22 Set “VITA DA PRIVACYISTA” PUNTATA 35 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA” – Trentacinquesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperta di questa settimana è…
- Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Monica Anna Perego, Ingegnere – milanese di mestiere.
- Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?
Ho iniziato nella notte dei tempi quando era ancora in vigore la 675. Per quanto io abbia sempre svolto la libera professione, ho sempre avuto clienti di una certa dimensione e complessità che si ponevano problematiche in anticipo rispetto alla media dei clienti a cui normalmente avrei avuto accesso come libero professionista. E ad un certo punto mi hanno sollevato il tema della protezione dei dati, non tanto fine a se stessa (per quanto avevano i loro consulenti) ma piuttosto già per integrarla nei processi aziendali e per svolgere degli audit. A queste loro esigenze si è unito anche un certo intuito nel comprendere che questo sarebbe stato un tema che negli anni si sarebbe ulteriormente sviluppato. E poi mi sono specializzata nella integrazione della privacy nei processi aziendali e negli audit. Questo so fare.
- Cosa ti annoia della privacy/data protection?
Quando, in uno sgabuzzino pieno di cadaveri di PC e simili, parlo delle procedure di distruzione dell’hardware, sgranano gli occhi, mi interrompono e mi dicono “Ecco sì, ma signora, questa lo dobbiamo proprio fare?”. Mi fanno venire un po’ l’orticaria.
- Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Sono inevitabili perché la tecnologia usa questi termini che ci aiutano a comunicare con il resto del mondo. Per quanto la nostra lingua sia meravigliosa e ricca di sfumature però è ineludibile che quando si toccano certi temi la lingua di riferimento sia un’altra; è anche vero però che spesso il linguaggio giuridico viene utilizzato in modo un po’ intimidatorio nei confronti di chi poi deve applicare le norme; si contribuisce a creare una certa diffidenza sul tema.
- Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Bisogna capire qual è la percezione che hanno le persone del concetto di privacy: se lo chiedo alle persone della mia famiglia per loro è il telefono che suona dopo le 20:00 di sera per fare una proposta commerciale. Il tema è spesso trattato in modo strumentale a seconda della convenienza; il tema è troppo sofisticato e noi non siamo bravi a spiegarlo. Ci sono delle manifestazioni dei casi, anche con grande risonanza mediatica, che sensibilizzano ad avere una visione più ampia di quelle che possono essere le implicazioni di un trattamento illecito ma rimangono casi sporadici, organizzarli in una visione organica non è facile e i consulenti che operano nelle aziende spesso non aiutano perché hanno un atteggiamento volto all’adempimento formale piuttosto che all’approfondimento della sostanza dei problemi. Quindi, per tornare alla formulazione della tua domanda, il tema è “pop” solo quando interessa e noi non facciamo nulla per renderlo “sempre pop”.
- Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Sarebbe molto interessante spiegarla a dei bambi delle elementari, inizierei salvaguardando il valore della diversità e come questo è un bene comune che va esaltato, tutelato e protetto e che la privacy a questo serve. Porterei degli esempi tratti dal loro quotidiano usando i loro personaggi iconici. Leggerei con loro, adattando il linguaggio al contesto, le istruzioni del Garante sull’uso dei social network (un documento bellissimo anche se un po’ datato). Proprio questo avevo fatto con mio figlio anni fa e devo dire, per quanto ne sia a conoscenza, che ha funzionato.
- L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?
Non trovare un accordo con gli Stati Uniti, Non possiamo fare a meno delle loro tecnologie e soluzioni. Ci prendiamo in giro e ne siamo tutti consapevoli.
- L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?
Deve ancora venire, i sistemi che sono in mano a Governi non democraticamente eletti (perlomeno secondo i nostri canoni) per acquisire informazioni sui cittadini europei hanno un raggio d’azione che arriva, non a lambire, ma a intaccare in modo determinate i nostri dati. Non ne sappiamo nulla, non ne vogliamo sapere nulla.
- I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Sono sempre stata dell’idea che per chi è bravo ci sia sempre mercato e clienti interessanti quindi ben venga la crescita delle professionalità legate al tema della privacy. Il problema non riguarda la quantità ma la qualità della loro preparazione, del loro approccio, della loro volontà nel supportare le aziende e a tutelare gli interessati. È un bene se un consulente si affaccia al tema perché vuole cogliere un’opportunità di mercato ma al contempo dovrebbe aver già maturato una preparazione solida. La privacy è un tavolino a tre gambe: la gamba legale, la gamba tecnologica e la gamba organizzativa. Un consulente o un DPO che si affaccia al tema, per quanto poi inevitabilmente si specializzi in una delle tre gambe, deve necessariamente avere una visione completa. Inoltre, deve avere consapevolezza che il tema della privacy permea tutti i processi aziendali come la salute e sicurezza dei lavoratori, gli acquisti, ecc. questa visione allargata della protezione dei dati – l’integrazione dei sistemi – è il lato, per me più affascinante del tema.
- I dati personali sono monete?
Assolutamente sì; ce lo dice anche il GDPR: i dati personali sono moneta e sono da usare per creare ricchezza e benessere tenendo in conto alcuni aspetti. Non trovo nulla di male nel pensare che i dati personali siano moneta purché le regole per trasformarli in un valore economico siano note, condivise, applicabili (vedi il riferimento al trasferimento dei dati fuori dall’UE) e rispettate.
- Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?
