“VITA DA PRIVACYISTA” PUNTATA 32 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

“VITA DA PRIVACYISTA” – Trentaduesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…

  1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Massimiliano Masnada, partner Hogan Lovells, Privacyista.

  1. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Il merito (o la colpa, dipende dalle prospettive) è stato di Stefano Rodotà. Nel lontano 1995 dovevo chiedere la tesi e durante un pranzo ad Orvieto per Umbria Jazz Winter lui mi consiglio di fare una tesi sulla “privacy”. Bene, dissi io. Che roba è? Lui mi diede da leggere alcuni suoi scritti che risalivano addirittura al 1984 quando era professore associato a Stanford. Mi appassionai e da lì è iniziato tutto.

  1. Cosa ti annoia della privacy/data protection?

La burocrazia. E soprattutto il fatto che ancora troppo spesso la privacy non venga considerata come un modo per liberare energie e opportunità, bensì per frenare o ostacolare il progresso e lo sviluppo dei servizi per individui e imprese. A mio parere la protezione più efficace per la privacy dei cittadini non sta nelle norme e interpretazioni restrittive che bloccano le iniziative ma sta nella diffusione di una “cultura della privacy”. Ognuno dovrebbe essere consapevole ed essere in grado di controllare della propria privacy.

  1. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

Il right to be let alone è nato alla fine dell’800 negli USA. Una certa dose di “anglosassonizzazione” credo sia inevitabile. Inoltre, la domanda di privacy si è sviluppata con l’avvento di Internet e dei servizi della società dell’informazione. E lì l’inglese la fa da padrone.

  1. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

Come accennavo sopra, ciò che dovremmo tutti sviluppare è una maggiore cultura della privacy. Spesso però vedo una certa forma di speculazione. Una sorta di caccia alle streghe che individua nello sviluppo tecnologico la morte della privacy e, quindi, della libertà individuale. Non è così, a mio parere. Viviamo tempi di passaggio verso una nuova era. O meglio, siamo già in una nuova era. Ma i cambiamenti, specie se così drastici, vanno guidati e non bloccati o osteggiati. La privacy non è rimanere fuori della porta. È invece entrare e decidere con chi stare e con chi no, a chi rivolgere la parola, a chi offrire una opportunità oppure negare il saluto.

  1. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

Credo che i bambini delle elementari siano molto più attrezzati a capire la privacy di tanti adulti perché non hanno sovrastrutture e possiedono una certa dose di istinto che li guida. Probabilmente gli direi: pensate di avere a disposizione le figurine di tutti i vostri compagni di scuola e di andare al parco giochi per scambiarvele con altri amici. Prima dovete chiedere ad ognuno dei vostri compagni se vogliono che la figurina che li ritrae vada in giro e finisca nelle mani di altri bambini.

  1. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

La Direttiva Data Retention (2006/24/Ce) e infatti la Corte di Giustizia l’ha dichiarata illegittima.

  1. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

L’avvento del GDPR e l’introduzione di un principio generale di self-regulation e accountability.

  1. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Un male, se si costruisce una professionalità troppo settorializzata e non vede al di là della normativa privacy e non è in grado di applicare le norme in modo armonico e sistemico con i principi generali dell’ordinamento e della costituzione. Faccio un esempio: all’inizio dell’emergenza Covid, molti DPO di aziende (purtroppo supportati da una iniziale prudente interpretazione dell’Autorità) hanno consigliato di non subordinare gli accessi a uno screening della temperatura oltre che alla autocertificazione di non essere stati a contatto con contagiati. Io non ero d’accordo. Esistono diritti costituzionali che prevalgono in determinate circostanze rispetto al diritto alla privacy. La salute dei lavoratori e il libero esercizio dell’iniziativa economica in quel caso dovevano prevalere. E infatti poco dopo è stato siglato il Protocollo di intesa tra parti sociali e governo che, non solo consentiva, ma imponeva tali attività di controllo.

  1. I dati personali sono monete?

Hanno un innegabile valore economico. Non bisogna però, secondo me, dimenticare che si tratta sempre di un diritto della persona (un pre-requisito dei diritti e delle libertà fondamentali come amava definirlo il Prof. Rodotà). Va sicuramente fatta una riflessione sull’evoluzione del diritto alla privacy ma senza arrivare all’esagerazione di considerare la prestazione del consenso come un evento sinallagmatico nel quadro di un contratto di scambio di beni e servizi.

