29 Mar “VITA DA PRIVACYISTA – MANAGER” – PUNTATA 10 – 1 DPO/PRIVACY MANAGER ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA – MANAGER” – Nuovo ciclo – Decima puntata – 1 DPO/Privacy Manager di enti e aziende alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
Nuovo ciclo dedicato alle figure interne di grandi aziende ed enti*. La rubrica-intervista che raccoglie idee originali dai migliori DPO e Privacy Manager aziendali in Italia. Protagonista di questa settimana è…
1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Mauro Del Gaudio, sono il DPO di una impresa di assicurazioni per la quale mi occupo anche di sostenibilità, e mi piace molto!
2. Vent’anni fa, avresti mai pensato di ricoprire questo tipo d’incarico? Era un mestiere “concepibile” o fantasy?
Vent’anni fa mi occupavo di audit e mai avrei immaginato questi sviluppi: per me era una professione del tutto fantasy.
3. Tra vent’anni, il tuo ruolo cosa sarà diventato?
Mi aspetto che il ruolo si consolidi nelle aziende così come è avvenuto per le funzioni di controllo, magari allargando il raggio d’azione degli interessi tutelati.
4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Direi che, come il ricorso agli acronimi, sono inevitabili e tutto sommato hanno quasi sempre l’effetto di connotare immediatamente il contesto: se dico data breach, Privacy by design, DPIA, TIA, LIA, DPA, DPO quasi tutti in azienda capiscono immediatamente.
5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Non mi sembra che la gente abbia generalmente compreso il valore dei propri dati personali e soprattutto non ha compreso i rischi connessi al loro trattamento; forse la problematica che finora ha fatto più presa è quella del marketing e, sinceramente, non mi pare quella maggiormente rilevante; ci sono ancora persone che confondono i dati personali con i dati anagrafici per cui pensano, ad esempio, che se navigano in rete con un profilo anonimo, non corrono rischi.
6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Che ci sono aspetti e informazioni della loro vita, come ad esempio i loro gusti, le loro preferenze, i loro sentimenti, che sono importanti e che pertanto devono essere protetti, esattamente come fanno ad esempio con i loro giocatoli, condividendoli solo con le persone di cui si fidano e che ne sanno fare buon uso.
7. L’aspetto più faticoso e “noioso” della privacy/data protection?
Diventa faticoso, proprio perché noioso, dover ripetere, rifare o ridire più volte le stesse cose o occuparsi di questioni necessarie ma poi non tanto sostanziali: ad esempio il GDPR obbliga a determinati adempimenti pur in assenza quasi totale di rischio per gli interessati: capisco ma mi pesa!
8. L’aspetto più divertente e “giocoso” della privacy/data protection?
La possibilità, che il GDPR concede, di trovare soluzioni originali nell’alveo dell’accountability.
9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Sarebbe senz’altro un bene se fossero tutti ben preparati e continuamente aggiornati; purtroppo, forse per incomprensione dell’importanza del ruolo, possono presentarsi sul mercato persone poco preparate o peggio ancora incoscienti o superficiali. Questo può accadere – ed è vero in tutti gli ambiti – quando la scelta di una professione viene dettata più dal mercato che dalle proprie attitudini.
10. I dati personali sono monete?
Non ho ancora una risposta definitiva a questa domanda: al momento direi dipende! E dipende dal grado di trasparenza che viene fornita sul loro uso e sui connessi rischi e dall’effettivo grado di consapevolezza del loro valore da parte di chi li cede; però non direi che i dati possono essere moneta ma che, semmai, può esserne monetizzato, in determinati contesti, il loro circoscritto uso.
11. Nella tua esperienza, serve affidarsi (anche) a consulenti esterni o basta una robusta squadra di esperti privacy interni? In cosa il consulente esterno può rivelarsi prezioso?
