Cabinetele de avocatura au o particularitate care le distinge in materie de securitate IT: obligatia legala absoluta a secretului profesional. Spre deosebire de o firma comerciala unde un breach inseamna penalitate GDPR si pierdere reputationala, intr-un cabinet de avocatura un breach poate insemna deontologic suspendare din profesie pentru avocatul responsabil si raspundere civila pentru cabinet. Acest ghid acopera securitate date avocat secret profesional, masurabil si implementabil, plus particularitatile backup Legisoft cabinet avocatura si backup Indaco cabinet avocatura.
Cadrul legal: Legea 51/1995 si Statutul profesiei
Legea 51/1995 privind organizarea si exercitarea profesiei de avocat stabileste in articolul 11 ca avocatul este obligat sa pastreze secretul profesional cu privire la orice fapta sau imprejurare cunoscuta in calitate de avocat. Articolul 113 detaliaza ca secretul include si actele si lucrarile care i-au fost incredintate. Statutul profesiei de avocat (intocmit de UNBR) extinde in articolele 226-228: secretul include comunicarile electronice, fisierele digitale, mesajele si orice forma de date stocate sau transmise.
In plain English: tot ce trece prin sistemul informatic al cabinetului - email-uri, documente Word, fisiere PDF cu contracte, baze de date Legisoft sau Indaco - intra sub regimul secretului profesional. Un breach informatic care expune date din dosare nu e doar un incident GDPR, e o incalcare a Legii 51/1995, raportabil catre Baroul din care face parte avocatul responsabil. Sanctiunile pot include suspendarea sau radierea din profesie.
Aceasta dimensiune legala face ca securitate IT secret profesional avocat sa fie de un ordin de magnitudine mai stricta decat la alte cabinete profesionale.
Cerinte tehnice pentru pastrarea secretului profesional
Implementarea practica a obligatiei secretului profesional intr-un cabinet de avocatura mediu (5-30 avocati plus personal administrativ) necesita urmatoarele masuri tehnice.
Criptare in repaus pe toate dispozitivele: BitLocker (Windows) sau FileVault (macOS) activat pe toate laptop-urile si statiile fixe, cu cheile de recovery stocate in Azure AD sau intr-un seif fizic. Pentru servere, criptare la nivel de volum cu BitLocker pe Windows Server sau LUKS pe Linux. Pentru baze de date Legisoft/Indaco, criptare nativa la nivel de baza (TDE pe SQL Server) sau criptare a discului pe care sta baza.
Criptare in transit: TLS 1.3 minimum pentru toate serviciile interne (Outlook, fileserver SMB, intranet), TLS pentru email cu STARTTLS obligatoriu, dezactivare totala a TLS 1.0 si 1.1 pe servere, certificate emise de CA de incredere (Let's Encrypt pentru servicii publice, CA intern pentru servicii interne).
Control acces granular cu principle of least privilege: avocatul X are acces doar la dosarele lui si la dosarele clientilor pe care i-a fost asignat ca echipa. Personalul administrativ are acces la metadata (numar dosar, data, client) dar NU la continutul juridic. Implementare prin Active Directory cu grupuri de securitate pe dosare in fileserver, plus permisiuni la nivel de aplicatie in Legisoft sau Indaco.
MFA obligatoriu pentru orice acces din afara retelei sau pe sisteme cu date juridice: VPN, email web access, RDP, acces remote la fileserver. Hardware tokens (YubiKey) recomandate pentru avocatii senior si partneri.
Audit logs centralizate: toate accesele la fileserver, baze juridice, email loggate centralizat (Wazuh sau Microsoft Sentinel pentru cabinete mai mari, simple syslog server pentru cele mai mici), retentie minim 1 an pentru investigatii la breach.
Mediu izolat pentru cazurile speciale: dosarele "highly confidential" (de exemplu cazuri de avocatura penala, fuziuni si achizitii cu NDA strict) stocate intr-un fileshare separat cu acces controlat doar avocatilor desemnati pe caz. Fizic pe alt server sau alt VLAN, logic prin permisiuni AD si DLP.
Backup Legisoft cabinet avocatura
Legisoft este una din suite-le juridice cele mai folosite in Romania, alaturi de Indaco si Hamangiu. Baza de date Legisoft este stocata local pe server-ul cabinetului (in versiunile on-premise) sau in cloud Legisoft (pentru clientii noi care aleg edition cloud).
Pentru on-premise, baza este in format proprietary stocata in C:\Legisoft\Database\ sau in path-ul ales la instalare. Backup nativ se face din interfata Legisoft (Administrare > Backup baza), care exporta intr-un fisier .lsbak. Backup la nivel de fisier al folder-ului complet este complementar dar nu inlocuieste backup-ul nativ.
Recomandare standard pentru un cabinet mediu cu Legisoft on-premise: backup nativ zilnic la 22:00 via Task Scheduler, salvat intr-un folder dedicat C:\Backups\Legisoft\, plus backup file-level al folderului complet via Veeam Agent cu replicare catre NAS local plus tier de cloud cu Object Lock pentru imutabilitate.
Retentie multi-an: pentru dosare juridice arhivate, cerinta legala (Legea 51/1995, Codul de procedura civila) cere pastrarea minim 10 ani dupa inchidere. Schema recomandata: 30 zile zilnic, 12 saptamani saptamanal, 24 luni lunar, 10 ani anual pe object storage cu Object Lock. Costul stocarii pe 10 ani pentru un cabinet mediu este sub 200 EUR pe an pe Wasabi.
Pentru Legisoft Cloud, backup-ul aplicatiei e responsabilitatea Legisoft, dar tu ar trebui sa exporti periodic in format Word/PDF dosare complete pentru a avea control independent. Recomandare: export trimestrial al tuturor dosarelor active si al celor inchise in trimestrul respectiv, salvat in fileserver criptat al cabinetului.
Backup Indaco cabinet avocatura
Indaco este o alta solutie populara, cu 3 produse principale: Indaco Lege (legislatie), Indaco DOSAR (gestiune dosare juridice) si Indaco JUR (jurisprudenta). Pentru cabinetele care folosesc Indaco DOSAR, backup-ul e similar cu Legisoft: baza locala in C:\Indaco\DOSAR\, backup nativ din interfata, plus file-level cu Veeam.
Particularitate Indaco: actualizarile de legislatie (Indaco Lege) sunt pull-uri zilnice care modifica baza, deci backup zilnic e necesar pentru a putea reveni la o versiune anterioara daca un update introduce o eroare. Recomandam pastrarea retentiei zilnice pe minim 60 zile pentru Indaco, mai mult decat la alte aplicatii.
Pentru cabinete cu setup hibrid (Legisoft on-premise + Indaco cloud, sau invers), strategia de backup trebuie sa acopere ambele cu proceduri documentate per aplicatie.
GDPR specific cabinetelor de avocatura
Cabinetele de avocatura proceseaza date personale extensiv: clienti persoane fizice, parti adverse, martori, experti. Volumul si sensibilitatea (date despre antecedente, sanatate, viata sexuala in cazuri de divort, infractiuni) plaseaza protectie GDPR cabinet avocat in zona high-stakes.
Particularitati specifice. Rolul dual operator/imputernicit: avocatul este operator pentru datele clientului direct (nume, contact, date facturare) si imputernicit (in unele interpretari) sau operator independent (in altele) pentru datele despre tertii implicati in dosar. Cele mai recente ghiduri ANSPDCP si EDPB inclina spre interpretarea ca avocatul este operator pentru toate datele necesare apararii, in temeiul exercitarii unei sarcini de interes public sau a obligatiilor legale.
Exceptii ale dreptului de stergere: clientii sau tertii pot cere stergerea datelor lor (art. 17 GDPR), dar avocatul are temei legal pentru refuz - obligatia de pastrare a dosarelor 10 ani conform Legii 51/1995 si necesitatea apararii intereselor legale. Recomandare procedurala: raspuns scris la cerere care explica temeiul refuzului, fara a furniza detalii despre dosare specifice (secretul profesional).
Notificare breach in 72h: in caz de incident informatic care expune date personale, notificare catre ANSPDCP in 72h e obligatorie. Particularitatea avocaturii: notificarea trebuie sa balansieze cerinta GDPR cu obligatia secretului profesional - se descrie tipul de breach si volumul aproximativ, fara a expune date specifice ale dosarelor.
Pentru detalii pe partea de externalizare DPO si conformitate GDPR pentru cabinete de avocatura, vezi pagina noastra GDPR.
Conformitate cu Legea 51/1995 in proiectul IT
Pentru un cabinet care vrea sa fie complet conform cu obligatiile profesionale, urmatoarele elemente trebuie sa fie documentate si implementate.
Politica de securitate informatica scrisa, aprobata de partner sau decanul cabinetului, revizuita anual. Document care leaga explicit masurile tehnice de obligatiile din Legea 51/1995 articolul 11 si din Statutul profesiei.
Procedura de raspuns la incident cu doua paliere paralele: tehnic (containment, eradicate, recover) si deontologic (notificare Baroul daca breach-ul afecteaza date din dosare). Template-ul de notificare catre Barou trebuie pre-aprobat de avocatul responsabil cu deontologia.
Acord de confidentialitate semnat cu ORICE personal sau colaborator IT extern care are acces la sisteme. Furnizorul de externalizare IT trebuie sa semneze NDA specific cu clauze de pastrare a secretului profesional, acces minim necesar, audit trail pe toate operatiunile pe sistemele cabinetului.
Lista de personae autorizate pentru acces la date juridice, revizuita trimestrial. Includere a furnizorilor IT externi cu rol si interval de acces clar definit.
Costuri estimative implementare
Pentru un cabinet de avocatura cu 10-30 avocati plus personal administrativ, costurile orientative pentru a ajunge la nivel adecvat de securitate date avocat secret profesional in 12 luni sunt: audit initial gap analysis (2500 EUR), implementare BitLocker pe toate device-urile cu management Azure AD (~1500 EUR), MFA cu YubiKey pentru parteneri si avocati senior (~80 EUR per token x 15 = 1200 EUR), EDR pe toate statiile (~150 EUR per luna pentru 25 statii), firewall MikroTik sau FortiGate plus configurare (~2500 EUR), backup imutabil setup (~6000 EUR an 1, vezi articolul dedicat), DPO externalizat cu specializare avocatura (~400 EUR per luna), training anual personal pe deontologie si securitate (~2000 EUR).
Total an 1: ~22000-26000 EUR. Total ani urmatori: ~9000-12000 EUR. Costul evita riscul deontologic potential masiv si pozitioneaza cabinetul competitiv versus cabinete fara securitate IT modernizata.
Pasii urmatori
Pentru o evaluare gratuita de 1h a starii curente de securitate IT a cabinetului tau de avocatura cu accent pe secret profesional si conformitate Lege 51/1995, contacteaza-ne. Pentru pagina noastra dedicata serviciilor pentru cabinete de avocatura si notariate, vezi IT pentru avocatura si notariat. Pentru pachetul de externalizare IT integrat cu DPO, vezi Externalizare IT si Securitate si Conformitate NIS2.
