26 Apr “VITA DA PRIVACYISTA – MANAGER” – PUNTATA 13 – 1 DPO/PRIVACY MANAGER ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA – MANAGER” – Nuovo ciclo – Tredicesima puntata – 1 DPO/Privacy Manager di enti e aziende alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
Nuovo ciclo dedicato alle figure interne di grandi aziende ed enti*. La rubrica-intervista che raccoglie idee originali dai migliori DPO e Privacy Manager aziendali in Italia. Protagonista di questa settimana è…
1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Alessia Allegri, Data Protection Officer, a tendere Data Facility & Protection Officer.
2. Vent’anni fa, avresti mai pensato di ricoprire questo tipo d’incarico? Era un mestiere “concepibile” o fantasy?
Mai l’avrei pensato; del resto, trent’anni fa nutrivo anche notevolissimi dubbi sul mio futuro in qualunque ruolo legale. Avvocato, magistrato, notaio, assistente universitario, questa era la prospettiva: non solo era un ruolo fantasy il DPO, allora, ma anche il giurista d’impresa. Qualunque fantasy che si rispetti ha, tuttavia, profonde radici nella realtà: la scelta, spintanea e molto ispirata da realpolitik, del percorso universitario si è rivelata il biglietto d’ingresso per il lavoro dei sogni – anzi: i lavori dei sogni.
3. Tra vent’anni, il tuo ruolo cosa sarà diventato?
“Non ho la sfera di cristallo”, tipica risposta da avvocato che, alla fine, sono rimasta. Né la vorrei, anche uscita dal personaggio: andare a modellare il futuro implica in qualche misura il circoscriverlo sicché, quando esso manca o tracima l’alveo delle aspettative, come sempre fa, si rimane delusi o, peggio ancora, si diventa Don Chisciotte più o meno sociopatici. Il futuro, con il cambiamento che esso implica, è come il conflitto: solo in parte si può governare; va, semplicemente, gestito. Mi auguro che rimanga un ruolo vivo, sempre più consapevole e “caordico”, ossia in equilibrio ai margini del caos, dove germoglia la vita: questo sì e, per quanto il futuro dipende da me, il mio impegno va in tal senso.
4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Preferisco contrassegnare gli “anglicismi” come “neologismi”, tanto più che tendono, declinati in italiano e/o esperanto manageriale, a depotenziare – più raramente ad arricchire – il loro significato originario fino a stravolgerlo: vedi, ad esempio, la parabola del quid pro quo che, passato l’Atlantico, è diventato do ut des. Mi risulta, del resto, che diversi corsi universitari di alto livello anche tecnico fossero tenuti in latino ancora nella seconda metà del XX secolo e non solo in Europa, ma anche oltreoceano: questo ci dice che la cortina fumogena del “latinorum” è cosa ben diversa dal latino che, se usato in maniera sobria, consapevole e, soprattutto, esatta, rimane un veicolo del pensiero e della dialettica ineguagliabile così come lo è, per altre ragioni e in altri ambiti, l’inglese.
5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Sicuramente è “pop”, nel senso che in generale se ne sente e se ne parla, e la sensibilità viva; ancora molto emotiva, tuttavia, spesso non particolarmente consapevole. Vedo, ad esempio, chi si straccia le vesti per il trattamento di dati retributivi da parte di chi è perfettamente legittimato a farlo, e neanche un ciglio battere quando si tratta di dati particolari – sanitari, ad esempio -, magari postati dallo stesso interessato per ogni dove, e con la massima leggerezza. Per non parlare di chi non resiste alla tentazione di pubblicare le foto delle vacanze in presa diretta, alcuni persino con il profilo in chiaro, senza porsi minimamente il problema della sicurezza della propria abitazione. Al di là del suo essere “pop”, mi pare insomma necessario ancora qualche passaggio per declinare la materia nel concreto.
6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Ho troppa stima dei bambini delle elementari per reputare che sia un problema spiegare loro questa materia! Diciamo che, se dovessi spiegarla a soggetti di qualsiasi età – in cui vorrei senz’altro includere i genitori dei suddetti bambini -, e senza tirare in ballo categorie giuridiche o fatti di cronaca, inizierei dalla fiaba di Tremotino, che illustra il concetto per cui la conoscenza del nome conferisce potere nei confronti di chi lo porta, o darei da leggere Vevi, di E. Lillegg, che offre un quadro – fiabesco, per carità – delle conseguenze dell’uso della propria immagine e del furto d’identità.
