In caso di data breach, nel momento in cui è stata effettuata in modo corretto la valutazione della gravità della violazione e ricorre l’obbligo di effettuare una comunicazione nei confronti degli interessati, occorre essere in grado di prepararla in modo conforme alle indicazioni del GDPR.
È bene ricordare che tale adempimento non può né tantomeno deve mai essere svolto ritenendolo una formalità o, ancor peggio, un esercizio di stile privo di sostanza. Occorre invece che la comunicazione sia completa nei suoi elementi fondamentali e correttamente predisposta. Altrimenti non è conforme all’art. 34 GDPR, e questo è il principale motivo per cui sono state oggetto di diffuse critiche le modalità con cui sono stati informati gli interessati, ad esempio, da parte della Regione Lazio per il recente data breach che ha coinvolto LazioCrea, o da parte del Ministero della Giustizia per il data breach relativo al portale dell’esame avvocato o da parte dell’INPS per il data breach dovuto alla falla di sicurezza del portale.
Ma come si fa a verificare se la comunicazione è conforme?
Per quanto riguarda la completezza dei contenuti, è sufficiente fare riferimento alle indicazioni fornite dall’art. 34 GDPR per cui le informazioni minime da fornire sono:
- la natura della violazione;
- il nome e i dati di contatto del DPO o di altro punto di contatto presso cui ottenere informazioni aggiuntive;
- le probabili conseguenze della violazione dei dati personali;
- le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.
Se tali elementi ricorrono, la comunicazione è conforme. Di particolare rilievo è l’elemento spesso trascurato di presentare le probabili conseguenze della violazione, che spesso viene offuscato dalla volontà dell’organizzazione di voler fuggire ogni responsabilità per l’accaduto.
Per quanto riguarda la forma, invece, la norma di riferimento per il controllo è l’art. 12 GDPR che prevede sia svolta una comunicazione “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.
La comunicazione, è bene ricordare, non deve sostanziarsi in una tentata promozione dell’immagine dell’organizzazione che il più delle volte deraglia – in ragione di manierismi tecnologico-legali – in un vero e proprio fallimento comunicativo disastroso per la reputazione. Tutt’altro, è inteso come un preciso obbligo a tutela degli interessati coinvolti dalla violazione e ha lo scopo di renderli consapevoli dell’accaduto e dei conseguenti rischi affinché possano – di propria iniziativa o ancor meglio seguendo delle indicazioni fornite dal titolare del trattamento – adottare tutte le tutele del caso per evitare l’aggravarsi delle conseguenze della violazione.
