Best practices per la prevenzione delle violazioni dei dati legali
Con l’avvento della digitalizzazione la protezione dei dati sensibili è diventata una sfida per tutti settori, in particolare per quello giuridico. La sicurezza dei dati negli studi legali è oggi una priorità, avvocati e professionisti del diritto si ritrovano infatti a gestire una quantità enorme di dati e informazioni riservate di clienti, colleghi e terze parti. È quindi fondamentale che adottino le giuste misure per proteggerli e prevenire eventuali violazioni; l’accesso non autorizzato o la perdita di dati potrebbe avere serie conseguenze non solo a livello legale ed economico, ma anche reputazionale. In questa guida forniremo alcuni consigli pratici per la protezione dati nel settore legale.
Cybersecurity negli studi legali: cos’è la sicurezza dei dati legali
Si definiscono dati sensibili tutte quelle informazioni in grado di rivelare di un individuo:
- origine razziale ed etnia;
- convinzioni religiose, politiche e filosofiche;
- vita sessuale;
- stato di salute.
Proprio per questo vanno maneggiati con cura e non possono essere trattati senza il consenso esplicito dell’interessato.
I dati sensibili gestiti in uno studio legale comprendono tutte le informazioni riservate relative ai propri clienti come informazioni personali (nomi, indirizzi, numeri di telefono, dati anagrafici e fiscali), documenti (atti processuali, contratti, testamenti, cartelle cliniche) e comunicazioni e-mail (messaggi confidenziali tra avvocati e clienti).
La sicurezza informatica o cybersecurity negli studi legali, come in qualsiasi altra azienda, si basa su tre principi fondamentali.
- Confidenzialità. Garantire che solo le persone autorizzate possano accedere ai dati sensibili. La confidenzialità va assicurata a partire dall’acquisizione/archiviazione e durante il suo utilizzo.
- Integrità. Mantenere la veridicità dei dati e assicurare che non siano alterati, modificati o cancellati da fonti non autorizzate.
- Disponibilità: I dati devono essere accessibili al personale autorizzato senza interruzioni e secondo le modalità e le tempistiche definite. Vuol dire assicurare che per il periodo di tempo stabilito non si verifichino interruzioni di servizio o ritardi.
Le normative che disciplinano la protezione dei dati sensibili in ambito legale, e quindi la loro raccolta, elaborazione e divulgazione sono essenzialmente tre:
- GDPR (General Data Protection Regulation). È il regolamento europeo che dal 2016 disciplina la protezione dei dati personali sulla base di principi di privacy come legalità, equità, trasparenza, limitazione delle finalità, precisione, integrità e riservatezza, responsabilità. Tutti gli studi legali che si ritrovano a elaborare e trattare dati sensibili nell’UE devono essere conformi al GDPR, secondo il quale le violazioni dei dati sono soggette a sanzioni pecuniarie fino al 4% del fatturato annuo globale di un’azienda o fino a 20 milioni di euro.
- CCPA (California Consumer Privacy Act). Si tratta di una legge statale entrata in vigore nel 2020 sulla protezione dei dati per i cittadini residenti in California. La non conformità degli studi o delle aziende con il CCPA prevede sanzioni di 7500 dollari per ciascuna violazione intenzionale e di 2500 dollari per quelle non intenzionali.
La CCPA può impattare su aziende italiane se operano globalmente o offrono servizi ai residenti in California, poiché devono conformarsi alle sue disposizioni sulla protezione dei dati personali. Anche se la sua giurisdizione è limitata agli Stati Uniti, molte aziende possono adottare i suoi standard per la protezione dei dati a livello globale, compresi gli utenti italiani, considerando la sua influenza come precursore della legislazione sulla privacy in altre parti del mondo
- Norme deontologiche forensi. Regole che disciplinano la condotta degli avvocati.
Il GDPR in particolare impone a tutte le organizzazioni, compresi gli studi legali, di adottare misure adeguate a proteggere i dati sensibili come:
- la nomina di un Data Protection Officer (DPO);
- l’adeguamento del sistema di gestione dei dati;
- l’implementazione di misure di sicurezza informatica;
- la formazione del personale sulla privacy.
Le principali minacce alla sicurezza dei dati derivano da attacchi malevoli come malware, ransomware e phishing.
Nello specifico i malware sono applicazioni dannose, molto simili a virus, che compromettono il normale utilizzo dei dispositivi; permettono ai criminali informatici di rubare le credenziali che potrebbero trovarsi nei file presenti sul device e di effettuare accessi non autorizzati.
