23 Feb “VITA DA PRIVACYISTA – MANAGER” – PUNTATA 5 – 1 DPO/PRIVACY MANAGER ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA – MANAGER” – Nuovo ciclo – Quinta puntata – 1 DPO/Privacy Manager di enti e aziende alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
Nuovo ciclo dedicato alle figure interne di grandi aziende ed enti*. La rubrica-intervista che raccoglie idee originali dai migliori DPO e Privacy Manager aziendali in Italia. Protagonista di questa settimana è…
1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Milena Cirigliano, DPO e Responsabile Compliance Integrata, Antitrust e Privacy – IP-gruppo api. Trovo che essere un DPO sia il più bel ruolo in ambito privacy. L’ottica del responsabile compliance è un valore aggiunto, offre un osservatorio privilegiato e una visione ampia delle tematiche da affrontare. Certo occorre passione, studio, dedizione, ricerca creativa delle soluzioni… desiderare oltre, significherebbe desiderare altro… mi piace ancora tanto la mia vita da “privacyista”. Se proprio mi dovessi stancare: chef.
2. Vent’anni fa, avresti mai pensato di ricoprire questo tipo d’incarico? Era un mestiere “concepibile” o fantasy?
Un mestiere decisamente fantasy quello del DPO; ho cominciato a studiare e sperimentare il diritto della privacy proprio vent’anni fa. Lo scenario normativo ed esperienziale legato alla protezione dei dati era completamente diverso da quello attuale; nelle università la materia era appena lambita dai piani di studio con qualche eccezione: il prof Rodotà già la insegnava (alla università “La Sapienza” di Roma) con appassionata convinzione. Il diritto d’autore sulla figura del DPO è del legislatore europeo (non del mercato) a volerne immaginare ruolo e funzioni occorreva essere dotati di capacità divinatorie, tanto è cambiato il mondo ed il modo di fare business.
3. Tra vent’anni, il tuo ruolo cosa sarà diventato?
Dipenderà dallo sviluppo tecnologico e dell’intelligenza artificiale.
4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Semplificano e sintetizzano, rendono velocemente l’idea. Accoglierli, senza abusarne, non è un errore. Gli anglicismi sono un dono purché (come insegna il Prof. Lamartino) “il prestito lessicale non trascenda in bancarotta linguistica”.
5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Penso che la tutela della privacy, appartenga al comune sentire, scommetto che se ci fosse un sondaggio la grande maggioranza degli intervistati risponderebbe che il diritto alla privacy è importante e va tutelato, mai rinunciato. È tuttavia la cultura della privacy ad essere carente, a parer mio si dovrebbe investire in formazione a tutti i livelli poiché sono gli individui stessi che spesso tengono condotte “leggere”, rischiose, lesive del diritto alla privacy proprio e altrui. Gli appassionati di privacy, che fanno ricerca e ne scrivono, che si occupano di formazione, hanno per le mani uno strumento prezioso per renderla pop.
6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Sono nativi digitali spesso iper-esposti all’uso del cellulare e dei social. Userei un cartone animato o un videogioco che racconti una caccia al tesoro (i dati personali) preziosi e da difendere. Il cellulare racchiude il tesoro che va protetto dagli attacchi dei pirati (sconosciuti) abituati a solcare mari (internet ed i social) aperti, bellissimi e sconfinati, scorrazzando alla ricerca di tesori altrui. Per questo non cedere le chiavi dello scrigno (le password), attento a chi ti chiede l’amicizia potrebbe essere un pirata. Se perdi la mappa (il cellulare) avvisa un adulto: meglio bruciare la mappa (resettare il cellulare) e procurarsene una nuova che rischiare il furto del tesoro (i dati) e via così…. la fantasia applicata alla privacy è senza limiti.
7. L’aspetto più faticoso e “noioso” della privacy/data protection?
Il ragionamento a compartimenti stagni, a silos, la privacy intesa come affare esclusivo del DPO e dei suoi collaboratori, come una seccatura non come un’opportunità, propulsore di un business sicuro.
8. L’aspetto più divertente e “giocoso” della privacy/data protection?
Cercare soluzioni innovative in ottica di compliance integrata. Il design privacy delle operazioni di marketing, commerciali e di sviluppo.
