Cos'è il design? probabilmente chiunque vorrebbe rivolgere questa domanda ad un architetto, ad uno stilista, ad un esteta, ad un grafico o ad un artista.
Oggi, questa domanda può e deve essere rivolta anche a chi cura la protezione di dati personali e i temi legali in azienda.
Tutti hanno letto e sentito il termine PRIVACY BY DESIGN ma comprenderne la portata richiede un approccio molto ampio alla materia e una pluralità di prospettive differenti.
Uno degli aspetti più interessanti e meno visibili è la necessità di applicare i concetti di privacy by design in modo ampio anche alle privacy policy e, più in generale, ai termini legali.
Per non generare confusione, è bene chiamre questa applicazione
LEGAL DESIGN. Il concetto si è sviluppato in
ambito accademico ed è la risposta ad una crescente necessità, sia legale che sociale.
Parlare di Legal Design significa ribaltare il procedimento classico delle funzioni legali: occorre privilegiare e partire dalla PERSONA che dovrà fruire delle informazioni e non dalla norma o dall'elaborato che, di solito, è percepito come punto di partenza e di arrivo, con un'ottica autoreferenziale e indifferente all'utente finale.
Forse nel solco dell'antico adagio "la legge non ammette ignoranza" ci si è spesso arroccati su posizioni formali, asettiche, complicate, tecniche e distanti dalla funzione reale dei testi legali. Le ambiguità hanno bisogno di questo approccio.
Il Legal Design introduce una prospettiva opposta che privilegia la funzione, l'utente, la persona.
Applicando il design al diritto occorre umiltà: la competenza legale non basta più e non si può pensare di essere autonomi per realizzare un prodotto legale (che sia una lettera di incarico al trattamento, una nomina a responsabile del trattamento, un contratto, una licenza d'uso, una privacy policy, TeC, o anche solo una risposta ad una richiesta di accesso ai dati).
Occorre applicare concretamente il DESIGN THINKING e avere un approccio centrato sull'utente, sulle sue caratteristiche, le sue competenze, i suoi limiti, le sue aspettative, i suoi bisogni.
Occorre accettare il rischio di essere più trasparenti, più comprensibili, meno tecnici, meno ambigui. Occorre differenziare il lavoro sulla base di una moltitudine di elementi che richiedono differenti prospettive e differenti competenze.
Anche il procedimento di scrittura cambia radicalmente. Non è pensabile che il prodotto legale possa essere completato unicamente sul PC dell'esperto legale e inviato direttamente al destinatario o immediatamente applicato. Occorre cercare la collaborazione di esperti di altre materie, grafici, designer, mediatori culturali, sociologi, tecnici informatici, persino degli utenti!
Il prodotto legale, alla luce del design, del Legal Design, si sviluppa con un percorso in fasi distinte:
- richiede una fase di progettazione e ideazione,
- una fase di prova o prototipizzazione,
- una fase di test per la verifica dell'efficacia, della comprensibilità, della trasparenza e della funzionalità del prodotto.
Solo alla fine di un processo complesso si potrà considerare il prodotto legale completo e pronto per essere utulizzato.
Il design riporta a leggi universali e a concetti inusuali in contesti legali:
occorre ricercare il massimo risultato con il minimo sforzo
che porta a compattezza ed essenzialità delle informazioni
occorre agilità e completezza
che porta a sviluppo stratificato (layered)
occorre comprensibilità e semplicità
che porta alla trasparenza totale
Il design costa molto, non in termini economici, ma di scelta. Il design può vincolare radicalmente ciò che si intende fare. Se il focus è l'utente e l'imperativo è la trasparenza, diventa molto difficile riuscire a nascondere un rapporto di forze sbilanciato, un uso anomalo o eccessivo dei dati, diventa pericoloso mistificare una finalità in modo da edulcorarne la reale portata e i rischi conseguenti. Se al centro c'è l'utente, le ambiguità diventano un nemico da combattere ed eliminare.
