06 Ott “VITA DA PRIVACYISTA” PUNTATA 37 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

Posted at 07:59h in Articoli, homepage news by

“VITA DA PRIVACYISTA” – Trentasettesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…

  1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Giovanni Ziccardi. Ruolo oggettivo: Professore di Informatica Giuridica all’Università degli Studi di Milano da vent’anni (compiuti, proprio, il primo ottobre del 2022). Ruolo desiderato: lettore di gialli sul lungomare di Saint-Malo, o degustatore di bomboloni nella pineta di Pinarella di Cervia.

  1. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Era il 1989, avevo vent’anni. All’Università di Modena, dove stato studiando Giurisprudenza, fu attivato un modulo di “Informatica Giuridica” presso la cattedra di Filosofia del Diritto. Fu amore a prima vista. Avevo un computer da cinque anni, sul quale passavo le notti. Frequentavo i circoli di allora dedicati ai Commodore (mi ricordo un incredibile “Arci Computer Club bolognese”), e l’idea di unire il diritto alla tecnologia mi affascinò sin da subito. Uno dei temi più discussi, accanto ai primi crimini informatici dei quali arrivavano notizie dagli Stati Uniti d’America, era, ovviamente, quello della protezione dei dati. Stefano Rodotà aveva già scritto cose innovative e interessanti, e mi avvicinai al settore che poi, cinque anni dopo, esplose con l’annuncio della Direttiva Madre e attirò, così, l’attenzione di tanti. Lo vidi, subito, come un ambito di ricerca ideale: univa tecnologia, norme e la protezione dei diritti più importanti della persona.

  1. Cosa ti annoia della privacy/data protection?

Mi annoia, tantissimo, il dibattito che ogni tanto si solleva su questioni formali, e normative, e si perde di vista la sostanza, e la centralità, del diritti. Penso ai fiumi di parole sul responsabile esterno e il suo ruolo, sul trasferimento dei dati all’estero e, oggi, su Google Analytics.

  1. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

Penso di sì, ma ogni tanto l’inglese tradisce, perché almeno il cinquanta per cento dei professionisti, anche in Italia, ha difficoltà con le lingue straniere (in base agli ultimi indici dell’Unione Europea). Mi imbatto, alle conferenze, in un fiorire di “data beach”, “data bleach”, “data break” e, persino, di “data bitch”, di “fireball” e di “scontrability”. Eppure, nel testo in lingua italiana del GDPR l’uso dell’inglese è obiettivamente ridotto al minimo, e i concetti risultano egualmente chiari. Ma anche il latino e l’italiano sono, tradizionalmente, scivolosi per alcuni. Ricordo una riunione con il comitato di crisi di un grande ospedale a seguito di un data breach, e il responsabile privacy che in un momento concitato, dopo aver analizzato tutte le “branchie” della normativa, gridò: “e smettiamola di lanciare il can per l’aria”. Proteste degli animalisti a parte per una simile crudeltà, fu difficile rimanere seri.

  1. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

No, a questa idea della privacy “pop’” non ho mai creduto. In questi trent’anni è stata bistrattata sia dalla politica sia dal mondo dell’impresa, e alcuni ambiti a mio avviso sono proprio “impermeabili” alla privacy e ai suoi valori. Si pensi ai conflitti costanti, negli anni, tra Garante e Governo su punti delicatissimi quali la data retention o il captatore informatico (e il suo uso). Se non mostri attenzione a partire dai vertici, è molto difficile che, poi, ci sia una grande attenzione “dal basso”. Inoltre, con l’avvento dei social e l’uso da parte di minori di tecnologie avanzate, la prassi è diventata quella della condivisione ed esibizione, e non quella della chiusura del proprio dato.

