04 Ago “VITA DA PRIVACYISTA” PUNTATA 28 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

Posted at 09:26h in Articoli, homepage news by

“VITA DA PRIVACYISTA” – Ventottesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…

  1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Eugenio Prosperetti, avvocato che da oltre 20 anni si occupa prevalentemente di information technology. Sono titolare in LUISS degli insegnamenti di Algorithm and Data Management Law a Giurisprudenza – che è l’informatica giuridica progredita, focalizzata su algoritmi e regole della gestione dati personali e non –  e Cyberbusiness Law, che è diritto commerciale con profili di informatica giuridica e viene insegnato nell’ambito dei corsi di laurea in Impresa e Management. Come desideri, mi piacerebbe avere più tempo per l’Università, per gli studi accademici e per scrivere.

  1. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Sin dal 1998, quando sono entrato nel primo studio dove ho lavorato, ho avuto la fortuna di trovare un team di colleghi molto competenti e già fortemente orientati al diritto delle nuove tecnologie, all’epoca, in particolare, alle telecomunicazioni. Già allora si iniziava a parlare di alcuni aspetti di privacy. La necessità di approfondirli è cresciuta esponenzialmente, sino, ovviamente, all’avvento del GDPR. Ulteriore stimolo è venuto da esperienze istituzionali che ho svolto negli anni come parte dello staff del Ministro delle Comunicazioni, lavorando – tra le altre cose -all’attuazione del Trattato di Budapest e sulla normativa relativa alla data retention, e sui tavoli governativi che hanno concepito e redatto la prima regolamentazione del sistema SPID e la conseguente riforma del CAD, poiché il tema dell’identità digitale implica, necessariamente la considerazione degli aspetti di tutela del dato personale.

  1. Cosa ti annoia della privacy/data protection?

Mi annoia avere a che fare con tecnici, colleghi o controparti che pretendono di imporre procedure e documenti relativi alla protezione dei dati, senza minimamente considerare il contesto in cui essi devono essere applicati, ad esempio enumerando regole e standard di verifica del codice software sviluppato, in contesti in cui non è previsto che l’altro contraente scriva nemmeno una riga di software. Spesso la data protection è prigioniera di standard applicati meccanicamente e senza discernimento.

  1. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

Si, ma vanno sempre utilizzati cum grano salis, le alternative a volte esistono e poi GDPR si può pronunciare anche utilizzando la pronuncia italiana dell’acronimo!

  1. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

A volte la privacy è prigioniera di sé stessa. La gente la identifica con crocette e informative e non coglie quale sia il bene tutelato, se si spiega se ne interessa e muta atteggiamento. Questo deve far riflettere ed ha forse a che fare con quello che dicevo prima sull’applicazione acritica di procedure, anche eccessive e fuori contesto. La burocrazia della privacy non è affatto “pop”, tutelare i nostri dati da pericolosi abusi lo è, eccome!

  1. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

Mi è capitato di farlo! Portai in classe le foto dei server di un grande motore di ricerca. Chiesi ai bambini, secondo voi, quando usate un sito Internet o una app, dove vanno tutte le cose che scrivete? Le risposte furono le più varie, inclusa “Internet vuol dire Google”… a quel punto, proiettai le foto e li feci ragionare sul fatto che stavano parlando con dei grandi computer e c’era bisogno di regole, che impedissero che qualcuno guardasse tutto quel che scrivevano e che rimanesse in questi computer a tempo indefinito.

  1. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

Probabilmente dico qualcosa che alcuni non condivideranno, ma ritengo che l’incapacità di fornire una soluzione chiara al tema posto dal caso Schrems II, relativamente ai trasferimenti di dati con gli USA, abbia indebolito il sistema del GDPR; occorre lavorare ancora su soluzioni che consentano di fornire certezza operativa, che vada oltre il solo ricorso all’accountability.

  1. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

Credo debba ancora venire. La sfida che attende le Autorità di Controllo è quella dell’uso dei dati personali nelle decisioni algoritmiche, e su quel fronte penso che ci potranno essere decisioni che fanno la differenza.