7. L’aspetto più faticoso e “noioso” della privacy/data protection?
Non è che me ne vengano in mente molti, a dire la verità: forse questa sostanziale inversione dell’onere della prova e la connessa necessità di documentazione da impostare, mantenere ed aggiornare. Si rende via via disponibile, tuttavia, tutta una scelta di software per questo, e poi non è precisamente noioso – se mai un filo boulversant, per chi abbia un’impostazione giuridica tradizionale: un cambio del paradigma, delle regole del gioco, uno dei tanti che ci ha portato il GDPR. E: no, non è noioso neanche un po’.
8. L’aspetto più divertente e “giocoso” della privacy/data protection?
Ah, qui c’è l’imbarazzo della scelta! Se dovessi scegliere solo un termine, sceglierei “confronto”, che deve essere – costante con tutte le funzioni, quindi l’interattività con i colleghi, e la promozione della medesima tra quelli di funzioni diverse; – continuo con la realtà in generale, le situazioni e le esigenze di compliance da bilanciare con l’operatività; – frequente con le novità, per cui spesso è necessario un passo indietro, o di lato, per trovare una soluzione fuori dalla scatola. È impossibile annoiarsi, una volta entrati in questa prospettiva: un tempo ero appassionata di videogame arcade, con tutto il loro corredo di avventure e rompi-capo, forse adesso ho solo cambiato tool.
9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Mi sono posta talmente tante volte la stessa domanda circa gli avvocati, nella mia vita professionale precedente, che oggi non ho la forza di tornare al punto di partenza per i professionisti della privacy e protezione dati. Quello che è certo è che la figura dell’avvocato ha una sua monumentale storicità, quindi una minore fluidità, mentre l’esigenza da cui proliferano queste figure specialistiche sorge dalla rivoluzione informatica, quindi è recente: credo che la scoperta di nuovi spazi e territori professionali sia una contingenza storica abbastanza rara, quindi un privilegio.
10. I dati personali sono monete?
Qui risponderei ricordando una scena di C’è post@ per te, un film commedia che ha contrassegnato la prima ascesa dell’era informatica. Il commesso di una libreria illustra ad un particolare cliente le caratteristiche uniche del libro che questi sta sfogliando – colorato a mano, numerato, etc. -, ed il cliente:
– È per questo che costa così tanto?
– No, è per questo che vale così tanto.
11. Nella tua esperienza, serve affidarsi (anche) a consulenti esterni o basta una robusta squadra di esperti privacy interni? In cosa il consulente esterno può rivelarsi prezioso?
Per quanto mi riguarda, il consulente esterno gioca tutto il suo ruolo in termini di oggettività, di visione di coffa, di coefficiente esperienziale, di conoscenza degli interlocutori, anche istituzionali: tutto questo, specie il primo elemento, è più difficile da mantenere per chi è inserito in un organico. Chiaro, tuttavia, che il consulente va pensato come investimento, non come costo fisso: questo significa che non lo si mette a svolgere attività di normale amministrazione – anche per una questione di rispetto della professione, al di là delle ovvie considerazioni di carattere giuslavoristico -, bensì solo quelle “a valore aggiunto”. Tra le quali spicca, in particolare, l’empowerment delle risorse interne: se io DPO non imparo dal mio consulente e, dopo un anno, sono sempre allo stesso livello di conoscenza da cui sono partito, è evidente che c’è un problema. Se esso risieda più nel DPO o più nel consulente varia a seconda delle situazioni, e nulla vieta che sia da individuare altrove, come accade quando il settore sia sottostimato – e, di conseguenza, sottostaffato – rispetto alle dimensioni del titolare e alle caratteristiche dei trattamenti.
12. Che cosa non dovrebbe mai fare un consulente privacy esterno?
Non ho esperienza diretta in tale ruolo e, del resto, non mi è chiaro se la domanda sia posta in generale, oppure rispetto al DPO. Se in generale, mi chiedo solo come alcuni possano fare il DPO ove non possano contare, all’interno dell’organizzazione, su interlocutori interni preparati e disponibili, che garantiscano un’interazione costante– uno o più, a seconda delle dimensioni e dei volumi/caratteristiche di trattamento del titolare. Affermo questo perché io stessa, che sono organica in una realtà aziendale, posso toccare con mano quanto sia sfidante svolgere questo ruolo dall’interno: è necessario correre a spron battuto solo per mantenere la posizione, un po’ come la Regina Rossa di Alice nello specchio; per fare un balzo in avanti, lo sforzo è doppio; triplo deve essere fare tutto questo dall’esterno, ed esponenziale per più clienti.
13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Solo se viene integrata, non sostituita, dal legal design, il quale peraltro mi pare offrire potenzialità ancora tutte da esplorare.
