Data Breach - Conformita al GDPR

Il team di riferimento deve sapere esattamente cosa fare, chi avvisare e in quali tempi nel momento in cui si verifica una violazione. La procedura deve contenere azioni specifiche per la gestione interna e nei confronti dei fornitori, con indicazione delle responsabilita di ciascun membro del team. L'assenza di una procedura e di per se una lacuna sanzionabile in sede ispettiva.

Le Linee guida WP29 (WP250, rev. febbraio 2018) e le Linee guida EDPB 01/2021 evidenziano che gli errori ricorrenti dei titolari riguardano proprio l'assenza di un piano strutturato. Nel caso INPS (Garante, Provv. 86/2020) due violazioni distinte - errore caching CDN e accesso non autorizzato a dati bonus baby-sitting di minori e soggetti con disabilita - hanno richiesto comunicazione individuale entro 15 giorni, documentazione entro 20 giorni.

L'art. 32 par. 4 GDPR impone che chiunque agisca sotto l'autorita del titolare e abbia accesso a dati personali tratti tali dati solo su istruzione del titolare. La formazione deve coprire: riconoscimento degli incidenti (accessi anomali, email sospette, perdita dispositivi); procedura di segnalazione interna (a chi, come, entro quanto); tipologie di violazione (riservatezza, integrita, disponibilita secondo la classificazione WP29).

Un ritardo nella segnalazione interna riduce il tempo disponibile per rispettare il termine di 72 ore per la notifica al Garante. Nel caso Sensonics Inc. (Garante, Provv. 07/07/2022, sanzione EUR 45.000) un semplice errore umano - invio email con CC invece di BCC a 2.000 interessati diabetici - ha costituito comunicazione non autorizzata di dati sanitari. La formazione avrebbe potuto prevenire l'incidente.

L'art. 32 par. 1 lett. d) GDPR prevede espressamente una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative. L'audit supporta il principio di accountability e consente di dimostrare al Garante che l'organizzazione ha adottato un approccio proattivo. Le Linee guida EDPB 01/2021 sottolineano che un attacco ransomware e di per se segno di vulnerabilita del sistema, indipendentemente dalle conseguenze sui dati.

Nel caso Unicredit (Garante, Provv. 99/2020, sanzione EUR 600.000) l'accesso non autorizzato ai dati di 762.000 interessati tramite l'applicativo Speedy Arena e stato possibile per mancanza di un sistema di autorizzazione per profili e inadeguata conservazione dei log di tracciamento. Un audit periodico avrebbe potuto individuare queste vulnerabilita prima che venissero sfruttate.

La cifratura e espressamente prevista dall'art. 32 par. 1 lett. a) GDPR tra le misure di sicurezza. Il suo vantaggio principale in caso di breach: l'art. 34 par. 3 lett. a) esclude l'obbligo di comunicare la violazione agli interessati se il titolare ha applicato misure di protezione che rendono i dati incomprensibili a chiunque non sia autorizzato ad accedervi. Le Linee guida WP29 portano l'esempio di una chiavetta USB criptata con algoritmo forte rubata ma con backup disponibile: nessuna notifica necessaria.

La pseudonimizzazione (hash, token, scrambling) riduce il rischio ma non lo elimina se la chiave di re-identificazione e compromessa. Nel caso Campus Bio-Medico di Roma (Garante, Provv. 174/2020, sanzione EUR 20.000) i dati sanitari di 74 pazienti sono stati resi visibili a terzi tramite app mobile per assenza di protezione adeguata. La cifratura avrebbe impedito l'accesso ai contenuti anche in caso di errore applicativo.

La limitazione degli accessi al solo personale autorizzato riduce la superficie di attacco e le possibilita di violazione, incluse quelle causate da errore umano. I controlli di accesso devono essere documentati e periodicamente revisionati per garantire che i permessi siano sempre aggiornati. Il piano di intervento richiede di verificare che solo il personale strettamente necessario abbia accesso ai dati, riducendo cosi le possibilita di violazione.

Nel caso della banca sanzionata con Provv. 659/2024 il Garante ha ordinato di informare entro 20 giorni tutti i clienti coinvolti da accessi indebiti effettuati da un dipendente, evidenziando come l'ampiezza della violazione non fosse stata comunicata adeguatamente. Nel caso INAIL (Garante, Provv. 28/04/2022, sanzione EUR 50.000) tre distinti data breach hanno coinvolto accessi non autorizzati a dati di salute e infortuni dei lavoratori tramite lo Sportello Virtuale, anche a causa di errori umani con versioni non aggiornate del sistema.

Il GDPR non impone misure specifiche ma richiede che siano adeguate al rischio del trattamento e che la loro efficacia venga valutata regolarmente. Il piano di intervento prevede la verifica delle misure di sicurezza su computer per eliminare vulnerabilita e implementare misure logiche e fisiche adeguate, necessario anche per dimostrare accountability. Le misure tipiche includono: firewall; antivirus aggiornato; patch management; backup; protezione fisica dei locali server.

Nel caso Unicredit (Garante, Provv. 99/2020) la sanzione di EUR 600.000 e derivata anche dalla violazione dell'art. 33 Codice Privacy sulle misure minime di sicurezza. La mancanza di un sistema di profilazione degli accessi e l'inadeguata conservazione dei log hanno permesso l'accesso non autorizzato ai dati di 762.000 clienti. Le Linee guida EDPB 01/2021 indicano che password deboli e mancata cifratura sono tra gli errori ricorrenti dei titolari nei settori bancario e sanitario.

