Come sono passata da avvocato "tradizionale" a Cyber Legale: Ep.4

Nel 2019 la situazione cominciò a evolvere in maniera positiva dal punto di vista del fatturato: i Segretari Comunali si parlano tra di loro (particolare da tenere presente, per sapere con chi chiedere un colloquio) e in poco tempo, oltre ai Comuni dell’Unione Montana, avevo acquisito altri quattro Enti locali, un paio di consorzi socioassistenziali e altre Pubbliche Amministrazioni non territoriali.

Lavorare per il settore pubblico, lo devo ammettere, non è particolarmente gratificante: senza voler entrare in facili luoghi comuni sulla predisposizione al lavoro degli impiegati pubblici, devo dire che gli incarichi dei piccoli Comuni in generale sono pagati poco e danno anche poca soddisfazione. Ricordo che mi presentavo piena di buona volontà presso i vari Municipi, munita di computer portatile e di voglia di fare e, se mi andava bene, mi ricevevano senza avere la minima idea di che cosa dovessi fare lì da loro.

Un paio di volte dovetti ripetere due o tre volte chi ero, in scenette davvero surreali (del tipo: “sono l’avvocato Di Giacomo. Chi? Il DPO del Comune. Che?) e ricordo anche un memorabile episodio in cui il Sindaco si rifiutò categoricamente di ricevermi, senza contare le innumerevoli conversazioni con amministratori che “tanto a me della privacy non importa nulla, avvocato”. Eppure, nonostante tutto, stavo lavorando come DPO, Data Protection Officer. 

Alcuni consigli utili per lavorare con la Pubblica Amministrazione

Un consiglio e un “trucco” che mi fa piacere condividere con voi è questo: soprattutto se siete all’inizio, accettate gli incarichi dei piccoli Comuni o delle Unioni di Comuni, anche se non sono particolarmente gratificanti dal punto di vista economico, e fate pratica. Ci sono ancora centinaia di enti locali che non hanno nominato un DPO e di lavoro ce n’è ancora molto.

Iscrivetevi al MEPA ed agli altri portali di e-recruitment e partecipate alle gare, e cercate le manifestazioni di interesse online. Meglio ancora, investite qualche euro in un abbonamento annuale ai servizi che selezionano per voi i bandi di gara, in modo da non perdere nessuna possibilità.

Un altro ambito utile per chi è alle prime armi e deve “imparare il mestiere” sono le scuole: tutte le scuole hanno bisogno di un data protection officer e, parliamoci chiaro, i budget sono talmente bassi da risultare quasi offensivi: tuttavia, si tratta di un’ottima palestra e di un terreno in cui c’è meno concorrenza, perché i Colleghi che hanno già altri incarichi, difficilmente parteciperanno alle gare più piccole (peraltro, le scuole hanno problematiche privacy notevoli e sfidanti, quindi si tratta proprio di un allenamento valido per chi deve cominciare: del resto, la gavetta, purtroppo, tocca a tutti prima o poi).

Ricordatevi che, per citare, storpiandolo, un famoso film “DPO è chi il DPO fa”: non esistono albi, certificazioni, elenchi che tengano. Nessun corso (no, nemmeno quelli di CyberAcademy), nessuna sedicente qualifica, vi renderà mai effettivamente data protection officer: solo quando effettivamente avrete almeno un incarico, potrete, a ragion veduta, scrivere sul vostro curriculum che lo siete.

Non solo Pubblica Amministrazione

Dopo le Pubbliche Amministrazioni e dopo il primo incarico ricevuto dalla società privata che aveva partecipato al primo convegno organizzato, arrivò un’altra società, appartenente ad un grande gruppo multinazionale, e via via altri incarichi, alcuni grandi, altri più modesti: per molto tempo non dissi mai di no a nessuno.

Col tempo bisogna imparare a dire di no, a selezionare i clienti e gli incarichi, ma all’inizio non mi sembrava il caso di fare troppo la schizzinosa. Il passaparola funzionava: alcune volte l’incarico era per “mettere a posto la privacy” una formula non particolarmente felice, ma molto utilizzata per dire che le società clienti volevano fare il minimo indispensabile per essere in regola (altra espressione che ho imparato a detestare) e non rischiare le sanzioni.

Ma piano piano, con pazienza e con un briciolo di “trucchetti” comunicativi (per questo sostengo che sia essenziale per un cyberlegale che voglia veramente lavorare come consulente di impresa imparare i fondamenti del public speaking e della comunicazione efficace: sono soft skill fondamentali, in primo luogo per ottenere il lavoro, successivamente per mantenerlo e fidelizzare il cliente e, ultimo, ma non per importanza, per contrattare il compenso!) sono quasi sempre riuscita a trasformare quella che inizialmente doveva essere una consulenza una tantum in un incarico periodico fisso.

