01 Mar “VITA DA PRIVACYISTA – MANAGER” – PUNTATA 6 – 1 DPO/PRIVACY MANAGER ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA – MANAGER” – Nuovo ciclo – Sesta puntata – 1 DPO/Privacy Manager di enti e aziende alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
Nuovo ciclo dedicato alle figure interne di grandi aziende ed enti*. La rubrica-intervista che raccoglie idee originali dai migliori DPO e Privacy Manager aziendali in Italia. Protagonista di questa settimana è…
1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Massimo Montanile. Sono DPO di Elettronica S.p.A. e Advisor in alcune Associazioni molto attive in ambito Privacy, Sanità, OSINT. Mi piacerebbe dare un contributo attivo anche a livello europeo, facilitando il percorso di democrazia e libertà che la trasformazione digitale in atto sta accelerando. Fortunatamente me ne è stata data concreta opportunità, grazie al conseguimento di un prestigioso incarico, che mi inorgoglisce e nello stesso tempo mi stimola a profondere massimo impegno, per le responsabilità che comporta. Da pochi mesi sono entrato a far parte del Pool di esperti a supporto del Comitato europeo per la protezione dei dati (EDPB – European Data Protection Board), il Comitato che riunisce i Garanti europei per la protezione dei dati; al fine di sostenere le diverse fasi delle attività di indagine ed esercizio dei loro poteri previsti dalla normativa sulla protezione dei dati, ha costituito un pool di esperti qualificati che collaboreranno con le Autorità privacy dello Spazio economico europeo. Si tratta in pratica di una task force a supporto delle autorità di vigilanza per attività di audit e consulenza nell’applicazione del GDPR e il rispetto della data protection, soprattutto nell’ambito delle new technologies.
2. Vent’anni fa, avresti mai pensato di ricoprire questo tipo d’incarico? Era un mestiere “concepibile” o fantasy?
Da oltre trent’anni mi occupo di Information Technology e di Sicurezza delle Informazioni. Certamente non pensavo, vent’anni fa, di ricoprire l’incarico di DPO, ma mi era chiara la necessità di una funzione capace di esprimere una sintesi tra gli aspetti tecnici e quelli normativi, facilitandone l’integrazione nei processi organizzativi. Si va inevitabilmente in questa direzione e sarà sempre più frequente che i temi della (cyber)sicurezza e della data protection siano rappresentati nei board aziendali. Il mio incarico è stata una felice intuizione del top management della mia azienda che vide in anticipo rispetto al GDPR l’urgenza di presidiare il tema della data protection, coniugandolo con quello della Sicurezza delle Informazioni.
3. Tra vent’anni, il tuo ruolo cosa sarà diventato?
Il ruolo del DPO è destinato a trasformarsi rapidamente. In futuro diventerà al tempo stesso più astratto ma anche più importante, perché dovrà presiedere gli aspetti etici del business aziendale…
4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Fortunatamente non parliamo di francesismi… L’inglese è fondamentale quando si affrontano argomenti tecnici (i British Standard sono stati i primi in Europa ad affrontare sistematicamente la gestione della sicurezza delle informazioni), quindi la conoscenza dell’inglese è imprescindibile per chi vuole affrontare il tema della data protection.
5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
In molti italiani secondo me convivono due anime. Da una parte ci si appella alla privacy come diritto fondamentale e irrinunciabile, ma contemporaneamente si rinuncia alla propria privacy in cambio di una app gratuita…
6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Non è impresa semplice, non esiste secondo me un messaggio universale per trasferire le insidie della rete ai bambini e renderli consapevoli di ciò. Si tratta di un arduo percorso di educazione da affidarsi ad educatori che siano in grado di prospettare i pericoli inevitabili, impliciti nell’universo aperto della rete, per trasmettere al meglio i comportamenti corretti da assumere.
7. L’aspetto più faticoso e “noioso” della privacy/data protection?
L’approccio burocratico che ancora vedo in atto in Italia, le formule privacy giuridicamente corrette ma scollate dalla realtà operativa delle organizzazioni…Questa cultura che tradisce un approccio “cartaceo” alla privacy è ancora presente in molte organizzazioni, e ciò rende faticoso, in tali casi, il confronto sui temi di data protection. (Sotto)cultura purtroppo alimentata dalla pratica del copia-incolla messa in atto da alcuni consulenti e accolta da molti imprenditori che hanno pensato in tal modo di risolvere il problema della compliance.
8. L’aspetto più divertente e “giocoso” della privacy/data protection?
Certamente agli esordi del mio percorso da privacyista mi ha divertito molto come veniva accolto dagli addetti ai lavori del tempo, quasi sempre avvocati, il mio approccio ingegneristico. Le mie slide erano sempre ricche di animazioni e di disegni, al contrario delle altre, fitte di parole. Le mie presentazioni “spaccavano” e io ne ero divertito…Una necessaria contaminazione comunque… E devo dire che oggi alcuni esperti riescono a formulare proposte creative e molto accattivanti, per affrontare i complessi temi della data protection, e della cybersicurezza.