Il termine di 72 ore per la notifica al Garante (art. 33 GDPR) decorre dal momento in cui il titolare ha un ragionevole grado di certezza che la violazione si sia verificata, non dal momento della violazione stessa. Il piano deve prevedere fasi operative precise: assicurare che i dati non siano piu compromessi; mettere in sicurezza dati e sistemi; identificare dati compromessi, categorie di interessati e tipologia di violazione; isolare i dati compromessi; modificare immediatamente chiavi di codifica e password; documentare tutte le fasi; determinare quando sia avvenuta la violazione.

Le Linee guida WP29 chiariscono la decorrenza con esempi concreti: per una chiavetta USB smarrita le 72 ore partono quando il titolare realizza la perdita; se una terza parte comunica ricezione erronea di dati le 72 ore partono immediatamente; in caso di intrusione nella rete partono dal riscontro della compromissione. Nel caso Poste Vita (Garante, Provv. 389/2025, sanzione EUR 80.000) la notifica al Garante e stata effettuata in ritardo rispetto alle 72 ore dopo la comunicazione di dati personali di un cliente a un terzo non autorizzato.

Il coinvolgimento delle autorita competenti non e espressamente richiesto dal GDPR ma e necessario quando la violazione configura un reato (accesso abusivo a sistema informatico, furto di dati, estorsione tramite ransomware). Il piano di intervento prevede che le autorita competenti vengano coinvolte se si sospettano attivita illecite. Il coinvolgimento delle forze dell'ordine tutela l'organizzazione, consente l'attivazione di indagini e puo limitare il danno per gli interessati.

La collaborazione con le autorita e anche un criterio positivo nella quantificazione delle sanzioni: l'art. 83 par. 2 GDPR include tra i fattori da considerare il grado di cooperazione con l'autorita di controllo. La CGUE nella sentenza C-768/21 del 26/09/2024 ha chiarito che l'autorita di controllo non e obbligata ad adottare misure correttive o sanzioni se il titolare ha gia adottato misure adeguate per far cessare la violazione e impedirne la ripetizione.

L'art. 33 par. 2 GDPR impone al Responsabile del trattamento di informare il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. Questo obbligo deve essere esplicitamente previsto nel DPA (art. 28 GDPR). La designazione come Responsabile deve contenere istruzioni specifiche in materia di data breach: obbligo di segnalazione immediata, collaborazione nella gestione, supporto nella notifica e comunicazione. La violazione da parte di un fornitore non esime il Titolare dalla responsabilita.

Il piano di intervento classifica la selezione adeguata dei fornitori come obbligatoria, richiedendo di verificare il fornitore e inserire clausole specifiche nel contratto. Le Linee guida WP29 portano l'esempio di un errore di codice del web hosting (Responsabile del trattamento): il Responsabile deve comunicare al Titolare, che a sua volta notifica l'Autorita. Per i contitolari (art. 26 GDPR) l'accordo interno deve stabilire chi dei contitolari e tenuto a notificare il data breach.

La fase di post-assessment e classificata come obbligatoria dal piano di intervento: consente di valutare gap nei sistemi, efficacia dei sistemi interni, formazione e procedure. Questo processo di miglioramento continuo e parte integrante della conformita e dimostra la capacita di apprendimento organizzativo, elemento valutato favorevolmente dal Garante in sede sanzionatoria ai sensi dell'art. 83 par. 2 GDPR (misure adottate per attenuare il danno).

Nel caso Humanitas Mirasole (Garante, Provv. 587/2025, sanzione EUR 70.000 complessivi) la distruzione accidentale di un campione di tessuto post-chirurgico e stata qualificata come violazione di dati personali. La mancata notifica al Garante e le carenze nelle misure di sicurezza hanno portato a sanzioni cumulate per condotte separate (EUR 50.000 + EUR 20.000), evidenziando l'importanza di una valutazione post-incidente per prevenire violazioni dello stesso tipo.

L'art. 32 par. 1 lett. d) GDPR prevede espressamente una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative. Il piano di intervento classifica i test frequenti dei sistemi interni come vivamente consigliato. I test periodici consentono di individuare vulnerabilita prima che vengano sfruttate e di mantenere le misure effettivamente adeguate nel tempo.

Le Linee guida EDPB 01/2021 sottolineano che un attacco ransomware e di per se segno di vulnerabilita del sistema, indipendentemente dalle conseguenze sui dati, e richiede una valutazione globale del sistema di sicurezza informatica. Nel caso Italiaonline (Garante, Provv. 106/2019) la compromissione di 1,5 milioni di credenziali ha dimostrato come la mancanza di test preventivi possa portare a violazioni massive con obbligo di comunicazione a tutti gli interessati con mezzi idonei.

L'art. 33 par. 5 GDPR impone di documentare qualunque violazione, indipendentemente dal fatto che sia stata notificata all'Autorita. Il registro deve contenere: dettagli della violazione (natura, categorie di dati e interessati coinvolti); cause; potenziali effetti; tipologia di dati violati; azioni correttive adottate; tempistiche di intervento; modalita di eventuale comunicazione agli interessati. Il registro e a disposizione dell'Autorita di controllo per accertamenti.

La checklist operativa specifica che anche quando la valutazione del rischio porta a concludere che non sussistono rischi per i diritti e le liberta degli interessati (e quindi non e necessaria la notifica), il titolare deve comunque documentare la violazione nel registro e la decisione di non notificare con le relative giustificazioni. L'assenza del registro e un'aggravante in sede sanzionatoria. Il Provvedimento Garante n. 157 del 30/07/2019 definisce il modello ufficiale di notifica che il registro deve supportare.