28 Lug “VITA DA PRIVACYISTA” PUNTATA 27 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA” – Ventisettesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperta di questa settimana è…
- Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Melissa Marchese, avvocato e consulente a tempo pieno. Titolo desiderato Ricercatrice.
- Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?
Ho iniziato ad occuparmi di privacy e protezione dei dati nel giurassico della privacy, con la L. 675/96, grazie alla lungimiranza del mio primo dominus. La sua passione, la sua conoscenza e soprattutto la voglia di creare strumenti nuovi di compliance, a quei tempi davvero all’avanguardia rispetto sia alle richieste del mercato che del legislatore, sono state per me di grande stimolo ed ispirazione. Da allora non ho più smesso.
- Cosa ti annoia della privacy/data protection?
Sono allergica agli adempimenti burocratici e ai nozionismi, agli approcci basati non sull’analisi concreta ma sulla produzione di carta, quale requisito utile ad evitare sanzioni e rispettare il principio di accountability. Mi annoia la sovrapproduzione normativa e trovo invece irritante la pedanteria sterile nello svolgimento degli audit.
- Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
A volte evitabili. Seppur sia innegabile che vi sono parole inglesi che per alcuni interlocutori in modo più chiaro ed immediato richiamano alla mente concetti e/o adempimenti. E se è questa la funzione degli anglicismi allora perché non utilizzarli.
- Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Mi piacerebbe poter sostenere che la privacy sia pop, ma ho l’impressione che alle persone non interessi realmente seppur ultimamente si è avuto modo di apprezzare una maggior conoscenza (non consapevolezza) rispetto a questi temi.
- Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Cercando di mettermi nei loro panni, proponendo loro esempi basati sul loro quotidiano. Ma sappiamo tutti che i bambini apprendono per emulazione e quindi buona parte della consapevolezza non potrà che derivare dal modello familiare.
- L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?
Cambridge Analytica e la gestione dei dati durante la pandemia.
- L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?
Il momento in cui si troverà una soluzione razionale e non demagogica al trasferimento dei dati personali al di fuori dei territori Europei.
- I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Un bene perché risponde ad una esigenza del mercato e quindi ad una maggior attenzione da parte delle aziende ai temi privacy ma anche un male se questo si traduce in approssimazione.
- I dati personali sono monete?
A mio parere è maggiormente aderente all’intero impianto normativo e regolamentare europeo, includendovi anche la Convenzione europea sui diritti dell’uomo, parlare di valorizzazione dei dati personali piuttosto che di monetizzazione degli stessi. Sostenere che i dati siano “monete” potrebbe portare a conseguenze abnormi sul piano sociale, facendo sì che la privacy e la tutela dei dati si trasformi in un diritto elitario, riservato a solo a coloro che possono economicamente permetterselo.
- Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?
Mi preoccupa l’entità delle sanzioni, la differenza di approccio tra le diverse autorità europee, le classifiche per numero ed entità di sanzioni comminate dalle autorità, l’assenza di criteri di calcolo. Nello stesso tempo mi rattristano i commenti esultanti che troppo spesso leggo su vari canali a fronte di sanzioni elevate. Mi preoccupano le misure correttive individuate nei provvedimenti sanzionatori che spesso vengono rivalutati in sede di “impegni” presi con la società contravventrice, e che non sono mai resi pubblici, come invece avviene per altre autorità di controllo. Mi rattrista la modalità con cui generalmente sono affrontate le violazioni cioè con una logica prettamente punitiva e poco costruttiva, dimenticando tutti che la sanzione non è altro che l’espressione di un fallimento, non solo dell’azienda che lo subisce.
- Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?
In alcuni casi funziona mentre in altri sicuramente no, generando un processo farraginoso e poco tutelante per gli interessati.
- Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Onestamente non credo sia possibile. L’art. 13, con il suo articolato contenuto, è difficile da esprimere in modo sintetico, chiaro e completo. In alcuni casi l’Autorità ha richiesto, oltre ai requisiti del GDPR, anche l’inserimento di specifiche ulteriori (es. nel caso delle informative sul “ricontatto”).
- Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Generalmente sì, mi soffermo soprattutto sugli aspetti che mi interessano maggiormente quali finalità, comunicazione e trasferimento dei dati oltre che sui criteri della conservazione.
- DPO più top manager o più mini-garante?
Nessuno dei due in modo assoluto, ma dovendo scegliere propendo per il top manager.
- Un tuo consiglio di metodo a un giovane DPO.
Ascolta, domanda, studia. Guardare il processo nel suo insieme e non porre attenzione esclusivamente al micro-pezzettino che ti mettono davanti agli occhi. La visione organica è necessaria per arrivare al particolare, al dettaglio. E’ senza dubbio più faticoso, ma nel contempo appagante
- L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Trovo eccessiva la produzione regolamentare e legislativa degli ultimi anni ma non credo che questo sia in grado di frenare l’innovazione.
- Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?
Solo parzialmente. Anche perché in questi ambiti la tutela delle informazioni non è l’unico aspetto da valutare: basti pensare al tema della responsabilità, all’imputabilità di una azione prodotta da una macchina etc.
- Tra dieci anni: protezione dei dati o protezione degli effetti personali?
Forse “protezione dell’identità personale”.
- Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
L’elenco è lungo ma indicherò solo le ultime letture: “Codice della privacy e data protection” a cura di R. D’Orazio, O. Pollicino, G. Resta e G. Finocchiaro. Perché è un manuale completo, ricco di rimandi giurisprudenziali e riflessioni dottrinali “Decisioni algoritmiche. Equità, causalità, trasparenza” di G. d’Acquisto. Perché nonostante la complessità dell’argomento, la lettura del testo solleva profonde riflessioni sui valori e sull’importanza dell’etica nei processi decisionali “umani” e come traslare i valori etici anche nei decisionali delle macchine.