“VITA DA PRIVACYISTA” PUNTATA 31 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

“VITA DA PRIVACYISTA” – Trentunesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…

  1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Paolo Balboni, Founding Partner di ICTLC (ICT Legal Consulting e ICT Cyber Consulting) e Professore di Privacy, Cybersecurity & IT contract law allo European Centre on Privacy and Cybersecurity (ECPC) Facolta’ di Legge Maastricht University (Olanda) anche se il mio ruolo desiderato sarebbe stato “Comandante delle Frecce Tricolore” 😉

  1. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Per caso, nel 2002, quando seguii alla Tilburg University (Olanda) una lezione di Privacy del Prof. Paul de Hert (allora uno studente di Dottorato/PhD) che mi interessò particolarmente, successivamente perseguii un Dottorato/PhD in ICT Comparative Law per poi iniziare le mie esperienze in grossi studi internazionali tra Milano e Amsterdam. Nel 2011, poi, Luca, sai cosa abbiamo fatto insieme 😉 … ho infatti fondato con l’intervistatore ICT Legal Consulting e il resto è storia!

  1. Cosa ti annoia della privacy/data protection?

In maniera “scorretta”, e mi collego alla prossima domanda, manipolo e anglicizzo la parola annoia in “annoy”; quindi, cosa mi infastidisce della privacy/data protection: beh, mi infastidisce molto la incrementale e sempre più diffusa strumentalizzazione del diritto alla protezione dei dati – c.d. “weaponization of privacy” – per fini che nulla hanno a che fare con il cuore del diritto tutelato, es. per servire scopi demagogico-politici, influenzare dinamiche di concorrenza, eccetera.

  1. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

Ho già in qualche modo anticipato la risposta abusando di un anglicismo; quindi, la mia risposta politicamente NON corretta è: They are inevitable 😉 Scherzi a parte, la protezione dei dati personali è intrinsecamente legata all’IT (altro anglicismo) e alla cybersecurity (idem!). In IT e cybersecurity, la lingua di comunicazione è l’inglese. Quindi, in un certo qual modo, è inevitabile il corrente uso di anglicismi per discutere di questa materia. Colgo inoltre l’occasione per rivolgermi ai più giovani che si occupano o si approcciano alla privacy, per ribadire che è fondamentale un’ottima conoscenza dell’inglese perché questa materia si sta globalizzando ed è necessario poter leggere, studiare ed esprimersi in una lingua che permetta di apprendere e scambiare idee su una dimensione internazionale.

  1. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

Ci sono vari studi scientifici che confermano che in teoria la privacy sta a cuore alle persone, ma questo non è direttamente riflesso nelle loro azioni pratiche. Lo si può notare da consensi cookie e marketing forniti frettolosamente e in maniera non informata durante le navigazioni. Un altro esempio è il comportamento sui social media, dove la volontà/necessità di essere presenti e attirare l’attenzione per far parte ed essere accettati dalla comunità di riferimento porta a condividere dettagli, informazioni, dati sempre più sensibili, nonostante la consapevolezza che questo possa ledere la propria immagine e quella degli altri, nonché esporre a rischi non solo reputazionali ma anche per l’incolumità fisica delle persone. Esattamente per questi motivi, ritengo che sia più utile fare in modo che, al di là del comportamento degli utenti, vi sia un approccio socialmente responsabile all’utilizzo dei dati da parte delle società, soprattutto da parte delle grandi digital corporation. A tal proposito, come professore all’Università di Maastricht (European Centre on Privacy and Cybersecurity – ECPC), ho lavorato negli ultimi 2 anni con Kate Francis (studente di Dottorato/PhD) a un progetto di ricerca (Developing a New Dimension of Data Protection as a Corporate Social Responsibility), a cui hanno partecipato anche diverse Autorità di controllo privacy – in qualità di Privacy Stakeholder – insieme a Business (imprese) e Inter-Governmental (organizzazioni intergovernative) Stakeholder, che è recentemente risultato nella pubblicazione della prima organica Data Protection As A Corporate Social Responsibility Framework al mondo.

  1. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

Solamente introducendo giochi istruttivi su privacy e cybersecurity già alle scuole elementari, quindi introducendo nei curricula scolastici una necessaria gamification di queste materie.

  1. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

I 4000 emendamenti alla proposta di GDPR, avanzati principalmente per affondare il progetto di riforma legislativa nel 2013. Senza un Rapporteur come Jan Philipp Albrecht, che si mise a lavorare strenuamente sui medesimi, per poi raggiungere un accordo sul testo finale il 15 dicembre 2015, il GDPR non avrebbe mai visto la luce! Se siete interessati a questa storia di negoziazioni, compromessi e bracci di ferro economico-politici, non perdetevi il documentario Democracy (qui il  trailer) cui ho partecipato anche io.

