“VITA DA PRIVACYISTA” PUNTATA 25 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

“VITA DA PRIVACYISTA” – Venticinquesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…

  1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Massimiliano Nicotra, avvocato, Senior Partner di Qubit Law Firm – nerd del diritto.

  1. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Iniziai ad occuparmi di privacy nel 1996 quando ero ancora un praticante. A quei tempi ero nello studio del prof. Renato Clarizia e mi ricordo ancora quando entrò nella nostra stanza dei praticanti mettendoci sul tavolo la bozza della legge 675/1996 dicendoci “ragazzi questa dovete studiarla bene perché ci lavoreremo molto”. Devo dire che in effetti fu di parola, perché negli anni successivi ce ne occupammo intensamente in studio, soprattutto in favore dei clienti del settore bancario e finanziario.

  1. Cosa ti annoia della privacy/data protection?

Una delle cose che mi annoiano maggiormente è l’interpretazione eccessivamente ortodossa che alcune volte viene proposta della norma, con due atteggiamenti abbastanza comuni pur se distanti tra loro. Il primo è l’uso politico della norma che ne viene fatto dalle istituzioni: sotto la copertura della tutela del diritto fondamentale in realtà spesso si celano ragioni che con gli interessi dei singoli hanno poco a che vedere. Il secondo è dalla pratica quotidiana in cui molte discussioni si risolverebbero con un approccio più sostanziale e funzionale, mentre spesso si cavilla sulle virgole.

  1. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

Personalmente non sono contrario agli anglicismi. Alcune parole inglesi spiegano in maniera concisa dei concetti che in italiano sarebbero meno efficaci (visto anche il peccato originale che abbiamo nella nostra disciplina con la traduzione della definizione di “responsabile”, la cui definizione in inglese, ad esempio, rende molto meglio l’idea del ruolo).

  1. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

Sicuramente il tema della privacy sta sempre più diventando sentito dalle persone, soprattutto in conseguenza del maggior uso che viene fatto di applicazioni, social etc. D’altra parte, in tutta sincerità, trovo che l’impianto della disciplina abbia delle storture in senso troppo “paternalistico”,  perché l’enfasi è tutta spostata sul potere sanzionatorio delle Autorità di controllo mentre il singolo, dal canto suo, ha pochi strumenti di tutela economica del suo diritto (soprattutto pensando alle pronunce della Cassazione che limitano la risarcibilità del danno non patrimoniale). Forse anche questo non aiuta a far diffondere tra le persone una sensibilità alla tematica.

  1. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

A mio figlio (che ha appena finito le elementari) dico sempre che c’è una legge che gli consente di “far fuori gli impiccioni” anche online.

  1. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

Ci sono alcuni temi ricorrenti che nel corso di questi ultimi 10 anni mi hanno molto colpito e che reputo ore buie della privacy, ma soprattutto i vari tentativi di introdurre norme che limitano l’uso della crittografia e l’utilizzo troppo vasto di trojan e app da parte delle forze dell’ordine per intercettare (ma forse sarebbe meglio dire “spiare”) alcune persone.

  1. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

Indubbiamente il 25 maggio 2018. L’entrata in efficacia del Regolamento è stato il momento più “alto” di questi ultimi 10 anni nel nostro settore, perché, pur con tutte i miglioramenti di cui è suscettibile, ha alzato il livello di attenzione sulla materia ed introdotto anche nuovi concetti ed un impianto molto più adeguato- anche se migliorabile – alle varie evoluzioni tecnologiche che si sono susseguite proprio in questi 10 anni.

  1. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Il Regolamento ha creato più domanda di figure professionali specializzate e che nuove persone si formino in tal senso è sicuramente un bene. Quello che mi auguro è che tutti questi nuovi consulenti non vedano la materia solo come un “documentificio” e comprendano che è fatta di sfumature, approfondimenti e aggiornamenti che è necessario padroneggiare nel tempo.

  1. I dati personali sono monete?

Personalmente mi piacerebbe che lo fossero. Ritengo che i dati personali non siano altro che elementi della nostra identità, la quale non è una ma effettivamente si moltiplica. La filosofia Pirandelliana oggi trova nel mondo digitale molta più possibilità di realizzarsi: quello che è ricollegato al mio account Facebook (quindi la mia identità “facebookiana”) non è uguale a ciò che è collegato su Amazon (la mia identità “amazoniana”) e così via per i vari servizi che utilizzo. Ciò comporta anche che diversi saranno i dati personali sulle varie piattaforme le quali avranno esigenze di raccogliere informazioni non sempre coincidenti e non vedo il motivo per cui io non possa monetizzare il dato personale su una specifica piattaforma che potrà essere diverso da quello utilizzato da un’altra. D’altra parte, negare la “commerciabilità” del dato personale porta a conseguenze che in alcuni casi tutelano ancor di meno il singolo: pensiamo a Netflix dove non solo pago il servizio ma il mio dato personale viene utilizzato per migliorarlo. Se potessi “monetizzare” quell’utilizzo del mio dato personale da parte della piattaforma sicuramente ne trarrei vantaggio rispetto al solo poter oppormi al trattamento (ed avere, oltretutto, un servizio peggiore perché non personalizzato).

  1. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Mi preoccupo per due motivi: il primo è che sono fermamente convinto che il meccanismo sanzionatorio introdotto con il Regolamento sia eccessivamente aleatorio e discrezionale, il secondo è che ciò può essere un forte disincentivo ad effettuare investimenti nella zona europea.

