L’ospite della nostra rubrica “Voci dal Movimento” è Manuela Soccol – Data Protection Officer del Movimento Etico Digitale.
Ciao Manuela. Che lavoro fai e di cosa ti occupi?
Sono un avvocato del Foro di Padova ma in realtà amo definirmi una consulente in diritto delle nuove tecnologie. Affianco le aziende in tutte le tematiche che affrontano nelle implementazioni di sistemi digitali: problematiche collegate al trattamento dei dati, e-commerce e tutta la contrattualistica connessa.
L’altro grande settore in cui opero è la responsabilità penale degli enti. Nello specifico creo modelli organizzativi, in particolare della normativa 231 del 2001, che hanno lo scopo di minimizzare il rischio di commissione di determinati reati.
Cos’è un DPO e perché è importante nelle aziende e nelle no profit?
Il DPO (Data Protection Officer), o Responsabile della protezione dei dati (in italiano) è una delle grandi novità introdotte dal Regolamento Europeo sulla protezione dei dati, entrato in vigore nel maggio 2018.
Il DPO è un soggetto esperto nel trattamento dei dati personali che:
- Deve essere obbligatoriamente nominato nei casi previsti per legge (es. per gli enti pubblici) e nei casi nei gli Enti o le imprese trattano in maniera massiva determinati dati personali (ad es. i dati particolari una volta chiamati dati sensibili)
- Può essere nominato quando l’impresa, valutando i dati personali che tratta, preferisce avere una figura esperta sul tema del trattamento dei dati personali.
Il DPO è una figura che è stata fortemente voluta a livello europeo dalle autorità di controllo in quanto rappresenta il trait-d’union tra l’autorità (ad esempio il Garante Privacy) e le imprese. Nell’ipotesi in cui dovesse configurarsi un data breach [1] il DPO diventa il punto di riferimento per l’autorità di controllo in quanto si occuperà di informare il Garante di quanto successo e di fornire tutte le informazioni a riguardo.
Il DPO diventa anche il collettore delle richieste che possono arrivare dai singoli interessati, per esempio richieste di accesso dei dati, di chiarimenti rispetto al trattamento degli stessi.
Chiarissimo. Quindi il DPO non è necessario per qualsiasi tipo di azienda. Giusto?
No. Pensiamo ad esempio ad un’azienda che non vende on-line i propri prodotti o servizi, non fa profilazione e tratta solo i dati dei propri dipendenti. Nel caso di un’azienda che ha un sito e-commerce sarà necessario considerare due fattori: la quantità di dati personali trattatati e la distribuzione geografica degli interessati i cui dati vengono trattati.
In altri termini, il concetto di trattamento su larga scala dipende anche dall’area geografica di riferimento: se, ad esempio, per lo svolgimento di un’attività un’impresa tratta i dati personali di 10.000 persone di una città che ne conta 100.000 mila tale trattamento potrà di sicuro essere considerato su larga scala. Trattare invece i dati personali di 10.000 persone su un’attività a livello nazionale, non potrà essere, salvo diverse previsioni specifiche, essere considerato un trattamento su larga scala.
Alcuni trattamenti di dati personali, quali ad esempio la profilazione, comportano l’opportunità di nominare un DPO.
Teniamo presente che Il WP 29 (Gruppo di lavoro articolo 29), sostituito a maggio 2018 dal Comitato Europeo per la protezione dei dati, composto da un rappresentante delle varie autorità nazionali, nel documento prodotto sul tema del DPO, conclude dicendo che nel dubbio, un DPO dovrebbe sempre essere nominato.
Qual è il rischio di non avere un DPO?
Il rischio è di sottovalutare problematiche a livello di trattamento dei dati personali e quindi di poter incorrere in sanzioni perché ad esempio l’informativa privacy non è corretta.
Il DPO dovrebbe preferibilmente essere coinvolto in tutte le attività aziendali che comportano un trattamento dei dati personali, pensiamo anche all’implementazione di una nuova tecnologia in azienda. Pensiamo anche al semplice controllo degli accessi dei lavoratori ove può essere anche richiesta l’impronta del pollice per l’ingresso. L’impronta del pollice è un dato biometrico della persona.
Perché ci tieni all’educazione digitale e hai deciso di far parte del movimento?
Ritengo che ci sia poca conoscenza, poca cultura sul digitale e soprattutto sui rischi del digitale. Sia da parte dei più giovani, che a volte non tengono in considerazione le problematiche connesse, sia da parte degli adulti come educatori, genitori e insegnanti.
Penso che le nuove tecnologie, in particolare i social, siano degli strumenti potenti ma vadano conosciuti. In particolare, il bullismo, l’hate speech e i temi un po’ più penalistici come il revenge porn. Sapere come utilizzare gli strumenti è fondamentale.
Per questo ho trovato subito molto interessante il Movimento e mi sono unita perché credo di poter portare le mie conoscenze del mondo digitale dal punto di vista tecnico-giuridico anche a chi non le conosce. In particolare, io mi occupo anche di intelligenza artificiale e ritengo che ci sia poca conoscenza riguardo strumenti che utilizziamo quotidianamente:
- Netflix, che ci suggerisce che film guardare stasera, ha un algoritmo di intelligenza artificiale.
- Alexa, che ci parla la mattina, utilizza il machine learning e noi la addestriamo quotidianamente.
- Se dovessimo recarci in banca per chiedere un mutuo avremmo probabilmente un algoritmo di AI che ci darà un punteggio con possibilità di discriminazione e massificazione del risultato.
Quindi il mio ruolo di professionista, e in questo caso di educatore, è rendere le persone consapevoli.
Qual è il tuo rapporto con la tecnologia e i dispositivi digitali?
Credo di avere un buon rapporto. Li reputo strumenti e non fine. Utili per migliorare l’attività lavorativa ma con la possibilità, quando lo desidero, di disconnettermi.
L’utilizzo dei social è duplice: lavorativo con contenuti di tipo professionale e personale con la consapevolezza che quello che pubblico sui social è pubblico. La considero un Agorà, uno spazio in cui quello che dico può essere sentito da tutti. Di conseguenza distinguo quello che voglio che sia di pubblico dominio e quello che desidero rimanga riservato.
Sono una gran sostenitrice delle nuove tecnologie, penso che se implementate correttamente ci aiuteranno a sbrigare lavori di routine che ci annoiano. L’importante è che al centro rimanga sempre l’uomo con i suoi valori: il rispetto e l’etica prima di tutto.
Approfondimenti
[1] violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati ai dati personali trasmessi, conservati o comunque trattati