Tempo di lettura stimato: 9'
MigliorAttivaMente è l’associazione che ho fondato insieme ad altri professionisti della protezione dei dati e della privacy per raggiungere un obiettivo: colmare il divario sociale e digitale in Italia. Un obiettivo ambizioso, lo so, ma che dobbiamo conquistare, anche perché – e qui ci metto in mezzo il GDPR – se c’è consapevolezza, se c’è cultura del dato, allora è più facile comprendere il principio di accountability e metterlo in pratica nelle aziende, negli enti e in generale fra chi tratta dati personali.
E come si fa?
Si fa solo in un modo: mettendo l’interessato al trattamento – che, a seconda del punto di vista, è anche cittadino, cliente, paziente, studente, utente della PA – al centro.
Perché, se le persone non vengono coinvolte, non sono consapevoli.
Se non sono consapevoli, non sono messe nelle condizioni di fare scelte ragionate per tutelare i loro diritti e per capire a chi affidare i propri dati personali.
Serve una cultura diffusa su questi temi.
Ne abbiamo parlato anche nel corso dell’evento FUTURE OF DATA (organizzato proprio da MigliorAttivaMente) con Giuseppe Pacelli (Presidente dell’associazione e DPO) e con Guido Scorza, componente dell'Autorità Garante per la protezione dei dati personali.
Leggi l’estratto del loro scambio.
Accountability e autoregolamentazione delle imprese: le persone percepiscono l’impegno?
Pacelli: La cultura della protezione dei dati personali, vista come una "protezione" praticata da imprese, enti, terzo settore, potrebbe essere utile anche per ingenerare maggior fiducia nel consumatore, nell'interessato e nel cittadino a utilizzare servizi digitali?
Autorità Garante: Uno dei primi convegni nazionali di questa autorità [Garante per la protezione dei dati personali ndr], datato addirittura 2004, diceva "La privacy, da costo a risorsa". Voleva in qualche modo segnare una strada - abbondantemente ante-GDPR - nella quale si intravedeva all'orizzonte la possibilità che quelli che le imprese vivevano come oneri - cioè gli obblighi imposti loro dalla disciplina sulla privacy - un giorno avrebbero rappresentato un vantaggio competitivo.
Un vantaggio dato dal fatto che utenti e consumatori - quindi gli interessati, per dirlo con le parole della privacy - avrebbero imparato a riconoscere l'azienda più rispettosa dei loro diritti, a distinguerla da quella meno rispettosa, a preferire la prima, in danno della seconda. In qualche modo innescando un meccanismo virtuoso per cui il rispetto delle regole avrebbe prodotto anche un vantaggio di tipo economico e commerciale.
Credo che si sia su quella strada. Purtroppo, non mi sento di dire che quell'obiettivo è stato raggiunto. Questo in buona parte in ragione del fatto che il livello di educazione dell'utente-consumatore alla cultura del diritto alla protezione dei dati è ancora molto basso. Quindi non si registra una diffusa sensibilità dell'utente e del consumatore ad apprezzare e distinguere l'impresa che rispetta di più i suoi diritti rispetto a quella che li rispetta di meno.
Purtroppo, paradossalmente, talvolta capita ancora oggi che l'investimento di chi vuole mettersi in regola non sia premiato dal consumatore, che continua a scegliere il prodotto o il servizio di chi ha scelto di non farlo, andando magari sul mercato con un servizio o con un prodotto più performante in una logica pratica, ma meno rispettoso del diritto alla privacy degli utenti e dei consumatori. Ma questo secondo me non deve farci demordere.
Dalla logica del “mi metto in regola, così non prendo la sanzione”, alla logica dell’accountability
Autorità Garante: L'obiettivo resta quello: fare in modo che chi rispetta le regole non sia semplicemente un soggetto che si mette in safe side, che adempie alla legge, che non corre il rischio di incorrere in una sanzione. Ma è un soggetto che si presenta in maniera più appealing al suo pubblico di utenti e consumatori e che è premiato alla fine anche sul mercato e dal mercato.
Questo è, secondo me, il punto di arrivo. L'accountability va indubbiamente in quella direzione. Dice al titolare del trattamento: sai tu quello devi fare per poter raccontare al Garante, nel caso di una verifica (ma anche nel quotidiano ai tuoi interlocutori, agli utenti e ai consumatori), che sei un'impresa che rispetta i loro diritti.
Quella è la strada. Secondo me la strada è segnata. Non dobbiamo rinunciare a perseguire questi obiettivi.
Spingere sulla digitalizzazione potrebbe aiutare?