  1. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

Probabilmente già anche prima del “tutto digitale” non era una così buona idea e l’uso massivo di app, smartphone, tablet, etc. ha solo accentuato il problema. Questo perché, anticipando anche la risposta successiva, il consenso raggiunge il suo scopo quando è “informato” – presupponendo che l’utente sappia a cosa sta dando il proprio consenso – ed è evidente che nel mondo digitale è molto difficile che qualcuno legga effettivamente le informative (ma, d’altronde, chi ha mai letto il contratto di conto corrente bancario prima di firmarlo?).

  1. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Sai che abbiamo svolto un’iniziativa con i Legal Hackers Roma di un hackathon proprio sul legal design e la semplificazione delle informative. Io penso che sia possibile semplificarle, ma dovremo necessariamente trovare nuovi strumenti per comunicarle. Non possiamo più pretendere o immaginare che nel mondo di TikTok e Instagram le persone leggano (o scrollino su schermi di smartphone) decine di pagine di contenuti, perché non è realistico. Un’idea potrebbe essere di imporre di rendere un’informativa sintetica, magari anche ammettendo strumenti di comunicazione analoghi a quelli che sono usufruiti dagli utenti (se sei una piattaforma social online). Esiste anche una teoria negli Stati Uniti che è quella della “privacy in context”, molto interessante, che afferma di graduare gli adempimenti e le informazioni sulla base del contesto in cui l’utente si trova. Sicuramente sul tema c’è bisogno di un’evoluzione, magari anche prendendo spunto dalla normativa di trasparenza bancaria e finanziaria che da anni oramai ha introdotto dei modelli documentali, come i prospetti informativi, con cui sono standardizzate le informazioni da rendere (con il pregio che il consumatore in questo caso conosce più agevolmente la parte del documento in cui reperirle).

  1. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

In realtà no. Diciamo che applico una lettura selettiva, ossia per quelle app e siti che intuitivamente sono più “pericolosi” vado ad approfondire mentre per quelli più “fidati” non mi pongo il problema.

  1. DPO più top manager o più mini-garante?

Direi più consulente vicino ad una mentalità manageriale. Ho sempre interpretato la figura del DPO come supporto alle decisioni del titolare e non come un sorvegliante.

  1. Un tuo consiglio di metodo a un giovane DPO.

Posso consigliare a un giovane DPO di approfondire e studiare con senso critico, partendo comunque dal testo normativo. Vedo molto spesso persone che si limitano a leggere un articolo e guardare un video appiattendosi sulla “notizia del momento”. Invece bisogna sempre partire dal dato normativo e dalla giurisprudenza, come i buoni avvocati ben sanno, per poi cercare di inquadrare la fattispecie nella corretta maniera. Altro suggerimento riguarda i provvedimenti delle Autorità sui quali vorrei ricordare che contengono indicazioni e chiarimenti sull’interpretazione normativa, senza però dimenticare che anche questi provvedimenti possono essere sottoposti al vaglio della giurisprudenza ordinaria, la quale in alcune ipotesi ha fornito proprie interpretazioni autonome.

  1. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Vero. Ho scritto recentemente un articolo su Agenda Digitale proprio su questo tema, ripercorrendo le varie proposte (DMA, DSA, AIA, Data Governance, etc.) che la Commissione ha proposto. A mio parere si rischia un eccesso di regolamentazione nonché un non completo allineamento tra le disposizioni, che potrebbe avere l’effetto di rendere incerta la disciplina applicabile. Mi ricorda un po’ la vicenda italiana del Codice dell’Amministrazione Digitale, che fu realizzato proprio per evitare questi rischi.

  1. Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?

Probabilmente non lo è. Vero che la parte introduttiva del GDPR contiene dei principi tendenzialmente adattabili all’evoluzione tecnologica, ma d’altra parte una “legislazione per principi” non è la migliore possibile, in quanto troppo liberamente interpretabile da chi la deve applicare. Ancor di più il difetto di impostazione si nota in altre nuove tecnologie (penso a blockchain e DLT) dove emerge chiaramente che il GDPR ha una concezione informatica “a silos” e poco si adatta a sistemi distribuiti e decentralizzati.

  1. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Mi piacerebbe che si riesca a trasformare il concetto di “protezione” in “controllo” – nel senso romanistico del termine – proprio per epurare questo diritto dalla concezione paternalistica cui accennavo prima.

  1. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Non riesco a limitarmi a un titolo, quindi te ne propongo tre: il primo è il tuo libro “Follia artificiale”, perché fornisce uno spaccato di quello che sarà il futuro digitale e contiene delle metafore (come quella dello sciame di algoritmi) che rendono in maniera chiara concetti molto complessi. Il secondo testo è “Life after Google”, di George Gilder perché analizza in maniera specifica i problemi tecnologici ed economici dell’attuale modello di business della rete e suggerisce delle soluzioni, tra cui la tecnologia blockchain, che a mio parere saranno determinanti nel futuro. Il terzo è un testo particolare dal titolo “Il rovescio del diritto – vol. 1” di Francesco Galgano (oggi è possibile acquistare il libro completo che si intitola “Tutto il rovescio del diritto”). Ho avuto occasione di leggerlo quando ero ancora un giovane praticante ed oltre ad essere spassoso nelle parti in cui compara la tradizione popolare dei proverbi con i principi di diritto nel nostro ordinamento, apre la mente ad un pensiero giuridico per così dire laterale e fuori dagli schemi, che secondo me è fondamentale per poter affrontare i cambiamenti di regole giuridiche che ci pone l’evoluzione tecnologica.