La sicurezza dei dati è una responsabilità dell’Avvocato.

Consapevolezza dei rischi, conoscenza delle basi della IT security, sensibilità verso l’assoluta riservatezza delle informazioni scambiate con il proprio cliente e la relativa responsabilità.
Sono queste le caratteristiche principali di un comportamento corretto dell’avvocato nell’era digitale, prima ancora che il servirsi di strumenti e sistemi di cyber security sofisticatissimi (quanto destinati ad evolversi alla velocità della luce).
Da questo assunto parte la Guida del CCBE, la rappresentanza degli Ordini forensi nazionali a Bruxelles, nella sua recente guida Improving the IT Security of Lawyers Against Unlawful Surveillance.

 

Il punto centrale da cui parte la riflessione del CCBE è che l’avvocato è responsabile verso i propri clienti della riservatezza delle informazioni ricevute a causa del rapporto di mandato e deve poter dimostrare di aver garantito la migliore compliance al quadro normativo e di aver adottato le misure più adeguate (cioè standard di sicurezza) a loro tutela.
La normativa comunitaria, e quella italiana, non prevedono obblighi specifici per gli Avvocati, i quali sono tenuti ad osservare le regole generali valide per tutti gli operatori che utilizzano dati personali.
Anche per questo, la Guida del CCBE suggerisce di adottare quegli standard già adottati e sperimentati in altri settori, che abbiamo dato buone prove e siano adattabili alle attività legali.
Tra questi il CCBE suggerisce di adottare gli standard di sicurezza :
a) FIPS 800-53 oppure
b) FIPS Cybersecurity Framework (and related standards) di NIST National Institute of Standards and Technologies of the United States of America (NIST) oppure
c) gli ISO 27000.1.
La Guida poi enumera le misure tecniche di protezione contro le intrusioni non volute, che sinteticamente segnaliamo:
– I controlli di sicurezza IT per i mobile devices
– (see control 6.2.1 under ISO 27001)
– I controlli di sicurezza IT contro i malware
– I controlli necessari in caso di dismissione di supporti (per esempio chiavette USB)
– (8.3.2./10.7.2. under ISO 27001)
E per completezza, il CCBE segnala anche le categoria di attività a rischio di intrusione e le attività di hackeraggio più rischiose al riguardo (see e.g. network controls and cryptographic controls under 13.1.1. and 10.1.1. controls of ISO 27001):
– Le comunicazione tra avvocato e cliente e quelle tra avvocati (anche tramite il telefono di studio, VoIP or by OTT providers such as WhatsApp etc.);
– Le email;
– Le spedizioni di documenti utilizzando tecnologie diverse dalle email;
– I sistemi di e-government/e-court;
– La conservazione di file, documenti, prove;
– Le ricerche legali;
– l’utilizzo di apparecchiature informatiche, compresi i fax, scanner, fotocopiatrici che hanno memoria or hard disks.
Se vuoi saperne di più leggi qui CCBE Guidance