03 Feb “VITA DA PRIVACYISTA” puntata 2 – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
“VITA DA PRIVACYISTA” – Seconda puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…
- Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Andrea Lisi, avvocato con esperienza nel diritto applicato al digitale, DPO per enti pubblici e privati… e amo scrivere, quindi, prima o poi mi dedicherò solo a quello.
- Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?
Dobbiamo andare un po’ indietro con gli anni. Fine anni ’90, mi occupavo con entusiasmo di diritto commerciale internazionale, processi di internazionalizzazione e scambi tra imprese anche tramite l’internet e fu naturale interessarmi di trasferimento dei dati personali all’estero. Ci fu anche lo zampino del Circolo dei Giuristi Telematici perché intervenni presso l’Università di Pisa durante il loro primo convegno proprio su questo argomento. E da allora non mi sono più fermato…
- Cosa ti annoia della privacy/data protection?
Mi annoia l’approccio semplicistico e formale che ancora caratterizza la materia, va benissimo l’approccio pragmatico, anche schematico, ma per arrivarci occorre dipanare la complessità interdisciplinare che caratterizza la governance del trattamento dei dati personali (e non personali) nelle organizzazioni pubbliche e private.
- Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Io sinceramente quando posso li evito e mi fa sorridere l’abuso sia del “latinorum”, sia l’eccessivo uso di tecnicismi mutuati dall’inglese. Per formarsi ovvio che occorra guardare oltre l’Italia, ma la lingua italiana è sufficientemente ricca per continuare a divertirsi utilizzandola con efficacia e gusto, anche nella materia della protezione dei dati personali, che non coincide perfettamente, ad esempio, con la “privacy”.
- Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Io credo che il Sistema Paese abbia bisogno di una “scossa informativa” su questi argomenti. Il termine “privacy” è conosciuto, ma spesso non nel suo significato pieno e anche la sua percezione è distorta da una politica annoiata e infastidita, perché deve fare i conti con un’Autorità Garante che “si impiccia” troppo nelle strategie legislative. Questa sensazione è pericolosa e ci allontana a livello di percezione dai pericoli del trattamento diffuso, incontrollato ed esasperato delle nostre esistenze digitali. L’unica salvezza dai pericoli mai così reali della digicrazia è una consapevolezza generalizzata su di essi.
- Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Io amo i fumetti e le favole. Dietro ogni fumetto, ogni film della Marvel, di Walt Disney o dello Studio Ghibli c’è tantissimo insegnamento. “Da un grande potere derivano grandi responsabilità!” di Stan Lee è la traduzione più efficace del principio di accountability. E dietro tutto questo c’è il potere del racconto. La “privacy” va raccontata, senza annoiare. E si può farlo.
- L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?
Ho la sensazione che l’ora più buia purtroppo debba ancora venire. Ne abbiamo avuto solo una piccola percezione con Cambridge Analytica. Ma non ci è bastato.
- L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?
E qui spero anche che quell’ora debba ancora arrivare. Io spero che ci sia una presa di coscienza collettiva che risvegli anche la Politica dal sonno profondo che la caratterizza su questi argomenti e dia forza alle diverse Authority. Confido insomma che si realizzi ciò che auspicava Giovanni Buttarelli: un’azione coordinata delle Authority di tutela dei consumatori, del mercato e della concorrenza e del trattamento dei dati personali per arginare lo strapotere degli OTT che si sta traducendo ogni giorno in invisibili abusi a nostro danno. Altrimenti il processo sarà inarrestabile e irreversibile.
- I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Io non voglio pensare che sia un male, se dietro c’è studio reale e passione per la materia e non la ricerca di “facili guadagni” (che poi, facili non sono). Dipende sempre da come si affronta la materia. Ovvio che se torneremo alla “svendita della privacy” come accaduto ai tempi del DPS (Documento Programmatico della Sicurezza), allora ciò non potrebbe che preoccuparmi…altrimenti ben vengano tanti appassionati alla materia. I problemi sono così tanti e variegati che il diritto dei dati ormai è IL diritto, come amo ripetere da tempo.
- I dati personali sono monete?
L’importante è che non siano bitcoin! A parte la pessima battuta, il rischio è soprattutto questo, di avere una percezione non completa e reale del problema. Occorre avere una piena consapevolezza del valore effettivo della nostra esistenza digitale, solo in questo caso si può pensare a una valutabilità economica dei nostri dati personali. Non è percorso per nulla ovvio.
- Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?
Nessuna delle due. Rifletto sul fatto che ancora in Italia non ci sia una effettiva e generalizzata (a livello sia pubblico e sia privato) “cultura della privacy” e purtroppo, nel nostro Paese, diciamocelo con schiettezza, c’è ancora bisogno delle sanzioni per “raddrizzare la situazione”.
- Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel tutto digitale?
Al momento, a mio avviso, continua a costituire un presidio di controllo, ma da tempo la normativa europea ha smesso di essere “consensocentrica”, quindi non credo che sia l’unico -e neppure il più forte- strumento di garanzia per gli interessati di un trattamento. Molto più importante è rendere effettivo ed efficace il principio della trasparenza informativa e completarlo con strumenti tecnici di gestione dei propri dati personali.
- Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
È possibile farlo con creatività. Non è facile, per nulla. Ma lo spirito del GDPR è proprio questo: passare da un approccio burocratico alla normativa, ad uno pragmatico e operativo. L’idea dell’Istituto Italiano Privacy di rendere i modelli di informativa sotto forma di fumetti va senz’altro in questa direzione ed è da prendere come esempio.
- Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Ci provo, è giusto farlo ovviamente. Ma non prendiamoci in giro, generalmente non sono predisposte per essere lette e andrebbero utilmente accoppiate a strumenti utili di controllo, come appunto i “cruscotti di controllo” dei propri dati che iniziano a diffondersi.
- DPO più top manager o più mini-garante?
A mio avviso, un bravo DPO deve riuscire a ricucire in sé stesso entrambe queste caratteristiche, ma anche a modellarsi a seconda della tipologia di titolare che ha davanti. Il ruolo, infatti, non può che cambiare a seconda delle caratteristiche, pubbliche o private, ma anche dimensionali del titolare che gli ha affidato l’incarico. Inevitabilmente per una grossa struttura aziendale, ad esempio, è più normale assumere da DPO un ruolo di controllo, di supervisione, quindi meno operativo e da “mini-garante”. In ogni caso, riferire che si è una sorta di “ufficio periferico del Garante” aiuta ad assumere un ruolo autorevole e indipendente, come richiesto dal GDPR.
- Un tuo consiglio di metodo a un giovane DPO.
Studiare e procedere con gradualità nell’assimilazione della materia e anche nell’affrontarla a livello operativo. Andare troppo in fretta non aiuta ed è utile non sentirsi mai “arrivati”. Anche perché lo studio deve essere costante, perché la normativa cambia, ma soprattutto cambia la realtà che ci circonda.
- L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Credo che l’Unione Europea stia facendo ciò che può, con tutti i limiti dettati dalla sua struttura giuridica. Sta di fatto che la normativa europea viene presa da esempio a livello internazionale. E questo è un fatto.
- Il GDPR è al passo con l’Intelligenza Artificiale e il metaverso?
Ovvio che il GDPR è fermo normativamente a una decina di anni fa e andava completato subito con il Regolamento e-privacy che ancora si attende. Sta di fatto che i suoi principi generali si possono adattare facilmente alle novità. Il problema è che i giuristi -e ancora di più gli operatori economici- si stanno pericolosamente disabituando all’interpretazione e chiedono/pretendono un legislatore tecnico, che si occupi di tutto e si intrufoli in ogni novità tecnologica. Questo favorisce ulteriore ipertrofia normativa che è uno dei mali del nostro tempo. In ogni caso le proposte di Regolamento UE sull’IA ripercorrono concetti cari al privacyista.
- Tra dieci anni: protezione dei dati o protezione degli effetti personali?
Tra dieci anni saremo ancora più intimamente digitali e speriamo che saremo protetti in ogni aspetto della nostra dimensione digitale, attraverso misure tecnologiche e organizzative adeguate.
- Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Direi che sono utili due volumi non giuridici: il sempre attuale e incredibilmente lungimirante “L’era dell’accesso” di Jeremy Rifkin (Mondadori, 2001) e “Il capitalismo della sorveglianza. Il futuro dell’umanità nell’era dei nuovi poteri” di Shoshana Zuboff (Luiss University Press, 2019). E poi anche il cinema fa bene a rendersi conto di ciò che sta accadendo. Ma questa è un’altra storia.