Un data breach non è solo un problema tecnico. È un’emergenza legale con scadenze rigide, obblighi di notifica, rischi di sanzione e, spesso, danni reputazionali difficili da riparare. Il GDPR impone al titolare del trattamento di agire entro 72 ore dalla scoperta. Capire cosa fare – e in quale ordine – può fare la differenza tra una gestione corretta e una sanzione fino a 10 milioni di euro.

1. Cos’è un data breach secondo il GDPR

Quando si parla di violazione di dati personali, l’art. 4, n. 12, GDPR è la norma di riferimento. La definizione è ampia: qualsiasi violazione della sicurezza che comporti, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali trasmessi, conservati o comunque trattati.

Il Gruppo Art. 29 – oggi EDPB – ha chiarito che il concetto si articola in tre tipologie distinte:

  • violazione della riservatezza: accesso o divulgazione non autorizzati;
  • violazione dell’integrità: alterazione non autorizzata o accidentale dei dati;
  • violazione della disponibilità: perdita o distruzione dei dati, incluso lo smarrimento della chiave di decifratura o un attacco che rende i sistemi inaccessibili.

Un black-out temporaneo del call center che impedisce ai clienti di accedere alle proprie registrazioni non costituisce un data breach notificabile, ma rimane un incidente da registrare. Un attacco ransomware che cripta tutti i dati aziendali, invece, è quasi sempre una violazione da notificare — anche se il riscatto non viene pagato.

2. Chi è obbligato a fare cosa

Gli obblighi di notifica gravano in primo luogo sul titolare del trattamento, sia esso un soggetto pubblico o privato. L’obbligo è introdotto dall’art. 33 GDPR per la notifica all’autorità di controllo e dall’art. 34 GDPR per la comunicazione agli interessati.

Il responsabile del trattamento ha un ruolo diverso ma altrettanto vincolante: deve comunicare senza ritardo al titolare qualsiasi violazione di cui venga a conoscenza nell’ambito delle sue attività, collaborare nella gestione e supportarlo nella notifica. I contratti di designazione come responsabile del trattamento devono quindi contenere clausole specifiche sui data breach: è un punto che molte aziende trascurano ancora.

In caso di contitolarità del trattamento ai sensi dell’art. 26 GDPR, l’accordo interno deve stabilire in modo trasparente chi dei due titolari è responsabile della notifica.

Per il trattamento transfrontaliero, la notifica va effettuata all’autorità capofila — non necessariamente quella del paese in cui risiede l’interessato o in cui è avvenuta la violazione. Il Garante italiano ha indicato le modalità di notifica con il provvedimento del 30 luglio 2019, doc. web n. 9143548.

3. La regola delle 72 ore: come si conta

La notifica all’autorità di controllo deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare è venuto a conoscenza della violazione. L’obbligo scatta solo se la violazione presenta un rischio per i diritti e le libertà delle persone fisiche: non è un obbligo automatico, ma esito di una valutazione.

Il punto critico è stabilire quando iniziano a decorrere le 72 ore. Le Linee Guida EDPB n. 9/2022 chiariscono che il titolare ha acquisito la “conoscenza” della violazione quando ha un ragionevole grado di certezza che essa si sia verificata.

Tre esempi pratici aiutano a capire la logica:

  • una chiavetta USB smarrita: le 72 ore decorrono dal momento in cui il titolare realizza che il dispositivo è andato perso, anche se non può ancora stabilire se ci sia stata effettiva violazione della riservatezza;
  • una terza parte informa il titolare di aver ricevuto per errore dati personali: le 72 ore decorrono immediatamente;
  • possibili intrusioni nella rete aziendale: le 72 ore decorrono dal momento in cui il titolare riscontra concretamente che i dati nel sistema sono stati compromessi.

Se entro le 72 ore il titolare non dispone ancora di tutte le informazioni necessarie, deve comunque notificare quello che sa, indicando che le informazioni sono incomplete. L’autorità potrà accordare una proroga per l’invio dei dati mancanti.

