15 Apr “VITA DA PRIVACYISTA” puntata 12 – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

“VITA DA PRIVACYISTA” – Dodicesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…

1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Diego Fulco, avvocato, direttore scientifico dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, docente a contratto all’Università IULM di Milano. Desiderio segreto: “scalare marcia”, cioè ridimensionare l’attuale impegno professionale legato a diritto, mercato e tecnologia e crearmi opportunità e spazi per un lavoro di scrittura, di divulgazione o di insegnamento legato a ciò che mi affascina: la narrazione, la messinscena, il sogno, il segno; quindi il romanzo, il teatro, il cinema, le arti figurative.

2. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Per puro caso, nell’autunno 1997. Vivevo ancora a Napoli e studiavo per magistratura, perché pensavo che vincere quel concorso mi avrebbe dato sicurezza economica e una carriera dignitosa. Però soffrivo, forse perché era finito per me il tempo di studiare a tempo pieno. Avevo consegnato una prova scritta, volevo lavorare e guadagnare un po’ in attesa dei risultati. Sparsi la voce fra i miei amici, pregandoli di farmi sapere se c’era qualche opportunità. Ero pronto a fare il liquidatore assicurativo, se necessario! Invece, un mio amico collaborava con lo Studio Imperiali, che da poco aveva iniziato ad assistere i clienti nell’adeguamento alla prima legge privacy italiana, la 675/1996. Mi disse: “i titolari stanno cercando qualcuno che faccia un po’ di ricerche giuridiche per un parere sull’applicazione della nuova normativa agli elenchi telefonici: se ti interessa vieni qui fra un’ora”. Fortunatamente c’era mia madre a casa, perché non mi ricordavo dove stava la giacca nell’armadio. Mi fiondai a fare il colloquio e andò bene. Fu uno dei giorni fortunati della mia vita.

3. Cosa ti annoia della privacy/data protection?

Più facile dire cosa mi diverte: l’applicazione caso per caso dell’art. 5 del GDPR, i test di legittimo interesse, quelle DPIA dove posso analizzare l’impatto del trattamento su diritti e libertà differenti dalla protezione dei dati personali, la stesura di memorie in procedimenti sanzionatori. In definitiva, mi diverte soltanto ciò che lascia un po’ di spazio alla creatività. Mi sta stretto ciò che è legato a mappature, censimenti, verbali, applicazione di standard metodologici. Mi annoiano l’illusione europea di rendere il nostro mercato competitivo con gli altri tramite una regolazione capillare, l’approccio protezionistico alla circolazione dei dati personali extra UE (quasi un dazio sui dati personali alla dogana europea), l’eccesso di registri, un sistema sanzionatorio che sembra fatto per foraggiare le casse statali senza dare reali benefici agli interessati, un diffuso conformismo nell’interpretazione che poi è tipico delle materie in cui ci sono Autorità di controllo.

4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

In una materia che viene dal mondo anglosassone e che è apparentata alla globalizzazione e all’evoluzione tecnologica, qualche anglicismo è inevitabile. L’importante, per me, è non usare gli anglicismi come una cortina fumogena con cui celare un pensiero unico, o come una sottile intimidazione verso chi non appartiene al nostro settore. Io mi sforzo sempre di spiegare i concetti in italiano, perché penso in italiano e se li declino in italiano mi suonano più autentici.

5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

Venticinque anni fa, quando ho iniziato, se mi trovavo a una festa o a una cena o in un treno e dicevo a persone con cui chiacchieravo per la prima volta che mi occupavo di privacy, mi guardavano come un marziano. Li stupiva che si potesse campare di questo! Adesso, mi guardano con curiosità o con interesse, come uno che può dargli dritte su come tutelarsi o rivelargli qualcosa che è dietro le quinte dell’innovazione. Nessuno, però, crede che la conformità sia la salvezza. Celentano direbbe che la protezione dei dati personali è “rock”, la compliance è “lenta”!

6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

I nativi digitali hanno una curiosità innata per queste cose, sono competenti. Basta scegliere come esempio Tik Tok, partire dalle tracce che lasciano quando usano i tablet e gli smartphone ed è fatta.

7. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

In Italia, adesso. Per contrastare la pandemia, ci si è dimenticati che la vera privacy è quella nel rapporto fra cittadino e Stato. Temo, però, che il nostro Paese farà scuola in Europa. In un tempo di guerra (oggi) e di forte instabilità sociale (domani), potrebbero arrivare altre deroghe e forzature.

8. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

Gli ultimi anni di applicazione della direttiva 95/46/CE. C’era un buon equilibrio fra armonizzazione europea e personalizzazione nazionale anche nelle interpretazioni e nelle buone pratiche, c’erano già indirizzi normativi avanzati sulle tematiche in cui la posta in gioco è alta, c’era più flessibilità in modelli organizzativi e soluzioni gestionali, non esisteva ancora l’equazione secondo cui qualsiasi non conformità è passibile di sanzioni pecuniarie. Da passatista, andrei ancora più a ritroso: il codice privacy italiano prima edizione (2003) era un gioiello. Però devo ammettere che Giovanni Buttarelli, che pure lo aveva scritto e ne era fiero, non sarebbe d’accordo.

