05 Mag “VITA DA PRIVACYISTA – MANAGER” – PUNTATA 14 – 1 DPO/PRIVACY MANAGER, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA – MANAGER” – Nuovo ciclo – Quattordicesima puntata – 1 DPO/Privacy Manager di enti e aziende, 20 domande fuori dagli schemi
A cura di Luca Bolognini
Nuovo ciclo dedicato alle figure interne di grandi aziende ed enti*. La rubrica-intervista che raccoglie idee originali dai migliori DPO e Privacy Manager aziendali in Italia. Protagonista di questa settimana è…
1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Anna Paola Lenzi, DPO del Gruppo TeamSystem, di nome e di fatto.
2. Vent’anni fa, avresti mai pensato di ricoprire questo tipo d’incarico? Era un mestiere “concepibile” o fantasy?
Poco meno di vent’anni fa ho iniziato ad occuparmi di tutela dei consumatori, concorrenza e pubblicità ingannevole entrando da giovane praticante nello Studio bolognese del Prof. Ugo Ruffolo. Un lavoro da DPO non era nel mio piano di carriera e nemmeno nella mia immaginazione, ma onestamente nemmeno avrei pensato di diventare una manager d’azienda, cosa che poi la vita mi ha portato a fare. Di quegli anni mi porto però dietro un bagaglio che si è rivelato utilissimo per il mio ruolo di DPO: un metodo di lavoro fatto di analisi, studio certosino, comparazione e forte rigore intellettuale, ma anche valori e principi generali come la trasparenza, la correttezza e l’equità nei rapporti contrattuali, che costituiscono chiavi di lettura fondamentali per buona parte della normativa europea degli ultimi vent’anni, compresa quella sulla protezione dei dati personali.
3. Tra vent’anni, il tuo ruolo cosa sarà diventato?
Un ruolo ancora più strategico e rilevante soprattutto nei settori privacy sensitive come quello tecnologico. Già oggi si sente sempre più spesso parlare della necessità di avere competenze in ambito cyber e data protection anche a livello dei Board delle aziende più strutturate. Come già avvenuto nei settori fortemente regolamentati come quello bancario, l’emergere di un quadro normativo strutturato sulla gestione del dato (non solo personale) determinerà necessariamente un empowerment a livello strategico delle funzioni di data protection compliance.
4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Per chi come me vive l’azienda – e tanto più le aziende che operano a livello multinazionale – credo che sia piuttosto complesso ma soprattutto poco efficiente tornare ad una rigorosa segregazione linguistica tra Paesi. Questo però è vero solo se consideriamo il punto di vista degli addetti ai lavori. Se ci mettiamo invece a considerare il punto di vista dell’interessato, credo sia un preciso dovere quello di utilizzare, ad esempio nell’informativa sul trattamento dei dati personali, un linguaggio semplice, immediato, evitando il riscorso a forestierismi che richiedono uno sforzo cognitivo superiore, in contrasto con il principio di chiarezza e trasparenza.
5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
La protezione dei dati personali è un diritto e ancor più una libertà fondamentale delle persone e credo che questo sia percepito, se pur a volte in modo immaturo o embrionale, a tutti i livelli sociali e istituzionali. Il punto critico oggi è quello di dimostrare che questo diritto può essere fatto valere in modo sostanziale, perché troppo spesso il cittadino medio nutre ancora sfiducia sul fatto che vi siano tutele effettive e sostanziali e rischia purtroppo di percepire la protezione dei dati come l’ennesimo fardello burocratico che blocca le iniziative senza fornire tutele reali. Il nostro compito come operatori è quello di semplificare e riuscire ad arrivare alla sostanza.
