08 Mar “VITA DA PRIVACYISTA – MANAGER” – PUNTATA 7 – 1 DPO/PRIVACY MANAGER ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA – MANAGER” – Nuovo ciclo – Settima puntata – 1 DPO/Privacy Manager di enti e aziende alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
Nuovo ciclo dedicato alle figure interne di grandi aziende ed enti*. La rubrica-intervista che raccoglie idee originali dai migliori DPO e Privacy Manager aziendali in Italia. Protagonista di questa settimana è…
1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Tania Orrù, avvocato e Data Protection Officer di Brunello Cucinelli Spa.
2. Vent’anni fa, avresti mai pensato di ricoprire questo tipo d’incarico? Era un mestiere “concepibile” o fantasy?
Mi sono laureata in Diritto internazionale pubblico con una tesi sul principio di precauzione. Vent’anni fa la mia ambizione era il notariato, poi la magistratura, entrambi ruoli di terzi “super partes”. Poi a volte è la vita che sceglie per noi e dal 2013 mi occupo di privacy in azienda, dapprima come Responsabile del trattamento, poi come Data Protection Officer. In fondo, in qualche modo, ho ritrovato, nell’attuale normativa privacy, il principio di cui scrivevo nella mia tesi e nel ruolo di DPO, quello più vicino alle mie aspirazioni di vent’anni fa, almeno per come il legislatore ha disegnato le caratteristiche di questo professionista: trasversale, negoziatore empatico, indipendente, oltre che un sorvegliante e garante della legge.
3. Tra vent’anni, il tuo ruolo cosa sarà diventato?
Non riesco a fare previsioni, ma posso formulare degli auspici. Il passo fondamentale che mi auguro è l’effettiva evoluzione del ruolo in “funzione”. Non sembra che il Regolamento Europeo abbia pensato al DPO come un mostro con più teste al suo servizio. È chiaro invece che, per la molteplicità delle competenze e la complessità delle materie da gestire, il DPO è da intendere come un team interdisciplinare, con risorse che nel loro complesso soddisfino tutti i requisiti di legge e – cosa di non poco conto nella pratica – assicurino una completa “reperibilità” in tutti i casi e frangenti. L’auspicio più forte per me resta comunque quello che si arrivi presto ad un riconoscimento reale della funzione grazie ad una definizione chiara e netta della stessa anche in ambito privato, qualificando precisamente quale debba essere l’inquadramento del DPO, la sua retribuzione, i requisiti da rispettare per assicurargli un’effettiva indipendenza (soprattutto in caso di DPO interni) e tutto il resto.
4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Ritengo che il rispetto della lingua “originaria” sia fondamentale, anche quando si tratta di normative. Soprattutto se l’uso della terminologia originale è in grado di garantire una chiarezza e univocità interpretativa che potrebbe essere compromessa dalle varie traduzioni. Ad esempio, penso che non si possa prescindere dalla matrice anglosassone del GDPR (o RGPD!), senza incorrere in possibili “equivoci”, sin dalle definizioni usate nell’art. 4.
5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Le persone hanno in mente alcuni concetti e diritti legati soprattutto ai social network, ai siti web, alle chiamate indesiderate dei call center. Non esiste però ad oggi una consapevolezza sufficientemente diffusa, una vera e propria cultura della privacy. Abbiamo di fronte due sfide a mio avviso: la prima è quella di arrivare alla consapevolezza che i dati sono parte di noi, cioè siamo “noi”, e che tutelarli è in realtà proteggere se stessi. L’altra sfida (in senso opposto e forse ancora più ardua) è quella di combattere la “privacy fatigue”, ovvero il senso di profonda inadeguatezza e frustrazione che avvolge le persone nei confronti di un mondo (soprattutto quello digitale) al quale ci si arrende, perché ogni sforzo di proteggere i propri dati sembra vano e inutile di fronte a meccanismi ritenuti inesorabili e incontrollabili. Anche se spesso significa andare contro Golia, gli strumenti che abbiamo oggi sono in realtà molto potenti e per questo non dobbiamo arrenderci ma cercare di conoscerli e utilizzarli. Questo può chiaramente avvenire solo alla luce della consapevolezza di cui alla prima sfida.
6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Tempo fa mi sono imbattuta in un articolo molto interessante in cui l’autore, un divulgatore inglese, spiegava il GDPR ai bambini usando la metafora dei giochi. In questo modo è molto intuitivo spiegare, ad esempio, che se qualcuno vuole giocare con i tuoi giochi, deve chiederti il permesso. Sostituire poi i giochi – intesi come cose a cui si tiene particolarmente – con i “dati”, è un attimo. In questa chiave è semplice spiegare in effetti tutti i principi, i diritti, i concetti del Regolamento. Anche il significato di “data breach” è ben comprensibile se si pensa al fatto che, quando qualcuno rompe il gioco che gli hai prestato e a cui tenevi molto, te lo deve comunicare immediatamente e magari deve dirlo anche ai tuoi genitori (i.e. Garante) che avevano comprato quel gioco. Nella mia esperienza, dovendo relazionarmi con degli adulti, ho deciso di usare le stesse metafore ed è sorprendente come i volti dei miei interlocutori si illuminino improvvisamente: principi e concetti così oscuri e lontani fino a qualche minuto prima, diventano improvvisamente reali e concreti.
