Vi sentite osservati nel mondo reale? Nel mondo digitale accade di molto peggio...

Quanto è realmente sostenibile il nostro futuro digitale? Siamo ormai profondamente avvolti nella nostra spensierata vita on line da una serie di intricati rapporti con meticolosi spioni digitali.

La normativa europea mira a renderci edotti sul nostro stato di nudità digitale attraverso politiche di doverosa trasparenza richiesta ai provider di soluzioni IT, ma a volte la sensazione è che ciò che ci accade on line sia ormai contaminato da troppi anni di far web. E le normative europee garantiste, affastellate da adempimenti, sanzioni e autorità di vigilanza e controllo, sembrano amaramente essere arrivate in ritardo, finendo loro malgrado per annebbiare la nostra vista da eccessiva informazione e burocrazia, e quindi paradossalmente infastidirci invece di infastidire più propriamente i provider della nostra digitalità che vigilano costantemente su di noi, sospinti da istinti voyeuristici e (soprattutto) dal "vil denaro".

Riflettiamo con ordine, insieme, su ciò che ci accade ogni giorno perchè c'è tanto da raccontare, che quindi ci è successo, sedimentandosi tra i bit del mio profilo Linkedin, considerando che questa newsletter vi arriva dopo oltre un mese di silenzio digitale da parte mia.

Digital Compliance, data protection e modelli organizzativi

Sono anni che ci occupiamo di "digital compliance", stimolando confronti e studi integrati su discipline tra loro confinanti, ma non coincidenti (security, protezione dati, digitalizzazione, trasparenza, whistleblowing, modelli di prevenzione 231).

La gestione di audit congiunti per OdV, DPO, Security manager, Responsabili anticorruzione e trasparenza, attraverso lo sviluppo di team interdisciplinari, è da noi quindi avvertita da sempre come una necessità.

Occorre studiare tanto, confrontarsi in team interdisciplinari e procedere "artigianalmene", con "lentezza" nell'analisi del contesto digitale in cui viviamo che è delicato e complesso e caratterizzato da una notevole complessità normativa.

Con questo spirito è nata la Rivista Digeat, un trimestrale che si occupa delle tante sfaccettature multidisciplinari dell'innovazione digitale e che va sfogliata piano piano, con lentezza appunto, perchè non possiamo farci travolgere dal pressapochismo che pervade i social e il mondo di certi influencer, non se puntiamo alla qualità.

Sfogliatela e spero che vi innamorerete del suo spirito fortemente controcorrente, bianco su nero. Nel primo numero troverete tantissimi spunti di riflessione e consigli...e a ciò aggiungo che, in attesa del secondo numero previsto per il 19 giugno 2024, ogni 19 del mese Digeat.info e/o Digeat.tv (il suo completamento multimediale) si arricchiranno con qualche sorpresa o novità...

E a proposito di analisi normative e di attualità da (non) rincorrere, è in atto uno scontro istituzionale tra Dipartimento della Trasformazione Digitale e Autorità Garante per la protezione dei dati personali, in merito alla designazione dell'ente di vigilanza IA, previsto nell'AI Act.

Sinceramente non mi sta appassionando particolarmente quanto sta accadendo. Sta di fatto che la nostra Autorità Garante per la protezione dei dati personali manterrebbe sempre e comunque un presidio autorevole su certi temi, come previsto dal GDPR.

Forse dovremmo tutti chiederci se siamo davvero pronti a controllare e vigilare il futuro digitale che ci attende nei prossimi anni a livello di competenze da costruire.

⚠️ Pochi stanno osservando come le normative europee che si stanno accalcando all'orizzonte sono tra loro intrecciate in un groviglio di attribuzioni, ruoli, sanzioni, adempimenti e controlli davvero difficile da dipanare.

Le soluzioni di intelligenza artificiale dovranno essere sviluppate tenendo conto di valutazioni di impatto (FRIA, lato AI Act e DPIA, lato GDPR) simili, ma diverse e osservando obblighi di sviluppo trasparente e garantista di nostri diritti e libertà fondamentali, come previsto -ad esempio- dal regolamento UE DSA (in materia di Digital Services Act).

