscale o edilizio. Visto, però, che coloro che non hanno redatto il DPS finora probabilmente hanno trascurato anche altri adempimenti della privacy, il loro profilo di rischio non cambia. In sostanza non è il DPS che fa la privacy.