15 Set “VITA DA PRIVACYISTA” PUNTATA 34 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

“VITA DA PRIVACYISTA” – Trentaquattresima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…

1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Luca Leone, responsabile dei Servizi Privacy del gruppo Sistemi Uno la mia attività lavorativa; Compositore di musica contemporanea la mia passione.

2. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Nell’ottobre 1996, all’epoca mi occupavo di diritto delle telecomunicazioni e diritto d’autore, partecipai al Convegno “Diritto di Internet” organizzato dalla Luiss. Uno dei relatori era il Dott. Giovanni Buttarelli che illustrò il disegno di legge che di lì a poco (31/12/96) sarebbe diventato la prima Legge sulla protezione dei dati personali in Italia (L. 675/96): da quel momento mi dedicai in via esclusiva alla privacy.

3. Cosa ti annoia della privacy/data protection?

La frase “non trattiamo dati sensibili”.

4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

Ogni materia ha i suoi manzoniani latinorum. Nella protezione dei dati personali (o, appunto, la data protection), spesso si è assistito addirittura alla supremazia del latino sull’inglese, si pensi alla diatriba sulla pronuncia del termine “audit”. O viceversa casi in cui l’inglese risulta essenziale per descrivere un concetto: è il caso del termine “accountability”.

5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

Senza una cultura specifica ben radicata, le questioni centrali del nostro secolo rischiano di ricevere attenzione unicamente in caso di emergenza. Si pensi alla recente pandemia o all’emergenza climatica. I comportamenti attenti e responsabili calano di intensità così come cala quella dell’emergenza stessa. Un esempio applicato alla privacy può essere ritrovato nel caso della cosiddetta “fuga da WhatsApp”, conseguente alla modifica delle condizioni in relazione all’uso ulteriore dei dati personali. La viralità della notizia ha evidenziato la questione della data protection, portando molti utenti ad abbandonare la piattaforma. All’appiattimento della “curva virale” della notizia è conseguito quello dell’attenzione al tema privacy. Senza una consapevolezza radicata, frutto di una sensibilizzazione profonda e continua da parte di media e delle autorità, difficilmente le preoccupazioni privacy potranno occupare un posto importante nel cuore delle persone.

6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

La privacy è come la tua scatola dei giochi. Le bambole e le macchinine che ci sono dentro sono i dati personali. Apri la scatola solo per giocare e condividere i giochi con i tuoi amici e amiche del cuore o i tuoi genitori, non dare agli estranei i tuoi giochi e fai attenzione a non perderli quando li porti con te al parco. Ricordati sempre dove sono i tuoi giocattoli, tieni il conto di quali hai prestato e a chi. Se un amico o un’amica ti presta un suo giocattolo, abbine cura e rispetto, tieni la scatola sempre al sicuro e quando hai finito di giocare… ricordati di mettere tutto a posto!

7. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

Sicuramente lo scandalo di Cambridge Analytica, quando quella società di consulenza britannica, attraverso una app per sondaggi, è riuscita ad acquisire i dati di decine di milioni di utenti della piattaforma di social network Facebook. Tali dati sono stati utilizzati per influenzare l’opinione pubblica, in merito a campagne elettorali e referendum.

8. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

Direi, ancora lo scandalo Cambridge Analytica. Il dibattito pubblico nato a seguito di questa vicenda ha alzato di molto l’asticella della consapevolezza generale sui temi privacy. Come detto, a volte sono le emergenze a risvegliare l’attenzione sui temi più rilevanti. La luce, in fin dei conti, serve a dissolvere il buio.

9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Aziende e pubbliche amministrazioni hanno un disperato bisogno di professionisti in gamba e competenti nella materia. La presenza di numerosi player nel mercato è legata a doppio filo con il concetto di concorrenza. La quantità, sebbene ci sia chi la definisce di per sé una qualità, non sempre corrisponde a una buona concorrenza e a un’attenzione al livello di servizio nei confronti del cliente. Mi auguro una sana competizione tra professionisti, per raggiungere livelli di competenza e di servizio sempre più elevati, e non solo per accaparrarsi più clienti possibili al minor prezzo.