Hai subito una violazione di dati personali o vuoi verificare se la tua organizzazione è pronta a gestirne una?

AvvocatiTech supporta aziende, startup e professionisti nella gestione dei data breach, nella redazione delle procedure interne e nella compliance GDPR end-to-end.

4. Quando notificare anche gli interessati

La comunicazione agli interessati, disciplinata dall’art. 34 GDPR, non segue la stessa logica della notifica al Garante. Scatta solo se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il Considerando 85 GDPR elenca le conseguenze che possono giustificare questa soglia: discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata di pseudonimi, pregiudizio alla reputazione, perdita di riservatezza di dati protetti da segreto professionale.

La comunicazione agli interessati non è richiesta se:

  1. il titolare aveva adottato misure di protezione adeguate — in particolare cifratura — che rendono i dati incomprensibili a chi li ha acquisiti illecitamente;
  2. il titolare ha adottato misure successive alla violazione tali da scongiurare il rischio elevato;
  3. la comunicazione richiederebbe sforzi sproporzionati — nel qual caso si deve procedere con una comunicazione pubblica equivalente.

La comunicazione agli interessati deve usare un linguaggio semplice e chiaro, indicare il nome e i contatti del DPO o di un altro referente, descrivere le probabili conseguenze della violazione e le misure adottate o previste per porvi rimedio.

4.1 Il contenuto minimo della notifica al Garante

Ai sensi dell’art. 33, par. 3, GDPR, la notifica all’autorità deve contenere almeno:

  • la descrizione della natura della violazione, con le categorie e il numero approssimativo di interessati e di registrazioni di dati coinvolti;
  • il nome e i dati di contatto del DPO o di altro punto di contatto;
  • le probabili conseguenze della violazione;
  • le misure adottate o previste per rimediare alla violazione e per attenuarne gli effetti negativi.

5. La valutazione del rischio: i parametri da applicare

La decisione di notificare o meno non è discrezionale nel senso di arbitraria: si basa su una valutazione oggettiva del rischio, costruita su parametri definiti dal GDPR e chiariti dalle Linee Guida EDPB n. 9/2022 e dal Provvedimento del Garante n. 659 del 2 novembre 2024.

I fattori da considerare sono:

  • tipo di violazione (perdita, distruzione, accesso indebito, divulgazione);
  • natura, volume e sensibilità dei dati coinvolti (sanitari, finanziari, giudiziari);
  • facilità di identificazione degli interessati;
  • gravità delle conseguenze per gli individui;
  • categorie particolari di soggetti coinvolti (minori, soggetti vulnerabili);
  • caratteristiche del titolare (struttura sanitaria, istituto bancario, e-commerce).

Un esempio: se i dati trattati sono crittografati con un algoritmo robusto e il titolare dispone di un backup, la notifica della violazione che abbia coinvolto quei dati crittografati potrebbe non essere necessaria. Se invece i dati non erano protetti, anche una mail inviata in CC anziché in BCC a una lista che riveli lo stato di salute degli interessati può integrare un data breach notificabile — come ha chiarito il Garante con il provvedimento del 7 luglio 2022 nei confronti di Sensonics Inc., sanzionata con 45.000 euro per esattamente quel tipo di errore.

6. Gli errori più comuni da evitare

L’analisi dei provvedimenti del Garante e delle Linee Guida EDPB rivela un pattern ricorrente di errori che espongono le aziende a sanzioni anche quando la violazione era stata inizialmente gestita.

Notifica incompleta o sottostimata. Il Garante ha imposto a una banca di informare i clienti coinvolti entro 20 giorni con il Provvedimento n. 659 del 2 novembre 2024, dopo aver accertato che le comunicazioni iniziali all’autorità non avevano evidenziato correttamente l’ampiezza della violazione. La sottostima del numero di interessati o dei dati coinvolti non è un errore neutro: aggrava la posizione del titolare.

