16 Feb “VITA DA PRIVACYISTA – MANAGER” – PUNTATA 4 – 1 DPO/PRIVACY MANAGER ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA – MANAGER” – Nuovo ciclo – Quarta puntata – 1 DPO/Privacy Manager di enti e aziende alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
Nuovo ciclo dedicato alle figure interne di grandi aziende ed enti*. La rubrica-intervista che raccoglie idee originali dai migliori DPO e Privacy Manager aziendali in Italia. Protagonista di questa settimana è…
1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Nadia Giusti, laureata in ingegneria informatica, indirizzo automazione industriale. Oggi lavoro nella divisione Siemens Digital Industries Software nel gruppo Cybersecurity; ricopro inoltre il ruolo di Data Privacy Adviser, supportando i miei colleghi nelle attività relative della Data Protection. Mi piace scrivere, amo la storia (antica) e il mondo del vino, mondo che ha sempre fatto parte della storia della mia famiglia, anche se io ho scelto una strada professionale diversa.
2. Vent’anni fa, avresti mai pensato di ricoprire questo tipo d’incarico? Era un mestiere “concepibile” o fantasy?
Gli anni 2000 sono stati anni straordinari, pieni di entusiasmo nel futuro e nel benessere economico. A quel tempo lavoravo per una delle grandi Big Tech mondiali, la Microsoft, e viaggiavo tra Londra – Milano – Genova – Firenze – Roma. Esisteva già, anche nella corporate italiana di Microsoft, il mestiere di Security Expert, ma lo specialista privacy era assolutamente “fantasy”, sebbene, nel mondo in cui io mi muovevo, che era quello bancario, la privacy non fosse di certo elemento di secondo piano. È stato proprio in questo mondo, e in alcune grandi realtà in cui ho avuto l’opportunità di lavorare, che ho cominciato a muovere i primi passi su questa affascinante e complessa materia.
3. Tra vent’anni, il tuo ruolo cosa sarà diventato?
Very honestly, come direbbero i colleghi americani, tra vent’anni, considerando la mia età avrò probabilmente l’ambizione di ritirarmi in una spiaggia assolata a scrivere di Privacy e Cybersecurity, senza per questo avere un ruolo di primo piano, anche perché non amo il protagonismo. Mi aspetto però una sempre maggiore collaborazione tra i due ruoli, Security e Privacy, senza dimenticare la Compliance e coloro che si occupano di processi, e l’abbandono dell’approccio del “one man show”. La privacy è una materia multidisciplinare, che richiede davvero molte competenze, ritengo sia impossibile trovarle in una sola persona. Nel mondo complesso in cui ci muoviamo, solo mettendo insieme le migliori competenze possiamo pensare di raggiungere l’obiettivo di tutelare i nostri clienti, le nostre aziende, produrre dei buoni prodotti ed osservare le norme in vigore.
4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Nella mia vita lavorativa l’inglese è un elemento imprescindibile; anzi, ci sono giornate dove l’unica opportunità per parlare italiano è che un corriere suoni alla mia porta! Inoltre, l’inglese è una lingua diretta, pratica, per lo più efficace. Certo, bisognerebbe parlarlo bene e con proprietà di termini. D’altra parte, in ambito Security, praticamente tutti i documenti, articoli, guidelines, standards che utilizziamo sono scritti in inglese e, se dobbiamo confrontarci con colleghi worldwide, sia in ambito security che privacy, l’unica opportunità rimane saper padroneggiare l’inglese. Quindi si, l’inglese è necessario per chi vuole intraprendere questo mestiere. A volte però non si può sentire, soprattutto quando è pronunciato male o in maniera inappropriata. Quindi cerchiamo di migliorarci al meglio delle nostre possibilità nel padroneggiare l’inglese. Rimango comunque dell’opinione che l’inglese vada usato per rendere la comunicazione efficace e profittevole. Altrimenti, usiamo l’italiano, che è una lingua straordinaria e che il resto del mondo ci invidia.