6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Alle mie figlie la spiego tutti i giorni, mentre si affacciano all’utilizzo di tecnologie per loro nuove ma anche allo sviluppo delle relazioni interpersonali. Quello dei nativi digitali già esperti nell’uso della tecnologia è un mito pericoloso da sfatare. I bambini vanno seguiti e educati passo per passo in quella che può rappresentare a tutti gli effetti un’attività per loro rischiosa, come l’utilizzo di una piattaforma social o di un videogioco interconnesso. Quanto al metodo, piuttosto che ricorrere a proibizioni e divieti credo sia importante far riflettere sui valori e sulle conseguenze delle proprie (ed altrui) azioni. Io lo faccio con domande ed esempi alla loro portata: lo sai che se pubblichi una tua foto o quella di una tua amica su internet ci potrà rimanere per sempre, anche quando sarai al liceo, e potrà essere vista da tutti, ma proprio da tutti tutti, compresa la tua maestra, i colleghi di lavoro di papà e la vicina curiosona della nonna? Pensaci bene prima di postare e chiedi il permesso sei dati non sono tuoi!
7. L’aspetto più faticoso e “noioso” della privacy/data protection?
La compliance è un lavoro fatto di costanza e di tanta fatica, adempimenti quotidiani sommersi come la base di un enorme iceberg, di cui solo gli specialisti sanno apprezzare la portata. L’aggiornamento costante dei registri del trattamento, o delle analisi dei rischi e delle valutazioni di impatto per i trasferimenti transfrontalieri… sono tutti adempimenti forse poco “divertenti” ma preziosissimi e indispensabili quando si verifica un momento critico, come ad esempio un potenziale incidente di sicurezza, la richiesta di un interessato o di un’Autorità di controllo.
8. L’aspetto più divertente e “giocoso” della privacy/data protection?
Sicuramente la consapevolezza di essere al centro di un dibattito professionale che ha portata storica. Viviamo un momento in cui, grazie anche alla possibilità di fare rete con altri specialisti e con le Istituzioni su tematiche di frontiera, siamo protagonisti di una sfida epocale, cioè quella di riuscire a costruire un futuro a misura d’uomo e rispettoso dei diritti, favorendo uno sviluppo tecnologico che sia al servizio della persona (e non il contrario).
9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
L’aumento dei professionisti della privacy è un bene perché contribuisce a rafforzare la cultura della protezione dei dati, anche se si pone il tema delle competenze e della professionalità. Per questo è molto importante che le aziende e le PA sappiano selezionare e favorire chi lavora realmente con qualità ed esperienza, rifuggendo la tentazione dei DPO e consulenti a basso o bassissimo costo. Il rischio altrimenti è quello di favorire un approccio burocratico e formalistico, estremamente dannoso per tutto l’ecosistema perché allontana le imprese e i cittadini dal valore della protezione dati.
10. I dati personali sono monete?
No e non lo potranno mai essere. Questo non vuole naturalmente dire che non sono possibili modelli di business basati sulla valorizzazione dei dati personali, o obbligazioni che ne prevedono a vario titolo l’utilizzo o il trattamento, ma il dato personale, come diritto fondamentale della persona, non potrà né dovrà mai essere considerato alla stregua di una moneta, di petrolio o di una merce che sia, a meno di non mettere in pericolo le libertà individuali e gli stessi principi fondanti dello stato democratico.
11. Nella tua esperienza, serve affidarsi (anche) a consulenti esterni o basta una robusta squadra di esperti privacy interni? In cosa il consulente esterno può rivelarsi prezioso?
In questo momento storico, per un’azienda che effettua attività di trattamento che hanno impatti significati su dati di natura personale, l’utilizzo di consulenze esterne è indispensabile e non può essere sostituito, non importa quanto sia preparata e robusta la squadra interna. La normativa cambia troppo velocemente così come il quadro interpretativo, per non parlare del fatto che anche tra i privacyisti si stanno creando forti specializzazioni settoriali che richiedono una enorme esperienza, si pensi ad esempio al settore sanitario, bancario o anche a quello tecnologico e del marketing digitale. Anche momenti particolari della vita di un’impresa come un’operazione di M&A può richiedere competenze specifiche, ad esempio per la due diligence o per l’analisi di nuovi ordinamenti giuridici.