Pacelli: In questo scenario, ho pensato che gli attori in gioco - i cosiddetti portatori di interesse - sono diversi: il titolare del trattamento, i responsabili esterni (la lunga mano nell'attività di trattamento), i Data Protection Officer (questo "essere" che ha tre facce: una si rivolge all'Autorità, una agli interessati e l'altra al titolare), e poi abbiamo le associazioni, tutto il mondo del terzo settore. È notizia recente che verrà pubblicato il Registro unico nazionale e quindi anche il terzo settore, che rappresenta degli interessi, può, al pari degli altri attori, essere protagonista e portatore di interessi.
Tutti questi soggetti, quanto dovrebbero incentivare la cosiddetta cittadinanza digitale? Quanto dovrebbero insistere per alfabetizzare il cittadino digitale, che è ormai una dimensione del mondo reale?
Autorità Garante: Tutti dovrebbero, tutti dovremmo farlo, in maniera crescente perché all'orizzonte ci sono solo vantaggi, più o meno condivisi. E non esistono svantaggi, nel senso che i rischi insiti nella dimensione digitale - che non si può negare vi siano - non sono né di più né più gravi di quelli che ci sono nella vita fisica.
Ragione per la quale non ho grandi dubbi a dire che la transizione o la trasformazione digitale è un processo virtuoso o comunque irreversibile. Direi che i mesi della pandemia ce lo confermano.
Il problema non è tanto nel remare tutti nella direzione di spingere gli utenti e i consumatori ad entrare in una dimensione di cittadinanza digitale. Questo è un processo semplicemente figlio della storia.
Digitali sì, ma con consapevolezza
Autorità Garante: Il punto è spingerli ad entrare nella digitalizzazione in maniera consapevole. Questa credo che sia l'espressione di riferimento, peraltro un'espressione preziosa nella cornice del GDPR sotto diversi angoli di visuale. Quindi non essere digitali per essere digitali, ma essere digitali in maniera consapevole. E questa è tutta un'altra storia.
I mesi della pandemia ce lo confermano, questa volta in negativo, perché abbiamo visto una traslazione quantitativamente importante dal mondo fisico al mondo digitale, giocoforza.
L'impossibilità di accedere al canale tradizionale ha portato milioni di italiani a ricorre al canale digitale per adempiere ad attività del loro quotidiano, che fino all'epoca pre-pandemia avevano realizzato in maniera tradizionale.
Ma questo ha prodotto, ce lo dicono i numeri, anche un effetto tipo "prima domenica di sole", nella quale un numero pazzesco di persone si riversa sulle spiagge, ha l'ambizione di saper nuotare, si butta in acqua e dà un gran lavoro a bagnini e a capitanerie di porto.
Perché puoi avere la percezione che stare a galla sia facile, e poi non è così.
La stessa cosa è accaduta nei mesi della pandemia. Se contiamo gli italiani che hanno iniziato a usare strumenti e servizi digitali, possiamo essere molto felici del risultato, ma se poi guardiamo al numero di truffe, frodi, piccoli e grandi incidenti nei quali in molti - enormemente più che in passato - sono caduti, per mancanza di una cultura di base delle dinamiche digitali, per mancanza di consapevolezza del contesto di riferimento, è tutta un'altra storia e c'è poco da stare allegri.
Quindi sì, tutti i soggetti della filiera del GDPR hanno solo da guadagnare e dovremmo spingere per la progressiva trasformazione digitale del Paese e dei suoi cittadini, ma la rotta è il "buon digitale". E il buon digitale è il digitale consapevolmente vissuto, non un digitale qualsiasi, purché sia digitale.
Pacelli: Chiarissimo. Quindi una forma più armonizzata, una sorta di accompagnamento da parte di queste organizzazioni potrebbe essere una buona iniziativa.
Introdurre uno strumento di conciliazione online tra interessato e titolare è possibile?
Pacelli: A proposito di incidenti, noi quando pensiamo a una violazione di dati personali, ci immaginiamo l'organizzazione che verrà sanzionata come estrema ratio dall'autorità Garante per la protezione dei dati personali. Però c'è ancora la questione aperta di quanto potrebbero essere risarciti o indennizzati gli interessati.
Facendo anche un parallelo con l’autorità per le Garanzie nelle Comunicazioni, è ipotizzabile una sorta di ConciliaWeb, ovvero una piattaforma per gestire tutto il contenzioso stragiudiziale tra titolari e interessati?
Autorità Garante: Gli strumenti con cui opera ConciliaWeb e quello di protezione dei dati sono scenari sensibilmente diversi gli uni dagli altri. Normalmente le conciliazioni - caratteristiche del sistema di servizi di telecomunicazione - sono conciliazioni su vicende di matrice civilistica, e cioè con un operatore che ha fatturato qualcosa che l'utente-consumatore ritiene non dovuto. Quindi è attorno a quella questione - credito-debito - che si gioca la conciliazione: troviamo una via di mezzo di tipo quantitativo in relazione alle partite di dare e avere.