Comunicazione agli interessati tramite il canale compromesso. Il caso Italiaonline (Garante Privacy, 30 aprile 2019, doc. web n. 9116509) è emblematico: la società aveva notificato la violazione di oltre 1,5 milioni di credenziali di account email usando come canale di comunicazione le stesse caselle di posta elettronica compromesse dall’attacco. Il Garante ha ordinato una nuova comunicazione con mezzi idonei a raggiungere il maggior numero di interessati.

Mancata cifratura dei dati. Le Linee Guida EDPB 01/2021 lo indicano come errore sistemico più frequente. La cifratura avrebbe reso i dati inutilizzabili in caso di accesso illecito, eliminando o riducendo l’obbligo di comunicazione agli interessati.

Ritardo nella notifica. Il Garante ha sanzionato Poste Vita con 80.000 euro (Provvedimento n. 389 del 10 luglio 2025) anche per la notifica avvenuta oltre il termine di 72 ore, oltre che per le carenze nelle misure di sicurezza.

Mancata notifica per errata valutazione del rischio. Humanitas Mirasole (Provvedimento n. 587 del 9 ottobre 2025) ha classificato come “basso rischio” la distruzione accidentale di un campione di tessuto associato all’identità di una paziente, decidendo di non notificare al Garante. Il Garante ha ritenuto errata quella valutazione e ha irrogato una sanzione di 70.000 euro, di cui 20.000 specificamente per la mancata notifica.

Assenza o inadeguatezza del piano di risposta agli incidenti. Il GDPR non richiede solo di reagire al breach: impone di essere pronti prima che avvenga. Chi non ha un incident response plan documentato si trova a gestire l’emergenza in condizioni di svantaggio, con il rischio concreto di superare le 72 ore per semplice disorganizzazione.

7. Il piano di intervento: le azioni da mettere in campo

Un data breach si gestisce su due livelli paralleli: quello immediato (contenimento e notifica) e quello strutturale (prevenzione e preparazione).

7.1 Azioni preventive obbligatorie

Prima che avvenga qualsiasi violazione, il titolare deve:

  1. predisporre una procedura interna di gestione dei data breach con ruoli e responsabilità definiti;
  2. formare il personale autorizzato al trattamento — la maggior parte dei breach nasce da errore umano;
  3. cifrare o pseudonimizzare i dati sensibili e le categorie particolari;
  4. limitare l’accesso ai dati al solo personale autorizzato;
  5. verificare e aggiornare le misure di sicurezza logiche e fisiche sui sistemi;
  6. inserire clausole specifiche sul data breach nei contratti con i responsabili del trattamento;
  7. mantenere un registro dei data breach aggiornato.

7.2 Azioni da attuare quando si scopre la violazione

Nell’ordine:

  1. attivare il team di risposta agli incidenti;
  2. contenere la violazione: isolare i sistemi compromessi, revocare accessi, modificare le credenziali;
  3. raccogliere tutte le informazioni disponibili: categorie di dati coinvolti, numero di interessati, tipologia di violazione, causa, momento in cui si è verificata;
  4. valutare il rischio per i diritti e le libertà degli interessati applicando i parametri EDPB;
  5. notificare al Garante entro 72 ore se il rischio sussiste, anche con informazioni parziali;
  6. valutare se comunicare agli interessati in caso di rischio elevato;
  7. documentare ogni fase nel registro dei data breach;
  8. condurre un post-assessment per identificare i gap emersi e aggiornare le misure.

8. Sanzioni e responsabilità

Il mancato rispetto degli obblighi di notifica degli artt. 33 e 34 GDPR espone il titolare a sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo (art. 83, par. 4, lett. a), GDPR).