9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Era immaginabile questa crescita esponenziale. Che sia un bene o un male dipenderà dalla cultura e dalla consapevolezza della società sui temi della privacy e della cyber security…. Paesi più evoluti da questo punto di vista selezioneranno solo i migliori consulenti, i DPO e i privacy officer…
10. I dati personali sono monete?
I dati personali hanno un grande valore, ma non sono monete, nel senso che non dovrebbero essere usati per cederli in cambio di prodotti o servizi.
11. Nella tua esperienza, serve affidarsi (anche) a consulenti esterni o basta una robusta squadra di esperti privacy interni? In cosa il consulente esterno può rivelarsi prezioso?
Credo che il DPO debba essere soggetto interno all’organizzazione, ove possibile. In questo senso si è espresso anche il Garante negli incontri rivolti alle PA di avvicinamento al nuovo Regolamento, evidenziando come sia preferibile scegliere una risorsa interna cui magari affiancare, almeno nella fase iniziale, una figura consulenziale specializzata. Solo nel caso di organizzazioni estremamente asciutte, che non riescono a sostenere un DPO interno, si può pensare di affidare all’esterno i compiti di DPO. Lo dico a ragion veduta. La complessità dei compiti del DPO, la necessità di vivere il quotidiano, di avere la percezione dell’aria che tira in un’organizzazione, sono capacità che, se non possedute, possono trasformare il DPO in un soggetto formale, incapace di esercitare compiutamente i compiti di cui all’art. 39 del GDPR. Spingo per un DPO – Data Protection Office, coordinato da un Data Protection Officer, che possa avvalersi di qualificate consulenze esterne legali e tecniche.
12. Che cosa non dovrebbe mai fare un consulente privacy esterno?
Non dovrebbe mai alimentare la cultura dell’approccio alla compliance per moduli e formule.
13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Credo di sì, ho visto alcuni esempi di informative rese, addirittura, anche graficamente accattivanti. E tu ne sai qualcosa…
14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Onestamente no. Spesso sono infarcite di formule incomprensibili… Leggo solo quelle per prodotti/servizi che potrebbero essere per me più rischiosi…
15. Come rendere “amata” la privacy dai colleghi delle altre funzioni, che spesso vedono questa materia come un ostacolo? Come fare breccia nei loro cuori?
La privacy deve essere vista integrata nei processi aziendali… Solo se si riesce a inoculare i principi privacy nei processi aziendali e la data protection viene portata sul tavolo del board, solo allora il coinvolgimento dei colleghi delle altre funzioni sarà spontaneo e naturale. La data protection deve confluire nei processi di controllo dell’organizzazione: valutata nel rischio d’impresa, nella compliance dell’organizzazione, nella stesura del codice etico, nella costruzione del bilancio sociale, ecc. …
16. Un tuo consiglio di metodo a un/a giovane DPO o Privacy Manager.
Studiare, studiare e studiare. Apprendere dagli esperti. Schematizzare i trattamenti in modo chiaro, così da capire bene chi fa, e cosa, quali dati sono trattati, e come. Solo con una mappa chiara del trattamento si riesce poi a prendere le giuste decisioni. Infine consiglio di rivolgersi agli esperti perché non si deve essere presuntuosi e pensare di possedere già tutte le risposte.
17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Falso. La democrazia impone che nessuno vada lasciato indietro, quindi è ovvio, secondo me, che sia necessario declinare in modo attento ciò che si intende regolamentare.
18. Temi l’Intelligenza Artificiale?
No. I principi del GDPR sono validi, ma bisogna, secondo me, fare un GDPR 2.0 per riflettere sulle nuove modalità della trasformazione digitale. Il GDPR deve essere uno strumento vivo, in grado di evolversi nel tempo. Semmai consiglierei di affrontare seriamente l’aspetto etico.
19. Credi nel Metaverso?
Il primo Metaverso fu Second Life, agli inizi del 2000, e allora non erano considerati gli aspetti di sicurezza e di data protection, almeno non nel modo che intendiamo noi oggi. Certamente credo nel Metaverso come ulteriore gioco di ruolo, ma con confini sempre più sfumati e confusi tra reale e virtuale…
20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Lo Zen e l’arte della manutenzione della motocicletta, di R. M. Pirsig, per fare propri i concetti, o intuirli, della metafisica della Qualità.
* Tutte le opinioni espresse sono esclusivamente personali e non impegnano né si riferiscono in alcun modo alla Società o all’Ente di appartenenza