10 Mar “VITA DA PRIVACYISTA” puntata 7 – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
“VITA DA PRIVACYISTA” – Settima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperta di questa settimana è…
- Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Anna Cataleta, Avvocato e Senior Partner di P4i- Gruppo Digital360, Advisor presso l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano (MIP), Responsabile per la protezione dei dati per imprese private e pubbliche.
- Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?
Ho iniziato più di 20 anni fa in azienda, ereditando un tema che in molti consideravano forse limitante e troppo di nicchia; io invece ne ero attratta ed anzi mi candidai. Ritenevo fosse un campo in cui cimentarsi, diverso dagli schemi degli uffici legali delle aziende e al contempo innovativo rispetto agli scenari emergenti.
- Cosa ti annoia della privacy/data protection?
Mi annoiano gli slogan, gli urlatori del diritto e l’approssimazione dei messaggi che oggi vengono veicolati attraverso il web. Chi si occupa di questi temi dovrebbe farlo con umiltà e approfondita conoscenza; è uno scenario frutto di una strumentalizzazione eccessiva dei nuovi impianti normativi e di una iperproduzione di pronunce, linee guida, opinion ecc.
- Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Sull’uso degli anglicismi potremmo discutere per mesi, senza arrivare a una soluzione convincente per tutti. In alcuni casi, sono una semplificazione, ad esempio DPO è molto più chiaro del corrispettivo italiano RPD; in altri casi, evitano fraintendimenti. Ad esempio, le Standard Contractual Clauses sono una cosa ben definita mentre, quando parlo di clausole contrattuali tipo, alcuni clienti fanno fatica a seguirmi e pensano alle condizioni generali di contratto. C’è però il rischio di rinchiudersi negli anglicismi e rendere il linguaggio troppo tecnico e ostico per i non addetti ai lavori. Un po’ come il latinorum di un tempo che creava una separazione tra il professionista, detentore della conoscenza, e il cliente che si rivolgeva per avere supporto. Il Regolamento si basa sull’informazione, sulla chiarezza e sulla trasparenza, e questi principi non possono non passare dalla scelta di un codice linguistico comune con il proprio interlocutore. A mio avviso, infatti, bisogna regolare il registro sulla base dell’interlocutore. Probabilmente, dei tecnici informatici riescono a seguire meglio gli anglicismi, mentre per altri interlocutori è necessario fare uno sforzo in più e tradurre concetti giuridici in termini più quotidiani senza necessariamente dover arrivare agli estremi di altri Paesi come la Francia o la Spagna.
- Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Ciò che sta a cuore alle persone sono le conseguenze sulla vita personale che derivano dal trattamento dei dati personali. Se devo ricevere qualche e-mail in cambio di un servizio gratuito, probabilmente sono disposto ad accettare lo scambio. Se la mia attività viene monitorata per indicarmi prodotti che mi interessano, potrei preferirlo rispetto a ricevere pubblicità di prodotti che non mi servono o che non sono interessanti per me. Però, se quel monitoraggio finisce per discriminarmi e mi impedisce di avere un finanziamento o, al contrario, mi rinchiude in un’altra bolla che mi preclude l’accesso a un lavoro in linea con le mie competenze solo perché un algoritmo ha deciso che le donne sono meno performanti in quel settore (magari confrontando i dati relativi alle assunzioni degli anni precedenti e le velocità di carriera), allora le conseguenze interessano le persone.
- Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Ormai i bambini delle elementari sono nativi digitali e hanno sempre uno smartphone in mano, quindi partirei proprio delle app che usano di più per spiegare il concetto di dati personali. Una volta compreso questo concetto con esempi pratici, la strada è in discesa ed è il primo passo per sviluppare una “sensibilità alla privacy”. Detto questo, direi ai bambini anche di fare molte domande ai propri genitori in tema di privacy: infatti, i genitori sono il primo “scudo per la privacy” dei bambini. Dopotutto gli adulti possono rispondere alle domande dei figli, dopo aver consultato le utili infografiche elaborate dal Garante privacy e disponibili sul sito web (comprensibili anche senza conoscenze giuridiche).
- L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?
