Art. 34 GDPR — Comunicazione di una violazione dei dati personali all’interessato

Commento

Logica della comunicazione diretta

L'art. 34 GDPR completa l'art. 33: quando la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare ne dà comunicazione all'interessato senza ingiustificato ritardo. La logica è diretta: oltre alla notifica al Garante (controllo regolatorio), serve informare le persone coinvolte per consentire loro di adottare misure protettive (cambio password, monitoraggio conti, attenzione phishing, monitoraggio credito). Il considerando 86 sottolinea l'importanza della comunicazione tempestiva.

Quando comunicare (par. 1)

Il par. 1 fissa la soglia: rischio elevato per i diritti e le libertà delle persone fisiche. È soglia più alta di quella per la notifica al Garante (che richiede solo rischio probabile). La valutazione è onere del titolare e si basa sui criteri delle linee guida EDPB: tipologia di dati (più rischio per categorie particolari, dati finanziari, identificativi forti), numero di interessati, possibili conseguenze (frode, danno reputazionale, discriminazione), misure di mitigazione tempestive. La documentazione è cruciale per giustificare scelte.

Contenuto della comunicazione (par. 2)

Il par. 2 elenca il contenuto: descrizione in linguaggio semplice e chiaro della natura della violazione; nome e contatti del DPO o altro contatto; descrizione delle probabili conseguenze; descrizione delle misure adottate o di cui si propone l'adozione. Il linguaggio è regola sostanziale: comunicazioni in legalese o tecniche non sono accettabili. La comunicazione include indicazioni operative all'interessato (cambio credenziali, controllo movimenti, attenzione comunicazioni sospette).

Eccezioni alla comunicazione (par. 3)

Il par. 3 elenca tre eccezioni: (a) il titolare ha implementato misure tecniche e organizzative adeguate che hanno reso i dati incomprensibili (cifratura efficace); (b) il titolare ha adottato successivamente misure atte a scongiurare il rischio elevato; (c) la comunicazione richiederebbe sforzo sproporzionato (in tal caso si procede a comunicazione pubblica o misura analoga). L'eccezione di cifratura è la più rilevante: se i dati esfiltrati sono cifrati con chiave robusta non compromessa, il rischio è mitigato e la comunicazione individuale non è dovuta.

Comunicazione pubblica alternativa

In caso di sforzo sproporzionato (lett. c), il par. 3 prevede comunicazione pubblica o misura analoga, mediante la quale gli interessati sono informati con analoga efficacia. Pubblicazioni sul sito, comunicati stampa, banner persistenti, comunicazioni via app sono mezzi tipici. La giurisprudenza del Garante e dell'EDPB ha chiarito che la comunicazione pubblica è subordinata a documentata sproporzione e a effettiva analoga efficacia: non è scappatoia per evitare contatti diretti quando questi sono possibili.

Coordinamento con notifica art. 33

Il coordinamento con la notifica al Garante (art. 33) è organico. Il Garante può ingiungere la comunicazione (par. 4) se ritiene la violazione probabilmente associata a rischio elevato. Il titolare può integrare la valutazione iniziale. La doppia tutela (notifica + comunicazione) garantisce protezione su due livelli: regolatorio e diretto. Le sanzioni per omissione di comunicazione quando dovuta sono frequenti e severe.

Regola pratica e checklist operativa

Compliance art. 34: (i) procedura di valutazione del rischio (con DPO); (ii) template di comunicazione per scenario; (iii) canali multipli (email, app, sito); (iv) coordinamento con PR e legali; (v) per breach massivi, piattaforma dedicata (sito di verifica); (vi) tracciamento delle comunicazioni inviate; (vii) post-mortem e lessons learned.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.