01 Apr “VITA DA PRIVACYISTA” puntata 10 – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
“VITA DA PRIVACYISTA” – Decima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…
- Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Enrico Pelino, avvocato appassionato di diritto alla protezione dei dati personali e del rapporto persona – potere nel contesto digitale. Desideri? Amo viaggiare e dipingere, il ruolo putativo è da qualche parte in queste attività.
- Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?
Fu in un centro di ricerca interdisciplinare, trovai estremo conforto nel diritto alla protezione dei dati personali da un punto di vista intellettuale, mi interessai al concetto di controllo e di influenza e all’idea di uno spazio individuale di libero pensiero. La passione nacque da lì.
- Cosa ti annoia della privacy/data protection?
Poco o niente. Mi annoia solo chi ne parla ripetendo frasi fatte o restando alla superficie delle cose. Ma la sciatteria c’è in tutti i campi.
- Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
In parte sono inevitabili. L’approccio deve essere pratico. Amo la lingua italiana, tuttavia un moderato e consapevole uso di anglicismi, dove davvero servono, dunque con parsimonia estrema e solo dove apportano un reale valore aggiunto, non mi pare sbagliato.
- Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Interessa pochissimo, anche perché si sono fatti minimi sforzi per far capire di che cosa davvero parliamo e tanti piuttosto per fraintenderlo. Per le persone la privacy ha senso quando la vedono applicata, quando si rendono conto che certe cose sono realmente affrontate e modificate, da lì misurano il peso nel mondo di questo diritto. Come avvocato mi sono sentito spesso commosso quando un cliente mi raccontava a parole che cosa significasse per lui la compressione della privacy. Bisogna sperimentarlo sulla pelle per coglierne davvero il senso e la portata.
- Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Ai bambini delle elementari direi che il succo di tutto è chiedere sempre agli estranei “Perché mi domandi questa cosa, perché lo vuoi sapere?”. E non solo agli estranei. Agli adolescenti direi invece che è il diritto a essere imperfetti. La frase non è mia ma la trovo perfetta.
- L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?
Adesso, in questo momento. L’introduzione del Green Pass segna l’ora più buia. E un sostanziale fallimento.
- L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?
Il GDPR. Con tutti i limiti possibili dello strumento, è stato uno sforzo ciclopico. Bisogna comprendere l’ambizione del progetto e la visione potentissima che c’è dietro. Poi è chiaro, è frutto di compromessi nella formulazione.
- I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Un bene. Non ho mai creduto nello sfruttamento di posizioni di nicchia ma nella libera competizione. Il livello non viene abbassato dal numero di consulenti ma da altre ragioni.
- I dati personali sono monete?
Assolutamente no, sono espressione di un diritto fondamentale e non monetizzabile. Questo non implica che non si debba restituire alle persone una parte di quanto si è guadagnato grazie a loro, sarebbe anzi etico, significa solo che non stiamo parlando di una vendita o di una cessione. È pericolosissima e scivolosa la sola idea della cessione. E sai perché? Perché ci saranno sempre poveri e ricchi e noi non vogliamo che i poveri siano anche poveri di diritti.
- Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?
Non leggo notizie di sanzioni dure. Basta confrontare fatturato e sanzione per rendersi conto di quanto siano modeste. Le cose vanno guardate in termini relativi, non assoluti. Mi spaventano semmai le sanzioni imposte ai piccoli. Comunque no, non gioisco delle sanzioni né mi preoccupo, quello che mi interessa è capire come ci si sia arrivati, quale sia il percorso logico, quali insegnamenti se ne possano trarre. Questa è veramente la parte utile: la lettura logica e ragionata dei precedenti, che è preziosa sia per programmare strategie di riduzione del rischio sia per difendere clienti.
- Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?
Sì, lo credo, ma non lo vedo come la principale base giuridica. Direi che da moltissimi anni nessuno lo veda come la principale base giuridica. Il consenso presuppone consapevolezza. Prendiamo il tema dei dark pattern. In ogni caso non lo eliminerei assolutamente dalle basi giuridiche, anche per considerazioni pratiche: in alcuni casi è l’unica disponibile.
- Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Scrivere una buona informativa è un’arte che si affina con gli anni. È la conciliazione di paradossi, come un koan.
- Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Sì, praticamente sempre. Vado ai punti chiave. Perdendo comunque parecchio tempo. Molte volte quello che leggo non mi piace, perciò rinuncio alla lettura dei siti o scarico app diverse.
- DPO più top manager o più mini-garante?
Top manager. Deve comunicare con l’azienda. Questo non significa che non debba essere indipendente e non garantire il rispetto delle regole. Ma devi comprendere come funziona il tuo cliente, quali siano gli obiettivi e quali le risorse. Occorre aiutarlo a disegnare la strada per arrivarci: questa è secondo me la prima qualità del DPO. Il DPO deve cioè essere un facilitatore e deve guardare all’obiettivo.
- Un tuo consiglio di metodo a un giovane DPO.
Studiare la primissima stagione dei provvedimenti del Garante e l’archivio delle opinioni e delle dichiarazioni dell’ex WP29. Naturalmente, è materiale da mettere in prospettiva, scartando quanto non più attuale, tuttavia è molto prezioso, perché le basi sono ancora lì. Poi consiglio di dedicare circa il 25% del tempo di lavoro settimanale all’aggiornamento, senza dimenticare di includere nel bacino a cui attingere l’ENISA e l’EDPS.
- L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
L’Unione europea è al momento l’unica cosa che ci tiene agganciati alla realtà e a un brandello di stato di diritto, teniamoci strettissima la nostra presenza nella UE.
- Il GDPR è al passo con l’Intelligenza Artificiale e il metaverso?
Per l’IA trovo opportuno un corpo di norme specifico, ossia la direzione che si è scelta. Stesse considerazioni possono farsi per il metaverso. Il GDPR è la base, tutto va costruito da lì e lì deve in ultima analisi tornare, tuttavia trovo logico e razionale che ambiti specifici vengano disciplinati con strumenti mirati.
- Tra dieci anni: protezione dei dati o protezione degli effetti personali?
L’evoluzione tra 10 anni la vedrei sui neurodiritti (già ci siamo in realtà) e sull’influenza e manipolazione della persona e del suo pensiero. Sono in verità temi molto più risalenti di quanto si creda, però stanno diventando maturi per ragionamenti sofisticati.
- Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Un libro che ho apprezzato molto, ancorché di diversi anni fa ormai, è “Weapons of Math Destruction” di Cathy O’Neil. Espone in maniera chiara e con esempi facili scenari distorsivi nell’elaborazione dei big data. Un altro testo che terrei presente è un grande classico, “Disobbedienza civile” di Henry David Thoreau. Considero l’autodeterminazione e la presa di coscienza una delle radici profonde della materia di cui ci occupiamo. Questa radice profonda può consentirci diversi livelli di lettura, andare al perché delle cose. Non mi hai chiesto di un film, ma ne approfitto lo stesso, per consigliare “Le vite degli altri” di Florian Henckel von Donnersmarck, perché tocca un tema centrale per chi si voglia occupare del rapporto persona – stato e del diritto alla protezione dei dati personali come baluardo di democrazia.