10. I dati personali sono monete?

Qualsiasi asset o rappresentazione digitale diventa una moneta, nel momento in cui si comincia ad utilizzarla come tale. Sebbene i dati personali non siano da considerarsi moneta in senso assoluto, lo diventano sicuramente nella logica dei servizi gratuiti, semi-gratuiti o comunque a prezzi decisamente convenienti (o troppo belli per essere veri) che caratterizzano la maggior parte dell’offerta della società dell’informazione. Un problema sarebbe certamente quello di stabilire un valore univoco per tale tipologia di valuta. Tra i rischi più elevati collegati a questo scenario, vi sarebbe quello di fornire un servizio privo dell’adeguato controvalore rispetto ai dati forniti. Ad esempio, quanti giga di spazio corrispondono ai dati personali da me direttamente forniti e a quelli eventualmente inferiti dalle mie attività, su una determinata piattaforma di cloud storage gratuita? Mantenendo il parallelo con la disciplina economica, la moneta è tale se vi è fiducia in essa. Forse questo concetto può essere trasposto nella fiducia da parte degli interessati (che in questo caso si troverebbero sia a emettere sia ad utilizzare tale moneta per gli scambi) nei processi di trattamento dei dati, nella normativa che regola gli scambi e nel relativo enforcement.

11. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Si tratta di un sentimento contrastante. Da un lato la notizia della sanzione contribuisce ad aumentare la awareness delle aziende titolari e responsabili del trattamento. Dall’altro lato, so bene quali sono le difficoltà interne ad un’azienda nel gestire la propria compliance. In ogni caso un enforcement ben indirizzato da parte dell’autorità è un passaggio essenziale per rendere davvero efficace la normativa privacy.

12. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

Sempre più difficile da applicare, soprattutto quando si parla di IoT. La difficoltà maggiore è, prima di tutto, quella di informare adeguatamente l’interessato prima di iniziare il trattamento, mentre la tecnologia stessa può aiutare nella raccolta del consenso. Va comunque evidenziato che il GDPR, che ha fatto cadere la centralità del consenso, offre altre basi giuridiche applicabili nel mondo digitale.

13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Il problema della semplicità delle informative privacy è, nella pratica, legato a due aspetti, che spesso non vengono tenuti in considerazione. Il primo aspetto è relativo alla capacità effettiva della persona umana di elaborare e trattenere informazioni in un mondo saturo di stimoli, richiami, dati e, appunto informazioni. Non a caso si dice che viviamo nella “società dell’informazione”. Il secondo è relativo ai numerosi momenti nei quali la persona fisica, che agisce anche in molti contesti in qualità di interessato, consumatore, assicurato, viaggiatore, contraente, consumatore di alimenti ecc., è posta di fronte a documenti che nascono da obblighi informativi in capo ai soggetti che propongono prodotti e servizi. L’eterogeneità delle modalità con cui vengono forniti tali documenti ed il linguaggio complesso con cui sono scritti generano sicuramente un rigetto da parte di chi è chiamato a comprenderne le informazioni, per poter, ad esempio, prendere una decisione o fornire un consenso informato. La torta dell’attenzione è la stessa per tutti e va rimpicciolendosi progressivamente. L’ingresso di nuovi obblighi informativi può essere deleterio per quelli già in essere, se non si allineano a determinati standard e se non si tiene conto dei problemi di elaborazione già citati. La soluzione potrebbe risiedere nell’utilizzo di diversi strumenti, dai QR code alla realtà aumentata e addirittura a quella virtuale, in combinazione con strumenti di composizione dell’informazione, come il legal design.

14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Le leggo in modalità “lettura della partitura”, ovvero “in verticale”.

