I mercoledì della privacy: la fragilità dei software e gli adempimenti per la sicurezza

Il lavoro agile e le videoconferenze, che siano normali riunioni di lavoro, corsi oppure teleassemblee, espongono in maniera continuativa ad un rischio elevato i sistemi informatici degli studi di amministrazione. Non esiste infatti un software che non abbia dei vizi, degli errori nel codice di programmazione (un bug) o che presenti comunque dei rischi di accessi fraudolenti da parte di male intenzionati. Gli hacker sfruttano queste falle di sistema per introdursi all'interno delle macchine e sottrarne informazioni, dati personali, attivare la webcam, il microfono, leggere le parole digitate sulla tastiera, tutto all'insaputa dell'utilizzatore.

Come premunirsi
Occorre allora premunirsi con alcuni aggiornamenti che consentono l'utilizzo delle piattaforme che ancor più in questo periodo emergenziale sono entrate a far parte della nostra quotidianità: acquistare un antivirus di livello, da fonti ufficiali (Windows Update) e un software adeguato per filtrare le mail, assicurarsi di aggiornare il sistema operativo (Windows, Mac OS X, Linux), verificando la disponibilità di aggiornamenti o il rilascio di nuove versioni, meglio ancora impostando l'aggiornamento automatico del medesimo sistema operativo.

L’amministratore e la sicurezza informatica
Occorre anche assicurarsi che gli aggiornamenti del firmware siano effettuati non solo sui device, ma anche sui modem e i router.L'amministratore deve tenere presente che qualunque dispositivo connesso alla rete dello studio (PC, smartphone, stampante, tablet) è una “porta” dalla quale potenzialmente entrano ed escono i dati dalla rete verso internet.

E' necessario premunirsi di protezioni antivirus e firewall che filtrino un “certo tipo” di traffico di rete al fine di proteggere i sistemi informatici e tracciarne il traffico.
Qualora si abbiano collaboratori/dipendenti che lavorino da remoto in modalità smartworking oppure durante una trasferta, diventa importante accertarsi che la connessione utilizzata sia sicura, impiegando una virtual private network(Vpn) e non una connessione Wi-Fi pubblica. Una Vpn è una connessione cifrata, e si può creare con l'utilizzo di semplici software o app.

La protezione di e-mail e navigazione internet
È importante aggiornare costantemente il browser utilizzato (Chrome, Firefox, Safari,Microsoft Edge o Internet Explorer), e avere l'accortezza di disabilitare la connessione a internet dei computer o dei server quando non è necessaria.
Si sconsiglia di utilizzare caselle di posta elettronica gratuite.

Non meno importante è la crittografia, che va intesa come una tecnica che permette di rendere illeggibili i file a chi non possiede la password o la chiave per sbloccarli. Si possono criptare sia file contenuti in un dispositivo o hard disk, sia file trasmessi telematicamente.

Lo studio di amministrazione deve attivarsi per criptare i file contenenti i dati personali appartenenti a categorie particolari (dati sensibili quali infortuni, pratiche relative a sinistri o ad abbattimento delle barriere architettoniche, oppure relativi a condanne penali o reati). Vanno inoltre criptati tutti i pc, tablet, smartphone che possono memorizzare o trasmettere dati. Vanno anche controllati e limitati gli accessi ai dati più importanti solo ai collaboratori autorizzati o ai dispositivi necessari.

Se si smarrisce un dispositivo
Occorre anche stabilire delle procedure da applicare in caso di perdita o sottrazione di uno smartphone, di un pc o di altro dispositivo. Infatti, nel caso in cui il dispositivo non sia crittografato è possibile installare un software in grado di cancellare alcuni o tutti i file da remoto. Inoltre, dovranno predisporsi quelle tecniche di “cloud computing”, che consistono nell'erogazione di servizi (software, app, storage, e-mail) da parte di un provider a richiesta di un cliente attraverso la rete internet e che si rendono disponibili in remoto.

Indispensabile è assicurarsi che il provider effettui regolarmente dei back-up. Così come verificare che sia strutturata la politica di conservazione dei dati, tale da prevedere la cancellazione in automatico degli stessi nel momento in cui non si rinviene più alcuna finalità nel conservarli.

Il controllo degli accessi
Non da ultimo, lo studio di amministrazione dovrà implementare delle misure tecniche ed organizzative in grado di gestire il controllo degli accessi. Il titolare di studio dovrà ridurre al minimo gli account amministratore (quelli che hanno accesso completo a tutte le risorse), individuare quali collaboratori necessitino del livello di autorizzazione più elevato e utilizzare profili amministrativi specifici con privilegi ridotti.

La politica da attuare è quella della minimizzazione. Vanno ristretti gli accessi ai documenti e alle risorse solo a quegli utenti che ne hanno bisogno per svolgere i propri compiti, bloccando invece l'accesso ai collaboratori/dipendenti che non fanno più parte dello studio, al fine di evitare accessi non autorizzati da remoto.

Il tutto deve essere effettuato, seguendo il principio dell'accountability, avendo cura di raccogliere la documentazione al fine di poter dimostrare di aver adempiuto agli obblighi imposti dal Gdpr, predisponendo le apposite policy o regolamenti sull'utilizzo degli strumenti e delle risorse informatiche dello studio legale che i collaboratori/dipendenti siano tenuti a rispettare.

Conclusioni
La sicurezza dunque al centro delle attività, prima ancora della progettazione di nuovi processi come sollecitato da Antonello Soro, Presidente dell'Autorità per la protezione dei dati, in una recente intervista. Secondo lo stesso: «adesso è tempo di porre con forza il tema della dimensione digitale e il ricorso massiccio alle piattaforme online che dovrebbe farci pretendere una maggiore garanzia di sicurezza per tutte le attività più rilevanti. Qualunque server è vulnerabile, anche i più importanti, perciò va eseguita una verifica generale». Particolare riguardo poi ai dati sulla salute che, secondo lo stesso Soro: «valgono doppio dal punto di vista economico e della privacy».

Quindi per l'amministratore si prefigura da un lato la necessità di tenere fede agli obblighi imposti dal Gdpr, ma dall'altra la prospettiva ricordata da Soro, che questi hanno un valore economico. La privacy come opportunità, di crescita ma anche di business.