  1. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Dipende. A volte esulto, soprattutto se i comportamenti sanzionati (specie se reiterati) facevano parte di un modus operandi in palese pregio della privacy degli individui e delle norme di legge. Si tratta anche di tutelare il mercato da comportamenti pirateschi di chi non rispetta sistematicamente le regole. Altre volte mi preoccupo quando intravedo una certa volontà di colpire magari perdendo di vista la proporzionalità della sanzione rispetto al comportamento effettivamente posto in essere e ai rischi effettivi corsi dagli interessati.

  1. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

Sinceramente no. Credo che più che di consensi preventivi, proprio al fine di creare quella cultura della privacy cui mi riferivo in precedenza, bisognerebbe puntare sulla trasparenza e sugli strumenti per governare il flusso dei propri dati, inclusi quelli che rendono effettivi ed efficaci i diritti di cui agli art. 15-22 del GDPR. Mi riferisco ad esempio a dashboard e pagine di settings sempre più consumer friendly.

  1. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Credo di sì, se si esce dalla logica burocratica dell’informativa che deve dire tutto altrimenti l’autorità ci sanziona. Peraltro, spesso informative chilometriche non dicono nulla o ripetono sempre gli stessi tre concetti. In tal caso, il pragmatismo anglosassone può venirci in contro, nel senso di elaborare informative molto semplici con informazioni essenziali che poi possono essere “esplose” con ulteriori dettagli se e quando l’utente è interessato a farlo. Si parla di layered approach.

  1. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Mai e do il consenso a tutti i cookie purché possa accedere più rapidamente possibile alla pagina che mi interessa senza essere disturbato da chilometrici disclaimer che mi ammoniscono di quanto sia pericoloso per la mia libertà visitare un sito Internet…

  1. DPO più top manager o più mini-garante?

Questa è una riflessione interessante. Il DPO è concepito dal GDPR come un mini-garante che controlla, consiglia, riporta al vertice aziendale, fa audit, ecc. Una figura del genere, quindi, dovrebbe essere distinta dal privacy officer (ossia dal responsabile interno della privacy) che invece ha un ruolo operativo di chi la fa cose e applica concretamente la normativa all’interno dell’azienda. Nella realtà aziendale, tuttavia, le due figure tendono a coincidere, anche perché i budget stanziati per la compliance aziendale (specie quella privacy) sono di solito estremamente limitati e due figure sono troppe. Forse andrebbe rivista la figura del DPO nel senso di renderla anche operativa, ossia come un Top manager che è responsabile della privacy aziendale a tutto tondo.

  1. Un tuo consiglio di metodo a un giovane DPO.

Studiare le connessioni tra tutte le normative e avere una apertura mentale e giuridica straordinaria. Il ruolo è affascinante perché ogni giorno pone sfide nuove e spesso complesse. Occorre essere elastici e rigorosi allo stesso tempo.

  1. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Non credo che faccia troppe regole, credo però che ci sia bisogno di accorpare normative, renderle più armoniche e soprattutto dare interpretazioni vincolanti per tutti gli Stati Membri che facciamo finire o, comunque, rallentino la tendenza al forum shopping da parte di alcune imprese. Questo vale per la privacy ma anche per altre materie come, ad esempio, le tasse, le norme in tema di bilancio, ecc.

  1. Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?

Credo che il GDPR sia un grande quadro e i principi che esprime, a cominciare da quelli citati sulla self-regulation e sull’accountability, siano assolutamente al passo con l’AI e il Metaverso e, anzi, siano in grado di disciplinarli. Forse si dovrà adeguare qualche norma qua e là. Del resto, non si può pensare che il GDPR sia statico. Dovrebbe essere visto come una normativa dinamica che cambia e si adegua allo sviluppo e sia armonico con le normative che questo sviluppo si prefiggono di guidare.

  1. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Protezione dei dati, ma non solo quelli personali. I dati e le informazioni sono, come si suole dire, il nuovo petrolio. La loro regolamentazione è imprescindibile per gli equilibri geopolitici e per la tenuta dei sistemi democratici. In tal senso, guardo con interesse le nuove normative all’orizzonte come il Data Act e il Data Governance Act.

  1. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

L’ombra del vento” di Carlos Ruiz Zafón perché nel cimitero dei libri dimenticati si possono trovare le ragioni per capire il futuro.