👉 Siamo davvero pronti a dipanare questa incredibile complessità?

Non mi sembra.

Al momento abbiamo Agenzie di controllo e Autorità indipendenti gravemente sottodimensionate e non adeguatamente preparate - a mio modestissimo avviso - a sostenere l'impatto di questa rivoluzione, che non è solo digitale, ma anche normativa. E questo ritardo, in realtà, si respira in ogni organizzazione pubblica e privata. Ed è ritardo culturale, di attenta costruzione di competenze (che non si è ancora visto sino a oggi).

Su questo siamo indietro, non sull'attribuzione di competenze a questo o quell'ente. Per questo, in piacevole lentezza (che poi è particolare attenzione), va letto l'ottimo contributo della dott.ssa Isabella Corradini proprio sulle competenze necessarie per adattarsi ai cambiamenti digitali.

A proposito di costruzione di competenze, non posso non ricordare che il Mastercourse organizzato da ANORC è uno dei percorsi più seri e autorevoli per acquisire competenze verticalizzate in materia di digitalizzazione documentale e data protection applicata ai sistemi di gestione documentale.

Il percorso didattico - che dirigo ormai da più di dieci anni - è unico nel suo genere e si concluderà con un evento di networking interdisciplinare, il Meddle, dove imprese e professionisti possono confrontarsi, sviluppando formazione pratica intervallata da business game, sulle più importanti tematiche dell'innovazione digitale.

Il Meddle si terrà il 23 e 24 maggio a Milano presso la splendida dimora di Cascina Cuccagna e i posti sono limitati per rendere l'esperienza di confronto davvero unica.

Credo che il Mastercourse ANORC e il Meddle meritino massima attenzione se ci si voglia proporre come professionisti qualificati in certi ambiti o si vogliano approfondire certe tematiche, puntando su atutorevolezza e qualità.

Ha senso preoccuparsi di trasferire dati personali extra SEE (Spazio Economico Europeo)?

Sembra insensato chiederselo in una società digitale totalmente a-nazionale. Eppure il Regolamento GDPR ci pone davanti a scelte delicate da fare, ai fini di garantire diritti e libertà fondamentali che ci riguardano.

Ad esempio, con il Data Privacy Framework (DPF) del 10 luglio 2023 (e cioè il nuovo accordo USA-UE sul trasferimento dei dati che ha riattivato la fluidità dei trasferimenti di dati messi in crisi dalla sentenza della Corte di Giustizia del 16 luglio 2020) è stato tutto risolto?

I DPO e consulenti privacy possono oggi dormire tranquilli in caso di trasferimenti extra SEE?

Ci sono in realtà tante analisi da fare...e occorre usare senz'altro la "melatonina della privacy": l'accountability!

Ho approfondito quete questioni in un mio pezzo ospitato sulla nuovissima Rivista Digeat. Leggetelo - come al solito - con lentezza, possibilmente davanti a una tazza di buon tè.

E, per approfondire la tematica del trasferimento dei dati personali all'estero e ricevere utili consigli pratici, potete iscrivervi a un webinar dedicato proprio ai DPO che vogliono orientarsi tra le ultime novità.

Il webinar è stato pensato come aggiornamento del Mastercourse ANORC, Il webinar è stato pensato come aggiornamento del Mastercourse ANORC, ma è acquistabile anche separatamente dallo stesso. E vi consiglio anche l'aggiornamento sulle ultime novità in ambito di e-health sviluppato dalla Collega di Studio, Sarah Ungaro.

Accessi abusivi e "dossieraggio": tanto caos mediatico, senza focalizzare l'attenzione sui reali problemi che ci riguardano...

Sono stato intervistato su Rai Radio Tre sul presunto "dossieraggio" di Perugia durante la trasmissione "Tutta la città ne parla" condotta da Rosa Polacco e Pietro Del Solda. Sì è discusso di diritto di cronaca vs diritto alla protezione dei dati personali e di accessi abusivi.