I ransomware sono invece software malevoli che impediscono l’accesso ai file del proprio dispositivo finché non verrà pagato un riscatto. I principali veicoli di questo tipo di attacco sono l’apertura di allegati e-mail o di annunci online che si fingono affidabili. Il phishing consiste nell’indurre tramite email o link ipertestuali dannosi, i destinatati del messaggio a condividere informazioni come numeri di carte di credito e password. Lo scopo è rubare o danneggiare dati sensibili spacciandosi per un’azienda che la vittima già conosce.
Tutte e tre le tecniche consentono a utenti non autorizzati di accedere ai sistemi e rubare credenziali e password custoditi nei file che si trovano al loro interno. La perdita e la fuga dei dati potrebbe però anche avvenire, intenzionalmente o meno, tramite e-mail, dispositivi di archiviazione mobili o servizi di cloud particolarmente vulnerabili. Anche gli errori di software, la rottura di un device o un evento catastrofico (blackout, inondazioni, terremoti) possono mettere fuorigioco le infrastrutture informatiche e minacciare così la sicurezza dei dati.
I rischi derivanti da una violazione dei dati legali sono:
- furto di identità e frode ai danni dei clienti in seguito a una fuga di dati causata da errore umano o cyberattacchi;
- danno reputazionale. La violazione e la conseguente perdita dei dati può intaccare la fiducia del cliente e danneggiare di conseguenza la reputazione dello studio;
- sanzioni. Violare le norme sulla privacy comporta non solo la possibilità di incorrere in gravi azioni legali, ma anche quella di dover pagare multe elevate.
Prevenzione delle violazioni e gestione delle crisi
Per prevenire possibili minacce ed eventuali violazioni è essenziale quindi che ogni studio legale adotti pratiche efficaci per individuare i fattori di rischio, adottare azioni di “mitigazione” e proteggere i propri data base. Vediamo quali sono le principali strategie.
- Implementare i controlli sugli accessi. Adottare sistemi in grado di garantire solo al personale autorizzato l’accesso ai dati sensibili.
- Aggiornare regolarmente i software di sicurezza: installare aggiornamenti e patch (ovvero comandi, pezzi di codice progettati per aggiornare software o sistemi operativi) per proteggere i sistemi da vulnerabilità.
- Dotarsi di sistemi di backup e ripristino dati che permettano di recuperarli nel caso si verifichino danni o perdite.
- Monitorare i sistemi e le reti per rilevare eventuali attività sospette o anomalie.
- Identificare le infrastrutture più sensibili e dotarsi degli strumenti necessari per proteggerli.
- Formare e sensibilizzare adeguatamente dipendenti e collaboratori degli studi legali in termini di sicurezza informativa e protezione dei dati. Educare tutti i professionisti dello studio a riconoscere e a evitare le truffe online è quindi un passaggio fondamentale per limitare la vulnerabilità dei sistemi ed evitare errori umani.
- Dotarsi di un piano di risposta agli incidenti.
Pianificazione della risposta agli incidenti
Una risposta rapida ed efficace agli incidenti dovrebbe includere la creazione di un piano che contenga tutte le procedure da seguire per gestire e risolvere eventuali incidenti, come la distruzione e la perdita di dati.
Nello specifico un piano di risposta per la gestione dei rischi relativi ai dati legali si articola nei seguenti passaggi:
- stabilire cosa costituisce una violazione dei dati fornendo degli esempi significativi;
- individuare ruoli e responsabilità delle figure coinvolte e relativi compiti;
- comunicare al personale chi e come debba essere informato in caso di sospetto incidente;
- descrivere in modo dettagliato le procedure da attivare in caso di violazione e le modalità da seguire per la successiva comunicazione all’Autorità Garante e ai clienti interessati;
- effettuare regolari simulazioni di incidenti per verificare l’attendibilità e l’efficacia del piano.
Tecnologie e strumenti per la protezione dei dati
Tra le contromisure da adottare per proteggere i dati dei clienti l’uso di strumenti di sicurezza specifici per il settore legale può fare la differenza. Ecco quali sono le tecnologie che gli studi legali possono adottare.
- Software di sicurezza per dati legali. Non solo antivirus e antimalware per proteggere i sistemi informatici da virus e malware, ma anche piattaforme specifiche come TeamSystem Studio Legal, ideale per ottimizzare l’efficienza e la sicurezza nella gestione di tutte le attività legali e amministrative, e garantire la conformità alle normative sulla protezione dei dati.
- Sistemi di crittografia. Le tecnologie crittografiche sono in grado di rendere illeggibili i dati sensibili in caso di furto o accesso non autorizzato. Si tratta di algoritmi attraverso i quali è possibile occultare le informazioni, rendendole cifrate.