  1. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

Ora! Abbiamo infatti un sistema, impensabile anche solo 5 anni fa, che inizia a funzionare in termini di aumento di tutele per i soggetti interessati, di consapevolezza dell’importanza e del valore della protezione dei dati da parte delle imprese, di Autorità di controllo attive e impegnate non solo nell’applicazione ma anche nell’interpretazione e nella diffusione della cultura della tutela e della sicurezza dei dati.

  1. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Il mercato ha bisogno di numerosi profili competenti in materia di privacy e cybersecurity. Sottolineo: “competenti”! – perché queste sono materie complesse e collegate. Al di là dei numeri, credo che inevitabilmente il mercato farà la sua selezione – anzi vediamo che la sta già facendo.

  1. I dati personali sono monete?

Non penso sia corretto equiparare i dati a monete, ma hanno sicuramente un valore. Sul punto, ritengo che non ci sia nulla di male nel cercare di valorizzare i dati ma questo, a mio parere, deve operare sia a beneficio sia delle imprese sia dei soggetti interessati. Esattamente questa equazione, dove la valorizzazione dei dati lato imprese deve realizzare anche benefici per i soggetti interessati, è riflessa nel Principio 3 “Balance profit with the actual benefits for citizens” della Data Protection As A Corporate Social Responsibility Framework (p.33) che abbiamo creato con il mio gruppo di ricerca all’Università di Maastricht (European Centre on Privacy and Cybersecurity – ECPC).

  1. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Mah, diciamo che le sanzioni non mi procurano nessuna delle due sensazioni. Ne prendo atto, è parte del sistema che, come indicato in precedenza, sta iniziando a girare.

  1. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

No per nulla! Il consenso non è mai stato una buona idea. Ne capisco i fondamenti teorici ma in pratica non è mai stato un reale presidio di autodeterminazione dell’individuo, ma piuttosto un’agevole base giuridica per fondare i trattamenti da parte dei Titolari. Lo avevo già sostenuto con forza ai tempi della riforma GDPR in un paper del 2013 – Balboni, P. et al. (2013) Legitimate interest of the data controller New data protection paradigm: legitimacy grounded on appropriate protection, International Data Privacy Law. – che ho anche presentato in un evento al Parlamento Europeo ingaggiando (o meglio dire “infiammando”) un interessante dibattito con Autorità di controllo e altri stakeholder, lo potete vedere anche in una scena del documentario Democracy.

  1. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

I testi non possono funzionare! Con sincerità Luca: se non ti “pagano” nessuno legge le informative ;)!!! Penso che si possano passare i messaggi più rilevanti ai soggetti interessati nella forma di immagini, video e suoni. Ci abbiamo provato con il mio gruppo di ricerca all’Università di Maastricht (European Centre on Privacy and Cybersecurity – ECPC) sulla Data Protection as a Corporate Social Responsibility, sviluppando un set di icone per facilitare la comprensione sia degli elementi obbligatori di una informativa sia di trattamenti potenzialmente rischiosi per gli utenti (le puoi vedere nell’Annex A, p.58). Le nostre icone sono anche risultate vincitrici del contest “Informative privacy più chiare grazie alle icone? E’ possibile” indetto dall’Autorità Garante per la protezione dei dati personali in Italia! Le puoi vedere qui e scaricarle per usarle liberamente qui.

  1. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Non sempre. Estremizzando il concetto e con sincerità, come detto sopra Luca: nessuno le legge se non ti pagano per farlo!

