Ho avuto l’opportunità di intervistare un esperto del settore privacy, l’Avv. Adriano D’Ottavio dello Studio Legale Portolano Cavallo.
Il tema non ha bisogno di presentazioni, dal momento che dal prossimo 25 maggio troverà applicazione il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), che porta con se un ampio bagaglio di novità per imprese, Pubbliche Amministrazioni e professionisti del settore.

1) So che si occupa in particolare di Privacy e protezione dei dati, pertanto, data la fondamentale importanza di queste materie al giorno d’oggi, Le chiedo come è arrivato a specializzarsi (e appassionarsi?) in questo settore e cosa consiglia ai giovani neolaureati interessati a questo percorso.

Diciamo che è accaduto tutto un po’ per caso.

Appena terminata l’università ho avuto l’opportunità di iniziare il mio percorso professionale in una “boutique” specializzata in diritto delle nuove tecnologie, con un focus specifico sulla data protection. Onestamente non cercavo questo tipo di esperienza così focalizzata su un mondo, quello delle nuove tecnologie, che all’università (quantomeno nel mio percorso di studi da “giurista d’impresa”) non avevo avuto modo né di conoscere e men che meno di studiare. È stata dunque una vera e propria sfida: terminato il percorso universitario, ho iniziato a studiare da zero una materia per me nuova e sconosciuta – la data protection – disciplinata non soltanto dai 186 articoli del D.lgs. 196/2003 e dai relativi vari allegati, quanto piuttosto anche dai numerosi provvedimenti generali e specifici dell’Autorità Garante per la protezione dei dati personali (il “Garante”). Da lì, non ho mai smesso di lavorare in questo campo: di anno in anno mi sono sempre più appassionato a questa materia, complice anche l’altra mia grande passione per le tecnologie in generale.

Ai giovani neolaureati che desiderino intraprendere questo percorso professionale consiglio prima di tutto di studiare, tanto, anche e soprattutto perché, sebbene il 25 maggio di quest’anno diventi applicabile in tutta Europa il GDPR, è importante conoscere molto bene non soltanto questo nuovo corpus normativo, ma anche tutta la normativa attualmente in vigore in Italia in materia di privacy e protezione dei dati personali, ivi inclusi i numerosi provvedimenti del Garante. Non a caso, infatti, l’attività più importante che ci viene richiesta dai nostri Clienti è far convergere i programmi di compliance svolti fino ad oggi sotto il D.lgs. 196/2003 verso le nuove attività di compliance obbligatorie ai sensi del GDPR.

E ancora, consiglio sicuramente di avere una buona conoscenza delle tecnologie in generale e dell’informatica e di essere perseveranti nel proprio percorso professionale, ma al tempo stesso flessibili e sempre pronti ad affrontare le questioni sotto molteplici e differenti punti di vista che, alle volte, potrebbero anche non aver a che fare direttamente con il “mondo legale”.

Infine – ma non per questo meno importante – penso che i giovani che si avvicinano a questa materia non debbano perdere mai di vista la preparazione giuridica di base, il diritto civile e i principi generali del diritto: questa è la giusta preparazione di base da cui non bisogna mai prescindere.

 2) Più in generale, quale crede sia il ruolo di un giurista in questo nuovo contesto tecnologico che oramai coinvolge ogni branca del diritto?

A mio avviso, il giurista di oggi che abbia intenzione di lavorare nel campo del diritto applicato alle nuove tecnologie – di cui la privacy e la data protection sono sicuramente uno dei maggiori esempi – deve conoscere il mondo delle tecnologie e avere dunque un’opportuna preparazione di base al riguardo. Non è possibile, per esempio, lavorare oggi su un programma di compliance al GDPR senza avere idea di quale sia la differenza tra anonimizzazione e cifratura dei dati, di cosa sia un metadato o la digitalizzazione dei servizi, o ancora di quali siano le criticità potenzialmente connesse al trattamento dei big data e all’introduzione di tecnologie basate sull’intelligenza artificiale e sul machine learning.

Il giurista deve poi essere anche in grado di saper comunicare con chi le tecnologie le misura e le inventa giorno dopo giorno (ingegneri, startupper, etc.) e deve sapersi muovere nelle varie branche del diritto che presentano dei punti di connessione con le tematiche data protection.

 3) Come procede l’adeguamento al GDPR che troverà applicazione da maggio 2018?

