08 Apr “VITA DA PRIVACYISTA” puntata 11 – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
“VITA DA PRIVACYISTA” – Undicesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperta di questa settimana è…
- Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Silvia Stefanelli, avvocato cassazionista, avvocato/giornalista.
- Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?
Il mio studio è specializzato in area sanitaria e quindi ci occupiamo da sempre di privacy.
Onestamente all’inizio (anni 2000) la trovavo una materia un po’ noiosa, poi lentamente ho cominciato ad entrare nel sistema e quando è arrivato il GDPR è stato amore a prima vista.
- Cosa ti annoia della privacy/data protection?
Il fatto che il cliente ha in mente solo l’informativa come “pezzo di carta”: più che annoiarmi mi frustra.
- Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Io credo che l’inglese sia una lingua potente perché ha una forte capacità comunicativa. Non è né bello né brutto: è semplicemente così. Quindi io utilizzo DPO o accountability (o altre parole) perché so che la semantica si porta dietro il concetto sostanziale. Questa è l’unica cosa che conta.
- Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Io credo che la gente cominci a capire e che lentamente qualcosa stia cambiando. Soprattutto credo che dobbiamo lavorare tutti perché cambi l’approccio che va dal “non leggo niente e firmo tutto… tanto non conta niente e chissà cosa fanno con i miei dati…” al “io nego il consenso a tutto così non sbaglio…“. Io penso che occorra lavorare per passare il concetto che i dati appartengono alla nostra sfera di diritto ma che sono in ogni caso molto importanti anche per crescita sociale e per il business: quindi sono stupidi sia gli atteggiamenti complottisti che quelli superficiali.
- Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Con una favola che racconta il possesso da parte di un bambino di una scatola magica che contiene tutti suoi dati: il bambino stesso può poi decidere se quando aprire la scatola ed usare i suoi dati per fare delle cose e può consentire anche ad altri di fare cose con i suoi dati. Io credo che la vera parola chiave sia consapevolezza (non solo protezione).
- L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?
Difficile… credo lo scandalo di Cambridge Analitica perché abbiamo avuto la sensazione dell’inganno.
E pensare a quello scandalo mentre guardi “The Social Dilemma”.
- L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?
Questa è facile: il GDPR (adottato anche il giorno del mio compleanno 😁).
- I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Un bene se si considera che questo aumento significa in qualche modo un allargarsi dell’importanza della materia. un male nei casi in cui la competenza è bassa, e quindi la materia – vorrei dire la portata della materia – viene banalizzata nella redazione di un po’ di carta.
- I dati personali sono monete?
Certamente sì: nel senso che sono un bene che, oggi, posso decidere di “scambiare” per avere un servizio.
Ma secondo me sono di più: sono un bene (non consumabile) avente un valore sociale ed economico.
Basti pensare ai nostri dati sanitari raccolti nel FSE: un giacimento di informazioni per andare verso la medicina personalizzata.
- Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?
Mi domando solo se l’impresa era consapevole o meno del rischio che correva. Io sono molto laica: credo che l’imprenditore debba avere chiara e piena consapevolezza dei rischi che corre nella sua attività, poi la decisione è la sua. Quindi la mia domanda è: i miei clienti sanno bene cosa stanno facendo ed i rischi che corrono?
- Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?
Sinceramente e senza retorica: no. Per la verità io non sono una fanatica del consenso, tutt’altro. Io credo (ma non sono l’unica) che il vero tema sia la capacità dell’informativa di arrivare all’interessato.
- Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Le informazioni sono troppe. A parer mio le cose che dovrei sapere – subito ed in maniera chiara – sono: chi è il titolare, per quali finalità tratta i miei dati e se li trasferisce ad altri (e nel caso a chi). Tutto il resto potrebbe essere comunicato parte, ed a chi vuole approfondire. Troppe informazioni si trasformano in nessuna informazione: e questo mi pare una realtà diffusa.
- Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Questa è una domanda “cattiva”. La risposta è: non sempre, ma molto più di una volta.
- DPO più top manager o più mini-garante?
Io ho fatto nei primi anni il top-manager, nell’ultimo anno il mini-garante. In ogni caso dipende molto dalla sensibilità del cliente rispetto alla materia.
- Un tuo consiglio di metodo a un giovane DPO.
Non stancarsi di fare domande e non dare nulla per scontato: spesso il cliente non dice perché non ha capito che deve dire. Spesso il cuore del lavoro è nella capacità maieutica del DPO.
- L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Falso. È vero il contrario. Il punto è che la Comunità Europea ha scelto (ormai da anni) una modalità di legiferazione basata sull’analisi del rischio e sulla responsabilizzazione (accountability) del soggetto chiamato a rispettare i principi sanciti nelle diverse discipline. Il GDPR è solo uno dei tanti esempi di questa scelta legislativa comunitaria, ma nella stessa direzione vanno il regolamento sulla AI, il Data Act, nonché le legislazioni da prodotto come il Regolamento sui dispositivi medici. Chiaro che noi, figli del diritto romano e quindi abituati ad un diritto precettivo, facciamo fatica. Io credo invece questa scelta comunitaria permetta proprio di creare dei vestiti giudici ad hoc: quindi è vero il contrario. Se si sa leggere, la legislazione comunitaria agevola l’innovazione, non la limita. Vero è, innegabilmente, che le discipline sono tante, perché quelle comunitaria si assommano alle nazionali (e qualche volta a quelle regionali). Quindi muoversi dentro è complesso (e quindi costoso).
- Il GDPR è al passo con l’Intelligenza Artificiale e il metaverso?
Io credo che il GDPR contenga, in nuce, tutti (o quasi) i principi che servono per l’AI. Un esempio: il principio di correttezza (art. 5 lett. a), se letto alla luce delle linee guida dell’EDPB, contiene in se il principio di non discriminazione. Ciò detto la complessità (anche culturale) della AI necessita senza dubbio di una disciplina ad hoc.
- Tra dieci anni: protezione dei dati o protezione degli effetti personali?
Senza dubbio per me protezione degli effetti personali. Dovrebbe essere già così oggi, visto che il GDPR protegge le persone, non il dato.
- Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
I libri su come implementare il GDPR sono tanti: impossibile fare una scelta. Io in realtà penso che il rischio più grande lo corrono i ragazzi, ed è il rischio del condizionamento culturale e politico nonché quello della scollatura dalla realtà concreta. Questo è quello che dobbiamo temere, anche come genitori: l’abbassamento della capacità critica. Quindi io consiglio libri non giuridici ma di analisi sociologica di quello che stiamo vivendo. Io ho letto “Giovani e social network. Emozioni, costruzione dell’identità, media digitali“, ma (purtroppo) la scelta è amplissima.