01 Giu “VITA DA PRIVACYISTA – MANAGER” – PUNTATA 15 – 1 DPO/PRIVACY MANAGER, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA – MANAGER” – Nuovo ciclo – Quindicesima puntata – 1 DPO/Privacy Manager di enti e aziende, 20 domande fuori dagli schemi
A cura di Luca Bolognini
Nuovo ciclo dedicato alle figure interne di grandi aziende ed enti*. La rubrica-intervista che raccoglie idee originali dai migliori DPO e Privacy Manager aziendali in Italia. Protagonista di questa settimana è…
1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Elsa Catalano – Group DPO Engineering – Ruolo putativo è SWAT-DPO, perché l’idea diffusa è che se c’è bisogno di una “squadra speciale” si chiama il DPO. Il ruolo desiderato nell’ambito dei rapporti con le aziende e non solo della azienda per la quale lavoro è quello di essere un valido punto di confronto per dialogo costruttivo e di valore.
2. Vent’anni fa, avresti mai pensato di ricoprire questo tipo d’incarico? Era un mestiere “concepibile” o fantasy?
No, sicuramente 20 anni fa la mia visione della compliance non contemplava la compliance privacy, facevo compliance finanziaria e il mio unico incontro con la privacy a quel tempo fu con Rodotà oltre che durante l’esame in università in seduta di laurea, fu il mio contro-relatore! Il mestiere del DPO è nato recentemente, e purtroppo la parola “mestiere” la sento nella sua accezione negativa come attività dal carattere prevalentemente manuale, appresa per lo più con la pratica e il tirocinio, esercitata quotidianamente e a scopo di guadagno, contrapposta a “professione” o ad “arte”. In questi anni molti hanno imparato il mestiere, pochi la professione pochissimi l’arte.
3. Tra vent’anni, il tuo ruolo cosa sarà diventato?
Spero si sia evoluto verso forme nuove di consulenza considerando le molteplici sfere di diritto con cui la protezione dei dati si interfaccia, ruolo di garante dei diritti e delle libertà fondamentali a 360 gradi, garante non come difensore ma come promotore, non come la medicina che cura il problema, ma come prevenzione basata sullo “stile di vita”.
4. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Io amo la lingua italiana e l’etimologia della parola, sono siciliana e molte parole non si possono tradurre dal dialetto all’italiano, perdono la loro essenza, il loro suono, la loro profondità. Questo ragionamento lo devo fare necessariamente con gli anglicismi della materia di cui mi occupo, partendo proprio dalla sua denominazione, ci occupiamo di “privacy” come lo vogliamo tradurre? “vita privata”? non è la stessa cosa… e così per tutti gli altri aspetti che la normativa affronta. Non penso se ne debba fare una guerra di religione, ma anzi si tratta di approccio democratico, e democraticamente la norma, anche se disciplinata a livello locale/nazionale, non può fare a meno di utilizzare termini universalmente riconosciuti, è democratico che privacy abbia lo stesso significato in Italia e in Cina!
5. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Credo che interessi molto a chi vive sapendo che il proprio “io” è diverso da quello del vicino, come tale nella diversità si ha esigenza di essere unici e non catalogabili. Questa diversità, che interessa alle persone, è la voglia di proteggere ciò che rientra nella propria individualità. “POP” o “Rock” sicuramente lo può essere nel momento in cui si spinge una iniziativa per fare un po’ di trambusto, e va benissimo che ci sia il trambusto perché è con il trambusto che non si tiene sotto silenzio o sotto traccia il potenziale rischio di una perdita (della privacy) non valutata correttamente. La perdita di un diritto non adeguatamente considerato perché vissuto come “normale”, vissuto a volte passivamente perché non sufficientemente controllato dal suo Titolare.
6. Come gliela spieghi, questa disciplina, ai bambini delle elementari?
I bambini delle elementari sono un banco di prova fantastico perché hanno la freschezza che manca agli adulti e sono al contempo acuti nell’analizzare alcune situazioni. Ricordo che era da poco nelle sale il film della Disney Rapunzel, mi dirai cosa c’entra Rapunzel con la privacy…ti racconto come ho spiegato alla mia nipotina cosa fosse la privacy… Rapunzel vive in una torre protetta, Rapunzel ha dei capelli magici e tanta voglia di conoscere il mondo, la madre la tiene rinchiusa perché gelosa della sua bellezza e non le ha mai permesso di lasciare la torre. Ora la privacy è come Rapunzel, non la puoi tenere sottochiave per proteggerla ma le devi lasciare la possibilità di conoscere il mondo, usare i capelli magici per capire il valore straordinario di qualcosa che fa parte della sua natura (i capelli/ovvero i diritti) ma ci sono molte persone cattive che attentano ai suoi capelli, alla sua libertà, o la temono, come la madre che potrebbe essere qualunque soggetto che ha interesse a controllare la vita privata per gestirla a proprio piacimento…per fortuna nelle favole arriva il principe azzurro/cavaliere che noi chiamiamo GDPR che le farà vivere il suo sogno di esplorare il mondo guardandole sempre le spalle. Quel film è piuttosto datato… dovrò trovare un altro cartone Disney! Ma direi che la favola è ancora uno storytelling che regge.
7. L’aspetto più faticoso e “noioso” della privacy/data protection?
L’aspetto più faticoso è combattere con il “lo fanno tutti!” che si sposa anche con il “se è pubblico lo posso usare!” direi quindi combattere gli stereotipi e i luoghi comuni. Noioso è dialogare con chi ritiene la privacy una scocciatura perché la vede come “altro da sé” o si limita agli aspetti degli adempimenti che sono senza dubbio non divertenti.