L’ora più buia per la privacy negli ultimi 10 anni è rappresentata dalla pandemia. La pandemia ha dimostrato come il diritto alla protezione dei dati personali non sia ancora riconosciuto alla stregua degli altri diritti, e anche dalle istituzioni. La privacy deve essere considerato un diritto fondamentale che non costituisce un ostacolo bensì una condizione necessaria per affacciarci alle nuove sfide in modo consapevole. In questo scenario, ancora in corso, i molteplici interventi legislativi, spesso poco chiari (come dimostrato anche dalla necessità di ricorrere alle FAQ del Governo), comportano un pericolo nella corretta applicazione delle norme e nella conseguente implementazione di misure “fai da te” non richieste. L’adozione di interpretazioni personali sulle disposizioni normative, soprattutto da parte di soggetti non tecnici del settore, nonché difformi allo scopo ultimo perseguito dal legislatore dà vita a percorsi difficili da scardinare nel lungo periodo e che potrebbero intaccare il tessuto della coesione sociale fino ad un punto di “non ritorno”. Tra i percorsi difficili da scardinare e che preoccupano si inserisce anche l’emersione del c.d. capitalismo della sorveglianza, con il monitoraggio sistematico dei comportamenti degli utenti da parte degli Over The Top e delle piattaforme. Un’altra ora buia è stata, infatti, rappresentata dalla vicenda di Cambridge Analytica che ha dimostrato come gli algoritmi, pensati originariamente per il marketing, potessero essere strumentalizzati a fini di propaganda politica e di disinformazione. È emerso il reale potere del profiling in un campo particolarmente delicato quale è quello delle opinioni politiche degli interessati.
- L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?
Ad oggi, senza dubbio, l’entrata in vigore del GDPR ha segnato l’era del controllo sui dati personali da parte dei cittadini. L’innovazione normativa del GDPR è stata oggetto di spunto per molti Stati, si pensi, ad esempio, al Californian Consumer Privacy Act (CCPA) in California, al Protection of Personal Information Act (POPI Act) in Sud-Africa e, ancora, al Lei Geral de Proteção de Dados (LGPD) in Brasile.
- I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Un bene se l’approccio alla materia è frutto di dedizione, studio e passione. Ciò che preoccupa invece è, da un lato, quando la “passione” viene tramutata in speculazione con un approccio superficiale alla materia e volta solo per ottenere maggiori incarichi alias guadagni. Dall’altro, vi è la presenza di professionisti che sviliscono la professione e, con il solo fine di accattivare nuovi contratti, “correndo al ribasso”. È giusto, a mio avviso, che un vero professionista valorizzi la propria capacità e il proprio valore dopo anni di studio ed esperienza… se ciò non si verifica evidentemente non possiamo parlare di un professionista con anni di esperienza.
- I dati personali sono monete?
A livello europeo abbiamo diversi interventi che riconoscono espressamente che i dati personali possono essere utilizzati come controprestazione per servizi e prodotti digitali. Si pensi alla Direttiva (UE) 2019/770 e al Digital Service Act. Lo stesso GDPR, nel considerando n. 4, dispone che il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va contemperato con gli altri diritti, in ossequio al principio di proporzionalità. Inoltre, se pensiamo che le prime basi giuridiche che legittimano il trattamento sono il consenso e il contratto, possiamo capire quale sia la rilevanza che l’autonomia personale e negoziale riveste per il legislatore europeo. Il trattamento dei dati personali è rimesso alla libera determinazione dell’interessato, che può disporne, e, pertanto, può consentire al trattamento per avere accesso a un servizio. Sul punto il Digital Services Act fa un passo in più prevedendo che, proprio perché il consenso deve essere libero, laddove vi sia un servizio la cui remunerazione si basi sullo sfruttamento dei dati e sulla profilazione, deve essere possibile per l’interessato rifiutare la profilazione o il trattamento dei dati sottostante e accedere al servizio riconoscendo un equo compenso al gestore del servizio (ad esempio, un abbonamento, una fee, ecc.). Tale previsione si apre a discussioni su inevitabili aspetti etici che porteranno a monetizzare i dati chi non vuole o non può pagare in altro modo il servizio e, nell’ambito delle piattaforme, può avere impatti di esclusione sociale su cui riflettere.
- Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?
Nessuna delle due. In realtà penso che sia un’occasione da cogliere per valutare le interpretazioni dei Garanti europei su casi pratici. In secondo luogo, ritengo che le sanzioni che vengono comminate, soprattutto a grandi players nel mercato, siano un importante segnale di sensibilità delle Autorità a determinati temi.
- Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?
Si, ma ciò su cui bisogna porre l’attenzione sono le modalità con cui viene prestato il consenso, per dimostrare che si tratta di un gesto inequivocabile. Come ribadito da ultimo dal Garante stesso, l’assenza di consapevolezza da parte dell’interessato comporta la perdita del controllo sui propri dati personali. La normativa sulla protezione dei dati personali non è un ostacolo al processo di digitalizzazione del Paese ma si adatta perfettamente al mondo digitale rendendo consapevole l’utente.
- Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
In parte, l’informativa è un tema davvero complesso nella sua apparente semplicità. Si tratta del momento più importante nei confronti dell’interessato che può farsi un’idea di come verranno usati i suoi dati personali, quindi è necessario indicare più informazioni possibili. Si dovrebbe tuttavia pensare a informative sintetiche nei contenuti ma complete, con il rimando a documenti più ampi, così come accade per esempio per i cookie (banner e informativa estesa). L’unica strada implica uno sforzo nel limitare il contenuto alle informazioni principali sulle finalità. Inoltre, è necessario lavorare sulle modalità di rilascio agli interessati. Per esempio, vedo spesso informative online che sono in formato pdf (addirittura da scaricare in locale sul PC), pratica poco in linea con il progresso tecnologico e con il principio di trasparenza.
- Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Sì, più che altro per deformazione professionale. In realtà è molto importante prestare attenzione alle informative, il problema è che spesso si tratta documenti prolissi e alcune volte particolarmente arzigogolati (vi sfido a non perdervi nella privacy policy di Google).
- DPO più top manager o più mini-garante?
A mio avviso un mini-garante. Il top manager che assume il ruolo di DPO rischia di non possedere quel livello di preparazione tecnico-giuridica necessaria per ricoprire tale carica. Il ruolo del DPO visto come un top manager potrebbe legittimare la prassi che vediamo – in realtà non sempre e solo piccole – di un DPO con molteplici competenze ma poco esperto in materia di data protection.
- Un tuo consiglio di metodo a un giovane DPO.
Studiare, approfondire, rimanere sempre al passo con l’evoluzione normativa, mettersi in continua discussione. La cosa che non bisogna scordare è che non si finisce mai di imparare. Un giovane ha dalla sua parte la flessibilità, i giovani sono come delle spugne possono apprendere ma per farlo devono porsi delle domande e guardare il futuro con curiosità.
- L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Le regole introdotte vogliono tutelare i diritti degli interessati rimanendo tecnologicamente neutrali. Casi come la gestione dell’emergenza sanitaria hanno dimostrato il ruolo di presidio dei diritti dell’uomo rappresentato dalle norme in materia di protezione dei dati personali e, di conseguenza, la centralità dell’uomo deve essere il conducente dei sistemi e non il suo ingranaggio.
- Il GDPR è al passo con l’Intelligenza Artificiale e il metaverso?
Il GDPR ha l’ambizione di essere un regolamento tecnologicamente neutrale e sicuramente i suoi principi sono applicabili a tutti gli universi che comportano il trattamento dei dati personali, incluso il metaverso. L’approccio basato sul rischio che permea il Regolamento sull’Intelligenza Artificiale deriva dal GDPR e naturalmente lo estende a tutti gli ambiti, anche quelli che non trattano dati personali. Il futuro popolato dall’Intelligenza Artificiale, infatti, si troverà ad elaborare enormi quantità di dati che hanno impatti potenziali sulle vite delle persone – ma che non sono solo dati personali – e la gestione di quei sistemi richiederà di valutare il rischio e salvaguardare la posizione umano-centrica, o umanista, che è alla base della cultura giuridica europea.
- Tra dieci anni: protezione dei dati o protezione degli effetti personali?
Le previsioni sono estremamente difficili da fare e il mondo è soggetto a capovolgimenti talmente repentini che, da qui a dieci anni, può accadere di tutto, come il 2020 ci ha insegnato. Ad ogni modo, le linee di tendenza ci dicono che la tutela dei dati continuerà ad essere un argomento rilevante per il prossimo periodo e sarà importante capire come ritagliare spazi di autodeterminazione e di disconnessione in un mondo sempre più connesso. Gli effetti personali, acquistati nel metaverso, avranno una tutela? La domanda non è recente e in modo iconico è stata affrontata anche nel 2011 in una puntata di The Big Bang Theory. Sheldon, uno dei protagonisti della serie, si era visto derubato degli averi virtuali da parte di un hacker che aveva violato il suo account di un gioco online. Ora, nelle serie tv le cose finiscono sempre bene e in modo avventuroso, ma il tema giuridico sottostante rimane. Una questione simile compare anche nel film Avengers the Age of Ultron, che già nel 2015 poneva tutte le questioni etiche sull’intelligenza artificiale che sono alla base del Regolamento europeo. In quel film, Ultron infetta il sistema di intelligenza artificiale, che noi definiremmo impropriamente di domotica, di Tony Stark, che improvvisamente si trova nell’impossibilità di governare la propria casa e la propria armatura da Iron Man. Proteggere gli effetti personali, in un mondo pieno di IoT, potrebbe diventare importante tanto quanto proteggere i dati personali.
- Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Posso dire che, ai colleghi e collaboratori, ho già consigliato “L’Arte della Privacy” e so che seguiranno il mio consiglio. Un altro libro che consiglio e che mi sta divertendo molto è stato scritto da una giovane giurista tecnologica che lavora nel mio team. Il libro, dal titolo “L’Italia efficiente”, è stato scritto tempo fa ma ricalca alcuni scenari di oggi. Non leggevo da tempo un romanzo che sicuramente mi appassiona e la cui protagonista femminile, programmatrice ed esperta di sicurezza informatica nonché attivista del partito ecologista, si muove in un contesto politico che, dopo una profonda crisi, ha spazzato i partiti presenti sulla scena politica (è evidente che la scrittrice ha doti di veggente!!!) e che narra di intrighi e malgoverno. Un bel romanzo scritto da una giovane dei nostri tempi e sempre per rimanere in tema!