  1. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

Partendo dal loro smartphone, dai videogiochi, dai fatti di cronaca. Anche la storia, per molti versi tragica, di Warren e Brandeis può essere una buona leva: due amici fin dalle elementari, Brandeis il “secchione” dei due che divenne giudice della Corte Suprema, Warren alle prese ogni giorno con la moglie “allegra”, regina dei salotti stra-fotografata, quella che oggi definiremmo una influencer. Warren che si suicidò per vergogna dopo che fu accusato dai numerosi fratelli e sorelle di aver tramato insieme a Brandeis per ottenere vantaggi con riferimento all’eredità dei genitori. Insomma, pescherei un po’ nel torbido, nel tragico e nell’horror (che, con i bambini, funziona sempre) e cercherei storie interessanti o, anche, fumetti. Per parlare loro di “pirateria”, ad esempio, ricordo che utilizzai l’episodio dei Simpson “Steal This Episode”, nono episodio della venticinquesima stagione, che, se ci pensiamo, contiene già tutto l’essenziale:  il download illegale di film, l’FBI che interviene e arresta, la grande battaglia giudiziaria tra gli utenti e Hollywood. Cercherei molto nella fiction: spesso rappresenta egregiamente la realtà, e la anticipa. Anche per la privacy abbiamo amplissimi margini di scelta: “Le Vite degli Altri” e la scena dell’interrogatorio, “Nemico Pubblico”, “The Net”, ma anche “La finestra sul Cortile”. Oppure leggerei passaggi di Orwell e di Kafka.

  1. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

La morte di Stefano Rodotà.

  1. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

Secondo me la stiamo vivendo ora, con la volontà di riprenderci dal post-pandemia e di rimettere la protezione dei dati e la cybersecurity al centro del processo produttivo. Eravamo arrivati alla fine del 2019 con una sensibilità, secondo me, senza precedenti e con un grande ottimismo diffuso. L’attuazione del GDPR aveva riportato l’attenzione al tema anche tra le piccole imprese e i professionisti. Poi, la pandemia e la crisi economica hanno relegato in tanti casi la privacy, e le spese correlate, a qualcosa di non prioritario e non più indispensabile. Ora sembra che l’attenzione stia tornando, così come la voglia di ricostruire, anche per l’avvento dell’intelligenza artificiale. Insomma, mi sembra questo il periodo migliore, soprattutto per i giovani.

  1. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Per me è un bene. Se lavorano bene, si tratta di un presidio costante presente in tutti gli ambiti della società. Molti a distanza di cinque anni dal 2016 si sono già formati e stanno ormai diventando “verticali”, ossia specializzati in singoli, specifici ambiti: la sanità, il marketing, il pubblico, e così via.

  1. I dati personali sono monete?

Sì, il dato personale è da tempo diventato una valuta per tutti e tre gli elementi della società dell’informazione: per le grandi società private, per il governo e il law enforcement e per gli utenti stessi. Lessig chiama questo quadro come il mondo del Big Big Brother, un “Grande Grande Fratello” che ormai non è solo caratterizzato dall’azione dello Stato, ma anche gli utenti si controllano tra loro, tramite il governo dei dati, e lo stesso fanno le grandi società.

  1. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Mah, le preoccupazioni tipiche sono, solitamente, due: che, comunque, quella sanzione non abbia alcuna efficacia concreta, e che saranno poi gli utenti – nel caso delle piattaforme o dei grandi fornitori di servizi – a pagare, ossia la sanzione verrà subito spalmata sui costi delle utenze. Sicuramente, quindi, non esulto.

  1. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

Penso di sì, nel senso che secondo me ci sono due punti su cui non possiamo permetterci di “cedere”: la centralità del consenso e la tutela dei diritti degli interessati. Sono le basi dell’intero sistema. La società dei sensori sta, però, spazzando via la consapevolezza del consenso da parte dell’utente: oggi è sufficiente camminare per strada, o per luoghi, e i nostri dispositivi lasciano tracce, così come i sensori presenti sul territorio ne raccolgono. Diventa complicatissimo garantire, allora, un consenso costante.

  1. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Sì, secondo me sì. Si potrebbe partire dalle informative per i minori, che domandano un linguaggio semplice, e da lì elaborare quelle per gli adulti. Benissimo anche l’uso di grafica, di disegni e di colori.

