Ecco il paradosso dei tempi correnti in ambito cyber: ad un’aumentata frequenza di attacchi informatici, si assiste ad un calo d’attenzione sul tema della gestione dei data breach e delle comunicazioni verso gli interessati. Si assiste infatti fin troppo spesso a informazioni rese tardivamente, del tutto mancanti o altrimenti incomplete, soprattutto nelle ipotesi di ransomware sempre più oggetto di cronaca.

L’organizzazione colpita non deve essere solamente in grado di notificare la violazione entro le 72 ore dalla scoperta (termine indicato dall’art. 33 GDPR) ma deve essere in grado di valutare anche se, quando e come informare gli interessati per mitigare le conseguenze del data breach o anche per adempiere alle prescrizioni dell’art. 34 GDPR. Ciò comporta di conseguenza l’esigenza di dover definire – meglio se all’interno della procedura di incident response – lo svolgimento di una valutazione dell’impatto della violazione nei confronti degli interessati. In questo modo, qualora venga riscontrato un “rischio elevato per i diritti e le libertà delle persone fisiche” l’organizzazione è in grado di adempiere all’obbligo in capo al titolare di provvedere “senza ingiustificato ritardo” alla comunicazione nei confronti degli interessati.

Certamente, l’obbligo di comunicazione viene meno se non sussiste un rischio elevato o se altrimenti ricorre una delle condizioni indicate dall’art. 34.3 GDPR, ovverosia:

– applicazione di misure adeguate di protezione “in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura”;
– adozione di misure di mitigazione “atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati”;
– sforzi sproporzionati per la comunicazione individuale e scelta di veicolarla tramite un canale pubblico (ad es. su sito web e/o canali social) “tramite la quale gli interessati sono informati con analoga efficacia.”

Ma anche in assenza di un obbligo formale, fornire informazioni agli interessati sull’accaduto contribuisce alla tutela dei loro diritti e libertà fondamentali seguendo così gli scopi sostanziali dell’intero apparato della normativa in materia di protezione dei dati personali.

La rilevanza della comunicazione viene espressa dal considerando n. 86 GDPR, il quale indica che sia effettuata “non appena ragionevolmente possibile e in stretta collaborazione con l’autorità di controllo”, in modo tale da consentire all’interessato “di prendere le precauzioni necessarie” apprendendo le informazioni necessarie sull’accaduto nonché ricevere quelle eventuali “raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi”. E dunque, la comunicazione può avvenire anche prima della notifica completa all’autorità di controllo che solitamente si realizza soltanto con la chiusura dell’incidente e gli esiti delle analisi svolte.

Negli scenari ricorrenti di attacchi ransomware con esfiltrazione di dati (e successiva pubblicazione degli stessi), il rischio è generalmente elevato (come confermato dall’EDPB nelle linee guida 01/2021), dunque provvedere in tale ambito ad una comunicazione iniziale e a successive integrazioni durante la fase di investigazione non risponde solo a una buona prassi bensì costituisce un adempimento di uno specifico obbligo normativo.