12. Che cosa non dovrebbe mai fare un consulente privacy esterno?
Trincerarsi dietro la complessità del quadro giuridico senza fornire una soluzione. Le imprese devono prendere decisioni perché se stanno ferme muoiono e spesso non sono in grado di attendere i tempi lunghi che richiede il consolidamento di una interpretazione normativa o l’evoluzione di un quadro giurisprudenziale.
13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Sì è possibile, ma non fino a che gli avvocati capiranno di non avere da soli le competenze necessarie. Il legal design consente di semplificare e rendere effettivamente più trasparente il testo di un’informativa, ma richiede competenze multidisciplinari che includono il design thinking, la psicologia cognitiva, la grafica e la comunicazione, oltre che progetti e investimenti dedicati.
14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Una lettura completa la faccio solo quando mi interessano per motivi professionali. Per il resto, come individuo e consumatore leggo le prime righe o i cruscotti di consenso e già da quelli capisco chi ho di fronte. Quanto ai cookies, sono realmente infastidita dall’uso di dark pattern che non consentono di rifiutare la profilazione o di modificare le preferenze e quando mi trovo di fronte a siti che “acchiappano dati” senza la necessaria trasparenza chiudo la pagina senza proseguire la navigazione.
15. Come rendere “amata” la privacy dai colleghi delle altre funzioni, che spesso vedono questa materia come un ostacolo? Come fare breccia nei loro cuori?
Mostrandogli le ricerche e i dati in base ai quali le imprese sempre crescono e aumentano i ricavi in base al “trust”, cioè alla fiducia che sanno generare nei propri clienti e investitori e alla sostenibilità. La protezione dati e la compliance in generale sono strumenti potenti nelle mani delle organizzazioni per costruire la propria reputazione e strategia sul mercato.
16. Un tuo consiglio di metodo a un/a giovane DPO o Privacy Manager.
Fai un corso di informatica o almeno di legal tech, tocca con mano quello che vuoi analizzare e studia, senza dimenticare le categorie generali del diritto costituzionale, civile, penale e del lavoro, perché la lente dello specialista a volte ci fa dimenticare il quadro generale e questa non è mai una buona cosa.
17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
L’Europa sconta un forte ritardo tecnologico nella ricerca e sviluppo delle nuove tecnologie, prime fra tutte l’intelligenza artificiale. In questo contesto, la regolamentazione può essere coerente anche con la finalità di contrastare la presenza sul mercato europeo di player provenienti da Paesi che hanno investito maggiormente in queste tecnologie. Ad ogni modo, credo che a frenare non siano le normative, necessarie per regolare cambiamenti di portata storica, ma piuttosto le difficoltà interpretative, l’eccessiva discrezionalità applicativa e in sostanza la mancanza di certezza giuridica.
18. Temi l’Intelligenza Artificiale?
Non la temo, è una tecnologia e come tutte le tecnologie può essere utilizzata in modo positivo o dannoso per l’uomo, a seconda dei limiti e degli obiettivi che la governano. Credo però che sia assolutamente corretto e necessario valutarne al più presto con attenzione i rischi, gli effetti di lungo termine anche sul piano sociale e le tematiche etiche sottese.
19. Credi nel Metaverso?
Come giurista sono interessata ai profili legali del Metaverso che sono di notevole stimolo, per il resto vedremo come evolverà e soprattutto in che misura impatterà le strategie di business.
20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
“La quarta rivoluzione. Come l’infosfera sta trasformando il mondo” di Luciano Floridi, 2017. L’ho trovato molto utile per inquadrare l’epoca di trasformazione che stiamo vivendo attraverso lo sviluppo digitale e agevolare la comprensione della realtà e dei nuovi paradigmi che servono ad interpretarla.
* Tutte le opinioni espresse sono esclusivamente personali e non impegnano né si riferiscono in alcun modo alla Società o all’Ente di appartenenza