15. DPO più top manager o più mini-garante?

Più Direttore d’orchestra … mi spiego. Il Direttore è autorevole, conosce tutte le caratteristiche degli strumenti (interessati, responsabili, designati, autorizzati, tecniche di cifratura, tecniche di pseudonimizzazione, categorie di dati, trasferimenti extra UE, ecc.),  anche se non ne suona nessuno; governa la complessità, dirige la partitura (Registro dei trattamenti) scritta dal Compositore (Titolare/Responsabile del trattamento), imprime la sua orchestrazione/strumentazione (arriverà un giorno in cui si dirà: quei trattamenti “suonano” bene perché sono diretti da quel DPO). Mi auguro che nei futuri corsi/master per DPO si inseriscano materie extra-privacy come “Fondamenti di direzione d’orchestra”.

16. Un tuo consiglio di metodo a un giovane DPO.

Coltivare la visione d’insieme allargando le proprie conoscenze, studiando materie tangenti, parallele o distanti dalla normativa specialistica sulla privacy e … stupirsi sempre.

17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Di certo il diritto non può stare al passo con la velocità e la pervasività dell’innovazione, soprattutto se le norme mirano a regolamentare nei dettagli. Quello che l’Europa può fare, e ha fatto con il GDPR, è quello di fornire un set di principi, una guida generale e armonizzata, che possa mantenere un grado di flessibilità rispetto alle molteplici sfaccettature delle applicazioni tecnologiche.

18. Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?

L’intelligenza artificiale è un tema complesso ed in continua evoluzione, anche se spesso ci si confonde. Come si può avere occasione di leggere in ogni singolo libro sulla IA, si tratta di una disciplina la cui nascita viene fatta risalire al 1956, in occasione di un convegno di specialisti della computazione presso il Dartmouth College (New Hampshire).  Ci sarebbe da stupirsi nello scoprire che il GDPR non è tagliato per una disciplina nata più di sessanta anni fa; il principio di Capability Caution costringe, in assenza di prove effettive in merito a cosa sarà in grado di fare la IA nel futuro, ad assumere che non ci sono limiti superiori alle sue capacità. Su questa base nessuna norma sarà mai al passo con questa tecnologia (costantemente) emergente. Sul Metaverso, la questione può essere analizzata in modo diverso, forse semplificando un po’ troppo. Lo scopo di questo nuovo insieme di tecnologie è quello di replicare il mondo reale trasportandolo in quello virtuale, grazie anche all’aiuto nei progressi quarantennali dell’industria dei videogame. Su questa base, se il GDPR è al passo con il mondo reale, allora sarà al passo con il Metaverso, che ne è, inevitabilmente, una riduzione. La sfida, infine, è quella della decentralizzazione, elemento fondante del Metaverso, derivante dalle applicazioni delle tecnologie basate sui registri distribuiti. Il GDPR è frutto di un compromesso così come in musica lo è stato il “temperamento equabile”; per me un buon compromesso che ci accompagnerà nel nostro quotidiano di Privacyisti ancora per una ventina d’anni (con i previsti aggiornamenti del testo).

19. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Se, come pronosticato da molti, il prossimo futuro ci vedrà immersi in un nuovo universo digitale e virtuale, dove la nostra intera vita, compresi gli oggetti di uso comune, saranno digitalizzati, allora si dovrà parlare necessariamente di protezione degli effetti personali. La vita nel Metaverso potrà anche essere una pallida imitazione di quella reale, ma avrà capacità di generazione di dati personali (e particolari) superiore di diversi ordini di grandezza. Cosa dirà di noi il vestito digitale che acquisteremo? E i luoghi che visiteremo calcando il terreno digitale? Potremo avere la libertà di essere noi stessi?

20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Il Gioco, di Manfred Eigen e Ruthild Winkler, Ed. Adelphi, semplicemente perché apre la mente e attraverso la teoria del gioco affronta ambiti diversi, ma di interesse per ogni Privacyista, come la Vita “artificiale”, la manipolazione genetica, gli Automi intelligenti, l’irreversibilità e origine dell’informazione, le reti di “apprendimento”, Schoenberg, Giochi musicali … dal 1986 sulla mia scrivania.