“VITA DA PRIVACYISTA – MANAGER” – PUNTATA 12 – 1 DPO/PRIVACY MANAGER ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

“VITA DA PRIVACYISTA – MANAGER” – Nuovo ciclo – Dodicesima puntata – 1 DPO/Privacy Manager di enti e aziende alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

Nuovo ciclo dedicato alle figure interne di grandi aziende ed enti*. La rubrica-intervista che raccoglie idee originali dai migliori DPO e Privacy Manager aziendali in Italia. Protagonista di questa settimana è…

1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Nome: Ming San Cognome: HU, viste le origini cinesi non potevo non specificarlo… laureato in Economia Aziendale con indirizzo Organizzazione in Bocconi. Data Protection Officer all’interno del Gruppo NEXI, delle società Nexi Payments Greece, Nexi Greece Processing e SIA Central Europe.

2. Vent’anni fa, avresti mai pensato di ricoprire questo tipo d’incarico? Era un mestiere “concepibile” o fantasy?

Vent’anni fa muovevo i primi passi in SSB nel mondo HR, ambito dove ho lavorato per 15 anni prima di svoltare verso il ruolo del DPO. Ho conosciuto la privacy incidentalmente perché mi occupavo anche dei corsi di formazione obbligatoria, incluso quello sulla Legge 675/96. Sinceramente allora non aveva l’importanza e il peso organizzativo attuale. Direi che quella del DPO era assolutamente una professione fantasy.

3. Tra vent’anni, il tuo ruolo cosa sarà diventato?

Intanto tra vent’anni spero di essere felicemente in pensione, magari non ancora nonno visto che le mie figlie hanno 8 e 5 anni… L’auspicio è che possa diventare sempre più parte integrante del tessuto organizzativo aziendale, senza quindi essere visto né come una sorta di “azzeccagarbugli”, né come uno “stregone”, mantenendo al contempo quella autonomia e indipendenza che è fondamentale per poter svolgere appieno il ruolo.

4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando? 

Ci sono termini delle altre lingue, soprattutto inglesi, che con una sola parola rappresentano in modo semplice e immediato certi concetti, ad esempio accountability e privacy by design. Inoltre, non potrebbe essere diversamente occupandosi di una normativa europea (GDPR) che tanti Paesi nel mondo ci invidiano e/o stanno provando a replicare. L’importante è non abusarne, anche perché il nostro primo obiettivo è quello di creare consapevolezza (stavo per dire awareness…) e per farlo bisogna poter comunicare con tutti.

5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

Credo che con l’avvento del GDPR la privacy abbia iniziato a diventare “pop”, mentre prima era come un brano di musica classica ben strutturato, ma che non infiamma e non si ricorda. Oggi le persone sono molto più consapevoli dei propri diritti e anche dei rischi collegati a uno sfruttamento cieco e indiscriminato dei propri dati personali.

6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

I bambini delle elementari di oggi sono molto più consapevoli di quanto li circonda rispetto a una volta, anche perché più bombardati di informazioni e con maggiori facilità di accesso a queste ultime. Ci ho messo un po’ a spiegare a mia figlia maggiore che lavoro faccio, ma alla fine ha capito che sono un po’ come quei cavalieri che si vedono nei cartoni animati, pronti a difendere i diritti altrui dietro al proprio scudo e anche alla propria passione.

7. L’aspetto più faticoso e “noioso” della privacy/data protection?

Gli aspetti più meccanici e ripetitivi che ci sono dietro ad un’attività di compliance, penso ad esempio alle formalità presenti in certe valutazioni tecniche e reportistiche. La DPIA è un aspetto importante della nostra attività, ma non è certamente qualcosa che mi entusiasma.

8. L’aspetto più divertente e “giocoso” della privacy/data protection?

La necessità di pensare a volte al di fuori dagli schemi, per individuare soluzioni alla portata del business, con un po’ di sano pragmatismo.

9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Se con la quantità aumenta anche la concorrenza e in ultima istanza la qualità, direi senz’altro un bene. Inoltre, c’è bisogno di massa critica per poter esercitare un ruolo di indirizzo e di orientamento. A novembre ho partecipato allo Europe Data Protection Congress 2022 organizzato da IAPP a Bruxelles: mi sono brillati gli occhi guardando migliaia di persone partecipare alla cerimonia di apertura, tanti professionisti in ambito privacy/data protection provenienti da tutto il mondo, tutti seduti nella stessa sala.