  1. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Purtroppo no, tendenzialmente predico bene e razzolo male, però con i miei studenti dedichiamo spesso delle ore per andare “a caccia” di informative sbagliate o di banner non conformi alle norme. Diciamo che ne leggo poche ma ho l’occhio ben allenato per vedere che cosa c’è che non va.

  1. DPO più top manager o più mini-garante?

Mini-garante, sicuramente. Costantemente attento ad equilibrare le tre “forze” che gli/le tirano la giacchetta: il titolare, il garante e gli interessati. Deve avere doti di mediazione, tanta pazienza, un buon carattere, capacità di risolvere conflitti, ascoltare le opinioni di tutti. Tutte caratteristiche spesso lontane da quelle presenti in un top manager.

  1. Un tuo consiglio di metodo a un giovane DPO.

Iniziare, da subito, con un approccio ibrido. Studiare il diritto della privacy ma, anche, le basi di programmazione e di rete, l’analisi del rischio, un po’ di psicologia, di governance aziendale e di cybersecurity. Non trascurare, soprattutto, buone letture e cercare di formarsi con una “cultura della privacy”: guardare al passato, conoscere la storia che ha portato al GDPR, studiare la seconda guerra mondiale, i campi di sterminio, i totalitarismi, la Stasi, la guerra in ex-Jugoslavia, il conflitto in corso, ma anche l’approccio statunitense e cinese, il dopo 11 settembre, il social scoring in Cina, la storia dell’Apartheid. Occorre una visione ampia, internazionale, e una cultura solida. La protezione dei dati è strettamente legata all’idea di cultura.

  1. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Mah, bella domanda. Quando io iniziai a lavorare sulla mia tesi di dottorato, alla fine degli anni ottanta, mi ritrovai con poco più di cinque norme, e dieci sentenze, da citare. Non riuscivo a trovare altro. In tutta la tesi. Allora si parlava di “Far West legislativo”. Oggi ogni giorno abbiamo una proposta, un progetto normativo, una bozza di regolamento. Di certo questi ultimi cinque anni sono stati di bulimia normativa. Ma è anche vero che è avvenuta quella trasformazione di tutto il diritto in diritto informatico che aspettavamo da tempo. Le regole sono, quindi, diventate la regola (perdonate il gioco di parole) in una società che si è trasformata. Non è detto, però, che siano sempre utili o ben fatte.

  1. Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?

No, ha bisogno di un lifting. Il GDPR ha compiuto dieci anni, anche se non lo vuole dire. I primi testi embrionali del regolamento circolavano già nel 2011 e 2012, ed è quindi un testo di un altro decennio rispetto a questo, e un decennio nell’informatica è una vera e propria era. Non si fa cenno all’intelligenza artificiale, che è esplosa negli ultimi cinque anni, e occorre stressare quel povero articolo 22 che penso sia, ormai, il più maltrattato tra tutti i 99. Poi penso ai droni, al riconoscimento facciale, ai dati sintetici, alla possibilità di re-identificazione grazie a sistemi di AI che renderanno obsolete le idee di dato anonimo e di dato pseudonimizzato. Ma anche la blockchain e l’Internet delle Cose. Insomma, occorre certamente un tagliando.

  1. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Secondo me l’idea di protezione dei dati rimarrà, e riuscirà ad attraversare la storia senza particolari problemi. Adattandosi, certo, ma rimarrà, in Europa, al centro del sistema. È troppo legata alla nostra tradizione storica e giuridica.

  1. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Dunque, ne consiglio due. Con il primo, gioco in casa: ho appena pubblicato “Diritti Digitali” con Raffaello Cortina [NDR: inserito tra i volumi raccomandati per il Corso Maestro IIP]. Un lavoro di due anni, scritto in periodo di pandemia, che da un lato guarda al passato e, dall’altro, pensa alle professioni del futuro. Il secondo libro che consiglio è di solito “Il Dossier” di Timothy Garton Ash, storico di Oxford. Un libro incredibile non solo per come descrive i poteri della Stasi nel trattamento delle informazioni delle persone ma che dipinge egregiamente l’humus nel quale si sono sviluppate le idee alla base della protezione dei dati degli individui in Europa.

Tags:
, , , , , , , , , , , , , , ,