Tempo di lettura stimato: 3'
Tempo di lettura stimato: 3'I database di professionisti e imprese detengono una grande quantità di dati personali, ma spesso queste informazioni non sono state raccolte e nn vengono gestite nel modo corretto. Da qui hanno spesso origine brutte esperienze a cui alcuni sono andati incontro vedendosi violare i server e dovendo pagare riscatti salati per sbloccare i dati e scacciare i malware. In ogni Paese e in ogni settore produttivo i cyber attacchi rappresentano un punto delicato e cruciale: i dati raccolti dalla Law society britannica sul mondo forense, per esempio, riportano percentuali incredibili come violazioni nel 65% degli studi legali. Due studi legali su tre, quindi, avrebbero subito attacchi e violazioni dei dati personali dei clienti tanto che negli ultimi cinque anni le polizze assicurative che proteggono da queste infrazioni hanno quadruplicato i premi (oggi 37 miliardi di sterline, cinque anni fa erano 10). In Italia non ci sono studi e dati concreti su questo argomento, ma è verosimile che anche qui la sicurezza degli studi legali sia bassissima. Lo confermerebbe l’attacco massivo che poco più di un mese fa ha colpito studi legali e notarili. Anche l’Osservatorio Cyber security e Privacy del Politecnico di Milano riconosce che questi studi sono altamente in target in quanto depositari di tantissimi dati, ma conferma che mancano studi e dati specifici che aiutino a percepire il tema come un problema molto grave. È chiaro che un investimento idoneo risulta meno dispendioso di un riscatto richiesto dopo una violazione, eppure il costo dei data breach risulta essere di 2,6 milioni di dollari (“Cost of data breach report”, ricerca Ponemon 2017 https://www.ibm.com/security/data-breach/threat-intelligence), considerando la perdita di consumatori e clienti oltre che quella dei dati. Questa ricerca ha evidenziato che una riduzione dei costi è stata riscontrata dove si è ricorsi alla nomina di un Data Protection Officer e all’utilizzo di analisi di dati in funzione di sicurezza.
Anche il CIS de La Sapienza ha effettuato uno studio rispetto ai costi di investimento della cybersicurezza e dei risparmi
scoprendo che la mancanza di dati certi è dovuta anche al fatto che non esiste una banca dati che sia in grado di raccogliere
l’entità dei reati informatici (legge 48/2008).
Come ottenere la sicurezza dei dati
La soluzione starebbe nell’applicazione della norma ISO (IEC/27001), ossia nella migliore gestione delle informazioni
confidenziali e sensibili e nell'applicazione di controlli di sicurezza certificati per qualsiasi organismo, pubblico e privato. Visto
che il digitale ha cambiato il nostro modo di lavorare, quindi, oggi siamo chiamati ad avere sia competenze professionali
specifiche per il nostro settore che skills informatiche che ci permettano di raggiungere la migliore sicurezza nella tutela dei
dati personali.
Il GDPR entrerà in piena efficacia tra pochi mesi e da quel momento categorie come avvocati e studi legali dovranno
adeguarsi al nuovo regolamento comunitario. Al momento non ci sono ancora indicazioni specifiche a parte quella del CCBE
che lo scorso anno ha editato una guida
(http://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/IT_LAW/ITL_Position_papers/EN_ITL_20170519_CCBE-
Guidance-on-main-new-compliance-measures-for-lawyers-regarding-GDPR.pdf) sull’applicazione del regolamento Ue con
riguardo specifico ad avvocati e law firm.
La sicurezza dei dati viene affrontata nell’articolo 33 (“Notifica di una violazione dei dati personali all’autorità di controllo”) dove
viene riportato che “In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di
controllo competente entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione
dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo deve essere giustificato. Il
responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza
della violazione.”
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