14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Dipende dalla loro natura e dalla loro funzione, e dalla frequenza di utilizzo: se si tratta, ad esempio, dell’home-banking, dei social network, dell’e-commerce mi prendo il tempo di leggere e valutare; diversamente, rifiuto tutto tranne i necessari o, anche più spesso, fuggo dalla pagina in questione.
15. Come rendere “amata” la privacy dai colleghi delle altre funzioni, che spesso vedono questa materia come un ostacolo? Come fare breccia nei loro cuori?
Semplicemente mettendo in luce i vantaggi e le opportunità che offre, che non sono pochi in termini, ad esempio: – di semplificazione dei processi: quante cose il GDPR ci ha costretto a ripensare, per scoprire che venivano fatte in un certo modo a fronte di ragioni già da tempo venute meno, come ad es. il consenso per i trattamenti di dati ex art. 6, comma 1, b)? – di efficientamento dei sistemi e degli archivi che, una volta liberati da strati e strati di dati pesanti e perfettamente inutili, sono liberi di procedere speditamente, come il protagonista di Mission; – di corretta perimetrazione del rischio, che permette maggiori consapevolezza e tranquillità. Potrei continuare e, di fatto, cerco sempre di cogliere ed illustrare i vantaggi della compliance GDPR all’interno dell’organizzazione; penso comunque che, in generale, sia cruciale la gestione delle obiezioni, specialmente quelle che vengono formulate quando inizio a tagliare il vincolo che unisce il mio Robert De Niro al proprio fardello.
16. Un tuo consiglio di metodo a un/a giovane DPO o Privacy Manager.
Ricordati sempre che al tuo ruolo non si addice prendere le decisioni che spettano al Business, bensì:
- il permettere al Business di prendere quelle decisioni consapevolmente, ossia con coscienza del rischio;
- l’aiutare il Business ad individuare soluzioni praticabili e compliant.
In poche parole: parla chiaro e pensa concreto & creativo.
17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Premesso che la normazione pletorica e compulsiva non è mai sintomo di buona costituzione, il problema a mio avviso è un altro: il peccato originale, e mai redento, della normativa dell’Unione Europea, che pure è istituzione asseritamente democratica, è il gap per cui un organismo eletto (Parlamento) rispetto alla legislazione ha funzione eminentemente gregaria e/o consultiva, e un organismo non eletto (Consiglio, composto da rappresentanti degli Esecutivi nazionali) è investito della facoltà di normare. Sarò all’antica, ma la confusione tra i poteri sovrani mi fa rabbrividire – e, se guardo la storia d’Europa, nonché cronache nazionali anche recenti, ne ho gran buoni motivi – mentre non mi stupisce affatto che la legislazione promanante da un organismo che non è espressione del voto civile sia vissuta con insofferenza.
18. Temi l’Intelligenza Artificiale?
No: il timore è una cosa, la cautela un’altra.
19. Credi nel Metaverso?
“Credo in tutto quello che non conosco” Cit. da La belle histoire, di Claude Lelouch).
20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Più che un libro, mi sono divertita a declinare gli spunti che punteggiano “L’Arte della Privacy” in ambito letterario, non avendo personalmente nulla da aggiungere dal punto di vista delle arti figurative. Agatha Christie ha offerto innumerevoli, magistrali saggi di crittazione – es. Uno scherzo arguto – e di oscuramento, anche tramite ostentazione – es. Asilo. Mi si obietterà che è troppo facile menzionare la regina del giallo, sicché ricorderò che anche un autore concreto e sanguigno come Giovannino Guareschi ha creato esempi di oscuramento meno rarefatti, in quanto calati nella dimensione del Mondo Piccolo: ad esempio, La Madonna brutta e L’Angelo del 1200 non mancano di tocchi di genialità pure da questo punto di vista. Ribadito poi quello che mi piacerebbe fosse ricordato come il “Principio di Tremotino” (vedi domanda 6, above), penso che ai fini dell’esercizio di questo potere sia utile confrontarsi con gli spunti offerti da Jurassic Park, di M. Crichton e, in particolare, sull’invettiva di Ian Malcom sul potere scientifico (IV iterazione, Controllo) – che, nell’edizione italiana, inizia così: La maggior parte dei poteri richiede un sostanziale sacrificio da chiunque li voglia (…). Questo, però, è un suggerimento che offrirei a chiunque eserciti qualsiasi forma di potere, che sia accademico, manageriale, politico, etc.; letteralmente a chiunque, quindi.
* Tutte le opinioni espresse sono esclusivamente personali e non impegnano né si riferiscono in alcun modo alla Società o all’Ente di appartenenza