Sulla risposta che molti addetti ai lavori conoscono bene quando devono convincere riluttanti Responsabili aziendali a mettersi in regola si è interrogato, sul numero di luglio della newsletter Crypto-Gram (la versione italiana curata dall'azienda Communication Valley è disponibile qui), uno dei guru mondiali dell'IT Security: Bruce Sheiner.
Sheiner parte da una constatazione che chi fa questo mestiere per professione non può che condividere: le aziende spendono i propri soldi mal volentieri per adeguarsi alla privacy (sia essa obbligo di legge o esigenza aziendale connessa con altre esigenze) semplicemente perché è costoso e una buona fetta di tale spesa viene assorbita dai meccanismi di conformità e non serve al miglioramento effettivo della privacy di nessuno.
Sheiner spiega in modo convincente le ragioni che sottendono a questo modo di vedere la privacy: le entità a cui affidiamo i nostri dati spesso non hanno grandi incentivi per rispettarla.
Un esempio su tutti: chi regala servizi (no, non pensate solo a Gmail...) ha tutto l'interesse a raccogliere informazioni personali come parte del rapporto per veicolare annunci pubblicitari "ad hoc", effettuare direct marketing o più semplicemente ri-vendere (o se preferite “sherare”) le informazioni raccolte a terzi.
Si comprende bene come la protezione dei dati dell'interessato (cliente, fornitore ma anche dipendente) rimanga un elemento estraneo per molte aziende lontano dalle dinamiche di business e per il quale non viene percepito nessun valore aggiunto.
Sheiner conclude l’articolo proponendo la sua ricetta (riportata in corsivo) che, messa a confronto con le ultime tendenze del nostro Garante, diverge e non di poco (tra parentesi un mio commento):
· Regolamentazioni di privacy ad ampio respiro sono migliori di regolamentazioni ristrette (un esempio è l’ultimo provvedimento sugli Amministratori di Sistema che tanto ha fatto e continua a far discutere)
· Meglio regolamentazioni semplici e chiare che complesse e disorientanti (idem come sopra: FAQ, chiarimenti, proroghe…)
· È molto meglio regolamentare i risultati che non la metodologia (voi che dite???).
· Le sanzioni per un comportamento scorretto devono essere sufficientemente costose da far diventare la condotta corretta la scelta più razionale (su questo il Garante si è mosso e anche bene: date un’occhiata al riformulato all'art. 162 . Rimane da vedere chi sarà il primo a “pagare”!)
Comments
Post a Comment