01 Giu “VITA DA PRIVACYISTA” PUNTATA 19 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

Posted at 07:52h in Articoli, homepage news by

“VITA DA PRIVACYISTA” – Diciannovesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…

  1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Rocco Panetta, avvocato e consulente è quel che faccio a tempo pieno, storico dell’arte, musicologo e viaggiatore gourmet, ciò che vorrei essere a tempo pieno.

  1. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Ci sono stati due momenti, uno iniziale intorno al 1994, quando conobbi, all’Università La Sapienza di Roma, il prof. Stefano Rodotà, a cui poi chiesi la tesi, con cui mi laureai e di cui divenni assistente alla cattedra di diritto civile. I miei studi erano volti alla responsabilità extracontrattuale, soprattutto a quella per il danno ambientale. Ma da Rodotà si studiavano i nuovi diritti legati all’emersione delle nuove tecnologie e quindi finii per occuparmi di bioetica e privacy. Più tardi, poi, nel 2001 feci ingresso in Autorità, al Garante per la protezione dei dati personali, dove rimasi fino al  2008 e da allora non ho più smesso.

  1. Cosa ti annoia della privacy/data protection?

Molte cose, quasi tutte in verità. Mi annoiano certi istituti cupi e certi riti burocratici ripetuti a pappagallo. Mi annoia la retorica del GDPR e la spocchia degli specialisti. Mi disturbano gli articoli recitati a memoria. Io ricordo a memoria solo l’art. 2043 del codice civile. Stop. Ma soprattutto trovo irritante e noiosa l’indifferenza e la sciatteria di chi non comprende o non vuole comprendere, nelle istituzioni, nelle aziende e nelle PA.

  1. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

Sono evitabilissimi. Ma fa parte del colore e non li condanno a priori. Certo trovo buffo che la gente continui a dire GDPR all’inglese, con la “ar” finale, quando invece può benissimo dire GDPR con la “erre” finale, anche in assenza di interlocuzione con stranieri.

  1. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

La privacy in sé non interessa a nessuno. Infastidisce. Fa a pugni con la trasparenza dell’azione amministrativa e con il giusto profitto del mondo privato. Funziona solo se trascende e diventa una parola sintetica evocatrice di altri concetti, di tutele patrimoniali e non patrimoniali che ci stanno più a cuore, come i dati bancari, fiscali o quelli sulla salute. Allora sì che la privacy torna utile. E poi no, non è per niente pop. Anche se l’azione dell’attuale Garante, un po’ come ai tempi di Rodotà, spinge per renderla più conosciuta e popolare.

  1. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

Questa domanda dovrei girarla a mia madre che ha insegnato per 40 anni alle elementari. Non è facile in teoria, ma in pratica i bimbi hanno chiaro e naturale il senso della protezione, del possesso, della tutela delle proprie cose, soprattutto di quelle materiali. Ecco, partirei da lì, senza eccedere sugli aspetti di protezione, ma toccando il tasto della responsabilizzazione, come si fa con i bimbi in ogni altro campo della loro esistenza.

  1. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

Sono tanti i momenti bui e le insidie per un diritto così effimero e delicato eppur così presente e pervasivo. Credo che la scoperta del vaso di Pandora o, meglio, del segreto di Pulcinella rappresentato dallo scandalo Cambridge Analytica, unitamente all’inerzia di alcune Autorità di controllo, abbia destato scandalo e preoccupazione tra chi conosce queste cose.

  1. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

Senza dubbio la svolta del GDPR, con la “erre” finale.

  1. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Un bene inevitabile da governare e guidare adeguatamente. Al momento non è ancora così.

  1. I dati personali sono monete?

No. Nella maniera più assoluta. Questo è un grave equivoco in cui piano piano rischiamo di cadere tutti, anche i più avveduti e prudenti. I dati personali sono indice di tante cose, ma come bene giuridico non possono essere in commercio, altrimenti cade l’assioma di base dato dagli art. 7 e 8 della Carta dei Diritti Fondamentali della UE, allegata al Trattato di Lisbona, la nostra Costituzione europea. Che i dati poi siano al centro della data economy è un dato di fatto e che la loro valorizzazione sia un gran bene anche. Ma valorizzazione non è monetizzazione. Monetizzazione significa pagare gli individui per avere i loro dati. Questo non va bene perché aprirebbe le porte a nuove ed aberranti forme di discriminazione basate sui dati personali e anche sulla disponibilità economica di ciascuno.