In realtà, sono stato chiamato a intervenire quando la trasmissione era iniziata, mentre stavo parcheggiando l'auto e non ho potuto ascoltare le premesse! 😊🙏

Sono argomenti delicatissimi comunque e senz'altro i giornalisti dovrebbero essere formati in modo specifico su queste questioni. Non so se ci sia stato davvero un accesso abusivo che ha determinato questa fuga di notizie oppure più semplicemente si sia trattato di una fonte che ha semplicemente messo a disposizione della stampa notizie riservate.

Di certo, occorre comprendere se davvero sia indispensabile in una fase di indagine fare nomi e cognomi per garantire una cronaca corretta... E se si fosse trattato di accesso abusivo (non lo so e non ne sono così convinto) sarebbe grave che sistemi informatici di forze dell'ordine siano così facilmente "bucabili" (perché non so se si voglia davvero ritenere che l'accesso abusivo sia stato perpetrato da forze dell'ordine...).

La protezione dei dati personali è un diritto per gli interessati e un dovere per titolari e responsabili.

Non so quanto sia chiaro a tutti quando si parla genericamente di "privacy"

📩 Il Garante privacy ha varato un documento di indirizzo sulla conservazione dei metadati delle email dei dipendenti rivolto ai datori di lavoro del comparto pubblico e privato. Nella giornata di martedì 27 febbraio è stata poi comunicata l’apertura di una consultazione pubblica su tale provvedimento che ne sospende l’efficacia per 30 giorni.

❓ Quali sono le conseguenze che ne derivano?

Sono stato intervistato dall'Avv. Chiara Ponti che ha analizzato la decisione per Cybersecurity360.

Cercheremo nei prossimi giorni di inoltrare all'attenzione dell'Autorità Garante la nostra opinione in merito attraverso ANORC mercato e ANORC professioni.

Come ormai sappiamo tutti, il Parlamento europeo ha approvato ieri l'AI Act. Seguirà un breve iter burocratico e di verifica linguistica (e anche di formale approvazione da parte del Consiglio) per arrivare all'entrata in vigore in un paio di mesi. In particolare, l'AI Act entrerà in vigore 20 giorni dopo la pubblicazione nella GU dell'UE e inizierà ad applicarsi 24 mesi dopo l'entrata in vigore.

In questi stessi giorni, l'European Data Protection Supervisor ci fa conoscere gli esiti di una sua indagine, nella quale ha “riscontrato che la Commissione ha violato diverse disposizioni del regolamento Ue 2018/1725″, la normativa in materia di protezione dei dati per le istituzioni, gli organi e gli organismi dell’Ue, comprese quelle relative ai trasferimenti di dati personali al di fuori dell’Ue e dello Spazio economico europeo (See). È contestato in particolare l'uso di Microsoft 365, senza adeguate garanzie a tutela dei diritti e libertà degli interessati del trattamento.

👉 Che attinenza hanno queste due notizie?

In realtà, sono molto collegate. L'AI Act nasce intimamente collegato al GDPR nell'obiettivo primario "di proteggere i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale" dai sistemi di IA, promuovendo al contempo l'innovazione. E molte norme del GDPR, come l'art. 22 dello stesso, ne hanno anticipato lo spirito.

Alla base di queste normative c'è un principio fondamentale: la (solita) accountability!

Il nostro futuro digitale dipenderà da come verrà alimentato, garantito e interpretato tale principio di (auto-)responsabilizzazione documentata.

Se dovesse essere burocratizzato e svuotato, sostanzialmente delegando alle Authority un pieno, minuzioso e sostanziale ruolo di regolamentazione secondaria, i rischi saranno altissimi perché ciò potrebbe paralizzare in Europa lo sviluppo tecnologico (già attualmente con il freno a mano tirato) in ambito di IA e digitalità.

I divieti in ambito tecnologico sono (quasi) sempre pericolosi quanto i pericoli che vorrebbero evitare. Così come vanno sempre bilanciati bene gli organismi indipendenti di normazione e controllo che vengono inseriti nei nostri processi democratici.

