“VITA DA PRIVACYISTA” PUNTATA 18 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

“VITA DA PRIVACYISTA” – Diciottesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…

  1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Pierluigi Perri, professore universitario di “Sicurezza informatica, privacy e protezione dei dati sensibili” e DPO dell’Università degli Studi di Milano.

  1. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Me ne iniziai ad occupare durante la stesura della tesi di dottorato, che ebbe ad oggetto la sicurezza dei dati e quello che era allora il DPR 318/99. Da quel momento, la materia della protezione dei dati personali e della sicurezza informatica ha caratterizzato tutta la mia attività professionale, di ricerca e di insegnamento. La cosa preoccupante è che ancora mi piace! 🙂

  1. Cosa ti annoia della privacy/data protection?

Il fatto che la tutela di un diritto fondamentale venga affrontata sempre in maniera burocratica, perdendo di vista i diritti che sono il vero oggetto di tutela della legge. Questo approccio formale, la cosiddetta “privacy di carta”, è sempre stato la causa per cui ancora oggi, nonostante tutto quello che viene quotidianamente riportato dalla stampa, la privacy viene vista come un ostacolo all’attività d’impresa, come qualcosa che di fatto non funziona, o comunque come un qualcosa che, se si può evitare, è meglio.

  1. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

Secondo me gli anglicismi sono inevitabili nella misura in cui consentono di rappresentare concetti condivisi a livello internazionale. Pensa ad “accountability” ad esempio. Ma l’inglese serve anche per poter fruire di tutta la soft law che caratterizza la materia. Bisogna, infatti, uscire da una dimensione nazionale per abbracciare una dimensione quantomeno europea del diritto alla riservatezza. L’inglese rappresenta oggi lo standard per la comunicazione trasversale tra diversi Paesi, nonostante la Brexit. Una volta assolta la  funzione comunicativa mediante termini “tecnici”, tuttavia, ritengo che si debba tornare alla propria lingua originaria che, soprattutto nel caso della lingua italiana, è meravigliosa.

  1. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

Se ci pensi, già nel lontano 1973 nel suo volume “Elaboratori elettronici e controllo sociale” il prof. Stefano Rodotà, con la sua solita lungimiranza, prediceva la “fine della privacy”. Tale disinteresse era frutto della combinazione dei nuovi strumenti informatici uniti alla lettura comunque progressista che noi tendiamo a dare alla tecnologia, per cui la privacy è stata spesso vista solo come un ostacolo sia dai produttori sia dagli utenti. Adesso, invece, credo che siamo in un momento storico diverso. Alcune grandi aziende tecnologiche hanno deciso di utilizzare il richiamo alla privacy proprio come comunicazione commerciale e di integrare, nel design dei loro prodotti, specifiche accortezze a protezione dei dati. Se c’è questa offerta, mi viene da pensare che ci sarà anche una domanda.

  1. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

Non la spiego ai bambini, perché forse gli toglierei una delle fasi più belle della vita, ma la spiego ai genitori e agli insegnanti, che devono avere un ruolo di indirizzo nell’utilizzo della tecnologia. Tutti i libri sulla genitorialità, infatti, concordano nel dire che il ruolo del genitore non è delegabile, né alla tecnologia né a terzi. Nell’ambito di questo ruolo, rientra anche il far godere ai propri figli le opportunità che la tecnologia offre, evitando che si possano fare del male.

  1. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

Te ne dico due perché non riesco a scegliere. Credo che il caso Snowden e quello Cambridge Analytica siano stati i due episodi più “tragici” della privacy degli ultimi anni. Al di là delle considerazioni in punto di diritto, infatti, hanno dimostrato la vulnerabilità del potere esecutivo e degli utenti, che sono ben disposti in presenza di determinate circostanze a rinunciare alla loro privacy senza porsi alcun problema.

  1. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

La sudata applicazione del GDPR, che ha consentito all’Europa di proporsi come global standard per la normativa a protezione dei dati (il famoso Brussels Effect).