Naturalmente, lo scenario, quando si abbandona quel contesto e ci si sposta a quello della protezione dei dati, è sensibilmente diverso; nel senso che, se da una parte è vero che tutto (o quasi tutto) è suscettibile ad una quantificazione economica per risarcimento, è altrettanto vero che su questa parte del terreno di gioco in realtà vengono in rilievo dei diritti fondamentali.
C'è un interesse pubblico a che quei diritti siano protetti e tutelati, a prescindere persino dalla volontà dell'interessato. L'autorità Garante procede su segnalazione o su reclamo degli interessati, ma procede anche - e forse persino più di frequente - d'ufficio e a prescindere dalla volontà dell'interessato.
Quindi, già da un punto di vista ontologico, le due fattispecie si presentano molto diverse: una è nella disponibilità esclusiva delle parti, che discutono chi debba dare e chi debba avere qualche centinaio o migliaio di euro in più o in meno. Qui, viceversa, si discute se e quanto un titolare del trattamento stia violando le regole, se le ha violate, se abbia esposto al rischio la privacy non di un interessato, ma di una pluralità di interessati, anche qualora la segnalazione o il reclamo provenga da un interessato.
E lì, naturalmente, come autorità di protezione, il nostro interesse non è tanto garantire che l'interessato abbia, in termini economici, un risarcimento.
Noi non condanniamo mail titolare del trattamento a risarcire l'interessato. Non possiamo, non è materia di nostra competenza, ma è viceversa ordinare al titolare del trattamento di adottare tutte quelle misure correttive che valgono per il futuro a scongiurare il rischio che quanto è avvenuto si ripeta. Ed eventualmente a sanzionare quel titolare del trattamento per disincentivarlo rispetto all'adozione di pratiche che possono esporre a un rischio la privacy degli interessati.
Il nodo centrale è la violazione di un diritto fondamentale delle persone
Autorità Garante: Anche dal punto di vista di sistema, direi che le due situazioni [ConciliaWeb e protezione del dato ndr] sono diverse, per cui non mi viene facilissimo immaginare a un “ConciliaWeb” sulle pagine del sito del Garante.
A prescindere da questa, che è sostanza, anche nella forma, la conciliazione presso i Co.re.com. - caratteristica dei servizi di comunicazione elettronica - è un processo regolamentato e disciplinato a livello primario e livello secondario. Mentre, tra tanti poteri e funzioni che il Regolamento e la disciplina nazionale attribuiscono alle autorità di protezione dei dati personali, quello ad ergersi a soggetto di conciliazione, non vi è.
Senza dire che, il più delle volte, almeno quando il procedimento inizia da parte dell'interessato, l'interessato, prima di bussare la porta dell'autorità, ha già bussato alla porta del titolare. Quindi, prima ancora che noi si veda la questione, una chance di conciliazione, per così dire, o di una identificazione di una soluzione, il titolare del trattamento e l'interessato l'hanno avuta.
Noi naturalmente la cerchiamo ancora. Perché il primo atto dell'autorità, nello scrivere a un titolare del trattamento, a valle di un reclamo, è una richiesta di informazioni che ha dentro, come prima domanda: "Desideri o non desideri adeguarti spontaneamente alla richiesta dell'interessato?".
Prima ancora che io valuti se è una richiesta fondata o infondata, quindi, in qualche modo, un esercizio o un tentativo di conciliazione bonario è endemicamente presente in tutti i nostri procedimenti, che iniziano così: il titolare riceve sempre una comunicazione nella quale c'è scritto chiaramente “Intendi o non intendi adeguarti alla richiesta dell'interessato, quale che essa sia”. Quindi in quel momento il titolare del trattamento può dire sì e la partita in qualche modo si chiude lì, nella misura in cui l'adeguamento sia effettivo e corrispondente alla richiesta dell'interessato.
Formazione per sensibilizzare, formazione per essere consapevoli
L’estratto finisce qui. E io che sono Privacy Evangelist da anni, ti chiedo: secondo te, come facciamo a sensibilizzare tutti gli attori del GDPR (e non solo, anche i cittadini, i consumatori, gli utenti) per diffondere la cultura della protezione del dato?
In PrivacyLab e MigliorAttivaMente ci siamo dati una risposta: accompagnandoli con una formazione chiara, pratica, fatta di esempi concreti. Lo facciamo con MigliorAttivaMente per i cittadini – ma anche per le imprese, gli enti e la PA – e lo facciamo in PrivacyLab con Raise Academy.
Vuoi saperne di più?
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