7. L’aspetto più faticoso e “noioso” della privacy/data protection?
Sebbene io non consideri niente di quello che faccio come “burocrazia”, devo dire che a volte adempimenti e documenti, anche lunghi e complessi, mettono a dura prova e rendono più pesanti e gravose le attività. Tuttavia, il tema che ritengo personalmente più faticoso è quello di dover spiegare la rilevanza delle mie attività o le motivazioni alla base dei miei pareri alle altre funzioni, soprattutto se si tratta di posizioni o pareri negativi, spesso “scomodi”. Questo si verifica in particolare nelle relazioni con i dipartimenti legati al business, come il marketing. È molto faticoso spiegare in certi casi, in quale maniera il rispetto delle norme sulla privacy sia effettivamente qualcosa di positivo per il business e il fatturato, quando, ad esempio, viene di fatto ostacolata la raccolta di dati che ottimizzerebbe l’efficacia delle campagne pubblicitarie dell’azienda e gli investimenti.
8. L’aspetto più divertente e “giocoso” della privacy/data protection?
Mettere da parte per un attimo i manuali di diritto, per leggere e studiare anche tutto il resto. Nuove tecnologie, etica, marketing, sistemi informativi, e tanto altro, in un approccio trasversale stimolante e sempre diverso. Sfidarsi ogni giorno nel confronto attivo con quasi tutte le funzioni e i dipartimenti aziendali e, all’esterno, con consulenti e fornitori, consente di imparare sempre qualcosa di cui fare tesoro e di crescere sia professionalmente che come individui.
9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Lo ritengo un bene. È inutile dire che una categoria è più forte e visibile se maggiormente rappresentata; quindi, anche in questo caso il numero crescente di professionisti della privacy contribuirà ad affermare il ruolo di DPO e privacy officer, rendendoli figure importanti e da considerare indispensabili in azienda. Il mio sogno, che spero si trasformi in progetto, è la creazione di un vero e proprio network di “solidarietà” tra DPO, a mo’ di tavola rotonda permanente, su temi concreti e pratici che consenta un confronto reale tra persone che affrontano le stesse criticità quotidiane per scambiare opinioni, cercare insieme soluzioni e strumenti. Questo consentirebbe di uscire dall’attuale senso di solitudine e, per certi versi, di isolamento, che affligge purtroppo i DPO. Spero di potervi parlare presto della realizzazione di questo sogno!
10. I dati personali sono monete?
Rispetto a questo tema sono molto combattuta. Il mio lato più integralista fatica a staccarsi dal concetto di dati personali come parti della “persona”, quindi inviolabili, inalienabili e non commercializzabili, come un arto del proprio corpo. Dall’altra parte, tuttavia, in ottica più realistica e concreta, il passo è stato già fatto da tempo e negare questa realtà sarebbe ignorare il presente. Tuttavia, è ormai consentito pagare servizi digitali mediante dati personali o pagare un corrispettivo affinché i propri dati non vengano utilizzati (qui penso alle recenti iniziative di alcuni editori online). Restano però ancora tanti aspetti aperti e da regolamentare, prima di tutto l’integrazione tra le normative vigenti (ad es. Codice del Consumo e GDPR) e permane il tema etico e giuridico che escluderebbe la possibilità di configurare un vero e proprio “baratto” dei propri dati personali. È indispensabile insomma definire confini, valori e misure di protezione e sicurezza per realizzare un corretto “scambio” tra dati e prodotti.
11. Nella tua esperienza, serve affidarsi (anche) a consulenti esterni o basta una robusta squadra di esperti privacy interni? In cosa il consulente esterno può rivelarsi prezioso?
Come diceva Massimo Catalano, il “filosofo dell’ovvio” e dei luoghi comuni “molto meglio essere giovani, belli, ricchi e in buona salute, piuttosto che essere vecchi, brutti, poveri e malati”. Sarebbe indiscutibilmente meglio avere l’optimum, cioè sia un solido team interno sia un consulente esterno. Il primo infatti, per sua natura, conosce la realtà in cui è inserito e i meccanismi dell’organizzazione; è in grado di intercettare le criticità aziendali e di portarle alla luce, così come di relazionarsi direttamente e nell’immediato con le figure di riferimento. Il consulente esterno, dall’altra parte, rappresenta un supporto imprescindibile, in grado di fornire pareri oggettivi, avvalorare valutazioni interne, integrarle, indirizzarle, coordinarle.
