Ciascuna organizzazione, prima o poi, si trova inevitabilmente nella situazione di dover affrontare un evento di violazione dei dati personali. È anzi opportuno fare una precisazione doverosa: se dal 2018 non è capitato almeno un incidente da cui si possa, almeno in astratto, configurare una violazione di dati personali, probabilmente è il caso di riesaminare i sistemi di rilevazione in quanto è altamente improbabile (se non al limite dell’impossibile) l’assenza totale di violazioni di sicurezza.
Nel momento in cui si affronta un data breach, in alcuni casi è necessario predisporre la comunicazione della violazione nei confronti dei soggetti interessati coinvolti. L’art. 34.1 GDPR prescrive difatti che in presenza di un rischio elevato per diritti e libertà delle persone fisiche, la comunicazione della violazione debba essere svolta “senza ingiustificato ritardo”.
Il carattere tempestivo della comunicazione deve essere letto alla luce del considerando n. 86, in quanto finalisticamente orientata a consentire all’interessato di “prendere le precauzioni necessarie”. Il tutto va ovviamente coordinato con il generale principio di responsabilizzazione, che impone l’adozione di misure tecniche e organizzative a garanzia di tale tempestività.
Ciò comporta pertanto in primo luogo la presenza di contenuti adeguati a tale scopo all’interno della comunicazione, puntualmente elencati dall’art. 34.2 GDPR, ovverosia:
- la natura della violazione (e dunque, prima di tutto: circostanze della violazione, dati coinvolti);
- il punto di contatto del DPO o di un diverso soggetto presso cui ottenere più informazioni;
- la descrizione delle probabili conseguenze della violazione, con particolare riferimento ai rischi cui sono esposti gli interessati;
- la descrizione delle contromisure adottate e in corso di adozione per il contenimento dei rischi e la riduzione dell’impatto della violazione.
Ovviamente la norma prescrive i contenuti essenziali, e nulla vieta al titolare di aggiungerne di ulteriori qualora lo ritenga opportuno (sia per migliore tutela dell’interessato che, ad esempio, dell’immagine dell’organizzazione mediante una comunicazione diretta e trasparente).
In secondo luogo, deve essere impiegato un linguaggio “semplice e chiaro” e una “forma concisa, trasparente, intelligibile e facilmente accessibile “, come prescritto dagli artt. 34.2 e 12 GDPR. Ciò comporta dunque di tenere conto della fruibilità delle informazioni fornite per i destinatari, sempre nella prospettiva di consentire l’adozione delle già citate precauzioni da adottare per limitare le conseguenze negative.
Come ricordato da parte dell’Autorità Garante all’interno di alcuni provvedimenti relativi a data breach, la comunicazione verso gli interessati non deve mai essere intesa come un mero adempimento formale ma deve derivare dallo svolgimento di una corretta analisi dei rischi e costituire uno strumento a garanzia dei diritti e delle libertà dei soggetti coinvolti dalla violazione.