Diciamo che l’adeguamento al GDPR sta procedendo lentamente, complice anche l’assenza (per il momento) di un’opportuna e auspicata uniformità d’intervento da parte del legislatore. Di seguito provo a riassumere, brevemente, dove siamo arrivati a livello locale con l’adeguamento normativo:

• Con la Legge Delega del 25 ottobre 2017, n. 163, art. 13, al Governo è stata delegata l’adozione di uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del GDPR, entro sei mesi dall’entrata in vigore della medesima legge delega (vale a dire, entro il 21 maggio 2018);
• Con la Legge 20 novembre 2017, n. 167, “Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017. (17G00180)” sono state apportate le prime modifiche al D.lgs. 196/2003 in materia di termini di conservazione dei dati di traffico telefonico e telematico (art. 24), responsabile del trattamento (art. 28), riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici (art. 28) e funzionamento del Garante per la protezione dei dati personali (art. 29);
• Infine, con la Legge 27 dicembre 2017, n. 205, “Bilancio di previsione dello Stato per l’anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020”, sono state introdotte delle indicazioni in materia di trattamento fondato sull’interesse legittimo, informativa e comunicazione al Garante.

Va da sé, dunque, che la lentezza con cui sta procedendo l’adeguamento normativo a livello nazionale influenza, in modo diretto, anche l’andamento dei programmi di compliance, anche e soprattutto a causa dei molteplici dubbi interpretativi e applicativi del GDPR ad oggi non ancora risolti. Immaginiamo, tuttavia, che nei prossimi mesi il mercato inizierà a porsi seriamente il problema dell’adeguamento al GDPR – come dire, meglio tardi che mai!

 4) E’ innegabile che questo Regolamento abbia portato e porterà cambiamenti radicali in merito alla protezione dei dati personali, crede che tali cambiamenti siano sufficienti ed efficaci a colmare le lacune che il processo tecnologico ha originato ed evidenziato?

La verità è che la tecnologia si muove troppo velocemente: basti pensare per un momento soltanto ai passi da gigante che le tecnologie e, più in generale, il mondo digitale hanno compiuto nell’ultimo decennio e, soprattutto, al consolidamento che il recente progresso tecnologico avrà nei prossimi anni.

L’Internet of Things, i servizi di comunicazione Machine to Machine, la Domotica e le Smart Homes, i Wearable Devices, le Smart Cars, l’Intelligenza Artificiale e il Machine Learning non soltanto hanno cambiato e stanno progressivamente cambiando il nostro modo di vivere, ma soprattutto stanno determinando delle nuove ipotesi di trattamento di una quantità incalcolabile di dati personali.

In un simile contesto è dunque difficile immaginare se e in che misura un impianto normativo (come, per esempio, il D.lgs. 196/2003) possa effettivamente essere al passo con tanta innovazione.

Con il GDPR, tuttavia, a mio avviso il legislatore europeo ha fatto un importante passo in avanti, entrando in una dimensione 2.0 della regolamentazione delle tematiche data protection a livello comunitario: un regolamento direttamente applicabile in tutti gli Stati Membri che, con i suoi 99 articoli, fornisce un testo normativo flessibile e in grado di essere al passo con il progresso tecnologico e di garantire, conseguentemente, un quadro giuridico omogeneo e moderno in tutta Europa.

 5) Oltre ad avere un impatto prettamente giuridico, crede che il GDPR possa influenzare anche il mercato del lavoro? Il riferimento in particolare va alla nuova figura del DPO.

Sicuramente si.

Il GDPR introduce, in particolare, la nuova figura del DPO – obbligatoria nei casi espressamente previsti dall’art. 37 – che dovrà necessariamente essere dotata di specifiche competenze non soltanto normative, ma anche tecnico/organizzative; il DPO dovrà poi adempiere alle sue funzioni di vigilanza dei processi interni, di consulenza del titolare e del responsabile del trattamento e di contatto rispetto agli interessati e alle autorità locali, il tutto in piena indipendenza e in assenza di conflitti di interesse.

Si tratta dunque di un elemento di novità non solo nel quadro normativo rilevante, ma anche e soprattutto in campo professionale. E questo non può che portare a nuove opportunità di lavoro, complice anche il fatto che il DPO possa operare sia alle dipendenze del titolare o del responsabile (DPO interno), sia sulla base di un contratto di servizio (DPO esterno).

Simone Cedrola

Laureto in Giurisprudenza presso l’Università Federico II di Napoli nel luglio 2017 con una tesi in Procedura Civile.
Collaboro con Ius in itinere fin dall’inizio (giugno 2016). Dapprima nell’area di Diritto Penale scrivendo principalmente di cybercrime e diritto penale dell’informatica. Poi, nel settembre 2017, sono diventato responsabile dell’area IP & IT e parte attiva del direttivo.

Sono Vice direttore della Rivista, mantenendo sempre il mio ruolo di responsabile dell’area IP & IT. Gestisco inoltre i social media e tutta la parte tecnica del sito.
Nel settembre 2018 ho ottenuto a pieni voti e con lode il titolo di LL.M. in Law of Internet Technology presso l’Università Bocconi.
Da giugno 2018 a giugno 2019 ho lavorato da Google come Legal Trainee.
Attualmente lavoro come Associate Lawyer nello studio legale Hogan Lovells e come Legal Secondee da Google (dal 2019).

Per info o per collaborare: simone.cedrola@iusinitinere.it