Come sono passata da avvocato "tradizionale" a Cyber Legale: Ep.3

Il 2018 fu per me l’anno della svolta, in tutti i sensi.

Se devo pensare a un momento in cui la mia vita lavorativa (e non solo lavorativa, anche a livello personale cambiarono molte cose in quello stesso anno, ma di questo non posso parlare per motivi di privacy) veramente prese la direzione che speravo, lo identificherei senza dubbio con la seconda metà del 2018.

Innanzitutto, nella seconda metà del 2018, lasciai lo studio di avvocati e commercialisti con cui collaboravo ormai da tempo e tornai ad essere un libero battitore, ma con diversi anni di più (tutta esperienza, insieme con qualche ruga) e soprattutto con un bagaglio di esperienze e competenze che mai avrei immaginato mi sarebbero servite nella vita.

Dopo il Master di Federprivacy per Data Protection Officer avevo frequentato altri corsi online (di cui non farò menzione, perché nessuno di loro è stato particolarmente significativo e dunque, se non puoi dire nulla di buono su qualcosa, meglio non dire alcunché) e soprattutto avevo studiato, letto, spulciato ogni fonte possibile e immaginabile.

In questo il web è un alleato prezioso e questo è un altro piccolo consiglio che mi sento di dare a tutti i Cyberlegali: sfruttate le risorse del web a piene mani, soprattutto in questa materia, perché quando si parla di diritto dei dati, della cybersecurity e delle nuove tecnologie, nulla come la rete può venirci in aiuto. Se poi masticate un pò di inglese e siete in grado di leggere articoli accademici in lingua, il vantaggio è ancora maggiore, perché questo campo del diritto parla inglese…by design, e anche by default!

Ma soprattutto, quello fu il momento del D-Day, anzi, del GDPR day: il 25 maggio 2018, il giorno in cui tutto cambiò.

La svolta grazie al GDPR

Dopo due anni dalla sua entrata in vigore (ebbene sì, il GDPR è in vigore dal 2016, solo che per i primi due anni non se n’è accorto nessuno) il Regolamento Generale per la Protezione dei Dati Personali 679/2016 era diventato pienamente operativo in tutti gli Stati membri dell’Unione, e tutte le società, piccole o grandi, le partite IVA individuali e le Pubbliche Amministrazioni, che fino a quel momento avevano dormito, si erano disinteressate alla cosa, tutte quelle che mi avevano letteralmente sbattuto la porta in faccia, dovettero svegliarsi.

Fu come una corsa al “si salvi chi può” e io mi preparavo a partecipare a quella corsa da anni.

Non so se qualcuno di voi ricorda quel periodo. Suppongo che a livello professionale solo per chi si interessava nello specifico alla materia della data protection già in “tempi non sospetti” questa data significhi qualcosa, ma sono quasi certa che ognuno di noi ricevette svariate decine di email tutte con variazione sullo stesso tema: gentile utente, è entrato in vigore il nuovo Regolamento per la privacy, abbiamo modificato la nostra informativa sul sito, dovresti fornirci di nuovo il consenso per il trattamento dei tuoi dati personali e da adesso in poi saranno dolori per noi. Insomma, non proprio così, ma il sottinteso era quello.

La prima cosa che feci fu organizzare un convegno in un grande albergo di Torino, invitando non solo tutti i miei clienti (che per la verità non erano molti, se devo essere sincera), ma anche tutti i miei amici, parenti, in pratica diedi fondo alla mia rubrica come non avrei fatto nemmeno per organizzare un Capodanno. Il convegno verteva sui nuovi obblighi per le aziende in merito all’adeguamento al GDPR, naturalmente, ma mentirei se non dicessi che in coda all’intervento infilai un sontuoso aperitivo, che mi costò più di quanto allora fatturassi in un mese.

Parteciparono cinquanta persone al convegno (al netto della quota parenti, che avevo costretto a venire per farmi un pò di coraggio e per non avere la sala troppo vuota in caso di fiasco), io parlai per due ore consecutive quasi senza interruzione ed alla fine portai a casa un cliente: il mio primo “cliente privacy”.

Fu la prima società che mi chiese un preventivo per l’adeguamento al Regolamento, per la formazione del personale dipendente e per la verifica del perimetro di sicurezza informatica aziendale. Si trattava di una notissima società torinese operante nell’ambito della vendita al dettaglio, con una ventina di negozi sparsi per la provincia.

Andai da loro la settimana successiva, effettuai il primo rilevamento e la “gap analysis”, cioè l’assessment iniziale con la verifica delle difformità e delle azioni da promuovere per realizzare l’accountability, formulai un’offerta per 4.500,00 euro oltre accessori, comprendente l’adeguamento iniziale, la predisposizione di tutta la documentazione, la scrittura di tutte le procedure, la verifica informatica e la formazione degli autorizzati, e l’azienda accettò.

