Communicare con gli interessati è essenziale nel caso di una violazione dei dati. Esploriamo gli aspetti legati a questa efficace strategia di mitigazione.
In un’era in cui siamo continuamente esposti a varie minacce informatiche, il data breach, ovvero una compromissione dei dati personali dovuta a una violazione di sicurezza, è uno degli eventi più temuti. Uno degli aspetti più critici quando si verifica un data breach è l’informazione degli interessati. Ravvisando il notevole valore di questa misura, diventa fondamentale approfondirne le sfumature.
Supponiamo che un’organizzazione venga colpita da un attacco informatico. In questo caso, una parte degli interessati può coincidere con il personale che gestisce i dati. Informare adeguatamente queste persone circa l’accaduto può aprire la strada a un intervento di sensibilizzazione, promuovendo una cultura di sicurezza condivisa. Quest’ultima operazione non significa condividere informazioni o documenti riservati. Si tratta, invece, di una scelta prospettica volta a sensibilizzare ogni individuo autorizzato ad accedere ai dati su tre punti fondamentali: l’importanza di non sottovalutare le minacce informatiche, le conseguenze delle vulnerabilità non risolte e l’efficacia delle misure di mitigazione post-violazione.
La comunicazione al personale interno, però, deve avere un contenuto diverso rispetto a quella riservata alle figure che rivestono solo la veste di interessati. Un punto in comune tra le due parti è l’obbligo di chiarire l’accaduto, di fornire un recapito per eventuali richieste di informazioni e di indicare una persona di riferimento. Inoltre, è bene fornire al personale interno istruzioni aggiuntive sulle misure di sicurezza e un calendario per la gestione dell’incidente.
Se l’organizzazione ha designato un DPO (Data Protection Officer), oltre a comunicarne il contatto, è importante spiegare chiaramente le sue funzioni e l’obbligo di riservatezza a cui è vincolato. Questa informazione può incoraggiare la segnalazione di feedback e segnalazioni inerenti alla violazione.
Per quanto riguarda i tempi di comunicazione, farlo in modo tempestivo può ottimizzare gli effetti di mitigazione. Tuttavia, scegliere la celerità a scapito della completezza delle informazioni non è consigliabile, in quanto rischia di generare confusione.
Il GDPR (General Data Protection Regulation) rende obbligatoria la comunicazione agli interessati in caso di data breach che possa comportare un alto rischio. Infatti, secondo l’articolo 34 paragrafo 1 del GDPR, se la violazione dei dati personali rischia di mettere a repentaglio i diritti e le libertà degli individui, il responsabile del trattamento dei dati deve informare l’interessato senza indugio ingiustificato.
La normativa non indica un termine esatto per adempiere a quest’obbligo, ma è ragionevole ritenere che la comunicazione dovrebbe avvenire entro 72 ore dal momento dell’incidente.
Infine, il contenuto della comunicazione deve essere chiaro, completo e comprensibile, quale sia il fine di garantire alla persona interessata l’opportunità di valutare autonomamente i rischi e adottare misure adeguate per proteggersi dalle conseguenze negative derivanti dalla violazione dei dati.