  1. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Non c’è mai da esultare o festeggiare in questi casi. Certo è altrettanto preoccupante l’assenza di sanzioni quando le violazioni sono sotto agli occhi di tutti, ed il rischio è quello della banalizzazione della pena e del diritto protetto. Ma la sanzione pecuniaria amministrativa o quella penale sono indice del fallimento della catena del valore, dal titolare del trattamento, al DPO, dall’autorità di controllo, ai legali, ecc.

  1. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

Non sempre. Ci sono casi in cui può funzionare bene e casi in cui, per il canale online utilizzato, per la natura dell’operazione di trattamento, per la velocità richiesta, altri strumenti potrebbero meglio essere utilizzati. Trovo poco utili le massimizzazioni iconoclaste che portano ad abusi del consenso, da un lato, e ad altrettanti pericolosi abusi del legittimo interesse dall’altro. Qui la differenza la fa l’avvocato dei dati, il DPO ed il privacy officer illuminato e d’esperienza.

  1. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

No. Non è possibile. E continuare ad imporre la descrizione di tutto è errato. Il nostro Garante sì è distinto sin dal 2000 con esempi di informative brevi e funzionanti, come quella per la videosorveglianza o quella per i radio taxi. E lì non c’era traccia dello stucchevole elenco dei diritti degli interessati. Io mi sono sempre ispirato a quei modelli e se qualcuno me ne dovesse rendere conto avrei la memoria lunga per elencare tutti i casi di informative brevi e brevissime che nel tempo sono state approvate dal Garante stesso.

  1. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

No. Ma leggo quel che mi chiedono a valle, nel box dei consensi. Da lì capisco chi ho di fronte e risalgo ad approfondire quel che mi serve. Venticinque anni di esperienza nel settore mi hanno dotato di una certa velocità ed intuito giuridico. Ma riconosco che non è così per tutti e quindi molti tendono ad accettare quel che è, pur di ottenere l’informazione richiesta o fare l’acquisto online desiderato.

  1. DPO più top manager o più mini-garante?

Mini garante è una cosa ridicola. Eppure sì, è stato detto. È anche una cosa offensiva per le aziende, per le PA obbligate a dotarsi di DPO e per i DPO stessi. Neanche si può pretendere che il DPO diventi un top manager sulla carta. È figura delicata che deve guadagnarsi fiducia, autorevolezza sul campo, all’interno e all’esterno dell’organizzazione. Gli ingredienti il GDPR li ha messi sul tavolo. Non tutti saranno all’altezza. Non sempre saremo in grado di esprimerci al meglio. Ma il riporto diretto ai vertici dell’azienda significa che, per rispondere in modalità black/white alla tua domanda, si è più un top manager, in fondo.

  1. Un tuo consiglio di metodo a un giovane DPO.

Studiare, dialogare, ascoltare e così si inizia a crescere. Fare rete con altri DPO ed esperti del settore, quelli veri. Saper discernere. Saper leggere un bilancio. Conoscere la tecnologia. Capire di marketing. Parlare e leggere inglese. Sorprendere l’interlocutore e diventare strategici e centrali, con misura e senza esagerare. La privacy è molte cose, ma non è tutto.

  1. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Falso come le statue di Modigliani rinvenute a Livorno nel 1984. Se non avessimo l’Unione Europea il mondo sarebbe peggiore ed il nostro lavoro non esisterebbe. Partiamo da qui per avere un doppio interesse, personale e collettivo a tutelare il nostro sistema di regole e mercato sopra ogni cosa.

  1. Il GDPR è al passo con l’Intelligenza Artificiale e il metaverso?

In parte sì. Principi, regole di base, perimetro di controllo è tutto già scritto. Certo, occorre capire cosa si voglia intendere per IA e metaverso. Se parliamo dei profili di responsabilità dell’IA, della legge applicabile e della giurisdizione del metaverso forse qualche problema di tenuta il GDPR la mostra.

  1. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Non ho mai amato la dizione protezione dei dati personali. Ma trovo quella degli effetti personali ancora più infelice. Mi fa ricordare l’essere umano nudo davanti alla morte con i suoi pochi effetti personali. Di certo la nozione di protezione dei dati deve sempre più comprendere anche i dati non personali. Ma il percorso è periglioso. I nuovi regolamenti europei vanno in quella direzione.

  1. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Per restare nel mondo dei diritti e delle tecnologie, sicuramente tutta la bibliografia di Stefano Rodotà. Più in generale amerei consigliare “Come ordinare una biblioteca” di Roberto Calasso, edito da Adelphi. È una questione di metodo e di priorità mentali.

Tags:
, , , ,