Le collaborazioni nella Data Protection

Più o meno nello stesso periodo, lo studio di un caro amico mi contattò chiedendomi se avevo piacere di collaborare con loro da consulente esterna. Avevano, naturalmente, anche loro sentito parlare di questa nuova legge sulla privacy e volevano vedere se era possibile aprire nuovi sbocchi professionali per lo studio, ma nessuno di loro ne sapeva nulla: mi interessava per caso dargli una mano, lavorare insieme e provare a prendere qualche cliente insieme?

Mi interessava, sì, certo. Mi interessava qualsiasi cosa avesse al suo interno le parole “privacy” e “dati” in quel periodo: ero affamata di lavoro (e di fatturato) e non facevo distinzioni tra proposte che mi avrebbero effettivamente portato benefici e proposte che avrebbero solo “vampirizzato” le mie risorse (e le mie competenze).

Un altro piccolo consiglio che vorrei dare a tutti voi Cyberlegali alle prime esperienze: le collaborazioni, lo abbiamo già detto, sono fondamentali. Da tutte le esperienze di lavoro di gruppo, anche da quelle apparentemente disastrose, si impara qualcosa, e il mio consiglio è quello di crearvi una vostra piccola squadra di colleghi o collaboratori di cui vi fidate particolarmente e di iniziare con loro. Ma attenzione, non dovete dire di sì a tutti quelli che vi propongono di “fare qualcosa insieme”.

La tentazione sarà forte, soprattutto se siete all’inizio e di lavoro ne avete poco. Io l’ho fatto per anni, di dire di sì a chiunque mi proponesse un progetto di lavoro perché nella mia testa era tutto fieno da mettere in cascina, esperienze che mi sarebbero comunque servite, possibilità in più di seminare qualcosa che prima o poi avrei raccolto.

Qualche volta è stato così, molte volte invece no, ma ricordate che noi liberi professionisti lavoriamo con il nostro tempo, che è la nostra risorsa fondamentale e che non è infinito e quindi non sempre (anzi quasi mai) dire di sì a tutti è una buona idea. In quel caso, tuttavia, la collaborazione per quanto breve fu fruttuosa.

DPO di venti piccoli comuni e dell'Unione

Poche settimane dopo trovammo, per puro caso, online, il bando di concorso per l’incarico di Data Protection Officer in una Unione di venti Comuni del Piemonte. L’incarico durava due anni, il bando era per la consulenza e per il ruolo di DPO.

Ci presentammo in team, lo studio prese la consulenza, io mi assunsi il ruolo di DPO. Il bando era aveva un valore di 40.000,00 euro, noi avanzammo un’offerta per 39.800,00 l’ultimo giorno utile per la presentazione delle buste: vincemmo la gara e in un colpo solo diventai il DPO di venti piccoli Comuni e dell’Unione, appena poche settimane dopo aver firmato il primo incarico da libera professionista come “consulente privacy”.

Mi sembrava di aver vinto non tanto un Oscar, ma addirittura un Nobel: erano quelli, finalmente, il posto giusto e il momento giusto.

Non avevo uno studio dove stare e non fatturavo abbastanza per affittarne uno da sola, ma siccome lavorare da sola da casa non soddisfaceva il mio bisogno di socialità, presi in affitto una postazione in un frizzante e bellissimo co-working di Torino: scelta che si rivelò fortunata, perché nei co-working si incontrano moltissime persone, molte delle quali lavorano in ambiti tecnologici e innovativi.

Al primo convegno interno organizzato per fare networking presi altri due piccoli incarichi e anche il co-working stesso divenne (ed è tuttora) mio cliente.

L'importanza della cybersecurity

Tuttavia, più andavo avanti nel mio lavoro, più mi rendevo conto di un problema che rischiava di esplodermi in faccia: mi mancava una significativa parte di competenze tecniche in materia di sicurezza informatica.

Non aveva senso pensare di erogare consulenza in data protection senza avere conoscenze, almeno di base, in cybersecurity, e non aveva senso pensare di proteggere i dati, di “fare privacy” senza mettere le mani nel sistema informatico.

Volevo che la mia consulenza non si limitasse a fare carta, altra burocrazia inutile per l’imprenditore, dallo scarsissimo valore aggiunto, perché se fosse stato così, una volta espletato quel minimo sindacale per “essere in regola” avrei perso tutti i clienti e la bolla del GDPR, passato il primo periodo di panico post 25 maggio 2018 si sarebbe sgonfiata.

Mi serviva acquisire un’altra grande fetta di competenze, mi serviva qualcuno con cui sviluppare la parte cyber da affiancare a quella data protection, mi serviva un ulteriore passo in avanti. E di questo parleremo nel prossimo numero della newsletter di CyberAcademy.

– Luisa Di Giacomo, Cyber Avvocato e DPO, Co-founder di CyberAcademy e docente di Data Protection