Il Garante per la protezione dei dati personali in una famosa decisione ha chiarito i contenuti minimi relativi alla comunicazione di un data breach agli interessati ai sensi del GDPR.
Si tratta di una decisione rilevante perché definisce criteri stringenti rispetto alle informazioni da fornire la cui mancanza potrebbe rendere la comunicazione non valida e quindi dar vita alle sanzioni previste dalla normativa sul trattamento dei dati personali.
L’obiettivo è di garantire che gli individui comprendano chiaramente l’accaduto, i rischi per i loro diritti e la loro privacy e quali azioni adottate per minimizzarli.
Come deve avvenire la comunicazione di un data breach agli interessati secondo le indicazioni del Garante privacy italiano?
C'è stato uno famoso data breach e che ha riguardato le password degli account email di oltre un milione e mezzo di utenti e quella è stata l'occasione da parte del Garante privacy italiano per dare delle indicazioni su quello che il Garante si aspetta che siano i contenuti minimi della comunicazione di un data breach agli interessati all'epoca del GDPR. Nel caso di specie la società ha obbligato i propri utenti a cambiare la password impedendogli di accedere al proprio account finché non avessero cambiato detta password, anche comunicando la necessità di cambiare la password tramite l'homepage del loro sito. In aggiunta a questo aveva provveduto alla notifica del data breach al Garante e alla comunicazione dello stesso agli interessati le cui password erano state violate.
Tuttavia, il testo della comunicazione agli interessati faceva riferimento semplicemente ad una anomalia nei sistemi e unicamente alla raccomandazione a chi non l'avesse fatto di modificare la password, senza dare delle indicazioni ulteriori circa le condotte da adottare agli stessi interessati.
Questa tipologia di comunicazione è stata ritenuta inadeguata dal Garante privacy, ritenendo che sussiste un rischio elevato che i medesimi utenti avessero utilizzato la stessa password per avere accesso ad altri servizi online e che quindi la violazione della password non potesse essere semplicemente sanata dal cambiamento della password stessa per accedere all'account e-mail, ma che gli stessi utenti dovessero essere resi edotti del rischio di possibile accesso ad altre piattaforme online semplicemente perché questi stessi utenti avessero già utilizzato la medesima password per altri servizi a loro disposizione.
Quindi secondo il Garante era necessaria una comunicazione che fosse circostanziata circa gli eventi che hanno dato vita alla data breach, le possibili conseguenze negative in termini anche di furti d'identità, e che desse delle raccomandazioni specifiche su cosa fare per ridurre tali possibili rischi quali ad esempio cambiare la password che veniva utilizzata nel servizio di posta elettronica anche su altri servizi in cui la medesima password era stata utilizzata. Inoltre si è ritenuto che la comunicazione di tale raccomandazioni non potesse avvenire tramite il medesimo canale quindi tramite l'account nell'oggetto dotata beach stesso perché quello veniva considerato non più un canale di comunicazione sicuro.
Questa decisione rappresenta un pilastro fondamentale nella strategia di messa in conformità al GDPR per le aziende e su come le aziende devono a gestire la comunicazione agli interessati quale conseguenza di una violazione dei dati personali.