13 Mag “VITA DA PRIVACYISTA” PUNTATA 16 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA” – Sedicesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…
- Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Lucio Scudiero, avvocato, docente a contratto presso l’Entrepreneurship and Innovation Law Lab dell’Università di Torino. Agli amici spesso dico che voglio diventare presidente di un’autorità portuale nel Sud Italia. È uno scherzo ma un po’ ci spero.
- Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?
Ho iniziato presto, rispetto al tempo della consacrazione di questo diritto al mainstream dei servizi legali, e un po’ per caso. Era il 2008, il mio terzo di anno di università, quando ho incrociato il nucleo fondatore dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati. Va da sé che della materia non avevo mai sentito parlare in facoltà (a Napoli). Mi ci sono avvicinato con curiosità e trainato dall’ideologia: questo diritto mi appariva come la continuazione del liberalismo con altri mezzi; dopotutto difendeva un’istanza di libertà individuale. Da lì lo studio dei primi temi, qualche articolo, uno schema di certificazione per i siti di e-commerce, rappresentato da un bollino: Friends of Privacy. Poi la pratica legale, intervallata da qualche attività di analisi tecnico giuridica a supporto del legislatore: in quegli anni lavoravo con un gruppo di parlamentari che alla Camera dei Deputati supportava la riforma del telemarketing tradottasi nella prima istituzione del registro pubblico delle opposizioni. A queste esperienze sono seguiti alcuni anni all’estero, con una traineeship allo European Data Protection Supervisor dove Giovanni Buttarelli era – ai tempi – assistant supervisor. Al rientro in Italia la protezione dei dati personali era la mia occupazione esclusiva.
- Cosa ti annoia della privacy/data protection?
La compliance, il project management, il suo utilizzo politico in chiave protezionistica.
- Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Gli anglicismi – nel mondo degli affari in generale – sono spesso una manifestazione di provincialismo evitabilissima. Lungi da me ogni attitudine sciovinista, ma l’italiano è una lingua abbastanza ricca da poter descrivere, raccontare e trasformare anche il campo semantico della protezione dei dati personali.
- Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Penso che la privacy, intesa come difesa di un certo nucleo di connotati della personalità, in primis la reputazione, interessi alle persone. D’altra parte viviamo immersi in una dimensione digitale nella quale a dominare è il paradigma performativo-prestazionale, nel quale esibiamo noi stessi nella misura in cui riteniamo sia utile a catturare l’attenzione altrui. Se qualcosa o qualcuno “buca” questa finzione, smascherandoci, e così facendo buca l’idea di controllo che abbiamo sulla proiezione di noi stessi, allora ci interessa. Per altro, francamente, non vedo istanze sociali di “privacy” rilevanti. Il che non vuol dire che non reputi necessario la difesa del diritto alla privacy quando è funzionale a proteggere o abilitare l’autodeterminazione delle persone nell’esercizio di diritti fondamentali, quali ad esempio quelli politici, messi a rischio dalla manipolazione delle opinioni pubbliche nell’infosfera, quello alla salute, sfidato sempre di più dalla saldatura tra tecnologie, neuroscienze, biologia, e medicina, o quello al lavoro, che è in una relazione molto problematica con le opportunità di riorganizzazione, efficientamento e sostituzione garantite dallo sviluppo tecnologico. In questa prospettiva, teleologica, di abilitazione all’esercizio di diritti di rango superiore, la protezione dei dati personali può essere un diritto fondamentale; svincolata da essa, non lo è.
- Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Mi sembra già difficile spiegarla agli insegnanti, figuriamoci ai bambini. Ecco, la spiegherei agli insegnanti e ne delegherei a loro la traduzione ai bambini.
- L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?
L’abolizione del Privacy Shield con una sentenza che ha preteso che fossero gli operatori economici ad assumersi la responsabilità di effettuare valutazioni di rischio “politico” per dei trasferimenti peraltro inevitabili, data l’interconnessione economica e tecnologica con il mercato americano dei servizi digitali. L’ho trovata ingiusta e vessatoria, l’abdicazione dell’Europa alla propria sovranità (e responsabilità) sulla politica commerciale, anziché il contrario.
- L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?
Vado controcorrente: la pandemia, perché è stato il momento in cui questa disciplina ha guadagnato il maggiore spazio di sempre nella determinazione di politiche pubbliche connesse alla tutela di un diritto di rango primario, quello alla salute collettiva. La pandemia è stato il primo grande banco di prova per il GDPR e il sistema di valori che promuove e protegge: tutto sommato ha retto ed è entrato anche nello strumentario dei legislatori nazionali.
- I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Né l’uno né l’altro, un fenomeno di mercato destinato a trovare un equilibrio tramite il meccanismo dei prezzi.
- I dati personali sono monete?