5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Negli ultimi anni indubbiamente c’è stato un “cambio di rotta”, e tutti, almeno a parole, sono diventati più sensibili a questo argomento, grazie anche al fatto che sempre più persone, anche da un punto di vista professionale, nel bene e nel male, si sono avvicinate alla materia, i media danno sempre più risalto a certe problematiche, sono state avviate molte iniziative (per citare una delle più recenti, la pubblicità sui canali RAI da parte del Garante in una forma molto gradevole e di facile comprensione). Si è creata quindi sicuramente una sensibilità maggiore, che va a sommarsi con la nostra crescente esposizione nel mondo virtuale e dei servizi. Aggiungiamo poi che, dal punto di vista B2B, ci si sta spostando in maniera direi considerevole, da un modello licenze a un modello servizi Cloud, e giocoforza le aziende cominciano a porsi delle domande. Quindi l’interesse c’è. Noto però che in molte circostanze, è quasi un “fastidio”, in quanto si fa ancora fatica a concepire la privacy come un “valore”, a differenza invece della security.
6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Io sono figlia unica e non ho figli. Le domande sui bambini mi spiazzano sempre. Forse partirei dal fatto di voler o meno condividere i propri giochi con qualcuno, e quindi dal possesso dei propri giochi e dalle regole per la condivisone degli stessi con qualcun altro. I bambini sono sempre molto scaltri nel dirti che i giochi sono i loro e guai a te se li tocchi.
7. L’aspetto più faticoso e “noioso” della privacy/data protection?
Per me è sempre estremamente faticoso spiegare perché un identificativo utente o un indirizzo IP è un dato personale e perché, se questi vengono raccolti in un file di logging, rappresentano un trattamento di dati personali. Sembra una cosa di poco conto; eppure, è ancora un concetto di difficile comprensione, soprattutto da parte di persone extra-EU, ma è un fondamentale punto di partenza. Abbiamo molto da lavorare.
8. L’aspetto più divertente e “giocoso” della privacy/data protection?
Il training. Ho speso una considerevole porzione di tempo a preparare dei training basati su casi concreti, di facile comprensione, ed è stato elemento per me di enorme soddisfazione rendermi conto che i partecipanti si sono divertiti e hanno portato a casa elementi utili per il loro lavoro.
9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
È un bene perché c’è un grande bisogno di questo tipo di professioni. È un male perché, come comunque inevitabile in una fase iniziale, molti si avvicinano a questa materia senza una adeguata preparazione, e spesso soprattutto con l’obbiettivo di un immediato ritorno economico o d’immagine. Col tempo l’aspetto professionale è destinato a prevalere portando a una doverosa selezione naturale.
10. I dati personali sono monete?
Oggi più che mai i dati generano dati, e sono al centro della nostra economia. Sono monete/merce di scambio di cui non si sono ancora consolidate le regole di attribuzione del loro valore e quindi, proprio per l’alto valore che possono avere, è alto il rischio che l’aspetto etico venga scaltramente by-passato.
11. Nella tua esperienza, serve affidarsi (anche) a consulenti esterni o basta una robusta squadra di esperti privacy interni? In cosa il consulente esterno può rivelarsi prezioso?
Io ritengo che l’approccio migliore sia un mix delle due soluzioni. Se la squadra interna è robusta, ben bilanciata e può contare su differenti expertise probabilmente riesce a dare risposta a molti dei problemi aziendali. Ma è anche vero che le problematiche oggi sono le più disparate, e a volte è necessario affidarsi a una squadra esterna, che magari ha sviluppato una specifica esperienza in un determinato settore, esperienza non presente nella squadra interna. Non esiste una regola generale, a mio avviso: la strategia va modulata in base alle esigenze che di volta in volta si presentano.
12. Che cosa non dovrebbe mai fare un consulente privacy esterno?
Non deve accettare un numero di incarichi troppo elevato che non gli permetta di svolgere al meglio il suo lavoro.
13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Assolutamente no, l’informativa privacy è forse una delle sfide più complesse oggi per noi privacyisti, dove le informative sono rese sui più disparati dispositivi (anche quelli che hanno una dimensione fisica estremamente ridotta). Urge trovare soluzioni efficaci, e ne abbiamo poche. A volte mi chiedo se la stessa informativa (nella forma, non nella sostanza) non debba essere completamente ripensata.