10. I dati personali sono monete?

Sono senz’altro diventati monete. La vera domanda è se il commercio di questi beni immateriali sia correttamente regolamentato e se i legittimi proprietari ne conoscano davvero il valore.

11. Nella tua esperienza, serve affidarsi (anche) a consulenti esterni o basta una robusta squadra di esperti privacy interni? In cosa il consulente esterno può rivelarsi prezioso?

Ove i budget lo permettano, avere dei buoni consulenti esterni è importante ed utile, perché ti consente di avere una visione su come si sta muovendo il mercato e anche una valutazione di una terza parte su come si sta operando.

12. Che cosa non dovrebbe mai fare un consulente privacy esterno?

Non dovrebbe avere mai la presunzione di poter “pontificare” senza conoscere davvero la realtà organizzativa del proprio Cliente.

13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Secondo me è una mission impossible rispetto all’attuale quadro normativo, l’informativa per essere corretta e trasparente deve essere necessariamente analitica e articolata. L’importante è che non sia fumosa, né fatta in forma di “corsa a ostacoli” con troppi riferimenti circolari.

14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Per deformazione professionale ogni tanto mi capita di leggerli con una certa attenzione, più con lo spirito da enigmista di trovare eventuali errori o anomalie.

15. Come rendere “amata” la privacy dai colleghi delle altre funzioni, che spesso vedono questa materia come un ostacolo? Come fare breccia nei loro cuori?

Una volta ho partecipato a un convegno, organizzato da un fornitore, in cui erano stati invitati i responsabili dei sistemi informativi di diverse Banche. La prima cosa che dissi fu che, nel nostro ruolo, non dovevano guardarci come dei “nemici” pur essendo degli “accumulatori seriali di dati”, ma piuttosto professionisti che collaborano per gestire il trattamento dei dati personali in modo corretto, ottimizzando ove possibile i processi aziendali. Un altro esempio che faccio spesso, per fare breccia nei cuori dei miei colleghi è quello di far capire loro che accettare qualche buon consiglio all’inizio dello sviluppo di un certo servizio/prodotto, può limitare se non azzerare il rischio di dover modificare le cose successivamente, con incremento di costi e tempi.

16. Un tuo consiglio di metodo a un/a giovane DPO o Privacy Manager.

Si tratta di una professione che, come è stato fatto notare fin dall’avvento del GDPR, è multidisciplinare; quindi, è importante contemperare tutti gli aspetti che ne sono alla base, assecondando naturalmente anche le proprie passioni/attitudini. Non si può infatti essere esperti a 360° in modo verticale, bisogna sapere razionalizzare le proprie risorse ed energie.

17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

Falso: chiarire gli scenari dettando le regole, non vuol dire frenare l’innovazione, direi piuttosto il contrario. Il fatto è che in un contesto digitale e dinamico come quello attuale, non è pensabile che tutto possa essere ricondotto a “poche e semplici regole”.

18. Temi l’Intelligenza Artificiale?

Ad oggi l’IA è semplicemente un mezzo, eventualmente bisogna quindi temerne l’utilizzo indiscriminato e immorale. Un utilizzo corretto e controllato ha permesso all’Umanità negli ultimi decenni di fare “passi da gigante” verso il futuro (e.g. ricerca/diagnostica in campo medico, l’automazione domestica/IoT). La vera preoccupazione, come paventato da diversi studiosi tra cui il Prof. Stephen Hawking, è se e quando l’IA raggiungerà una piena consapevolezza, con il rischio di entrare in competizione con i suoi creatori…

19. Credi nel Metaverso?

Per chi come me è stato/è appassionato di videogiochi, i mondi virtuali che ci accompagnano orami da anni, possono rappresentare una piacevole evasione dalla realtà quotidiana. Penso invece che si siano create eccessive aspettative e speculazioni sul Metaverso (e.g. caso Second Life, progetto Meta ex Facebook), anche perché, ad oggi, non ci sono abbastanza utenti che popolino le piattaforme, stante un interesse discontinuo e un costo ancora eccessivo dei device necessari (cfr. visori VR).

20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Privacy e libero mercato digitale” (2021) edito da Giuffrè, perché con le sue 18 “storie giuridiche” è un libro che offre molti spunti di riflessione su temi attuali e scenari prospettici in materia di privacy e protezione dei dati personali, garantendo una visione d’insieme sui diritti e anche sugli interessi in campo nell’economia digitale. L’autore è un inguaribile esploratore e appassionato d’arte…

 

 

* Tutte le opinioni espresse sono esclusivamente personali e non impegnano né si riferiscono in alcun modo alla Società o all’Ente di appartenenza