Data breach e comunicazione agli interessati: le best practices

Autore: Stefano Gazzella

Dopo aver elencato alcuni degli errori più comuni relativi alle comunicazioni di data breach dirette agli interessati, è bene esplorare alcune buone pratiche da seguire perché ogni organizzazione sia in grado di provvedere a riguardo.

Beninteso, sono condizioni necessarie ma non sufficienti ma possono essere degli spunti di riferimento tanto per un’attività di integrazione che di controllo delle misure predisposte. Inoltre, è bene che vengano sempre declinate tenendo conto dell’approccio risk-based richiesto dal GDPR e che siano integrate con l’assetto organizzativo entro cui dovranno andare ad operare.

È innanzitutto necessario che l’organizzazione abbia correttamente adottato una procedura dedicata alla gestione degli eventi di violazione dei dati personali, e che dunque la stessa non sia soltanto formalmente corretta e rispondente ai criteri indicati dagli artt. 33 e 34 GDPR per completezza, ma che sia anche adeguatamente diffusa presso il personale che partecipa alle attività di trattamento.

Non solo.

Deve definire con chiarezza ruoli e responsabilità dei soggetti che intervengono, nonché sia richiamata all’interno degli interventi di sensibilizzazione e addestramento svolti dall’organizzazione. Lo scopo è che ciascuno degli operatori o dei soggetti cui sono assegnate delle fasi decisionali, fra cui rientra anche la gestione della comunicazione agli interessati, sappia in che modo agire andando così a ridurre lo stress organizzativo e di conseguenza i tempi di reazione e la possibilità di commettere errori.

Un ulteriore elemento imprescindibile per garantire la massima tutela degli interessati coinvolti dalla violazione è curare la tempestività della comunicazione per la parte che fa riferimento alla natura dell’accaduto – e dunque: andare se c’è stata un’indisponibilità dei servizi o anche un’esfiltrazione dei dati, ad esempio.

Occorre inoltre essere in grado di indicare le probabili conseguenze chiarendo quanto prima rischi e pericoli. Nel caso in cui le informazioni richieste dall’art. 34 GDPR non siano immediatamente disponibili, l’organizzazione dovrà essere in grado di fornire aggiornamenti attraverso i propri canali di comunicazione man mano che si procederà con l’investigazione dell’incidente.

Ultimo aspetto ma non meno importante è aver cura della chiarezza della comunicazione adottando la forma “concisa, trasparente, intelligibile e facilmente accessibile” prescritta dall’art. 12 GDPR e facendo ricorso all’impiego di un linguaggio semplice e chiaro.

Occorre infatti tenere conto dei destinatari e perseguire di conseguenza l’obiettivo di fornire loro una chiara comprensione delle informazioni indicate dalla norma, evitando quanto più possibile tutti quei tecnicismi specifici che possono essere d’ostacolo a riguardo. Tecnicismi che invece possono e anzi devono trovare impiego all’interno della documentazione relativa all’incidente o nella notifica della violazione nei confronti dell’autorità di controllo.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore