Negli ultimi vent’anni, la professione di avvocato ha subìto un’evoluzione significativa grazie all’avvento delle nuove tecnologie. La digitalizzazione dei documenti e la diffusione di strumenti di comunicazione e collaborazione online hanno semplificato il nostro lavoro, consentendoci di accedere e gestire i dati in modo più efficiente.
L’automazione dei processi, accompagnata dall’esplosione dell’intelligenza artificiale, ha permesso di risparmiare tempo prezioso e di migliorare l’efficienza complessiva di aziende e professionisti. Ma tale circostanza non deve affascinare a tal punto da abbassare la guardia.
Avvocati e tecnologie: è tutto oro ciò che luccica?
Pochi giorni fa, sui quotidiani di tutto il mondo impazzava la notizia riguardante l’avvocato americano, Steven Schwartz, che ha utilizzato ChatGPT per costruire la difesa del suo cliente. Sfortunatamente, il legale, non avendo, evidentemente, contezza di come funzionasse la chatbot di OpenAI, si è fidato dei risultati proposti dal tool ed ha inserito, nel documento presentato poi in tribunale, dei precedenti, senza, tuttavia, verificarne l’esistenza. O meglio (o peggio ancora), ha chiesto allo stesso ChatGPT di effettuare tale verifica.
Il caso dell’avvocato Schwartz può, in un primo momento, suscitare l’ilarità del lettore, ma chi si occupa di nuove tecnologie da anni, nella migliore delle ipotesi, tira indietro la testa e chiude gli occhi.
Se questo totale (e, se vogliamo dire, cieco) affidamento è giustificabile se messo in atto dall’utente medio – che negli ultimi mesi di accesso ai nuovi strumenti di intelligenza artificiale generativa ha vissuto una sensazione di allegria mista ad ebbrezza derivante dall’ingresso ad un parco giochi (o a un negozio di giocattoli) – non è ammissibile da parte di un professionista, con una carriera trentennale alle spalle.
La società moderna, o società “liquida” come la chiamava il sociologo e filosofo Zygmunt Bauman, ha come “unica costante il cambiamento e l’unica certezza è l’incertezza.” Ecco perché, in un’epoca di travolgenti e continui cambiamenti, è più che mai necessario che gli avvocati, notoriamente restii alle evoluzioni, specie sul piano tecnologico, si impegnino ad accettare di buon grado le sfide lanciate dalla necessità di acquisire nuove competenze su temi che sono giocoforza diventati indissolubilmente legati ad ogni settore del diritto.
Avvocati e digitale: abilità e conoscenze indispensabili
Oltre alle competenze tradizionalmente richieste nell’esercizio della professione legale, esistono alcune abilità e conoscenze aggiuntive che sono divenute indispensabili nell’era digitale:
- conoscenza del diritto legato al digitale: diritto d’autore e della proprietà intellettuale, specie nel mondo virtuale, protezione dei dati, sicurezza informatica, commercio elettronico;
- capacità nella gestione dei dati: la quantità di informazioni generata ogni giorno raggiunge livelli di crescita esponenziali, per cui agli avvocati è richiesta una profonda abilità nell’organizzazione, gestione ed analisi in modo efficiente dei dati con cui vengono a contatto, e non solo. A ciò si correla la competenza nell’utilizzo di applicativi e strumenti di archiviazione (in locale e in cloud) per la corretta (e sicura) gestione dei dati;
- padronanza dei principale strumenti di comunicazione: la comunicazione digitale è diventata una parte essenziale ed imprescindibile della professione legale. Gli avvocati devono essere in grado di comunicare chiaramente, efficacemente ed in maniera esaustiva tramite e-mail, chat, videoconferenze e tutti gli strumenti digitali che possano essere impiegati;
- agilità tecnologica: è fondamentale tenersi al passo con i tempi, aggiornarsi rispetto all’utilizzo delle più recenti tendenze tecnologiche e saper impiegare i nuovi strumenti in modo appropriato. Ciò vale, in linea generale, per tutte le professioni, non solo legali.
Quelle appena elencate, in un moderno curriculum vitae, rientrerebbero nel novero delle cosiddette soft skills. Accanto a queste generiche, ma fondamentali, competenze, molte altre sono più specifiche e relative a chi supporta le aziende.
La figura del “Cyber Legal, Policy and Compliance Officer”
Ad aiutarci nell’individuazione di tali competenze, l’“European Union Agency for Cybersecurity” (“ENISA”) ha pubblicato un documento denominato “European Cybersecurity Skills Framework” (“ECSF”) che individua dodici profili di professionisti della cybersecurity maggiormente richiesti dalle aziende.
