Per quale motivo tanto le autorità di controllo quanto i titolari del trattamento devono promuovere, come stanno proponendo, un utilizzo diffuso delle infografiche relativamente agli adempimenti prescritti dal GDPR?
Occorre innanzitutto chiarire che non sono l’unico metodo per garantire un’efficacia comunicativa, sebbene secondo saggezza popolare: “un’immagine vale più di mille parole”. Costituiscono un media, una misura che l’organizzazione impiega per rafforzare il messaggio sia al proprio interno (e qui riguardano dunque: un’istruzione operativa, una procedura, o un follow-up di un addestramento o formazione) sia nei confronti di soggetti esterni, quali gli interessati (per chiarire diritti e modalità di esercizio degli stessi) o i responsabili del trattamento (per chiarire doveri e adempimenti delegati).
Nel caso delle istruzioni interne convertite in infografiche, è utile porre l’accento sulla correlazione tra evento e azione (preventiva o successiva) dell’operatore, consentendo così allo stesso di disporre di un prontuario facilmente accessibile per rispondere alle più comuni occorrenze.
Ovviamente, mentre l’istruzione ai sensi dell’art. 29 GDPR riguarda l’ambito di trattamento autorizzato, le operazioni svolte e le misure di sicurezza, un’infografica di riferimento deve selezionare ed estrarre solo gli elementi essenziali. È bene ricordare infatti che un eccesso di informazioni può compromettere l’efficacia della comunicazione e delle istruzioni. Meglio dividere per temi e argomenti, dunque (come ad esempio abbiamo fatto noi per il phishing) anziché tentare la redazione di un’Opera Omnia che risulterà poi essere illeggibile. Ulteriore esempio di contenuto “selezionato” per l’infografica può essere una guida allo smart working per i dipendenti, o anche il chiarimento della politica BYOD adottata dall’organizzazione.
Allo stesso modo, il follow-up di addestramento o formazione non può essere una pedissequa riproposizione degli argomenti ma deve evidenziare determinati contenuti secondo un ordine logico e di priorità.
Nel momento in cui l’organizzazione produce infografiche indirizzate a soggetti esterni, è indispensabile innanzitutto operare un bilanciamento tra esigenze contrapposte di standardizzazione e personalizzazione individuando le categorie omogenee di destinatari. Ad esempio, solo individuando il profilo dell’interessato-tipo cui fanno riferimento le attività di trattamento dei dati personali è possibile produrre delle infografiche di supporto alla comprensione dei contenuti dell’informativa e dei diritti esercitabili. Parimenti, se l’attività coinvolge responsabili del trattamento quali possono essere degli agenti/procacciatori, occorrerà tenere conto dei trattamenti delegati e della coerenza con gli accordi redatti ai sensi dell’art. 28 GDPR relativi alle modalità delle attività svolte e alle misure di sicurezza da impiegare.
L’analisi di contesto e la redazione delle comunicazioni secondo i criteri del legal design sono elementi oggigiorno sempre più significativi, se non in alcuni casi addirittura indispensabili, per affrontare correttamente il percorso di conformità richiesto dal GDPR.