9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Tutto sommato, un bene, almeno finché ce n’è per tutti. Mi piacerebbe però che la privacy venisse scoperta dagli avvocati, da quelli che assistono consumatori e utenti.

10. I dati personali sono monete?

Se vogliamo essere realisti, dobbiamo rispondere di sì. L’economia digitale è economia del baratto. Inutile contrastarlo o illudersi che possa non essere così. Bisogna rendere migliore la trasparenza (anche con soluzioni di legal design), potenziare il controllo degli interessati sui loro dati personali (anche con soluzioni di legal tech), fare funzionare finalmente la portabilità.

11. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Talvolta le imprese se la cercano, ma non riesco ad esultarne. Mi intristisce che le sanzioni dure vengano fatte passare per conquista civile: sono il sintomo di un fallimento, dell’inconciliabilità fra la competizione di mercato e l’ambizione di spinte legislative (come la concorrenza nei settori dell’energia e della telefonia) da un lato, e il perfezionismo e l’intransigenza del GDPR dall’altro. Dopo avere pagato le sanzioni, molte di quelle imprese ricominciano a violare le norme perché non hanno alternative, e l’interessato non ottiene ristoro. È vero, però, che nelle sanzioni c’è una componente di dissuasione che aiuta noi consulenti a convincere i nostri clienti a essere più saggi.

12. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

Il consenso mi convince quando la posta in gioco per l’interessato lo giustifica e quando si pone l’interessato in condizione di capire, di pensarci, di decidere. Summus consensus, summa iniuria.

13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Io ci ho provato mille volte, qualche volta con discreti risultati. Però, giacché mi chiedi sincerità, ti rispondo che non capisco perché su tutto debba valere l’accountability, mentre in un’informativa sia sempre e comunque obbligatorio affrontare tutti i capitoli dell’art. 13 o dell’art. 14 del GDPR.

14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Non le leggo mai! L’ultima cosa che farei è contestare a qualcuno di avermi reso un’informativa incompleta. Potrei avere la curiosità professionale di come evolve lo stile di scrittura delle informative, ma non mi verrebbe certo per siti o app che uso personalmente.

15. DPO più top manager o più mini-garante?

Mini-garante, mai. Consulente direzionale del top management e facilitatore degli interessati.

16. Un tuo consiglio di metodo a un giovane DPO.

Da un lato, aprirsi alla mentalità dell’organizzazione, conoscerne il gergo, rispettarne le esigenze; dall’altro, salvaguardare la propria autonomia di giudizio e di pensiero, considerare gli eventuali “no” che si dicono al Titolare come un onore che gli si rende, come un gesto di lealtà.

17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Vero, soprattutto perché alcune di queste regole sono in contraddizione fra loro, o velleitarie.

18. Il GDPR è al passo con l’Intelligenza Artificiale e il metaverso?

Secondo me, sì. Nel GDPR queste parole non compaiono, eppure la griglia di principi del GDPR funziona. L’art. 5 del GDPR è un passe-partout. Forse, l’unico aspetto su cui sarebbe utile un ripensamento è il concetto di anonimizzazione così come declinato e interpretato attualmente.  Bisognerebbe avere il coraggio di sdoganare l’idea che se risalire alle identità delle persone è troppo costoso, complesso e inconferente all’obiettivo, i dati sono di fatto anonimi.

19. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Magari, protezione degli affetti personali, visto che la robotica imperverserà! Se dipendesse da me, punterei tutto sulla protezione dell’identità personale, concetto magico che c’era nel “vecchio” codice privacy e che almeno sul piano del testo normativo è stato smarrito.

20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Tutti faremmo bene ad avere sul tavolo il Dizionario Legal Tech a cura di Giovanni Ziccardi e Pierluigi Perri della Giuffrè Francis Lefebvre: completo, maneggevole, affidabile. A chi si avvicina alla privacy perché ama ciò che fa “bip” suggerirei un classico di Rodotà del 1995: “Tecnologie e diritti”, edito da Il Mulino. Qualsiasi avvocato che si trovi ad assistere i clienti in procedimenti sanzionatori in materia di protezione dei dati personali dovrebbe conoscere i saggi di Francesco Modafferi sull’argomento: un vero must. A chi viene da studi giuridici, consiglio un fascicolo della serie Compliance della Giuffrè: “Il Modello organizzativo privacy” di Monica Perego, Simona Persi e Chiara Ponti, perché è utile, concreto, ed ha un ottimo rapporto qualità/prezzo.