Tempo di lettura stimato: 5'
Lo scorso maggio ho partecipato come speaker all’Ottavo Congresso di ASSODPO.
Era da poco uscito ELMO, il nostro cookie manager per la gestione della cookie privacy nei siti web e nelle App. Mentre preparavo il mio intervento, mi sono chiesto: "Cosa faccio? Vado a parlare di ELMO, di quanto siamo belli e di quanto siamo bravi o guardiamo dove siamo arrivati dal 2018 a oggi?”
E mi sono detto: “Meglio guardare a dove siamo arrivati.”
Per farlo sono andato a ripescare i miei interventi del 2018 ed è stato illuminante vedere che non è che ci siamo mossi tantissimo in 4 anni... E questo nonostante le Linee Guida sui cookie del Garante. Lo confesso, ho un po' la sensazione che ci manchi lo sprint da ultimo miglio. Ormai ci sei, lo sforzo lo hai fatto, vedi la meta… ma a un passo dal traguardo, rallenti. Ed è una cosa che, secondo me, manca a noi consulenti e forse anche le aziende.
Il punto, oggi come nel 2018, l’ho fatto applicando il teorema del Professor Giuliani, che è un po’ forte, lo so, ma chi mi conosce sa che tendo a usare metafore (a volte anche sopra le righe: hai presente quella della differenza fra titolare, responsabile e addetto? Ecco… hai capito).
Il teorema di Giuliani si chiama "Esibizionisti e mutande sporche" e lo applico quando si parla di sito internet e di trattamenti effettuati sulle App e sui siti web.
Esibizionisti e mutande sporche: dimmi che informativa hai sul sito (se ce l’hai) e ti dirò chi sei
Il Prof. Giuliani diceva che il sito internet è una finestra che permette a chi sta fuori - i navigatori del mondo - di vedere dentro l'azienda e quindi di farsi un’idea di come vengono trattati i dati.
Quindi, da fuori, noi guardiamo nel portale web e cosa vediamo?
Vediamo che ci sono due grandi categorie di titolari del trattamento:
1 - Gli esibizionisti
Sono quelli che girano nudi. Sono quelli che non hanno informative, non hanno policy privacy, non hanno niente. Nudi e crudi come mamma li ha fatti.
2 – Quelli in mutande (sporche)
Poi ci sono quelli che credono di essere a posto. Pensano di essere tutti tirati, con la cravatta e il tacco 12, perché loro, sai, hanno il cookie banner! Peccato però che, se guardi bene, manca l’informativa, manca la privacy policy, manca l'informativa sulla newsletter, gli manca tutto… Però, attenzione, il cookie banner loro ce l’hanno, eh!
Ecco, questi in realtà hanno solo le mutande. E se le sono pure messe sporche, perché quello che trattano non è quello che fanno ed è tutto diverso.
Nel 2022 siamo messi come nel 2018.
C’è un articolo sul blog di PrivacyLab di 4 anni fa in cui dipingo la stessa identica situazione. È quello su cosa deve contenere un’informativa.
Quindi mi sono chiesto: perché siamo ancora qui? Di chi è la colpa?
Titolari senza informativa e titolari che hanno solo il cookie banner: ma di chi è la colpa?
Forse è colpa delle aziende. Ma ne siamo sicuri?
E se fosse invece colpa nostra, come consulenti, come DPO e come esperti?
O se fosse colpa nostra solo in parte?
Così ho cercato di metter giù degli scenari per capire la situazione e anche l’approccio che hanno normalmente molti DPO e Privacy Manager.
Bene.
Ecco cosa ho visto:
![]()
Ho visto “Il consulente unto del Signore”, che parla come il Messia e che sentenzia come un Profeta dell’Antico Testamento.
Il DPO unto del Signore non indica la via, vieta. Punto
Il DPO-Messia è quello che ti dice: “Fratello, tu devi trattare solo questi dati.”