  1. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Se sono preparati è sempre un bene, perché la materia genererà sempre più bisogno di assistenza qualificata.

  1. I dati personali sono monete?

Credo che i dati personali siano e restino solo informazioni. Il valore che andiamo o andremo a dare a determinate informazioni è una sovrastruttura. Non a caso, le aziende stanno studiando forme di sfruttamento economico anche di dati non personali, il che significa che è nell’uso e non nella natura del dato che risiede il suo valore.

  1. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Diciamo che mi incuriosisco. Vorrei sapere in concreto quante delle sanzioni “monstre” irrogate dalle Autorità di controllo vengono effettivamente corrisposte e quante vengono invece impugnate davanti al giudice e poi, in caso di impugnazione, qual è la loro sorte. Recentemente, l’EDPB ha anche rilasciato delle Linee guida sul computo delle sanzioni amministrative. Ritengo questo colmi un vuoto da sempre evidenziato dagli studiosi di protezione dei dati.

  1. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

Credo che sia ancora una buona idea, nella misura in cui si adegui alle nuove forme di interazione che sono sempre più machine-to-machine. Pretendere che, con la velocità dei processi digitali, l’uomo sia ancora lì a leggere e approvare ogni singolo aspetto relativo alla tutela dei dati mi sembra un approccio non più al passo con i tempi.

  1. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Il mio Maestro mi diceva sempre “non confondere semplificare con banalizzare”, e in effetti mi mostrava come concetti semplici illustrati in poche righe potessero avere lo stesso potere informativo di pagine e pagine di testo. Certamente non è semplice, ma vedo una grande creatività in giro – soprattutto grazie all’impulso dato dal Garante – per cui secondo me, se non “è”, sicuramente “sarà” possibile.

  1. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Onestamente le informative non sempre, mentre soprattutto negli ultimi tempi dedico un’attenzione particolare alle cookie policy. Sarà perché percepisco maggiori insidie?

  1. DPO più top manager o più mini-garante?

Entrambi: mini-garante per il titolare e top manager per sé stesso. Strutturare bene un’attività da DPO non è semplice e richiede organizzazione e spirito d’iniziativa.

  1. Un tuo consiglio di metodo a un giovane DPO.

Farsi una buona formazione di base e iniziare da cose semplici, ma non avere mai paura di “sporcarsi le mani”. La professione di DPO richiede necessariamente una fase di learning by doing. Ecco…vedi gli anglicismi? 🙂

  1. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

È vero che fa troppe regole, ma sono lo spaccato del momento storico che stiamo vivendo. Abbiamo abbracciato una strada che ci fa porre delle domande prima di innovare. Personalmente, questo approccio non mi dispiace e mi sembra più aderente ai nostri valori fondamentali. Citando Manzoni, “non sempre ciò che vien dopo è progresso”.

  1. Il GDPR è al passo con l’Intelligenza Artificiale e il metaverso?

So di essere controtendenza rispetto a tanti studiosi, ma secondo me sì. L’approccio by design e by default, il principio di accountability e la valutazione d’impatto sono strumenti perfettamente applicabili sia all’Intelligenza Artificiale sia al metaverso. Del resto, la durata delle procedure legislative renderebbe inefficiente un processo volto a regolamentare ogni singolo fenomeno tecnologico, per quanto rivoluzionario. Per questo la materia è costellata da interventi di soft law.

  1. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Se c’è una cosa che mi ha insegnato l’attività di ricerca in questo campo, è che nessuno sa cosa accadrà tra dieci anni 🙂

  1. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Sono di natura un lettore di classici della letteratura, nonostante ogni anno vengano pubblicati libri molto interessanti sul tema. L’ultimo che ho acquistato, ad esempio, è Why Privacy Matters di Neil Richards. Se dovessi consigliare un libro, tuttavia, andrei su un classico che è Privacy and Freedom di Alan Westin.

.