Da qualche ora serpeggia su Twitter l’hastag #whatsappdown, e anche l’accesso a Facebook e Instagram è tutt’ora impossibile per gli utenti. Quale che sia stata la sorte dell’infrastruttura di Mr. Zuckerberg, che di sicuro sarà diffusamente resa nota nei dettagli, un interrogativo è d’obbligo: si tratta forse di un data breach rilevante per le organizzazioni? In che modo questo evento, certamente esterno dall’organizzazione e riconducibile al servizio di terza parte, può essere rilevante e – in ogni caso – comportare quanto meno un’annotazione all’intero del registro dedicato alle violazioni di dati personali?
Ebbene: piaccia o meno ai negazionisti della privacy – fra cui purtroppo si annoverano anche prezzolati consulenti – non si può ridurre la vicenda ad un “è un problema di Mr. Zuckerberg, a noi cosa importa!”. O almeno, non aprioristicamente in ogni caso. Vero: un eventuale problema di sicurezza e tutti i derivanti obblighi in ragione del rapporto con gli utenti dei social sono senz’altro riconducibili al novero di responsabilità di Facebook, Instagram e WhatsApp.
Ma se ad esempio un’organizzazione ha inteso utilizzare WhatsApp per lo scambio o la ricezione di documenti contenenti dati personali ed informazioni riconducibili a persone fisiche, quanto meno dovrà registrare l’evento di indisponibilità del servizio ai sensi dell’art. 35.5 GDPR, annotando inoltre tutti i dettagli riguardanti circostanze, conseguenze e provvedimenti adottati per porre rimedio alla violazione. Deve inoltre valutare (anche tramite il tool online messo a disposizione dal Garante Privacy) attentamente l’accaduto, al fine di escludere che la violazione dei dati personali possa presentare un rischio probabile per i diritti e le libertà delle persone fisiche. Altrimenti, ogni titolare del trattamento dovrà ricorrere entro 72 ore dall’accaduto agli adempimenti della notifica tramite il servizio telematico, eventualmente indicandola come notifica preliminare se l’incidente ancora non è risolto o se WhatsApp non ha rilasciato informazioni sufficienti per valutare, ad esempio, le probabili conseguenze della violazione dei dati personali, predisporre misure di contenimento idonee o anche dover predisporre una comunicazione agli interessati coinvolti.
Nel momento in cui viene utilizzato un servizio di terze parti, è bene ricordare che in ragione del principio di responsabilizzazione/accountability ogni titolare del trattamento è comunque tenuto a svolgere taluni adempimenti a protezione degli interessati coinvolti dalle attività di trattamento così condotte per effetto della sua libera ed autonoma decisione in ordine alla selezione dei mezzi di trattamento. Se così non fosse, le tutele sarebbero solo formali e ben lungi dall’effettività.
