L’incidente va comunicato in modo chiaro e trasparente
La comunicazione di un data breach è uno dei momenti più complessi che uno studio professionale possa oggi vivere in termini di rischio reputazionale. Per mitigare il rischio è consigliabile un approccio trasparente: è improbabile che la verità non emerga – soprattutto visti gli obblighi di notifica – e una strategia volta a minimizzare può rivelarsi un boomerang. Invece, va raccontata la vera entità dell’accaduto con empatia e rincrescimento.
Diversi gli accorgimenti possibili: già prima del data breach è fondamentale predisporre template al fine di elaborare risposte entro le tempistiche imposte dal Garante della privacy. I contenuti oggetto del data breach spesso sono online dopo poche ore: è quindi suggeribile usare termini vaghi («non si conosce ancora la precisa portata») senza dare smentite affrettate (tipo: «non sono stati sottratti dati di XXX») prima di una conferma: queste affermazioni, infatti, rischiano di essere smentite proprio dagli attaccanti e, soprattutto, si rischia di incorrere nel reato di false attestazioni al Garante. Ottima norma è attivare un servizio di monitoraggio della rete - anche nel Deep/Dark Web - per conoscere quando e dove i contenuti vengono divulgati o venduti.
Alla pubblicazione dei dati è necessario predisporre un sito web dedicato ai diversi stakeholder (dipendenti/fornitori/partner/clienti finali) in cui aggiornare sull’evoluzione della situazione, sullo stato di ripristino dei servizi, sulle indagini e sul piano rimediale.
Nel disegnare la legal customer journey - il percorso che i clienti intraprendono quando instaurano la relazione con una realtà professionale - gli studi legali devono prevedere strumenti comunicativi semplici nel linguaggio, facili da visualizzare e completi nelle indicazioni. Innanzitutto, devono essere identificate le tipologie di persone che riceveranno la comunicazione di un data breach, differenziando il linguaggio da utilizzare; inoltre è fondamentale scegliere un adeguato strumento comunicativo, come ad esempio, una infografica che guidi l’utente nella comprensione del data breach o, in alternativa, un chatbot che risponda automaticamente alle domande dell’utente, facendogli comprendere rischi e procedure da attuare.
