Come sono passata da avvocato "tradizionale" a Cyber Legale: Ep. 2

Lavoravo da qualche anno in uno studio di commercialisti e legali associati, quando un cliente dello studio chiamò nel panico, comprensibilmente aggiungerei, perché aveva la Guardia di Finanza in ufficio. Una visita delle fiamme gialle non è mai un’esperienza memorabile, anche se hai la coscienza e i libri contabili in ordine. Il commercialista dello studio che seguiva quel cliente partì in soccorso, portandosi dietro la mia collega per eventuale assistenza legale. A me la cosa non interessava, non seguivo io quella pratica e comunque le questioni fiscali e contabili non sono mai state il mio forte.

Di ritorno, quel giorno, la mia collega mi raccontò un fatto strano: mi disse che il controllo era andato bene, che il cliente era in ordine con conti, fatture, bilanci e affini, ma che la Guardia di Finanza aveva svolto una verifica del sito internet ed aveva trovato una irregolarità nell’informativa privacy. Non seppe essere più specifica, disse solo che il sito, un piccolo e-commerce di prodotti alimentari integrativi dietetici, non forniva le corrette informazioni agli utenti nella privacy policy, e dunque al cliente era stata comminata una sanzione amministrativa di 36.000,00 euro.

La mia prima sanzione amministrativa riguardo la Privacy

36.000,00 euro per una informativa privacy non conforme. Era molto prima del 2018, anche prima del 2016, cioè prima che il Regolamento Europeo per la Protezione dei Dati Personali 679/2016 entrasse in vigore e diventasse operativo negli Stati dell’Unione. Per me la privacy non significava niente, era solo una firma in fondo a un modulo, un decreto legislativo che non mi ero mai presa la briga di leggere, una formalità burocratica. Eppure, quella formalità burocratica era appena costata una cifra importante a una attività con un fatturato decoroso, ma non stellare, e quel prezzo da pagare sarebbe stato alto, per una società così piccola. Il cliente ci chiese di assisterlo per presentare ricorso contro la sanzione, e devo dire che accettai l’incarico con molti dubbi, perché come ho detto non era una materia in cui ero preparata e non volevo fare più danni che benefici.

Comincia a studiare. Partii dal codice privacy, questo sconosciuto, e mi si aprì letteralmente un mondo. Il Parlamento Europeo stava discutendo, da metà degli anni ’90, sulla tematica della protezione dei dati. La Carta di Nizza del 2000 aveva inserito tra i diritti fondamentali dell’uomo il diritto alla privacy ed alla protezione dei dati, e nel frattempo lo sviluppo della tecnologia, del web, dei social, avevano fatto emergere le carenze della Direttiva 95/46/CE (la Direttiva cardine di tutta la normativa sulla data protection, quella da cui tutto ebbe inizio), soprattutto nella trasposizione in normativa domestica degli stati Membri.

Studiavo e studiavo e mentre lo facevo ed entravo sempre di più nel cuore questa materia sconosciuta iniziai a capire che la privacy non era la firma in fondo al modulo e non era questione di non avere o avere qualcosa da nascondere. Era molto di più, un’opportunità di lavoro da cogliere al volo, un lavoro interessante, stimolante, e che sarebbe continuato negli anni, perché strettamente correlato allo sviluppo della rete e delle nuove tecnologie correlate: blockchain, intelligenza artificiale, big data. 

La nascita dei social network come li conosciamo oggi

Erano gli anni dei primi social network. Io sono stata una early adopter, mi sono iscritta a Facebook praticamente subito appena il social sbarcò in Italia, ma ricordo benissimo che non sapevo che farci. A chi poteva interessare che cosa stavo pensando in quel momento, o le foto della mia ultima vacanza? Sì, era un modo divertente per riprendere i contatti con i vecchi compagni di scuola (in effetti una delle prime cose fatte su Facebook è stata proprio quella di organizzare una reunion con la classe del liceo: non ci vedevamo dalla maturità, e fu molto carino), ma a parte quello non ne capivo l’utilità. Ci misi un po’ a capire che la vera utilità era per l’azienda, che l’interesse per i miei pensieri, e per quelli di altre svariate centinaia di milioni di persone al mondo, era di Facebook stessa, prima che degli amici virtuali. Cominciai a riflettere su un fatto che all’epoca mi sembrava bizzarro: com’era possibile che Google e Facebook fossero le società che guadagnavano di più al mondo, con fatturati a nove zeri, svariate decine di nove zeri, quando non vendevano niente e tutto quello che fornivano era gratis? Facebook era gratis, poco dopo arrivò Instagram, gratis, poi Zuckerberg acquistò Whatsapp, che era già l’app di messaggistica più diffusa, totalmente gratuita, nonostante gli occasionali messaggi pseudo terroristici che ogni tot tempo annunciavano che sarebbe diventato a pagamento, a meno di non farsi incastrare in assurde e inutili catene di Sant’Antonio. Poi c’era tutto il mondo Google: YouTube, gratis, Gmail, gratis e tutte le altre app che man mano andavano ad arricchire l’universo del colosso di Mountain View. Come era possibile?