Il design può essere imbarazzante perchè mette in evidenza tutte quelle ambiguità che, nei testi legali classici, sono abilmente mimetizzate nei testi eccessivamente lunghi e verbosi, nelle formule di stile, nelle locuzioni tecniche, nei riferimenti normativi oscuri e complicati e che vivono in un ecosistema fatto di stratagemmi esoterici del diritto.
Senza Design, senza Legal Design, un normale testo legale, come i
Termini e Condizioni di uso di un social network, può diventare un mostro. Che senso può avere chiedere ad un utente di leggere e acconsentire ad un testo che richiede
almeno 60 minuti per un lettore allenato... e che, con le complicazioni legali, richiederebbe una rilettura e una riflessione attenta su molti punti, allungandone ulteriormente il tempo di lettura? Quanti lo hanno fatto realmente? Si può pensare che questo approccio sia coerente con il GDPR?
Direi proprio di no e il rischio legale per il titolare del trattamento di sottoporre testi privi di Legal Design all'utente è reale.
L'art. 12 del GDPR impone che le privacy policy siano scritte in "forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro".
Le linee guida sul consenso del WP29 sono ancora più esplicite: "Controllers cannot use long privacy policies that are difficult to understand or statements full of legal jargon.". I garanti si stanno esprimendo in modo coerente e uniforme con provvedimenti e indicazioni chiarissime ed esplicite. Talmente esplicite da sembrare punitive, ostili, inapplicabili. Cambiando prospettiva però, le stesse indicazioni sono condivisibili, giuste, logiche, coerenti e necessarie.
Il Design nella comunicazione tra titolare del trattamento ed interessato è un requisito fondamentale di legittimità del trattamento perchè da questo dipende la validità al consenso.
Il GDPR impone che l'utente possa leggere ciò a cui deve acconsentire ed è onere del titolare del trattamento rendere leggibile il testo.
Ricordiamolo, l'art 4 del GDPR è prescrittivo: certamente definisce i termini ma ne detta anche i requisiti di esistenza. E' qui che si definisce il principio secondo cui il consenso, per esistere, deve corrispondere ad una manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. In mancanza, non è un consenso.
La maggior parte delle informative sono validate sulla base di una domanda errata: i riferimenti legali sono aggiornati al GDPR? Qualsiasi risposta è sbagliata perchè è sbagliata la domanda. Aggiornare i riferimenti non mette a norma nulla.
paradossalmente, togliere tutti i riferimenti a leggi, articoli e commi è un buon indizio del fatto che la privacy policy sia aggiornata e conforme al GDPR.
Quali domande bisogna porsi per validare l'informativa?
Ogni titolare potrebbe provare a considerare domande nuove:
- la Privacy Policy è molto lunga?
(deve essere breve e non demotivante)
- la Privacy Policy è comprensibile solo all'utente medio o all'utente evoluto?
(deve essere leggibile e comprensibile anche dall'utente più svantaggiato e limitato)
- la Privacy Policy è ricca di termini legali o riferimenti complicati?
(deve essere chiara e non ambigua)
Allo stato attuale, sono ancora poche le privacy policy che possano superare questo semplice test e che, quindi, non richiedano un intervento "estetico" di modifica, una rivisitazione in chiave Legal Design.
Preservare il significato legale e associare ad esso una forma comprensibile e chiara non è una sfida impossibile, anzi, è tecnicamente fattibile e spesso molto divertente, ma richiede un cambiamento di mentalità abbastanza radicale. Con la diffusione di questo approccio, aumenterà il numero delle Privacy Policy conformi al GDPR.
L'obbiettivo classico nella stesura dei testi legali era, magari in modo indiretto, disincentivarne la lettura da parte dei destinatari e minimizzare il numero degli utenti consapevoli dei contenuti, annoiandoli.
Il nuovo obbiettivo è far si che ogni utente abbia voglia di leggere e capire il testo legale, divertendosi.
... potrebbe essere necessario farsi un'ultima domanda prima di pubblicare una informativa privacy: la mia privacy policy è bella?
CB.