Prosegue l’opera di semplificazione portata avanti dal Garante in relazione ad alcuni adempimenti imposti dal Codice Privacy: dopo il provvedimento relativo a informativa e consenso è stato reso pubbblico oggi quello (tanto atteso) in materia di misure minime di sicurezza.

Il testo integrale del provvedimento – che si riferisce soltanto ad alcuni tipi di trattamento – è disponibile qui.
Le finalità di semplificazione sono sicuramente condivisibili, ma il provvedimento finisce per attenuare eccessivamente le cautele necessarie in materia di misure minime di sicurezza; per rendersene conto è sufficiente leggere l’art. 2.4 (Altre misure di sicurezza) nella parte in cui prevede che

Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all’art. 615-quinquies del codice penale, nonché a correggerne difetti, sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite  rete aziendale, posta elettronica), l’aggiornamento deve essere almeno biennale.

Non c’è bisogno di essere un tecnico per capire che l’aggiornamento di un antivirus con cadenza annuale non ha praticamente senso (per non parlare degli aggiornamenti con cadenza biennale).

Possibile che non esista una via di mezzo tra adempimenti troppo complessi ed altri pressochè inesistenti? Non si rischia di far perdere ulteriormente di credibilità ad una normativa ancora poco applicata come quella in materia di privacy?