La valorizzazione dei dati - che va messa al centro del futuro digitale europeo - sarà una conquista lenta e non ovvia.

Comunque W l'AI Act.

📌 Lo scorso 10 gennaio AGCOM ha introdotto le Linee guida per regolamentare l’attività degli influencer, ormai padroni incontrastati del social web e protagonisti di alcuni episodi di cronaca, sbloccando iter burocratici inerenti atti di rilievo giuridico.

In occasione del nuovo numero della Rivista Reputation today, ho voluto riflettere sulla questione che merita la dovuta attenzione da parte degli addetti ai lavori (e non solo).

Per il mio augurio pasquale permettetemi di raccontarvi di una persona speciale, mio padre...

Ciò che spinge mio padre, Giacomo Lisi, in questi anni a studiare, riflettere e scrivere di democrazia probabilmente è condensato nelle intense parole della poesia "Bambina mia" di Mariangela Gualtieri, che chiudono quest'ultimo volume e disegnano un cerchio ideale nella trilogia dedicata al declino (e -chissà- rinascita) della democrazia.

Qualche giorno fa, nella biblioteca comunale di San Pietro in Lama, davanti a una cinquantina di persone, quasi tutti dai capelli bianchi, mio padre ha illustrato con vigorosa passione un viaggio possibile di rivoluzione pacifica e culturale.

A più di 80 anni mi rendo conto, ascoltandolo e leggendolo, che si può amare in modo diverso, disincantato forse, ma verissimo, senza freni, con rinnovata fiducia e fede verso il prossimo (e senza richiedere una contropartita in cambio di questo sconfinato Amore).

E in un mondo di malaffare e di inutili classifiche, dove il baratto per il potere (o anche per un briciolo di popolarità) è diventato un modus operandi che non genera ormai alcun disgusto, anzi è accettato come normale consuetudine, quanto propone mio padre è proprio una rivoluzione di pensiero.

Una rivoluzione che non va ostentata viscidamente in un post su facebook finalizzato a raccogliere facili like, con il solito storytelling di se stessi, ma che si esprime ogni giorno in singoli comportamenti. E si riverbera anche nel modus operandi di pubblicazione di questa trilogia.

Non troverete i volumi di mio padre in libreria (eppure ha pubblicato anche con i tipi di Hoepli per qualche tempo), ma lui i suoi scritti semplicemente li regala, pur se c'è un prezzo di copertina.

Con pazienza, da anni racconta non di sé, ma di come sia possibile cambiare insieme, perseguendo semplicemente il bene comune.

E quindi mio padre regala se stesso, senza nessuna paura, senza nulla in cambio.

Perché,

𝑏𝑎𝑚𝑏𝑖𝑛𝑎 𝑚𝑖𝑎,

Per te avrei dato tutti i giardini

del mio regno, se fossi stata regina,

fino all’ultima rosa, fino all’ultima piuma.

Tutto il regno per te.

E invece ti lascio baracche e spine,

polveri pesanti su tutto lo scenario

battiti molto forti

palpebre cucite tutto intorno.

Ira nelle periferie della specie.

E al centro,

ira.

Ma tu non credere a chi dipinge l’umano

come una bestia zoppa e questo mondo

come una palla alla fine.

Non credere a chi tinge tutto di buio pesto e

di sangue. Lo fa perchè è facile farlo.

Noi siamo solo confusi,credi.

Ma sentiamo. Sentiamo ancora.

Sentiamo ancora. Siamo ancora capaci

di amare qualcosa.

Ancora proviamo pietà.

Tocca a te,ora,

a te tocca la lavatura di queste croste

delle cortecce vive.

C’è splendore

in ogni cosa. Io l’ho visto.

Io ora lo vedo di piu’.

C’è splendore. Non avere paura.

Ciao faccia bella,

gioia piu’ grande.

L’amore è il tuo destino.

Sempre. Nient’altro.

Nient’altro. Nient’altro.

(𝑀𝑎𝑟𝑖𝑎𝑛𝑔𝑒𝑙𝑎 𝐺𝑢𝑎𝑙𝑡𝑖𝑒𝑟𝑖)