9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Un bene per la materia e per la professione se il numero si accompagna alle competenze ed alla giusta retribuzione; i DPO “in offerta” sono un fenomeno avvilente.
10. I dati personali sono monete?
No, ma sono monetizzabili in maniera lecita e non. Possono creare valore in termini di opportunità di business, ma anche essere usati post data breach per chiedere un riscatto, per questo sono fondamentali le regole e le scelte di accountability del Titolare.
11. Nella tua esperienza, serve affidarsi (anche) a consulenti esterni o basta una robusta squadra di esperti privacy interni? In cosa il consulente esterno può rivelarsi prezioso?
Il mix è vincente, le professionalità interne ed esterne si compensano, complementari visioni e conoscenze soprattutto per l’analisi delle questioni più delicate e complesse dove le navigate in solitaria, per quanto entusiasmanti, potrebbero presentare ovvi rischi.
12. Che cosa non dovrebbe mai fare un consulente privacy esterno?
Fornire un “parere griffato” che non contenga una soluzione.
13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Sì. A parer mio, la chiave nella valutazione di idoneità dell’informativa è proprio la semplicità lessicale per chi legge. Un’informativa articolatissima e fitta, difficile da comprendere, non centra l’obbiettivo di conformità.
14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Di frequente, per curiosità professionale. Spesso non si rivela una lettura appassionante, mi chiedo quanto possa essere efficace lo strumento per rendere consapevoli i non addetti ai lavori. È un fronte su cui occorre lavorare a parer mio.
15. Come rendere “amata” la privacy dai colleghi delle altre funzioni, che spesso vedono questa materia come un ostacolo? Come fare breccia nei loro cuori?
Se ci si offre come strumento di aiuto e supporto, per risolvere le questioni, si ottiene ascolto e si superano le diffidenze. Occorre mostrare la privacy per quello che è: un’opportunità, un volano, per la migliore e più conforme realizzazione delle idee dei colleghi. Utile sponsorizzare l’investitura preventiva del DPO e del suo ufficio affinché possa contribuire alla progettazione delle operazioni e alla risoluzione dei problemi fin dal principio, non ex post.
16. Un tuo consiglio di metodo a un/a giovane DPO o Privacy Manager.
Non smettere mai di studiare, apriti all’ascolto, scomponi e semplifica le questioni allenati all’approccio olistico alle norme ed alla compliance integrata, non ti sfuggiranno soluzioni convenienti e creative.
17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
L’innovazione senza regole è da scongiurare nell’interesse di tutti. L’equilibrio è difficile tanto più con la prospettiva del legislatore europeo chiamato a ragionare norme che si prestino ad essere iniettare negli ordinamenti degli Stati Membri così diversi per la verità… Il GDPR è un esperimento riuscito, ma qualche défaillance è inevitabile.
18. Temi l’Intelligenza Artificiale?
Ne temo l’uso spregiudicato e non eticamente informato. Fondamentali le norme a protezione degli individui che andrebbero sviluppate gemellarmente alle implementazioni di utilizzo, è difficile per i giuristi e per il legislatore correre insieme, è un mondo a velocità doppia; l’irrefrenabile sviluppo informatico è un velocista dotato con cui è difficile stare al passo.
19. Credi nel Metaverso?
È già un’intrigante realtà, colma di opportunità. Strepitose le sperimentazioni del Metaverso applicato alla chirurgia, ma gli sviluppi di questo nuovo mondo si accompagnano a rischi da valutare con equilibrio e ridurre per quanto possibile: occorrono regole etiche e giuridiche.
20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Ai collaboratori: “Il Data Protection Officer fra regole e prassi” (di R. Panetta, T. Mauro, F. Sartore), oltre alla teoria viene affrontata la pratica del DPO. Tra tante pubblicazioni teoriche, l’ho trovato uno sforzo apprezzabile finalizzato a dare indicazioni concrete. Per tutti: “La privacy degli ultimi” (di Eduardo Meligrana e Guido Scorza) non un trattato scientifico-legale, ma un insieme di racconti dai quali la privacy emerge come un valore collettivo, a tutela dei soggetti più fragili ed esposti.
* Tutte le opinioni espresse sono esclusivamente personali e non impegnano né si riferiscono in alcun modo alla Società o all’Ente di appartenenza