Direi che è fondamentale disporre di una squadra interna la quale però, per quanto possa essere capace, formata e aggiornata, avrà sempre, gioco forza, da un lato un’esperienza focalizzata e limitata e, dall’altro, un deficit di competenze in ambiti meno ricorrenti. Per cui è fondamentale ricorrere a validi e qualificati professionisti esterni per colmare i gap e per allargare il cono di attenzione.
12. Che cosa non dovrebbe mai fare un consulente privacy esterno?
Fornire risposte e soluzioni senza preoccuparsi di cercare di capire, almeno per quanto possibile, qual è la vera esigenze e il vero problema del cliente.
13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Le informative complete, anche se comprensibilmente scritte, non vengono quasi mai lette. Bisognerebbe fornire sempre un’informativa stratificata e il primo livello dovrebbe essere costituito da un documento sintetico standardizzato adatto a tutti come, ad esempio, i DIP o i KID delle polizze di assicurazioni. Questo documento dovrebbe evitare di raccontare l’ovvio ed evidenziare le sole cose veramente importanti o atipiche da conoscere prima che i dati vengano conferiti e deve fornire le coordinate per ricercare le altre informazioni utili, se desiderato o all’occorrenza.
14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
No, dipende da tante cose, ma sempre quando noto di qualcosa di “stonato”, incongruente o palesemente non conforme.
15. Come rendere “amata” la privacy dai colleghi delle altre funzioni, che spesso vedono questa materia come un ostacolo? Come fare breccia nei loro cuori?
Cercando di far capire, in primo luogo, che la protezione e la correttezza dei trattamenti dei dati dei propri stakeholders e di coloro che a vario titolo entrano in contatto con la società sono elementi di responsabilità sociale, che trascendono il mero rispetto delle normative; in secondo luogo che la compliance è business: e lo è nella misura in cui l’evidenza del mancato rispetto delle normative può – qui sì – ostacolare l’utilizzo di una risorsa che è quasi sempre strategica: i dati personali.
16. Un tuo consiglio di metodo a un/a giovane DPO o Privacy Manager.
Premettendo che anche io sono sempre alla ricerca di buoni consigli, mi sentirei però di suggerire due cose, in particolare a un DPO interno: la prima è di non sostituirsi mai al Titolare, la seconda è quella di evidenziare sempre e correttamente i rischi di ogni tematica, al fine di consentire al Titolare l’assunzione di scelte consapevoli.
17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Come diceva Rodotà, non tutto ciò che è tecnologicamente possibile è anche socialmente desiderabile, eticamente accettabile, giuridicamente legittimo per cui è giusto e auspicabile che ci sia qualcuno -meglio di livello sovranazionale- che cerchi di fissare delle regole, tenuto conto di tutti gli interessi contrapposti; certo a volte si sbaglia o si esagera, ma prima o poi i nodi vengono sempre al pettine.
18. Temi l’Intelligenza Artificiale?
Penso sia ormai una tecnologia inarrestabile che porterà innovazioni decisive in molti campi ma i rischi, soprattutto in fase pionieristica, sono elevatissimi e di vario genere: bisogna vigilare, discutere e confrontarsi tantissimo.
19. Credi nel Metaverso?
Mi diverte e ne intuisco la grande utilità soprattutto prospettica in molteplici settori; molte delle applicazioni attuali mi sembrano futili e fini a sé stesse ma questo è abbastanza normale; in ultima analisi molto probabilmente sarà lì il futuro digitale delle prossime generazioni.
20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
“Follia Artificiale” di Luca Bolognini, l’ho letto nell’estate del 2018 e ha contribuito moltissimo alla mia formazione non accademica, fornendo ragionamenti stimolanti su molte tematiche di frontiera all’epoca e ancora attualissime, alcune delle quali toccate in questa intervista.
* Tutte le opinioni espresse sono esclusivamente personali e non impegnano né si riferiscono in alcun modo alla Società o all’Ente di appartenenza