Quando un’organizzazione subisce un data breach, ossia una violazione dei dati personali, è cruciale avere una procedura rigorosa pronta all’uso per rispondere rapidamente e nel rispetto delle norme di legge. In ambito UE e italiano, il quadro esaustivo è rappresentato dal Regolamento Generale sulla Protezione dei Dati (GDPR), che impone obblighi specifici sui tempi, sulle notifiche e sui contenuti delle comunicazioni da inviare all’autorità di controllo e, in alcuni casi, agli interessati. La finestra delle prime 72 ore è fondamentale: può fare la differenza tra conformità e sanzioni amministrative. In questo articolo analizziamo passo passo cosa prevede la disciplina vigente.
Indice dei contenuti
Definizione di data breach: non solo furto, ma anche perdita o modifica dati

Ai sensi dell’articolo 4, par. 12 del Regolamento UE 2016/679 (GDPR), una violazione dei dati personali (data breach) non è semplicemente il furto di dati tramite un attacco informatico: è «una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati». Eventi come uno smarrimento di dispositivi contenenti dati, la cancellazione involontaria di file, la pubblicazione accidentale di database online o una configurazione errata dei sistemi che espone dati, rientrano tutti nella definizione legale di violazione. Questa definizione è adottata direttamente dal GDPR e ribadita anche nella pagina ufficiale del Garante per la protezione dei dati personali italiano.
Come rilevare e valutare la gravità della violazione
La prima cosa da fare quando si sospetta un incidente è saperlo rilevare e fare un risk assessment in termini di impatto sui diritti e le libertà delle persone. Questo processo è descritto anche nelle linee guida dell’European Data Protection Board (EDPB) per la gestione delle violazioni. La violazione è considerata “accertata” quando l’organizzazione ha «un ragionevole grado di certezza che si è verificato un incidente di sicurezza» che ha compromesso dati personali. La procedura interna dovrebbe includere registrazione immediata dell’incidente, isolamento e contenimento degli effetti, raccolta di evidenze e stima delle tipologie di dati coinvolti (categorie, numero approssimativo di interessati).
La gravità si valuta con criteri oggettivi:
- Tipologia dei dati (es. dati sanitari o finanziari comportano rischi maggiori).
- Volume degli interessati coinvolti.
- Probabilità di uso improprio (es. rischio di furto di identità).
- Durata dell’esposizione dei dati.
Questa analisi deve essere documentata perché condiziona gli obblighi successivi di notifica.
Quando è obbligatorio notificare al garante privacy
L’articolo 33 del GDPR stabilisce l’obbligo del titolare del trattamento di notificare all’Autorità Garante per la protezione dei dati personali ogni violazione di dati personali senza ingiustificato ritardo e, dove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. La notifica fuori dalle 72 ore richiede motivazione formale dei motivi del ritardo nella dichiarazione.
La notifica deve contenere almeno:
- Descrizione della natura del data breach, con categorie e numero approssimativo di interessati e di record coinvolti.
- Contatti del responsabile della protezione dei dati (DPO) o altro punto di riferimento.
- Descrizione delle probabili conseguenze della violazione.
- Misure adottate o proposte per mitigare gli effetti negativi.
Questi elementi sono prescritti dallo stesso GDPR e sono fondamentali per dimostrare conformità normativa.
Quando è obbligatorio comunicare la violazione agli interessati
La normativa distingue chiaramente tra notifica all’autorità di controllo e comunicazione agli interessati (data subjects). Secondo l’articolo 34 del GDPR, solo se è probabile che la violazione comporti un “alto rischio” per i diritti e le libertà degli interessati, il titolare deve comunicare loro la violazione senza ingiustificato ritardo in un linguaggio chiaro e comprensibile. Questo obbligo si aggiunge alla notifica all’autorità e non è automatico per tutte le violazioni.
Esistono esenzioni specifiche: ad esempio, se i dati erano adeguatamente protetti da crittografia efficace, o se successivi interventi tecnici neutralizzano il rischio di danno, la comunicazione agli interessati può non essere necessaria.
Tabella: template del registro delle violazioni interne
Di seguito ecco un modello di registro interno delle violazioni da tenere aggiornato per ogni incidente, come richiesto dall’art. 33 GDPR (lo stesso registro è usato in molte procedure pubblicate da enti pubblici italiani):
| Campo | Descrizione / Esempio |
| ID violazione | DBR-2026-001 |
| Data e ora scoperta | 2026-01-05 10:23 |
| Descrizione evento | Accesso non autorizzato a database clienti |
| Categorie dati coinvolti | Nome, email, telefono |
| Numero interessati stimato | 1.200 |
| Rischio per interessati | Alto (possibile furto identità) |
| Misure di contenimento | Blocco accessi, reset credenziali |
| Notifica Garante (Art.33) | Inviata 2026-01-07 h14:00 |
| Comunicazione agli interessati (Art.34) | Inviata 2026-01-08 h09:00 |
| Responsabile gestione Breach | DPO – nome e email |
| Follow-up e azioni correttive | Audit sicurezza, MFA abilitato |
Fonte normativa: art. 33(5) GDPR (obbligo di documentare fatti, effetti e azioni) e modelli di registro nelle procedure del Garante italiano.
Misure correttive e preventive per evitare sanzioni
Dopo la gestione immediata del data breach, l’organizzazione deve adottare misure correttive e preventive per migliorare la sicurezza e ridurre la probabilità di futuri incidenti, in linea con l’articolo 32 del GDPR. Le misure tecniche includono:
- Crittografia dei dati in transito e a riposo.
- Autenticazione multi-fattore (MFA).
- Aggiornamenti e patch regolari dei sistemi.
- Sistemi di rilevamento delle intrusioni (IDS/IPS).
Le misure organizzative includono:
- Policy interne su gestione incidenti.
- Formazione continua del personale.
- Test di penetrazione e audit di sicurezza periodici.
Il mancato rispetto degli obblighi di notifica del data breach previsti dagli articoli 33 e 34 del Regolamento (UE) 2016/679 può comportare l’applicazione di sanzioni amministrative pecuniarie da parte dell’Autorità Garante ai sensi dell’articolo 83 del GDPR. In particolare:
- Violazioni procedurali (mancata, tardiva o incompleta notifica all’Autorità o agli interessati quando obbligatorio): fino a 10 milioni di euro, oppure fino al 2% del fatturato mondiale annuo totale dell’esercizio precedente, se superiore.
- Violazioni più gravi (mancata adozione di misure tecniche e organizzative adeguate, inosservanza dei principi di sicurezza del trattamento o violazioni dei diritti fondamentali degli interessati): fino a 20 milioni di euro, oppure fino al 4% del fatturato mondiale annuo, se superiore.
Nella determinazione concreta dell’importo, l’Autorità Garante valuta i seguenti criteri obbligatori (art. 83(2) GDPR):
- natura, gravità e durata della violazione;
- numero di interessati coinvolti e livello di danno subito;
- categoria dei dati personali compromessi, con particolare attenzione ai dati sensibili;
- carattere doloso o colposo della condotta del titolare del trattamento;
- misure adottate per attenuare il danno subito dagli interessati;
- grado di cooperazione con l’Autorità Garante;
- eventuali precedenti violazioni commesse dal titolare.
Gestire correttamente un data breach protegge l’azienda, rafforza la fiducia dei clienti e trasforma un rischio in un’opportunità di miglioramento continuo.