8. L’aspetto più divertente e “giocoso” della privacy/data protection?
È divertente ragionare e quindi “giocare” con diversi istituti giuridici che ruotando intorno ai principi costituzionali e alla carta dei diritti umani consente di fare della privacy un terreno di gioco multiplayer.
9. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
È un bene, perché ritengo che sia un modo di diffusione della cultura della compliance privacy, bisogna puntare ad avere consulenti qualificati e aggiornati, quanto più la cultura della compliance sarà diffusa tanto meno sarà necessario avere DPO o consulenti a basso impatto. Quello che ritengo debba essere salvaguardato è il “Consulente ad alto impatto” che conosce l’azienda e la costellazione normativa nella quale il cliente si muove.
10. I dati personali sono monete?
Il tema della monetizzazione è di grande interesse, se pensiamo alle società che sui dati hanno costruito il proprio modello di business, la domanda è pleonastica. Se invece ci domandiamo quanto dell’attuale assetto normativo sia applicabile alla monetizzazione dei dati personali, allora bisognerà fare delle riflessioni più ampie. Che vanno dalla possibilità di applicare le imposte sui dati personali intesi come bene immateriale con valore economico, alla discriminazione determinata dalla diversa condizione socioeconomica. Poi c’è il tema dei cookie wall in cui i dati potrebbero essere un corrispettivo per un servizio, i dati hanno un valore che va considerato nel sistema Paese.
11. Nella tua esperienza, serve affidarsi (anche) a consulenti esterni o basta una robusta squadra di esperti privacy interni? In cosa il consulente esterno può rivelarsi prezioso?
Avere un team interno altamente professionalizzato è un asset, tuttavia la possibilità di un confronto con consulenti esterni può essere prezioso in molte situazioni, a cominciare dal fatto che il consulente spesso, più del legal interno, ha un occhio sul mondo e uno dentro altre realtà aziendali, funge da benchmark e da cartina tornasole nei casi in cui ci siano temi complessi e dibattuti nella interpretazione. Nella mia esperienza, il consulente può essere in grado di fare la differenza, bisogna scegliere quello giusto!
12. Che cosa non dovrebbe mai fare un consulente privacy esterno?
Analizzare la situazione in modo asettico, senza parametrarla alla realtà nella quale la stessa si realizza e senza considerare le variabili. Il lavoro del buon consulente nasce a mio avviso dalla sua capacità di ascolto e di empatia, a cui si affiancano competenza e professionalità che da sole non bastano.
13. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
La sintesi spesso fa a cazzotti con la trasparenza, quindi se pensiamo ad una informativa scritta ti dico non è possibile sintetizzare, ma se pensiamo a modi più veloci di comunicare – video, immagini, audio – allora ritengo che di soluzioni interessanti ce ne possano essere svariate.
14. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Non sempre, le leggo più spesso quando da una prima lettura mi sembrano scritte bene, è lì che si annida il punto critico, e poi mi piace vedere come altri raccontano alcuni trattamenti.
15. Come rendere “amata” la privacy dai colleghi delle altre funzioni, che spesso vedono questa materia come un ostacolo? Come fare breccia nei loro cuori?
Possiamo lavorare per trasferire il messaggio che la privacy non è un ostacolo se affrontata insieme nel modo giusto e nel momento giusto e che si possono accompagnare anche le decisioni di business più difficili se c’è trasparenza e collaborazione tra le diverse funzioni, non a caso il DPO è un consulente e la funzione privacy è tecnicamente funzione “Support”.
16. Un tuo consiglio di metodo a un/a giovane DPO o Privacy Manager.
Analizzare, capire, condividere e decidere. Tutte attività che necessitano di un field di competenze trasversali non solo giuridiche a mio avviso, quindi consiglierei ad un giovane DPO o Privacy Manager di adottare l’approccio “un giorno da…”, cioè per capire bene il business ci devi stare dentro e sentire l’aria che si respira, capire il loro modo di pensare trascorrendo un giorno da tecnico del business che si supporta.
17. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Falso, non vedo un freno all’innovazione, vedo molte regole che spesso non sono adeguate al tempo e allo spazio in cui si collocano, perché le norme vengono elaborate con una velocità che è molto diversa dalla velocità a cui corre l’innovazione. Quindi la domanda è ontologicamente non corretta, perché le due attività i) fare le regole e ii) frenare l’innovazione, presuppongono che le stesse avvengano in regime di contemporaneità e sappiamo già adesso che non è così.
18. Temi l’Intelligenza Artificiale?
No l’Intelligenza Artificiale è quello che mi incuriosisce di più per le diverse sfaccettature e i vari modi in cui può essere applicata, sviluppata e soprattutto indirizzata. Credo sia il vero banco di prova, per noi che facciamo consulenza, fornire indirizzi percorribili che tengano conto del valore che l’AI è in grado di portare nel rispetto dei diritti fondamentali.
19. Credi nel Metaverso?
Credo in Dio, nel Metaverso ho fiducia, ritengo sia una risorsa straordinaria, lavoro a stretto contatto con ingegneri e sviluppatori di soluzioni per e nel Metaverso, per esempio i digital wallet già oggi ti consentono di acquistare NFT nel Metaverso e vivere così una realtà aumentata. Per evolvere il business nel Metaverso, studiamo e creiamo strutture con fondamenta solide per rendere i business reali e concreti oggi, per me il Metaverso è già oggi.
20. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
Human in the Loop di Paolo Benanti, è una lettura critica o, meglio, che spinge ad una interpretazione critica del cambiamento che stiamo vivendo, senza subirlo ma comprendendolo a fondo e interrogandosi. Sviluppare un pensiero critico è fondamentale.
* Tutte le opinioni espresse sono esclusivamente personali e non impegnano né si riferiscono in alcun modo alla Società o all’Ente di appartenenza