Comunicazione di violazione dei dati personali: l’art. 34 GDPR e l’arte di dire ops

Tra le frasi che un’organizzazione sogna di non pronunciare mai, comunicare una violazione dei dati personali agli interessati merita un posto d’onore, subito dopo abbiamo perso il backup e il consulente è in ferie. L’art. 34 del Regolamento UE 2016/679, più noto come GDPR, disciplina proprio quel momento. La violazione dei dati personali, o data breach per chi ama rendere tutto più internazionale e meno rassicurante, non è solo il pirata con cappuccio che buca il sistema. Può essere la perdita di un portatile, l’invio di una email al destinatario sbagliato, un accesso non autorizzato, la distruzione accidentale di dati o la loro alterazione. L’art. 34 GDPR dice che il titolare del trattamento deve comunicare la violazione all’interessato quando è probabile che questa presenti un rischio elevato per i diritti e le libertà delle persone fisiche. Tradotto dal burocratese: se l’incidente può creare danni concreti alle persone, non basta sussurrare ops. Il punto decisivo è il rischio elevato. Non ogni incidente richiede la comunicazione agli interessati, perché altrimenti passeremmo la vita a ricevere messaggi del tipo ci è caduto un mouse vicino al server. Ma con dati sanitari, credenziali, documenti o informazioni finanziarie, il silenzio diventa una pessima strategia. L’art. 33 riguarda la notifica della violazione al Garante privacy, di norma entro 72 ore, se la violazione comporta un rischio per le persone. L’art. 34, invece, riguarda la comunicazione diretta agli interessati quando il rischio diventa elevato. In pratica: prima si capisce cosa è successo, poi si valuta il rischio, poi si decide chi va informato e come. Il tutto senza trasformare la procedura in una seduta spiritica con verbali, sottocartelle e riunioni intitolate allineamento urgente ma fissate per giovedì prossimo. La comunicazione agli interessati deve essere chiara e semplice. Bisogna spiegare la natura della violazione, indicare il contatto del responsabile della protezione dei dati o altro referente, descrivere le possibili conseguenze e le misure adottate o proposte per rimediare. Dire abbiamo avuto un incidente informatico non basta. Meglio chiarire quali dati sono coinvolti, quali rischi esistono e cosa può fare l’interessato: cambiare password, controllare movimenti bancari, diffidare da email sospette, attivare ulteriori protezioni. Il GDPR prevede anche alcune eccezioni. La comunicazione può non essere necessaria se i dati erano protetti da misure come la cifratura, oppure se misure successive hanno eliminato il rischio elevato. In certi casi si può ricorrere a una comunicazione pubblica efficace. Attenzione però: eccezione non significa tana libera tutti. Serve documentare le valutazioni, motivare le scelte e conservare traccia di ciò che è stato fatto. Perché quando arriva una verifica, la frase ci sembrava una buona idea pesa quanto un tovagliolo scritto al bar. Una buona comunicazione dovrebbe essere tempestiva, concreta e leggibile. Niente formule vaghe, niente minimizzazioni acrobatiche, niente rassicurazioni cosmiche tipo la sicurezza è la nostra priorità assoluta, frase che di solito compare proprio dopo che la priorità assoluta ha preso fuoco. Meglio un testo umano: cosa è accaduto, quando è stato scoperto, quali dati possono essere coinvolti, quali rischi esistono, cosa è stato fatto, chi contattare, quali azioni preventive adottare. È meno scenografico, ma funziona. L’art. 34 GDPR non è una punizione teatrale, ma uno strumento di tutela. Comunicare una violazione dei dati personali significa permettere alle persone di proteggersi. È scomodo, certo. Però è molto meno scomodo di nascondere tutto e poi spiegare il data breach al Garante. ODRUSSA!