Per mia natura non mi preoccupo quasi mai, sono piuttosto fredda e cinica da questo punto di vista. Quando leggo delle sanzioni mi interessa comprenderne le cause, il ragionamento che è stato fatto per arrivare a quelle sanzioni e quanto possa essere esteso non solo ad altre aziende, ma ad altri ambiti. La sanzione è forse il modo più interessante per comprendere l’approccio che ha il Garante rispetto ad un tema; purtroppo in molti casi è così mirata, così puntuale che non è possibile comprendere esattamente quanto di ciò che è stato sanzionato si possa estendere ad altri ambiti. Questo potrebbe essere un limite ma rimane sempre una grande opportunità. Certo se coinvolge l’azienda per cui stai lavorando… beh, la prospettiva cambia un poco…
- Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?
Il “consenso preventivo dell’interessato” è già una frase lunga di suo, già in contrasto con un mondo “tutto digitale”. Il vero problema è rendere l’interessato consapevole di quello che sta facendo attraverso nuove forme e soluzioni che si devono e si possono esplorare. Se si fanno informative lunghe e complesse questo non aiuterà mai l’interessato ad essere consapevole: abbiamo adempiuto al requisito del regolamento (forse?) ma non abbiamo fatto un passo in avanti nella sua consapevolezza, lo abbiamo annoiato e lui è sempre più convinto che si tratta di forma e non si sostanza.
- Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Riprendendo la domanda precedente dovremmo osare di più ed essere più creativi. Dovremmo sfruttare di più la tecnologia e le soluzioni grafiche. Pensiamo solo al salto qualitativo che hanno fatto le infografiche pubblicate negli ultimi anni. Perché non lo facciamo far anche alle informative? Perché? Troppa fatica, troppi costi!
- Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Anche se il tema non mi piace, mi “violento” leggendo le cookie policy con una certa frequenza in modo da diventare io stessa più sensibile; per quanto riguarda le informative le leggo perché molte volte sono anche un po’ sadica e vado alla ricerca di meravigliosi ” io speriamo che me la privacy”. In verità tendo a leggerle perché sono del mestiere e non con il cappello dell’interessata (con quel cappello le salterei subito).
- DPO più top manager o più mini-garante?
Il DPO è un mini garante che deve tutelare gli interessati adottando una visione a tutto tondo. Ma al contempo, non può tutelare gli interessati dimenticandosi che l’azienda deve anche “fare un fatturato”, non può dire NO NO NO NO e non valutare soluzioni alternative a beneficio di tutti. Ricordiamoci le ultime righe del 39 quando il regolamento dice espressamente che nell’eseguire dei compiti il DPO considera rischi, contesto, finalità e quant’altro. Quindi il DPO non può dire solo NO, dimenticandosi il contesto in cui opera; il suo ruolo resta comunque quello di difendere e di tutelare gli interessati.
- Un tuo consiglio di metodo a un giovane DPO.
Riprendendo il concetto del tavolino a tre gambe, io direi a un giovane DPO che deve approfondire tutte e tre le gambe per avere una visione d’insieme comprendendo quando essa sia fondamentale per poter approcciare correttamente il problema.
- L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Sono una grande sostenitrice dell’Unione Europea. Fa troppe regole? Forse sì, però ricordiamoci che le regole creano anche fatturato, business: ad esempio quando l’Unione Europea definisce che i dati devono stare in Europa crea un’opportunità di lavoro per quei paesi che offrono condizioni adeguate all’installazione dei server. Il problema non riguarda l’Unione Europea ma la nostra abilità nel cogliere le opportunità. I paesi dell’Unione Europea hanno combattuto per oltre 2000 anni, non si può pensare che nel giro di pochi anni si dimentichi tutto e non vengano difesi gli interessi nazionali: è un processo lentissimo. L’Unione non frena l’innovazione: la propone, ma in un contesto che dire “complicato” è dire poco.
- Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?
Assolutamente no, ricordiamoci che il GDPR del 2016 è stato scritto prima, è stato successivamente pubblicato nel 2016 e arranca, anzi mostra la sua inadeguatezza rispetto alla tecnologia che avanza; tuttavia i Garanti dovrebbero darci indicazioni più di sistema che puntuali. Ci aiuterebbe moltissimo.
- Tra dieci anni: protezione dei dati o protezione degli effetti personali?
Tra 10 anni la tecnologia ci avrà seppellito arrancheremo, è una battaglia persa. Non è la mia una visione pessimistica ma realistica. Dire che l’educazione (e ritorno alla domanda sui bimbi) è la strada – è una “frase scontata”. Ma non abbiamo molto altro a disposizione. Peraltro avremo altri vantaggi (pensiamo solo alla medicina alla sicurezza) quindi dobbiamo decidere cosa barattare.
- Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Come prima cosa vorrei segnalare la serie televisiva Doctor House perché usa un metodo di analisi “abduttivo” che non è né il deduttivo né l’induttivo ed è un metodo che dobbiamo utilizzare nel corso dell’audit sulla protezione dei dati e funziona meravigliosamente bene. Un libro consiglierei “Il sistema periodico” di Primo Levi per vari motivi, prima di tutto per il superlativo uso della punteggiatura: se lui ci potesse insegnare a scrivere le informative sono certa che ne faremmo di meravigliose. Inoltre ci racconta storie personali e storie aziendali in cui c’è sempre tra le righe un aspetto di protezione dei dati personali. Vorrei, se me lo permetti, visto che il tema ti sta a cuore, citare anche un’opera d’arte. Uno dei meravigliosi quadri di Mondrian per cui è universalmente riconosciuto. Mondrian era olandese; tutta la sua prima produzione era la rappresentazione dei polder olandesi: linee orizzontali disegnavano l’orizzonte dei campi, linee verticali gli alberi. Queste linee orizzontali e verticali sono state magistralmente sintetizzate nei suoi quadri più famosi con le campiture blu, rosse, bianche e gialle. Possiamo dire che Mondrian ha “criptato” i paesaggi olandesi!