E poi, puntandoti il dito indice davanti agli occhi, precisa “Se non fai così, vai all’inferno!”
Ci sono dei DPO che lavorano in questo modo, bada bene.
In queste situazioni il rapporto fiduciario azienda-DPO, titolare-operativi, diventa un po’ complicato. Per capirci, immaginati questo scambio:
Azienda: “Sai vorrei usare i dati per…”
DPO: “Ti ho detto che non si può fare.”
E l’azienda: “Ma… se invece facessimo…”
DPO: “Non si può fare.”
Ecco, io mi chiedo allora: ma siamo sicuri di avere in mano la Verità? Siamo sicuri di avere tutti gli strumenti in mano per potere dire “non si può fare”?
È vero che poi ci confrontiamo spesso con dei Responsabili Marketing che vorrebbero usare i dati per fare le peggio cose…
Quando il Responsabile Marketing è come quello che usa il GHB alle feste…
Me lo immagino il dialogo fra il DPO unto del Signore e un Responsabile Marketing che vorrebbe usare i dati per fare delle sporcaccionate – scherzo… ma mica tanto! – e si trova davanti a un muro:
Responsabile Marketing: “Sai DPO, stavo pensando di comprare i dati di potenziali clienti su internet e inviare gli SMS…”
DPO: “Non si può fare.”
Responsabile Marketing: “Allora posso usarli per mandare la newsletter? La newsletter posso mandarla, vero?”
DPO: “Ti ho detto che non si può fare.”
Responsabile Marketing: “E una brochure a casa?”
A quel punto il DPO lo guarda negli occhi, scuote la testa e tira dritto, lasciando il Responsabile Marketing sconsolato, come uno che si sente dire che non può usare il GHB per conquistare le ragazze a una festa - che ovviamente è un reato, non si può fare! – e che piagnucola sconsolato dicendo “Ma così non conquisterò mai nessuna donna…”.
Sì, lo so, l’esempio è forte. Però è calzante: con i dati personali non puoi fare le sporcaccionate. Non puoi fare quello che ti pare.
Anche perché non devi per forza fare le sporcaccionate per ottenere risultati!
E questa è mancanza di consapevolezza.
Mancanza del Marketing, certo, ma forse anche mancanza di consapevolezza del consulente.
Marketing e DPO devono parlare la stessa lingua
Siamo sicuri che, dall’alto, chi ha in mano l’idea del trattamento dati – il DPO, il Consulente Privacy - sia capace di ascoltare quello che i Responsabili Marketing dicono? E ascoltare – attenzione! - non vuol dire chiedere "Che cosa fai?", ma vuol dire domandare "Cosa ti piacerebbe fare?".
Dimmi cosa ti piacerebbe fare. Qual è il tuo obiettivo?
E insieme, DPO e Responsabile Marketing, decideranno come procedere:
- il Marketing sceglierà gli strumenti
- il Data Protection Officer lo aiuterà a scegliere le modalità affinché funzioni il tutto, affinché non si debbano chiedere 777 consensi - perché non ha senso certe volte… - o affinché l’azienda non dica “Sì, sì, tutto a posto non facciamo niente…” E poi, sotto sotto, traccia tutto e fa quello che le pare…
Queste due figure devono parlare.
Lo so, col marketing si fa fatica, perché ti dicono "Falliremo, non venderemo più niente".
Allora, può darsi che noi - consulenti e DPO – si debba cominciare ad avere non solo il linguaggio del trattamento dati, ma che si inizi anche a fornire soluzioni, a indicare - senza prevaricare – e ad accompagnare l'azienda. Dicendo: “Non andrai all’inferno, vediamo se con un po’ di purgatorio riusciamo a passarla…”
Parlare la stessa lingua, gli uni e gli altri.
Ma come? Partendo dalla consapevolezza.
E come si acquisisce la consapevolezza?
Con la formazione.
La consapevolezza si acquisisce con la formazione
E la formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