Tra tali ruoli, quello certamente maggiormente impattante sui servizi legali, è quello del “Cyber Legal, Policy and Compliance Officer”. L’inserimento in un elenco di professionisti altamente tecnici (Chief Information Security Officer, Cyber Incident Responder, Cybersecurity Architect, ecc.) di un profilo di matrice legale potrebbe sembrare fuori luogo. In verità non lo è affatto.
Dal 25 maggio 2018, data della piena efficacia del Regolamento UE 2016/679 (“GDPR”), ha preso il via un’accesa diatriba tra avvocati, esperti di cybersecurity ed informatici, pronti a contendersi l’esclusività della materia. In alcuni contesti, specialmente sui social professionali, tale dibattito è ancora molto vivace. Il GDPR ha, sicuramente, aperto la strada ad allettanti opportunità per la realizzazione di nuovi progetti, quindi è naturale che ciascuna categoria fosse ingolosita dalla possibilità di ampliare i propri orizzonti professionali e lavorativi.
Ma ritornando al focus della presente trattazione, è importante precisare che il documento di ENISA definisce il Cyber Legal, Policy and Compliance Officer come colui o colei che gestisce la conformità agli standard, ai framework giuridici e normativi relativi alla sicurezza informatica sulla base della strategia di business e dei requisiti legali dell’azienda.
Le competenze di sicurezza informatica
Allora, la conoscenza a menadito del GDPR non può essere sufficiente. Occorre specializzarsi ulteriormente e, in particolare, bisogna:
- conoscere le principali minacce informatiche; ça va sans dire, ormai più che di una competenza, si tratta di un obbligo;
- essere in grado di condurre audit interni per valutare l’adeguatezza delle policies e delle procedure predisposte dall’azienda ed essere in grado di identificare le aree di non conformità, con il fine di proporre interventi migliorativi;
- essere capaci di negoziare con i service provider: oltre alla sezione strettamente normativa, legata alla ripartizione delle responsabilità contrattuali, è necessario conoscere il tipo di servizio offerto dal fornitore ed eventualmente individuare applicazioni ridondanti e/o inutili per l’azienda;
- guidare le realtà commerciali nella individuazione dei dati: durante la conduzione dell’analisi dei rischi, capita spesso di dialogare con un interlocutore ignaro dello svolgimento di questa operazione e delle sue molteplici sfaccettature. Non di rado, i dati non vengono correttamente archiviati in un unico “luogo” (fisico o in cloud), ma sempre più spesso sono contenuti (ancora) in un semplice foglio di carta in un cassetto sotto chiave;
- verificare le relazioni tecniche dei dipartimenti ICT nei casi di “data breach”: oltre alla capacità di valutare l’entità della violazione (in termini di rischi per i diritti degli interessati), si deve essere in grado di supportare l’azienda nelle operazioni di ripristino, dell’archiviazione della documentazione prodotta e della lesson learned;
- affiancare l’azienda durante la progettazione di un software o, in generale, di un servizio che interagisca con gli utenti, soprattutto nel caso in cui si utilizzino sistemi di “intelligenza artificiale”.
Le skills appena elencate non rappresentano in modo esaustivo ciò che viene richiesto alla “nuova” figura come delineata dal citato documento di ENISA.
Si tratta, pur sempre, di un avvocato, che non deve (e non può) dimenticare che diritto non è soltanto la fonte normativa, il GDPR o il D.lgs. n. 196/2003 (“Codice Privacy”), ma ricomprende tutti i provvedimenti dell’Autorità Garante per la Protezione dei Dati Personali e delle autorità europee (spesso per essere certi di procedere nella maniera corretta, occorre analizzare tali pronunciati per trovare la soluzione più appropriata al proprio caso).
Conclusioni
In conclusione, pare opportuno segnalare che nel recente report, “Identifying emerging cyber security threats and challenges for 2030” (pubblicato il 29 marzo 2023), nel delineare le future minacce alla sicurezza informatica che potrebbero colpire le infrastrutture e i servizi dell’UE, si rinviene anche l’aumento della produzione legislativa “tecnica” in Europa in contrapposizione con una pericolosa carenza di competenze (“Skill Shortages”) degli utenti.
Allora, che dire? Forse garantire la conformità agli standard europei sta diventando un compito sempre davvero complesso.