  1. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

È un bene se sono bravi e hanno solida formazione… ma spesso si incontra molta improvvisazione e poca esperienza.

  1. I dati personali sono monete?

Non sono monete, ma è innegabile che vengono utilizzati come tali. L’importante è che vi sia una chiara consapevolezza. Ho spesso spiegato ad amici e conoscenti che servizi gratuiti vengono “pagati” con i dati, e si sono mostrati sorpresi. Domandiamoci se sia necessario inserire qualche avvertenza specifica di tipo consumeristico, esterna all’informativa.

  1. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Mi preoccupo quando leggo di dure sanzioni a imprese medio-piccole, che non hanno le spalle larghe come le multinazionali. Ho il massimo rispetto per l’azione del Garante, ma, alle volte, una sanzione può mettere in ginocchio un’impresa e costringerla alla chiusura. Mi domando se questo contribuisca alla tutela dei dati personali, più di una sanzione minore accompagnata – come avviene in antitrust – alla possibilità di presentare impegni correttivi, la cui inosservanza verrebbe sanzionata (questa si, con sanzioni elevate).

  1. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

A mio avviso, il problema risiede nella poca chiarezza e standardizzazione delle informative. Se l’informativa è chiara, il consenso preventivo funziona. È però vero che alcuni requisiti di consenso granulare (un consenso per ogni trattamento) portano certi servizi a dover chiedere venti consensi diversi, qui una soluzione va trovata perché l’utente, infastidito, abbandona.

  1. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Gli utenti sono anestetizzati, molti non leggono più le informative (o non le hanno mai lette) e rilasciano il consenso acriticamente, salvo poi lamentarsi a posteriori. Occorre trovare sistemi per rendere i contenuti delle informative più riconoscibili e le richieste di consenso devono anche avere schemi o simbologie standard. L’esperienza delle informative relative alle condizioni delle polizze assicurative potrebbe essere, a mio avviso, uno schema da studiare.

  1. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Su quelle che non conosco, in genere le leggo. Devo però dire che la necessità di accettare le cookie policy e l’eccessiva variabilità degli schemi di accettazione hanno reso molti siti fissi e mobili quasi inutilizzabili e, soprattutto, hanno creato moltissimi problemi alle persone avanti negli anni, che non capiscono bene cosa devono fare di fronte al cookie wall. A mio avviso, un passo indietro andrebbe fatto.

  1. DPO più top manager o più mini-garante?

Dipende dal “mood” aziendale e dal carattere del DPO. Io preferisco la prima.

  1. Un tuo consiglio di metodo a un giovane DPO.

Di chiarire bene l’ambito e le specificità del suo ruolo. Il rischio di essere scambiato per il consulente privacy e di essere chiamato ad attività improprie esiste.

  1. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Falso che freni l’innovazione, a cui sta dando un grande sprone. È  però vero che sono troppe e, direi, troppo dettagliate. Un margine di adattamento nazionale della regola è importante ed è eccessivo il ricorso al Regolamento invece che alla Direttiva.

  1. Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?

È un passo nella giusta direzione, ma occorre lavorare ancora. Le decisioni algoritmiche sono tra noi, come dicevo prima, ed il Metaverso potrebbe costruire scenari che superano gli ambiti operativi immaginati dagli estensori del GDPR. Ad esempio, le azioni di un avatar, che non rendesse in alcun modo riconoscibile l’interessato sottostante, difficilmente sarebbero tutelabili mediante il GDPR.

  1. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Tra dieci anni, protezione forte del dato biometrico e diritti (non solo di tipo privacy) sulle nostre espressioni digitali.

  1. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

A me è piaciuto molto The New Laws of Robotics, di Frank Pasquale, che mostra come le Leggi della Robotica di Asimov siano ormai attuali e come le loro conseguenze dovrebbero essere tenute presenti dal moderno Legislatore. Ovviamente L’Arte della Privacy va sempre tenuto nelle vicinanze, però.

Tags:
, , , , , , , , ,