12 Gen “VITA DA PRIVACYISTA” PUNTATA 51 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

“VITA DA PRIVACYISTA” – Cinquantunesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperta di questa settimana è…

1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Francesca Gravili, avvocato responsabile del dipartimento data protection dello Studio Fieldfisher in Italia. È sto bene così.

2. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Fu un caso, erano gli anni 2000 mi occupavo di M&A; un cliente importante dello studio espresse una necessità in ambito privacy che mi fu affidata dall’avvocato che gestiva allora il team e che mi ha insegnato quanto sapeva. Da lì iniziai a studiare tutto ciò che c’era all’epoca e mi “lanciai” a svolgere consulenza in azienda; imparai molto sul campo.

3. Cosa ti annoia della privacy/data protection?

Mi annoia la cd. “modulistica”, termine che detesto; ritengo che anche utilizzando dei documenti “di base” per rendere efficiente il nostro lavoro, ci si debba mettere sempre della “fantasia” applicata alla realtà aziendale e naturalmente del “ragionamento” giuridico.

4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

È inevitabile e talvolta molto più efficace, ad esempio, il termine accountability rende molto bene il concetto sottostante; lavoriamo molto con i nostri colleghi in UK e con l’ICO e davvero l’anglicismo non mi turba, anzi, è pragmatico!

5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

Non ancora pop e non abbastanza, ma vedo miglioramenti soprattutto nell’ambito dei rapporti di lavoro, lato dipendenti.

6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

Privacy non vuol dire tenere segreto il tuo nome, quelle delle tue bambole o soldatini e dei mondi che vuoi creare per loro; privacy vuol dire poter scegliere a chi raccontare di te e dei tuoi giochi pretendendo di sapere dove andranno queste tue informazioni.

7. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

Certi formalismi italiani ante GDPR, ma ancora attuali come il provvedimento sugli amministratori di sistema; siamo oltre i 10 anni, ma tant’è. Trovo l’approccio della CNIL o dell’ICO così pragmatici rispetto a noi.

8. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

Direi che di luce ve n’è stata molta, io l’ho vista in particolare nell’area relativa al mondo dei dipendenti; il post jobs act e la tutela dei lavoratori anche a livello di EDPB, la trasparenza, l’awareness e la costruzione di un modo di lavorare moderno e più consapevole rispetto agli strumenti aziendali. I lavoristi si sono accorti di noi…

9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Un bene se preparati e soprattutto se capaci di dare valore al nostro lavoro non minimizzandolo alla standardizzazione dei documenti. Non è sempre così.

10. I dati personali sono monete?

Direi che sono un valore, un asset importante. Bisogna lavorare sulla consapevolezza di tale potere e quindi sul corretto utilizzo dello stesso.

11. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

In generale considero corretto che la privacy venga ”presa seriamente”, ma dipende dai casi; per esperienza so che le percezioni che possiamo avere noi sulla gravità di una sanzione possono esser errate: una cifra che a noi può parer enorme è possibile che venga percepita dall’azienda come non troppo grave o addirittura corretta. È il solito sottile equilibrio tra rischi e benefici sui cui i titolari puntano nell’organizzare il loro business. È una strategia anche questa.

12. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

Non del tutto, credo ci sia da lavorare anche in altri versi; il consenso è una base giuridica complessa. Se deve essere scelta va considerata sotto tutti i profili giuridici ed informatici (per conservare correttamente il dato). In ambito marketing con CRM che vengono alimentati da vari “touchpoint” il consenso non correttamente ottenuto e tenuto, può diventare un’arma facile da azionare per chi vuole reclamare (mancanza di prova del rilascio, conflitti tra consensi, ecc.).

13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Io trovo che l’informativa sia il documento più complesso e al tempo stesso più rivelatore di come un titolare adempie al GDPR. Per cui non è semplice, ma chi si applica si vede.

14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Direi spesso; sono animata da una grande curiosità verso il lavoro degli altri da cui si può imparare.

15. DPO più top manager o più mini-garante?

Mini garante mai. Il DPO deve essere dentro l’azienda, un punto di riferimento per aiutare le funzioni interne ad “accendere le lampadine”, uno stimolatore non solo un controllore; solo così si può davvero gestire la privacy by design. E non è un anglicismo privo di sostanza e la mia esperienza soprattutto in ambiti pubblici me l’ha confermato: lì è stato più possibile che altrove collaborare con i DPO dei vari enti coinvolti, discutere delle soluzioni, gestire DPIA insieme, il tutto a monte delle questioni privacy non a valle.  Il DPO diventa così anche un facilitatore dei rapporti tra diversi soggetti.

16. Un tuo consiglio di metodo a un giovane DPO.

Essere aggiornatissimo studiando i provvedimenti del Garante e dell’EDPB e poi cercare di tradurli nel dialogo con il cliente in modo comunicativo e pragmatico, mai “angosciante” o punitivo.

17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Falso. Io credo nell’Europa, mi sono laureata in diritto dell’Unione Europea… senza la quale il nostro lavoro forse non esisterebbe.

18. Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?

È una buona base ancora attuale; basti pensare al corto circuito creato dal decreto trasparenza in Italia, bastava seguire l’art. 22 GDPR.

19. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Bella domanda, se la poni tu che vedi sempre avanti devo rispondere anche effetti personali.

20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Ho ricevuto un volume ora in studio dal titolo intrigante: DPO e Privacy: quello che nessuno vi ha mai detto. È una professione ancora in corso di definizione quella del DPO, per cui ben vengano testi che ci aiutino a capire, con le esperienze sul campo, come organizzare e “creare” al meglio questo lavoro.