22 Apr “VITA DA PRIVACYISTA” puntata 13 – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
“VITA DA PRIVACYISTA” – Tredicesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…
- Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Giangiacomo Olivi, Partner e Europe Co-Head Intellectual Property and Technology e Europe Co-Head of Data Privacy and Security, Dentons. Ruolo putativo: Sindaco di un paese in campagna o Presidente della Repubblica (o mi sto allargando troppo?).
- Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?
Iniziai agli albori, nella fine degli anni ’90. Tutto iniziò con una richiesta di aiuto nel corso di un’istruttoria della Guardia di Finanza…
- Cosa ti annoia della privacy/data protection?
Inutile girarci intorno: molte attività sono ripetitive, problematica che affligge in generale tutto l’ambito regolamentare. Ma la ripetitività viene più che lautamente compensata dalla dinamicità di questo settore: penso sia quello dove si registra la produzione normativa (inclusa la soft law) più veloce, di fatto ogni giorno c’è una novità con la quale misurarsi e questa continua sfida è davvero stimolante.
- Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Definirei gli anglicismi come una comodità. La lingua inglese è molto più efficiente di quella italiana nel rendere concetti complessi con la metà delle parole, pensiamo semplicemente al termine “accountability”: questa parola racchiude in sé sia la “responsabilizzazione” che la “rendicontazione”.
- Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
La privacy sta sicuramente a cuore della gente, e con “gente” intendo anche le imprese. Il problema della privacy è che è, ormai e sempre di più, sovra-regolamentata. Se si considera che una compliance totale, nel momento attuale, può comportare anche la cessazione di vaste attività di trattamento – il riferimento è ovviamente ai trasferimenti di dati verso Paesi terzi -, è facile capire dove penda l’ago della bilancia tra il sostenere subito il costo (certo) della compliance, o sostenere in un futuro non definito il prezzo (incerto) di una sanzione.
- Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Con degli esempi calati nella realtà che conoscono e frequentano. Credo possa essere efficace mostrare loro quanto sia difficile cancellare davvero una foto pubblicata sul loro profilo di Facebook mantenuto aperto a tutti gli amici.
- L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?
La sentenza Schrems II.
- L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?
Il momento in cui la problematica dei trasferimenti di dati all’estero troverà una soluzione definitiva, e agevole da mettere in pratica.
- I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
È un dibattito simile a quello relativo al numero degli avvocati. In tanti dicono che siamo in troppi: ma se lo siamo, o meno, lo dirà il mercato. Ciò detto, come per tutto il resto, dipende sempre dalla motivazione. Se ci si avvicina alla privacy per moda, o solo per aggiungere un’altra esperienza al curriculum, è sicuramente un male; se lo si fa per passione, è un gran bene.
- I dati personali sono monete?
Assolutamente sì. Lo saranno sempre di più e, nella misura in cui gli interessati ne sono consapevoli (e sono adottate misure adeguate a tutela dei dati stessi), non vedo il motivo per frenare questo trend.
- Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?
Se penso a tutte le volte che mi sono sentito dire “ma come avvocato, X e Y fanno così da un secolo, perché solo io non posso?”, potrei anche esultare; ma vedo ogni sanzione come un fallimento della normativa e del legislatore che l’ha emanata: se la sanzione si è resa necessaria, significa che la norma è stata violata; e se la norma è stata violata, significa che c’è una qualche convenienza – o talvolta addirittura un’oggettiva difficoltà – nel non rispettarla. Preferisco sempre aver a che fare con Autorità che considerano la sanzione quale – davvero – ultima spiaggia.
- Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?
Nel mondo digitale difficilmente si può parlare davvero di “consenso preventivo dell’interessato”. Basta pensare ai banner cookie: quanti interessati leggono davvero almeno i banner e fanno davvero una scelta consapevole, e non si lasciano semplicemente guidare dalla voglia di arrivare, finalmente, a leggere il contenuto a cui vogliono accedere?
- Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Assolutamente no. Basta guardare all’articolo 13 del GDPR: è forse una norma breve, o sintetica? E si limita a fornire l’indicazione degli elementi che devono essere contenuti in un’informativa, senza descriverli – cosa che invece un’informativa ben fatta deve fare.
- Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Sì, o meglio, quasi sempre: mi diverte vedere quanti banner cookie hanno ancora i consensi pre-flaggati, o quanti consensi vengono ancora richiesti per trattamenti necessari per eseguire un contratto.
- DPO più top manager o più mini-garante?
Più mini-garante, anche se ho sempre interpretato il ruolo del DPO come quello di un “Grillo Parlante” che affianca il business fornendo buoni consigli quando servono, vigilando affinché non vengano prese decisioni azzardate ma senza avere poteri di intervento. Credo che la mancanza di poteri di intervento sia una grande occasione persa: il DPO avrebbe davvero potuto essere un mini-garante interno, ma avendo un ruolo meramente consultivo difficilmente potrà davvero ricoprire questo ruolo.
- Un tuo consiglio di metodo a un giovane DPO.
Non farsi mai influenzare dal management. Per i giovani può essere ancora più difficile esprimere la propria opinione, soprattutto quando magari non è coerente con le aspettative del business: ma il DPO è e deve essere un mini-garante, per il supporto strategico/risk-based ci sono i consulenti legali. Ciò detto, mai sentirsi arrivati: soprattutto nell’ambito privacy, c’è sempre da imparare.
- L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Aiuto! Qualsiasi risposta può essere male interpretata. In realtà, né l’uno né l’altro. Le regole per governare lo sviluppo tecnologico possono anche porre rimedio ad evidenti squilibri geopolitici e di mercato.
- Il GDPR è al passo con l’Intelligenza Artificiale e il metaverso?
“Lo scopriremo solo vivendo”. In realtà è molto meno al passo rispetto ad altre tecnologie, che per natura potrebbero essere incompatibili rispetto ad alcuni diritti in ambito privacy (vedasi il diritto alla cancellazione e una blockchain pubblica).
- Tra dieci anni: protezione dei dati o protezione degli effetti personali?
Entrambe. Sono due concetti collegati: i dati sono effetti personali, quindi gli effetti personali comprendono i dati e proteggendo gli effetti personali, si proteggono anche i dati e viceversa.
- Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Ci dobbiamo aggiornare continuamente, ma ai colleghi consiglierei anche un buon romanzo o un libro giallo: per essere creativi è necessario spaziare anche al di fuori del nostro ambito.