No, ma non sono scarsi e nemmeno infungibili, come pretenderebbe l’interpretazione ufficiale della disciplina di settore. Ne deriva che, fuori dai casi in cui la protezione dei dati personali è un elemento abilitante di diritti di rango superiore, ne andrebbe incoraggiato anziché ostacolato l’utilizzo consapevole in chiave transattiva: per quale ragione si ritiene necessario impedire a imprese e consumatori lo scambio economico di informazioni che, fuori da quella specifica transazione, non varrebbero nulla e invece in quella transazione specifica varrebbero qualcosa, come uno sconto sul prezzo di un bene o servizio o addirittura la loro gratuità? Accettare questo scambio regolarizzerebbe il “mercato nero” dei dati personali, nel senso che renderebbe esplicite, manifeste e legali transazioni che spesso comunque avvengono all’insaputa dei consumatori. Oppure, visto da una prospettiva rovesciata, accettare che la “privacy” e i “dati personali” hanno un valore economico, potrebbe aiutare a trovare un modello commerciale alternativo a quello che regge l’economia digitale oggi, un modello nel quale possono farsi spazio imprese che offrono la privacy come servizio a valore aggiunto, a pagamento.
- Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?
Dipende dal se l’impresa sanzionata è mia cliente. Scherzi a parte, sicuramente non esulto. Più spesso mi preoccupo, sia perché trovo che il GDPR dia alle autorità una discrezionalità che è ai limiti dell’arbitrio (fateci caso: nelle contestazioni di violazione c’è quasi sempre quella sui principi, che sono più difficili da ribaltare in sede di impugnazione) e in più i provvedimenti sono poco intelligibili, anche per i tecnici: trovo sbagliato per esempio che non forniscano il dettaglio dei singoli importi sanzionatori divisi per violazione riscontrata. Sull’altro versante, quello delle imprese, certe sanzioni mi preoccupano perché fanno emergere la sciatteria e un certo rifiuto della complessità digitale che trovo, ahimè, fortemente rappresentativi del declino economico del nostro paese.
- Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?
Sì, ma sono più importanti le modalità e i tempi di resa delle informazioni.
- Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
No, andrebbe cambiata la norma per semplificarne il contenuto. Altrimenti continueremo a trovarci di fronte ad un atteggiamento schizofrenico, per cui le autorità da un lato sponsorizzano i contest per la semplificazione creativa delle informative e dall’altro continuano ad elevare sanzioni se nei testi di informativa manca questo o quell’elemento di dettaglio. E poi l’attenzione al dettaglio dei contenuti delle informative toglie spazio a quella che sarebbe invece la vera questione da affrontare, e cioè quella delle modalità e dei tempi di resa delle informative. Avere un’informazione tempestiva (just in time) e facile da metabolizzare (per icone o altro) servirebbe molto meglio la causa della trasparenza e della riduzione delle asimmetrie informative di un’informativa in cui è scritto formalmente tutto senza che significhi niente. Ammesso che sia possibile ridurre le asimmetrie informative nel mondo delle “scatole nere” e dell’intelligenza artificiale che ridisegna confini e linguaggi della vita.
- Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Talvolta, ma solo se penso che possano offrirmi spunti sul piano professionale. Altrimenti ho sempre di meglio da fare.
- DPO più top manager o più mini-garante?
Hai presente il ruolo del navigatore nelle corse di rally? Fa da radar al pilota, gli anticipa i pericoli nei tratti a scarsa visibilità, controlla il rispetto dei tempi. Ecco, il DPO è più un navigatore.
- Un tuo consiglio di metodo a un giovane DPO.
Guardarsi bene dalla tentazione di agire da freno forte e impulso debole. I processi di innovazione o si guidano o si subiscono. Meglio guidarli, dando loro l’impulso.
- L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Falso. Diciamo che le regole dell’Unione sono quasi sempre un’alternativa migliore delle regole ancor più insensate e protezioniste che avremmo altrimenti a livello nazionale. E’ più un problema culturale che è poi la conseguenza dell’esaurimento del ruolo di leadership storica di questa nostra parte di mondo. Si vive troppo bene qui per rischiare (la provocazione è voluta).
- Il GDPR è al passo con l’Intelligenza Artificiale e il metaverso?
È senza dubbio il codice di diritto positivo più attrezzato al confronto con l’una e con l’altro. Non so se basta, tuttavia.
- Tra dieci anni: protezione dei dati o protezione degli effetti personali?
Bella domanda. Secondo me fra dieci anni cominceremo a discutere di come proteggere il linguaggio umano da quello delle macchine che ridisegnano il mondo. Quindi degli effetti personali, direi.
- Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Innanzitutto, non consiglierei manuali o monografie a tema privacy. Quelli aiutano sul lavoro ma sono meno utili al tentativo di sintesi personale che tutti dobbiamo sforzarci di compiere rispetto alla contemporaneità. Ai tecnofili consiglierei “Tecnologie Radicali”, di Adam Greenfield; ha qualche anno ma racconta molto bene e con uno stile tra l’inquietante e l’affascinante i trend tecnologici in cui siamo immersi. Agli appassionati di storia “Sapiens”, di Harari, offre un’agevole retrospettiva sulle ragioni del nostro successo come specie e qualche interrogativo utile sul nostro futuro. Per chi vuole prenderla con filosofia “Dominio e Sottomissione”, di Remo Bodei, indaga il tema della schiavitù e della sottomissione da Aristotele all’Intelligenza Artificiale.