14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Ci provo. Ma dire che le leggo tutte e sempre, sarebbe falso. Credo che nessuno di noi abbia il tempo materiale per farlo. Ho sempre avuto l’ambizione di creare una app in grado di leggere una informativa e segnalarmi i punti che richiedono “attenzione”. Forse un giorno lo farò, magari su quella spiaggia assolata che mi prefiggo di raggiungere tra vent’anni, se qualche giovane privacyista non lo fa prima di me.
15. Come rendere “amata” la privacy dai colleghi delle altre funzioni, che spesso vedono questa materia come un ostacolo? Come fare breccia nei loro cuori?
Vorrei saperlo, anzi, se qualcuno avesse la ricetta sarei felice di ascoltarlo. Oggi credo che sia una delle grandi sfide che dobbiamo affrontare. Coinvolgere le persone, far capire loro quanto sia importante, fin dalle prime fasi del trattamento, perché è lì che si stabiliscono regole efficaci. Se sbagli dall’inizio, correggere non solo ti costerà probabilmente molto, ma a volte non sarà nemmeno facile o possibile. Per molti, la privacy è ancora solo un ostacolo o argomento “da avvocati”. Il training e il dialogo sono due approcci da utilizzare, ma vale sempre la regola che per sentire bisogna essere disposti ad ascoltare. Forse più che “l’amore” la privacy deve guadagnarsi il “rispetto” che le compete e quindi acquista crescente importanza la selezione naturale di cui accennavo prima in quanto la capacità dialettica e costruttiva di un approccio professionale ha la forza di intaccare quell’ostilità che spesso deriva solo da un’effettiva mancanza di conoscenza dell’oggetto del contendere e delle relative soluzioni.
16. Un tuo consiglio di metodo a un/a giovane DPO o Privacy Manager.
A un giovane che vuole intraprendere questo mestiere, analogamente a quello della Security, direi che la prima cosa è studiare, leggere, partecipare ad eventi, convegni, confrontarsi, farsi delle idee e provare ad esprimerle, frequentare associazioni e mettersi in gioco. A lungo ho fatto l’errore di pensare di poter agire per conto mio e occuparmi unicamente del mio “orticello”. Oggi mi sento di dire che non è l’approccio giusto. La partecipazione, il confrontarsi, a volta anche il dissentire sono tutti elementi di “crescita”. Certo, studiare, mettersi in gioco, confrontarsi non è mai facile e richiede impegno, fatica e risorse: a volte può voler dire anche fallire. Ma non dobbiamo avere paura.
17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Nell’attuale mondo digitale e connesso è un’utopia il pensare di avere poche e semplici regole. È proprio il compito dell’Unione Europa fornire risposte e regole per la governance di questo mondo in costante evoluzione, e spetta ai professionisti il capire come queste regole vadano applicate nelle realtà in cui operiamo o che supportiamo. Nessuno ha mai detto che sia un mestiere semplice, del resto.
18. Temi l’Intelligenza Artificiale?
In primis sono un ingegnere e gli algoritmi non mi hanno mai spaventato. Le nuove tecnologie non vanno temute, ma vanno governate. Temo di più l’ignoranza, nel suo significato di “mancanza di conoscenza”.
19. Credi nel Metaverso?
Dopo l’esperienza fallimentare di Second Life, non riesco ad essere una entusiasta del Metaverso. Molte delle cose che promette le abbiamo già vissute, e i mondi virtuali esistono da molti anni nel mondo dei videogiochi, e non sono una novità. Aspetto però l’avvento della realtà aumentata, e dei device che permetteranno di fruirne appieno, prima di dire l’ultima parola.
20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Snow Crash, scritto da Neal Stephenson nel 1992 dove, in un’America di fine millennio, completamente assoggettata al dominio di pochi brand, a cui ogni nazione ha ceduto il controllo, e dove l’autorità statale è ormai spazzata via, esiste però il Metaverso, uno spazio virtuale dove le persone possono interagire attraverso i propri avatar, e possono dare vita a un’esistenza apparentemente migliore e appagante. Ma non è tutto oro ciò che luccica. Un libro che ha anticipato molti elementi del nostro presente. Per riflettere.
* Tutte le opinioni espresse sono esclusivamente personali e non impegnano né si riferiscono in alcun modo alla Società o all’Ente di appartenenza