Tuttavia, come già accennato la scorsa settimana, più andavo avanti nel mio lavoro, più mi rendevo conto di un problema che diventava sempre più pressante: mi mancava una significativa parte di competenze tecniche, in materia di sicurezza informatica. Non aveva senso pensare di erogare consulenza in data protection senza avere conoscenze, almeno di base, in cybersecurity, e non aveva senso pensare di proteggere i dati, di “fare privacy” senza mettere le mani nel sistema informatico.

Mi misi a cercare qualche collaborazione tecnica, ma non è semplice, per niente, trovare professionisti qualificati, in grado di coniugare le conoscenze in ambito cybersecurity e quelle più strettamente giuridiche. Spesso mi sono imbattuta in eccellenti informatici, che però pensavano che il GDPR fosse una ricetta di cucina, più spesso ancora in colleghi, che magari ne sapevano più di me in termini legislativi e giuridici, ma che non mi accrescevano dal punto di vista tecnico.

Un modo (quasi) infallibile per convincere anche il più recalcitrante tra gli imprenditori ad affidarsi alla vostra consulenza di cyberlegale, è quello di fargli vedere quanto gli costerebbe non farlo: non proponete la “carta”, la burocrazia e le formalità. Proponete la protezione del business e del fatturato dell’azienda e, incidentalmente, infilate in mezzo la data protection.

Nove volte su dieci funzionerà meglio. Fui fortunata. Una mia collega mi presentò una persona, titolare di un’azienda informatica di Torino, che non solo era preparatissima dal lato della cybersecurity, ma che era anche un’autorità in fatto di privacy.

Diventò il mio nuovo guru.

L'esperto in cybersecurity

Credo che il modo più corrispondente al vero per dirlo sia che mi incollai a lui come una cozza sullo scoglio. Andavamo da tutti i clienti insieme, lo coinvolsi in tutte le mie consulenze, sia nelle pubbliche amministrazioni, sia nelle società private.

Questo delle collaborazioni è un tabù che per alcuni Colleghi è difficile da sfatare, perché si ha la sensazione di perdere qualcosa a coinvolgere terzi professionisti nel rapporto con il nostro cliente, sia in termini di fatturato, sia in termini di autorevolezza. Non entro nel merito delle scelte di ognuno, ma posso solo dire che nella mia esperienza non fu così.

Condivisi con lui non solo tutti i miei clienti e quindi il mio fatturato, ma anche tutto il mio know-how: bozze, template, documenti, formazione. Ma, e questo è il bello, lui fece lo stesso con me. Dividendo tutto a metà, condividendo il lavoro, le questioni, i problemi, ebbi la conferma di quello che avevo già sperimentato quando avevo lavorato per quello studio di commercialisti e legali associati: che due più due in certi tipi di riuscite collaborazioni lavorative non sempre fa quattro, ma a volte, viene fuori un numero che cresce esponenzialmente.

Non solo, ma da lui imparai moltissimo: andavamo insieme dai clienti, io facevo la mia parte come legale, ma era lui che parlava di backup e di firewall, di malware e di configurazioni di rete. Fu grazie a lui che imparai che cos’è un armadio rack e un server mysql, o la differenza tra VLAN e VPN e dopo un pò tornai ad andare dai clienti da sola e provai a lanciarmi a buttare lì due parole anche nel gergo tecnico, che fino a quel momento non mi era mai appartenuto, ma che cominciavo pian piano a capire.

Mi serve un corso di informatica, gli dicevo e lui mi rispondeva che no, mi serviva solo lavorare con lui. Aveva ragione. Tramite questa collaborazione, che perdura a tutt’oggi, anche se, devo ammettere, non con la stessa intensità, perché col tempo mi sono resa più autonoma anche dal punto di vista tecnico e quindi lo chiamo solo in casi particolarmente complicati (o solo quando non mi va di lavorare da sola, perché comunque fare la consulente in data protection può essere un lavoro piuttosto solitario) ho iniziato, per la prima volta, a capire che non bastava diventare avvocato specializzato in protezione dei dati.

Che dovevo fare un passo più coraggioso, che dovevo diventare un avvocato esperto in diritto applicato all’informatica ed alla tecnologia. Fu la prima volta che mi venne in mente il termine Cyberavvocato.

Ma di questo parleremo nel prossimo numero della newsletter di CyberAcademy.

– Luisa Di Giacomo, Cyber Avvocato e DPO, Co-founder di CyberAcademy e docente di Data Protection