- Autenticazione a più fattori. Consiste nell’applicare criteri di autenticazione e autorizzazione appropriati per garantire l’accesso ai dati ai soli utenti autorizzati.
- Gestione delle identità. Strumenti di gestione delle identità permettono di controllare e monitorare l’accesso ai dati sensibili.
- Sistemi di firewall per filtrare il traffico in entrata e in uscita.
- Soluzioni di backup per garantire la disponibilità dei dati in caso di incidente informatico. Una dei sistemi di backup più diffusi è quello su cloud, che offre molti vantaggi: è sicuro, flessibile, personalizzabile, adattabile a diverse esigenze e accessibile da qualsiasi dispositivo. L’archiviazione dei dati in cloud fornisce standard di sicurezza elevati, tuttavia le sfide non mancano:
- i dati sono immagazzinati su piattaforme gestite da terze parti, di conseguenza gli studi che vi si affidano hanno un controllo ridotto delle modalità di accesso e gestione;
- i sistemi di archiviazione dei dati su cloud potrebbero essere più vulnerabili ai cyber attacchi: le aziende sono infatti ancora inesperte nella gestione dei dati in questo tipo di ambiente;
- l’uso di servizi cloud non autorizzati potrebbe esporre maggiormente a infezioni da malware; non è sempre possibile, infatti, verificare che la cancellazione dei dati vista sia avvenuta in maniera sicura.
- Attività di auditing per verificare regolarmente la sicurezza dei sistemi.
Formazione, consapevolezza e conformità
In molti casi le violazioni dei dati sono causate da errore umano, ecco perché la formazione e l’aggiornamento di tutte le figure professionali coinvolte nel proprio studio legale sono fondamentali per un’adeguata protezione dei dati sensibili.
In questo senso è particolarmente importante:
- educare i dipendenti sui rischi informatici e sulle migliori pratiche per la protezione dei dati, così da renderli consapevoli delle minacce, delle norme e delle buone pratiche in materia;
- organizzare regolarmente corsi di formazione sulla sicurezza informatica e sulle normative in vigore come il GDPR;
- promuovere una cultura della sicurezza all’interno dello studio.
La formazione del personale sulla sicurezza dei dati legali è inoltre un’attività cruciale per evitare il rischio di non conformità alle leggi, ovvero per garantire che tutte le attività di uno studio legale siano in linea con le norme nazionali e internazionali. È una delle strategie che tutti gli studi dovrebbero adottare per garantire un’efficace compliance insieme ad altre pratiche altrettanto efficienti come:
- condurre regolari audit di conformità;
- aggiornarsi sulle modifiche normative;
- sviluppare un piano di gestione dei rischi per individuare aree di potenziale violazione;
- adottare strumenti all’avanguardia (come algoritmi intelligenti) e procedure capaci di monitorare la conformità alle norme.
Soluzioni pratiche e risorse
Nel caso in cui si verifichi una violazione dei dati è essenziale mettere in atto il piano di risposta precedentemente creato. Secondo quanto previsto dal GDPR il titolare responsabile del trattamento dei dati, quindi lo studio legale, avrà 72 ore di tempo dal momento della rilevazione per notificare all’Autorità Garante l’avvenuta violazione. Ecco gli step principali da realizzare per una corretta gestione della crisi.
- Prendere atto della violazione e registrare l’incidente.
- Disconnettere i sistemi compromessi dalla rete e isolare le infrastrutture dove si è verificato il problema per prevenire ulteriori violazioni.
- Avvisare il team del piano di risposta per poter attuare tempestivamente le procedure adeguate a gestire la crisi.
- Registrare chi ha scoperto la violazione, quali altre figure ne sono al corrente e che tipo di violazione si è verificata.
- Parlare con tutte le figure coinvolte dalla scoperta della violazione.
- Analizzare e classificare l’evento raccogliendo alcune informazioni come la data e l’ora dell’evento, i dati, i sistemi coinvolti.
- Prendere le giuste contromisure per ripristinare i sistemi compromessi (rimozione di eventuali malware, riparazione dei sistemi danneggiati e ripresa delle normali operazioni) e arginare gli effetti.
- Condurre un’indagine forense per determinare l’entità della violazione, individuarne le cause e valutare i rischi.
- Alla luce delle analisi delle cause e delle possibili conseguenze, comunicare se necessario all’Autorità Garante la violazione dei dati. L’articolo 33.1 del GDPR prevede che la notifica vada fatta “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Lo studio dovrà poi comunicare la violazione anche ai soggetti interessati (i clienti) se la stessa è “suscettibile di presentare un rischio per i diritti e le libertà delle persone fisiche” (articolo 34 del GDPR).