08 Set “VITA DA PRIVACYISTA” PUNTATA 33 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA” – Trentatreesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…
- Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Massimo Simbula, DPO e Membro del Consiglio direttivo di Copernicani.it. Anche se il mio desiderio nascosto è membro del Gran Consiglio di ZION (solo per gli amanti di Matrix).
- Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?
Iniziai ad occuparmi di privacy nel lontano 2004. Ero collega in Tonucci&Partners per 5 anni, di un grande professionista ed amico, Prof. Alessandro Del Ninno e sono stato ispirato dalla sua competenza e passione per la materia. Nel 2006 svolsi il ruolo di consulente in relazione ad una bozza di proposta di legge sulla tutela del diritto all’oblio dei soggetti sottoposti a procedimento penale, con particolare attenzione alle criticità sottese alla pubblicazione, da parte di organi di stampa, di informazioni relative a soggetti che hanno già scontato una pena o che stanno finendo di scontarla (o che all’esito del processo, sono stati assolti) e da li in poi è cresciuta la passione per una materia all’epoca ignorata da molti.
- Cosa ti annoia della privacy/data protection?
La frase classica del cliente quando ti conferisce il mandato di DPO o consulente privacy: “Avvocato ora la privacy della mia azienda è un suo problema”.
- Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Assolutamente non ci stiamo sbagliando. Si pensi alla traduzione dall’inglese di “ambito regionale” in relazione all’inquadramento della cosiddetta “Larga Scala” utilizzata per perimetrare l’ambito territoriale del trattamento. O alla definizione di “Responsabile” del Trattamento e “Responsabile” della protezione dei dati (in inglese i più pratici e distinguibili “Processor” e “Data Protection Officer”). O ancora al decisamente più appropriato “Controller” rispetto all’arcaico “Titolare del Trattamento” peraltro confondibile con altri titolari. Abbiamo tradotto in molte lingue con una spesa a carico del contribuente francamente evitabile. Credo sia arrivato il momento di velocizzare i processi comunicativi e adottare una lingua unica in Europa nell’ambito di certi processi aziendali. Questo faciliterebbe anche i processi di vendita o acquisizione di aziende estere soprattutto nella fase di Due Diligence lato privacy.
- Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Onestamente, nella maggioranza dei casi, credo proprio di no. Ci vorranno ancora molti anni prima che le persone siano realmente consapevoli dei loro diritti e dei rischi a cui vanno incontro. Gran parte di coloro che rivendicano la lesione di un diritto privacy e che vogliono fare causa, agiscono in ritardo, quando i buoi sono usciti dal recinto. Purtroppo, in questo settore le cure sono estremamente inefficaci. Si deve lavorare molto sulla prevenzione. Ci sono poi coloro che invocano la privacy per scopi meno nobili (eufemisticamente parlando). Per me e molti altri è certamente un argomento “pop”. È l’essenza stessa della democrazia e del diritto e in Europa stiamo conducendo una battaglia contro gli invasivi sistemi e metodi statunitensi e cinesi (in primis) che verrà (spero) ricordata nella storia. Dovremmo tutti capire l’importanza della privacy poiché sta alla base dei diritti fondamentali dell’uomo, conquistati dopo guerre e sangue dei nostri avi.
- Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Come la spiego ogni giorno in famiglia: se vuoi un domani essere libero/a, stai attento a quello che racconti di te al mondo.
- L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?
Se dovessi scegliere un momento specifico, direi la seconda metà del 2013 quando la Merkel ha scoperto di avere il suo cellulare sotto controllo da agenti di stato USA. Ma francamente credo sia difficile isolare un momento specifico. Ogni secondo è peggio di quello precedente perché anche se abbiamo un impianto normativo robusto in materia, è estremamente difficile frenare il mare di dati che ogni giorno viene liberamente regalato da ciascuno di noi a piattaforme digitali accelerate da soluzioni di machine learning a dir poco straordinarie.
- L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?
Il 24 maggio 2016. Giorno dell’entrata in vigore del GDPR.
- I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Da una parte, credo sia una crescita organica dettata dall’incremento della domanda e, purtroppo, dalla crisi in cui altri settori del diritto sono andati incontro. Quindi ben venga l’aumento dei consulenti in materia. D’altra parte, bisognerebbe stare attenti alla qualità del servizio. Ho vissuto lo stesso problema nel mondo delle cryptocurrencies. Dopo esperienze ultradecennali studiando la materia si assiste a “supermercati” della privacy che offrono consulenze a bassissimo costo assoldando giovani inesperti e mandandoli in frontiera a gestire situazioni spesso complesse. Il problema è che se da una parte molti di questi nuovi “esperti” ha condotto studi e frequentato corsi di primo livello, molti cercano le scorciatoie offrendo ai propri clienti soluzioni per “aggirare” le norme sulla privacy o peggio ignorando i rischi a cui espongono i propri clienti. Sono però contrario ad un albo professionale ma credo si possano sviluppare innovative soluzioni per creare delle nuove “Gilde” digitali di professionisti, legate a liste a cui hanno accesso secondo principi reputazionali condivisi. Ad esempio, c’è un bellissimo progetto di Decentralized Autonomous Organization che si chiama, appunto, The Guild https://www.theguilds.io/, e consiste in liste dove i professionisti possono associare il loro nome ad altri professionisti sulla base di una approvazione e complessi processi di reward.
- I dati personali sono monete?
