“VITA DA PRIVACYISTA” PUNTATA 29 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

“VITA DA PRIVACYISTA” – Ventinovesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperta di questa settimana è…

  1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Olimpia Policella, avvocato privacy.

  1. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Ero un’appassionata della materia, così nel 1996, dopo la laurea, feci una tesina sull’informativa privacy ad un corso di perfezionamento a La Sapienza e l’anno successivo seguii il corso del Professor Stefano Rodotà sui diritti fondamentali della persona, in cui ci si occupava quasi esclusivamente di privacy. Ricordo che venivo considerata una sorta di marziana e qualcuno probabilmente aveva dubbi sulla mia sanità mentale.

  1. Cosa ti annoia della privacy/data protection?

Il disinteresse che prima vedevo sui volti dei clienti, che la consideravano un fardello costoso cui soggiacere.  Con il GDPR c’è stato un deciso cambio di passo in tutte le aziende.

  1. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

Non credo esistano termini che non possano essere compiutamente esplicati in italiano, ma sicuramente all’inglese va riconosciuto un merito di sintesi in questa materia, come per l’informatica.

  1. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

Con il passare degli anni, ma forse è meglio dire dei decenni, noto un maggiore interesse che, tuttavia, si articola diversamente nelle varie generazioni. Per le persone più mature il concetto di privacy è legato al diritto alla riservatezza, mentre i giovani hanno colto la capacità economica del dato personale rinunciando, purtroppo, spesso ai loro dati per un buono sconto di cinque euro. Molto spesso la privacy è anche richiamata a sproposito e raramente vedo una piena consapevolezza dei rischi, soprattutto nell’uso delle tecnologie.

  1. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

Come il diritto a restare da soli quando lo si desidera, con degli esempi in cui sia semplice affermare cosa sia giusto e cosa sia sbagliato, il bene ed il male, il bianco ed il nero. Hanno tutta la vita davanti per capire che il mondo è principalmente grigio ma ai bambini va insegnato il principio.

  1. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

Nella gestione della pandemia non si è saputo trovare il giusto equilibrio tra il diritto alla salute pubblica ed il diritto alla privacy, scegliendo, di fatto, di sacrificare in toto quest’ultimo: il silenzio generale in cui ciò è avvenuto e, soprattutto, la negazione del diritto alla privacy anche per motivazioni che nulla avevano a che fare con il diritto alla salute debbono far riflettere.

  1. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

Sicuramente l’introduzione del GDPR.

  1. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Se la crescita della qualità fosse proporzionata alla crescita numerica sarebbe sicuramente un bene, poiché uno degli obiettivi deve essere quello di diffusione della formazione ed informazione privacy, con importanti ricadute positive anche di “crescita sociale privacy”. Purtroppo, spesso mi confronto con DPO, anche di grandi società, che si sono limitati alla lettura del GDPR; posso giustificarli quando si tratta di DPO interni, poiché evidentemente l’azienda avrà esigenze di contenimento dei costi, ma quando si tratta di consulenti esterni non nascondo una certa amarezza.

  1. I dati personali sono monete?

Purtroppo sì, ma anche le opere d’arte sono monetizzabili, non dobbiamo scandalizzarci; occorre che la gente ne abbia consapevolezza in modo da fare più attenzione quando, distrattamente, presta i consensi, e soprattutto educare gli adolescenti. Occorre insegnare che il diritto alla riservatezza è un pilastro delle stesse libertà personali: per questo l’interessato non deve abdicare al controllo sui propri dati e bisogna essere parsimoniosi nel rilascio dei consensi.

  1. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Dipende dalle circostanze ma non nascondiamoci dietro un dito, sappiamo benissimo che le aziende fanno una valutazione di rischio sanzione/beneficio (opportunità di guadagno o riduzione dei costi). Le sanzioni più antipatiche sono sicuramente quelle che vengono applicate in caso di data breach con l’avvio di autonomo procedimento sanzionatorio per mancata adozione di misure di sicurezza adeguate (art. 32 GDPR); le aziende si ritrovano ad essere spesso vittime di reati (accesso abusivo a sistema informatico, estorsione, ecc.) e contemporaneamente sanzionate amministrativamente. E’ un corto circuito che va sanato alla svelta con una modifica normativa.

  1. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

Credo che il consenso informato continui ad essere il primo pilastro della privacy e sia di fatto imprescindibile anche nel “tutto digitale”; le soluzioni in cui vengono rimesse al legislatore o alle Authority le decisioni in ordine alle condizioni di liceità, in sostituzione dell’interessato, contribuiscono alla “spersonalizzazione” di uno dei diritti fondamentali della persona: una contraddizione in termini da evitare.

  1. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Sintetizzare è pressoché impossibile, anche le modalità suggerite di dare le informative a vari livelli implicano una frammentazione dell’informazione, minandone la chiarezza. La semplificazione di fatto è possibile e viene effettuata, ad esempio, quando si rilasciano informative a minorenni; l’attività di semplificazione, tuttavia, importa la rinunzia all’uso del linguaggio tecnico, ampliandone ancor maggiormente i contenuti con buona pace della sintesi.

  1. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Confesso, le informative privacy le leggo tutte e poi decido sui singoli consensi, mentre per le cookie policy verifico che vengano attivati cookies tecnici. Le app non le uso.

  1. DPO più top manager o più mini-garante?

I DPO dei soggetti pubblici possono concedersi il lusso di essere dei mini-garanti, ma quando si lavora in azienda o per le aziende i DPO debbono necessariamente essere dei top manager. Delle ottime relazioni con il top management aziendale, peraltro, consentiranno di contribuire al conseguimento di un elevato livello di compliance privacy aziendale; l’approccio da mini-garante in azienda non lo consiglio.

  1. Un tuo consiglio di metodo a un giovane DPO.

Immergersi nei flussi di dati per fare un’istantanea privacy. Per farlo è necessario, preliminarmente, saper ascoltare tutti e mettersi sempre a disposizione. Solo così sarà possibile individuare eventuali ed ulteriori rischi e le azioni correttive. E’ inoltre indispensabile che i giovani DPO imparino a parlare lo stesso linguaggio dell’interlocutore; non si può formare ed informare se non si sa comunicare.

  1. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Non credo assolutamente faccia troppe regole, semmai il contrario, l’unico rischio è che le stesse regole vengano interpretate diversamente da parte dei vari giudici nazionali, e sono queste operazioni ermeneutiche differenti che potrebbero portare a frenare le innovazioni in alcuni Paesi a vantaggio di altri.

  1. Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?

No e non credo che nessuna norma giuridica potrà mai essere al passo con lo sviluppo tecnologico in generale; dobbiamo accontentarci di non arrivare troppo tardi e, per quanto è a noi possibile, sollecitare l’intervento del legislatore quando è necessario. Purtroppo, i tecnicismi della materia non ci consentono di fare affidamento sugli apporti giurisprudenziali, capirete perché, evito di fare esempi.

  1. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Tra dieci anni sarà più evidente come il rischio della compressione dei dati personali si traduca in un rischio per le libertà personali. Nel frattempo, serviranno fonti regolamentari ispirate a principi etici per la progettazione e lo sviluppo dei software: i rischi maggiori li avremo tra diversi decenni; le prime distorsioni si possono vedere nei Paesi che già fanno uso di software, ad esempio, di valutazione del personale per fini assuntivi.

  1. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Consiglierei Tecnopolitica del compianto Professor Stefano Rodotà al quale noi avvocati privacy dei primi tempi dobbiamo molto, è un libro profetico in cui, tra l’altro, avvisa dei rischi connessi tra perdita di riservatezza e perdita di libertà.