Il WP29 ha chiarito che le infrazioni relative alla notifica e quelle relative alle misure di sicurezza sono separate: si può essere sanzionati per entrambe in modo cumulativo. Unicredit ha subito una sanzione da 600.000 euro (Garante Privacy, 10 giugno 2020, doc. web n. 9429195) per carenze nelle misure di sicurezza che avevano consentito accessi non autorizzati ai dati di circa 762.000 clienti attraverso un applicativo esteso a terzi senza adeguati controlli.

A queste sanzioni si aggiunge la possibilità di risarcimento del danno in favore degli interessati ai sensi dell’art. 82 GDPR, nonché il potere del Garante di vietare il trattamento dei dati fino alla risoluzione della non conformità (art. 58, par. 2, lett. f), GDPR).

Un elemento da non sottovalutare: la CGUE, con la sentenza del 26 settembre 2024, causa C-768/21, ha precisato che l’autorità di controllo non è tenuta ad adottare misure correttive ogni volta che accerta una violazione, qualora il titolare abbia già adottato prontamente le misure necessarie per farla cessare. La reattività e la documentazione della risposta all’incidente incidono quindi anche sulla misura della risposta sanzionatoria.

Conclusione in sintesi:

  • Il data breach ricomprende qualsiasi violazione della sicurezza che comporti distruzione, perdita, modifica, accesso o divulgazione non autorizzata di dati personali, nelle tre forme di violazione della riservatezza, dell’integrità e della disponibilità.
  • La notifica al Garante va effettuata entro 72 ore dalla scoperta, solo se la violazione presenta un rischio per i diritti e le libertà delle persone fisiche; le 72 ore decorrono dal momento in cui il titolare acquisisce un ragionevole grado di certezza che la violazione si sia verificata.
  • La comunicazione agli interessati scatta solo in caso di rischio elevato e non è richiesta se i dati erano cifrati, se sono state adottate misure successive idonee o se la comunicazione individuale richiederebbe sforzi sproporzionati.
  • Il responsabile del trattamento deve notificare immediatamente al titolare qualsiasi violazione: i contratti di designazione devono contenere clausole specifiche in materia.
  • Gli errori più sanzionati: notifica tardiva, comunicazione agli interessati tramite canale compromesso, sottostima del numero di soggetti coinvolti, mancata cifratura, errata valutazione del rischio che porta a non notificare.

  • La preparazione preventiva – procedure, formazione, cifratura, audit, registro dei breach – è obbligatoria e incide anche sulla riduzione delle sanzioni in caso di violazione.

Hai subito una violazione di dati personali o vuoi verificare se la tua organizzazione è pronta a gestirne una?

AvvocatiTech supporta aziende, startup e professionisti nella gestione dei data breach, nella redazione delle procedure interne e nella compliance GDPR end-to-end.

  • Indice dei Contenuti

Le nostre news

Rimani informato su tutte le novità di questo affascinante mondo

Guide Legali, Privacy

Data breach GDPR: cosa fare (e cosa non fare) nelle prime 72 ore

Guide Legali, Privacy

Nomina a responsabile del trattamento e Data Processing Agreement (DPA): cos’è, cosa deve contenere e perché firmarlo bene protegge l’azienda

Contratti, Guide Legali, Privacy

Garante Privacy: vietato il controllo dello stile di guida dei lavoratori tramite telematica satellitare

Guide Legali, Privacy

Controlli a distanza sui lavoratori: la guida pratica per le aziende prima di installare qualsiasi strumento

Nuove tecnologie

Criptovalute e MiCAR: la Consob sanziona Fabrizio Corona per i memecoin $CORONA – Primo caso in Italia

Contratti, Guide Legali, Nuove tecnologie

Work for Equity: un modello di collaborazione per l’innovazione

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Richiedi una valutazione chiara del tuo caso.

Compila il form e ti risponderemo entro 48 ore

Cliccando sul pulsante “INVIA” confermi di aver preso visione della Privacy Policy e acconsenti al trattamento dei dati personali forniti, esclusivamente per dare seguito alla tua richiesta.