12. Che cosa non dovrebbe mai fare un consulente privacy esterno?
Prescindere dall’effettiva realtà che assiste e con cui si relaziona. La percezione che un consulente, seppur esterno, non conosca l’organizzazione aziendale, i suoi meccanismi e i suoi obiettivi, crea un meccanismo di diffidenza difficile da abbattere e rischia di far considerare il consulente unicamente come un mero costo, un servizio non utile nella pratica. Un atteggiamento di “vicinanza”, quasi di confessore – assistente, che capisce e supporta l’azienda, tiene presenti le sue esigenze concrete e ne indirizza le scelte mostrando interesse nella realizzazione degli obiettivi che l’impresa persegue, è senz’altro quello più efficace.
13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Credo che nell’ambito delle informative si possa semplificare molto, soprattutto tramite strumenti come il legal design, che, grazie alla sua versatilità, si presta ad un utilizzo negli ambiti più disparati. Nella pratica però resta sempre più semplice e prudente un approccio meno sintetico, che consente di evitare di incorrere in errori o omissioni, vista anche l’estrema rilevanza giuridica dell’informativa e dato l’elevato e puntuale numero di informazioni e dettagli che questa deve contenere per essere valida e corretta. Tra l’altro, in alcuni casi, le singole normative europee impongono informazioni aggiuntive e puntualizzazioni anche ulteriori rispetto al GDPR. Diventa quindi spesso molto complicato nella pratica giungere a un’effettiva sintesi e a una reale semplificazione terminologica.
14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Il medico è il peggior medico di se stesso. In questo caso, leggo solo in alcuni casi le informative, anche perché molto spesso mi fanno arrabbiare non poco! Provvedo però a rifiutare tutti i cookie dei siti che visito (cosa purtroppo non sempre è possibile ancora oggi), sperando che poi sia davvero così.
15. Come rendere “amata” la privacy dai colleghi delle altre funzioni, che spesso vedono questa materia come un ostacolo? Come fare breccia nei loro cuori?
Il mio sforzo personale e quello di trovare ogni giorno la “chiave” per relazionarmi con i colleghi delle altre funzioni, cioè tentare di stabilire un’empatia in grado di eliminare le distanze e avvicinare le esigenze, facendo capire che in un’azienda si lavora insieme verso gli stessi obiettivi. Un nuovo strumento digitale o una nuova strategia di marketing potranno essere davvero vincenti ed efficaci solo se progettate ed attuate con i giusti criteri tecnici, ma anche giuridici. È indispensabile attivare nell’organizzazione un meccanismo secondo il quale le diverse funzioni agiscano in “sinergia” e non in contrapposizione. In questo aiuta parlare la stessa lingua: un DPO preparato ed aggiornato sui sistemi e sugli applicativi, conoscitore dei meccanismi alla base del marketing e del commercio elettronico, è senz’altro accolto ed ascoltato con più favore rispetto a chi mantiene la rigidità del giurista.
16. Un tuo consiglio di metodo a un/a giovane DPO o Privacy Manager.
Darei lo stesso consiglio che do a me stessa ogni giorno, parlando a cuore aperto da DPO, interno, donna: essere credibili. Per me credibilità significa innanzitutto essere preparati e conciliare fermezza e una dose di sapiente diplomazia.
17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
L’innovazione corre inevitabilmente più veloce del legislatore europeo, che cerca di rincorrerla per fare il suo dovere e disciplinare questioni sempre più complesse, spesso individuando solo “a posteriori” principi, fattispecie, criteri e misure a tutela dei diritti degli individui. L’equilibrio tra regolamentazione (indispensabile) e innovazione (costante) potrebbe probabilmente realizzarsi attraverso una maggiore dose di “flessibilità” – intesa anche come continuo aggiornamento / adeguamento – delle regole europee, che, aderendo alle evoluzioni della realtà cui si applicano, favorirebbero così la stessa innovazione.
18. Temi l’Intelligenza Artificiale?
Senza ipocrisia, dico di sì. Mi spaventa perché so che siamo molto più avanti di quanto possiamo immaginare e che gli scenari di Black Mirror da futuro distopico, rappresentano ormai il passato prossimo o addirittura remoto. Dovrei dire che confido nei principi etici che potrebbero guidarci nell’utilizzo dell’I.A., ma allo stesso tempo mi interrogo su quale sia l’“Etica” da prendere in considerazione e se davvero l’uomo può ancora ritenersi determinante in un processo che forse è già in grado di prescindere da lui. Difficilissimo.
19. Credi nel Metaverso?
Sì. Forse non ora, ma nel prossimo futuro sarà realtà.
20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Consiglierei più che un libro, un manifesto: “Privacy, libertà, dignità”, ovvero il discorso conclusivo della 26esima Conferenza internazionale sulla protezione dei dati, del Professor Stefano Rodotà. Era il 2004 e lui diceva già davvero tanto.
* Tutte le opinioni espresse sono esclusivamente personali e non impegnano né si riferiscono in alcun modo alla Società o all’Ente di appartenenza