No. Non hanno un valore facciale determinato. Non hanno un uso comune quale mezzo di pagamento (e quindi non operano in un mercato “liquido”). Sono alterabili (i dati personali per definizione sono oggetto di modifiche). Non hanno un valore stabile. Possono in teoria essere usati come mezzo di scambio per accedere a determinati prodotti o servizi ma, almeno ad oggi, non hanno i requisiti principali della moneta. Tuttavia, sono allo studio processi di tokenizzazione dei dati personali. E allora la domanda si sposta su questi token: possono essere considerati moneta? Ma la vera domanda è: è legittimo utilizzare i nostri dati personali come mezzo di scambio? Insomma, meglio Bitcoin.
- Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?
Nessuna delle due. Credo che i Garanti europei, ed in particolare il Garante italiano, si stiano comportando in maniera estremamente corretta. Stanno prima di tutto sviluppando importanti istruttorie contro le multinazionali e le grandi aziende che trattano rilevanti masse di dati e spesso e volentieri agiscono in mala fede (anche in considerazione dei budget a cui possono accedere). Con le piccole aziende invece sono molto attenti a non esagerare con le sanzioni e sono estremamente collaborativi nel processo di accertamento. Credo però che le piccole e medie imprese italiane debbano iniziare a svegliarsi perché prima o poi anche per loro potrebbero aprirsi scenari importanti in termini sanzionatori.
- Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?
Credo che sia lettera morta nel tutto digitale. Ma in un certo senso può essere un argine, una linea che traccia il confine tra due mondi.
- Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Credo sia molto interessante l’argomento perché tra un mondo di giovani che passano il tempo su Tik-Tok a parlare in corsivo o peggio a scambiarsi foto hard, e quello dei legali che elaborano soluzioni (secondo loro) semplici e sintetiche per comunicare una noiosissima (per i non addetti ai lavori) informativa sulla privacy, esiste un universo di separazione. L’idea del Legal Design è sicuramente affascinante. Io, ad esempio, da amante dei comics e delle arti sequenziali, credo molto nel lavoro che potrebbero fare artisti del settore per creare nuove policy belle e divertenti da leggere ma anche efficaci (te la immagini una privacy policy disegnata da Zero Calcare?). È anche vero che viviamo in una società invecchiata e un tantino autoreferenziale e dovremmo davvero stare vicino ai giovanissimi perché sono loro il futuro della privacy.
- Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
In Sardegna esiste un bellissimo detto: “In domu de ferreri schidonis de linna” (“In casa del fabbro gli spiedi sono fatti di legno)…
- DPO più top manager o più mini-garante?
Top-manager. Credo che per poter essere un bravo DPO in favore di aziende pubbliche e private, sia importante anche avere fatto anni di esperienza come consulente in ambito corporate sia come avvocato esterno che come responsabile di uffici legali aziendali. È fondamentale conoscere, nell’intimo, i processi aziendali interni e per questo ringrazio gli stupendi anni in FENDI come Ufficio legale interno perché credo che dall’interno si respirino le vere intenzioni delle aziende, le sensibilità e i delicati equilibri e check and balances. Questo ci consente di prevenire. Meglio che curare.
- Un tuo consiglio di metodo a un giovane DPO.
Domanda difficile. Forse uno buon consiglio potrebbe essere quello di non farsi piegare dalle richieste del cliente. È un’ottima palestra per i giovani e questo vale anche per gli avvocati. Certi clienti sono degli straordinari maghi nell’arte dello “scivolo”. Inducono il DPO ad accettare soluzioni scomode ma alla prima contestazione di terzi o peggio del Garante, saranno pronti a scaricargli tutta la responsabilità. Che stiano attenti e soprattutto che si facciano una buona assicurazione professionale dedicata per DPO.
- L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Falso. È uno straordinario luogo comune.
- Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?
Il GDPR è un contenitore che può stare al passo con qualunque processo innovativo. È una straordinaria Ferrari che può percorrere le piste più veloci. Il problema sono i suoi conducenti che dovrebbero tentare di approfondire meglio le implicazioni sociali di fenomeni come i “Metaversi” e le “Blockchain” o l’”Intelligenza Artificiale” (preferisco per quest’ultima il Machine Learning).
- Tra dieci anni: protezione dei dati o protezione degli effetti personali?
Sarò (purtroppo) distopico: Guerra dei dati. Temo Zion all’orizzonte come luogo di difesa.
- Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
In realtà sono due. Il primo è “La Nausea” di Jean-Paul Sartre. Nonostante il protagonista del racconto, Antoine Roquentin, sia solo e nauseato di se stesso e del mondo che lo circonda, in realtà e l’uomo a dare costantemente, ogni singolo istante, nel presente, un senso nobile alla sua esistenza. Si tratta di una visione profondamente ottimistica poiché vede l’uomo come detentore di libertà. Il che non significa essere artefici del proprio destino e controllori della nostra esistenza ma persone libere di dare alla nostra esistenza (così come è) il colore che più ci piace. Questo credo sia l’approccio con cui ciascuno di noi deve interpretare la professione di Avvocato e, forse, la vita politica del Paese. Ed è con questo spirito che faccio parte dei Copernicani. Il secondo è il “Banchiere Anarchico” di Fernando Pessoa. Si tratta della breve (il libro ha appena 80 pagine) cronaca di un colloquio tra due uomini comodamente seduti al tavolo di un ristorante. Un uomo d’affari svela a uno stupefatto interlocutore come sia possibile, senza alcuna contraddizione logica, conciliare ricchezza e anarchia. L’unico modo per essere veramente anarchico è creare libertà. Lo consiglierei a tutti quei “cripto entusiasti” che accomunano tutti coloro che lavorano nella finanza tradizionale, ai conservatori e retrogradi. Forse li aiuterebbe a svelare un segreto.