I dati e la condivisione delle informazioni diventano un business

Un giorno lessi un intervento di Mark Zuckerberg sul The Guardian, che mi rimase impresso (e che oggi cito ad ogni corso di formazione che svolgo) e che si appiccicò alle sinapsi del mio cervellino in rivoluzione come una gomma da masticare: il padre di tutti i social, 25 enne nel 2010, parlando in occasione dei Crunchies Awards a San Francisco (un contest annuale svoltosi tra il 2007 ed il 2017 nella Silicon Valley che premiava le eccellenze in campo tecnologico) sosteneva che la privacy “non è più una norma sociale. Le persone sono a proprio agio, non solo a condividere più informazioni, su qualsiasi cosa, ma anche a condividerle più apertamente e con chiunque. La privacy è un concetto in evoluzione”. (11 gennaio 2010)

Fu una folgorazione. Se il fondatore miliardario della rivoluzione sociale più dirompente del momento, questi benedetti social network, che nessuno capiva veramente appieno, ma che tutti utilizzavano, si prendeva la briga di parlare di privacy e di condivisione di dati e informazioni, proprio nel momento in cui il Parlamento Europeo stava per approvare un Regolamento che andava a normare questo campo, significava che ci avevo visto giusto. 

Ebbi, per la prima volta nella mia vita professionale, una sensazione bellissima: quella di essere nel posto giusto al momento giusto. Ho imparato col tempo che la vita è fatta molto di tempismo: sul lavoro (come anche in amore del resto), non basta sapere fare le cose, essere preparato, o, nel caso dei rapporti personali, essere innamorato o ricambiato. Bisogna che le cose accadano nel momento giusto, e quello per me lo era.

La formazione e nuove opportunità nate dal GDPR

Mi iscrissi al Corso per Data Protection Officer di Federprivacy, dove conobbi colleghi del calibro di Luca Bolognini, che sarebbe diventato un amico, oltre che mio “maestro”, Paolo Balboni, Antonio Ciccia Messina e Rocco Panetta. Fondai una società, chiamandola Dadadati (un gioco di parole, basato sulla password dell’account di Facebook di Zuckerberg, dadada, non proprio premio Nobel per la sicurezza, e infatti era stata hackerata con una certa facilità), coinvolsi altre persone che mi potessero aiutare nel mio progetto, cominciai a cercare clienti, a proporre consulenze, a cercare di sensibilizzare sul tema dell’adeguamento al Gdpr che stava per arrivare e della protezione dei dati.

Non funzionava. Le persone con cui mi ero messa in società non erano quelle giuste per me (o io non lo ero per loro), le aziende non si dimostravano minimamente sensibili al tema e non intendevano spendere nemmeno un euro per una normativa che ancora non era operativa e di cui nessuno arrivava a comprendere la reale portata. Dopo pochi mesi dovetti sciogliere la società e da quando avevo avuto la “folgorazione” dovuta alla multa del (povero) cliente con l’informativa privacy non conforme erano passati anni, avevo studiato tantissimo, ma non avevo acquisito nemmeno un cliente e il mio fatturato non aveva conosciuto il minimo incremento. Non era una situazione incoraggiante, va detto.

Continuavo a fare l’avvocato tradizionale, andavo in Tribunale e avevo i miei clienti storici, la collaborazione con lo studio di commercialisti continuava, ma non avevo fatto il minimo passo avanti sulla scala della soddisfazione personale: non ero più così convinta di essere nel posto giusto al momento giusto, a dirla tutta. Avevo acquisito competenze molto mirate su un tema che sulla carta sembrava attuale e utile, ma che nella pratica non mi serviva a niente, né per “cambiare lavoro”, né per aumentare il numero dei miei clienti e l’ammontare dei miei onorari.

Era scoraggiante e onestamente stavo per mollare. Poi, però, arrivò il 25 maggio 2018, e successero molte cose, tutte insieme. Il Regolamento Generale per la Protezione dei Dati Personali 679/2016 era diventato pienamente operativo in tutti gli Stati membri dell’Unione, e tutte le società, piccole o grandi, le partite IVA individuali e le Pubbliche Amministrazioni, che fino a quel momento avevano dormito, dovettero svegliarsi. Fu come una corsa al “si salvi chi può”. E in quella corsa, io ero pronta, da anni, a partecipare. Ma di questo parleremo nel prossimo episodio.

– Luisa Di Giacomo, Cyber Avvocato e DPO, Co-founder di CyberAcademy e docente di Data Protection