  1. DPO più top manager o più mini-garante?

Nessuno dei due, il DPO deve essere un facilitatore di compliance privacy. Deve saper ascoltare i diversi stakeholder all’interno di una organizzazione, essere curioso di comprendere i dettagli di business e tecnici dei trattamenti di cui si occupa – per poi determinare correttamente le implicazioni e applicazioni giuridiche – essere un abile comunicatore, capace di interloquire con diversi livelli gerarchici e persone dai background, nazionalità e culture più disparati (specialmente nelle multinazionali o nelle organizzazioni internazionali). Inoltre, come insegniamo nel nostro corso Data Protection Officer (DPO) Certification all’Università di Maastricht (European Centre on Privacy and Cybersecurity – ECPC), un DPO deve applicare il cd. Janusian thinking. Giano Bifronte è spesso raffigurato con due teste, ciascuna rivolta in direzioni opposte. Il pensiero “gianusiano” si estrinseca nella capacità di considerare più prospettive contemporaneamente, nel riunire concetti apparentemente opposti, tenerli insieme allo stesso tempo, considerando le loro relazioni, somiglianze, pro e contro e interazioni, e quindi creare qualcosa di originale, innovativo e utile. Questo implica nuovi approcci innovativi non lineari, anziché l’applicazione a-critica di comprovati compromessi e soluzioni “standard”. Si pensi ai concetti apparentemente opposti di sviluppo di insight e knowledge (es. Big Data & Analytics) o anche di security (che spesso prevede possibili attività di monitoraggio e raccolta sistematica di numerosi informazioni/dati es. soluzioni di Data Loss Prevention – DLP) e privacy-data protection (es. proporzionalità, finalità, minimizzazione). Tali concetti, con un approccio fondato sul Janusian thinking, possono/devono essere riconciliati e coesistere attraverso l’applicazione di logiche di data protection/security by design.

  1. Un tuo consiglio di metodo a un giovane DPO.

Consiglio a un giovane DPO di essere aperto, curioso e sviluppare competenze multidisciplinari (non “silotiche” privacy) in IT, Cybersecurity, IP, Competition, contratti ad oggetto informatico, etc. Infatti, il diritto dei dati trascende dalla privacy e l’unico modo di comprenderlo e applicarlo correttamente è essere in grado di vedere le correlazioni e le implicazioni con altre discipline limitrofe e complementari. Inoltre, per operare ad alti livelli, è importante abituarsi a seguire e comprendere gli eventi politici, economici e legislativi che si sviluppano a livello europeo e anche internazionale. Infatti, il DPO devo comprendere il contesto macroeconomico, politico e di policy e legislation (making) in cui si muovono le organizzazioni a favore di cui opera. Infine, come indicato sopra: applicare il cd. Janusian thinking!

  1. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Tradizionalmente, l’Unione Europea ha una tendenza a sviluppare una maggiore regolamentazione rispetto ad altri Paesi. Per normare efficientemente la società e l’economia dei dati, ritengo occorra avere una maggiore velocità normativa: 4+ anni in media per completare una legge (vedi il GDPR, ma si avvia su quella strada anche la ePrivacy Regulation e probabilmente anche l’Artificial Intelligence Act) non è adeguato. Si rischia che una volta che una legislazione vede la luce sia già obsoleta. Inoltre, ritengo si debba regolare meno e meglio. Penso che per creare un sistema regolatorio che sia flessibile, efficace e tenda verso una dimensione globale occorra lavorare e codificare più a livello di principi, e lasciare la giurisprudenza e le Autorità di controllo precisare meglio l’applicazione di tali principi tenendo in considerazione – pro tempore – gli sviluppi tecnologici, economici e sociali. Anche forme di co-regolamentazione come i codici di condotta mi paiono pro-futuro sempre più rilevanti in questo settore.

  1. Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?

Il GDPR non è perfetto ma lo ritengo una solida base – se non interpretata e applicata con estremismo intellettuale – per affrontare AI e il Metaverso. Come precisato sopra, penso che siano e saranno sempre più determinanti le interpretazioni dell’Autorità di controllo nonché della Corte di giustizia dell’Unione Europea. Quello che temo, piuttosto, è il potenziale mancato coordinamento delle varie legislazioni e progetti legislativi in discussione che, via via, andranno a regolare la società e l’economia dei dati, ossia per es. DGA, DMA, DSA, AI Act insieme anche alle attuali e prossime regolamentazioni europee in materia di privacy e cybersecurity.

  1. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Tra 10 anni avremo la Meta-data protection ossia una disciplina di protezione dei dati che trascenderà l’individuo e si estenderà a forme virtuali, come estensione della persona, capaci di agire in parallelo all’individuo e formare una super-identità composita. Questa dovrà coesistere con forme di licenze (singole e collettive e, potenzialmente, su scala globale) di sfruttamento economico sui dati al fine di estrarne (/”monetizzarne”) il valore, sia per le imprese sia per gli individui. Quindi un sistema integrato, responsabile e coerente di Meta-data protection and valorization.

  1. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Digital Body Language: How to Build Trust & Connection, No Matter the Distance (Erica Dhawan), perché ora che la maggior parte delle comunicazioni sono online non ci si può improvvisare, se si vuole continuare ad essere efficaci nelle relazioni. L’abbiamo, infatti, anche recentemente regalato a tutti i professionisti del nostro Studio (ICT Legal Consulting) e ai cybersecurity advisor della nostra società di consulenza cyber (ICT Cyber Consulting).