Articolo a cura di: Redazione - Studio Legale Calvello
Quando la notifica di un data breach al Garante diventa davvero obbligatoria
Quando un’azienda scopre di aver subito una violazione dei dati personali, il primo errore che vediamo spesso è pensare che ogni incidente informatico richieda automaticamente una comunicazione al Garante Privacy. In realtà, il punto giuridico corretto è diverso, e comprenderlo subito può evitare sia omissioni pericolose sia notifiche inutili.
Un data breach, secondo la disciplina GDPR, non coincide solo con l’attacco hacker “spettacolare” che finisce sui giornali. Anche eventi apparentemente ordinari possono integrare una violazione dei dati personali: l’invio di una e-mail contenente dati sensibili al destinatario sbagliato, il furto di un computer aziendale non adeguatamente protetto, la perdita di un archivio clienti, l’accesso abusivo da parte di un ex collaboratore, oppure un ransomware che blocca la disponibilità dei dati.
Abbiamo approfondito proprio questi aspetti anche nella guida dedicata a Data breach: cosa fare in caso di violazione dei dati
https://www.studiolegalecalvello.it/data-breach-cosa-fare/
Il vero criterio giuridico, però, non è l’esistenza dell’incidente in sé, bensì il rischio che quella violazione comporta per i diritti e le libertà delle persone fisiche coinvolte.
Questo significa che la domanda corretta non è:
“Abbiamo avuto un problema informatico?”
ma piuttosto:
“Questo evento può arrecare un danno concreto alle persone i cui dati sono stati coinvolti?”
Se la risposta è sì, l’obbligo di notifica può diventare immediatamente attuale.
Pensiamo a situazioni molto concrete.
Se viene compromesso un database clienti contenente nominativi, recapiti, dati fiscali o coordinate di pagamento, il rischio è evidente. Se vengono esposti dati sanitari, il livello di criticità cresce ulteriormente. Se invece un file cifrato viene sottratto ma tecnicamente resta inutilizzabile per terzi, la valutazione potrebbe essere diversa.
Qui entra in gioco un passaggio fondamentale che molte imprese sottovalutano: la valutazione documentata del rischio.
Non basta decidere “a sensazione”.
Occorre poter dimostrare perché si è scelto di notificare oppure di non notificare.
Ed è proprio qui che molte aziende scoprono troppo tardi di non avere procedure interne adeguate, come abbiamo spiegato anche nella guida sulla Procedura interna per la gestione delle violazioni privacy
https://www.studiolegalecalvello.it/procedura-violazioni-privacy/
Un errore frequente è credere che la notifica sia richiesta solo in caso di furto di dati. Non è così.
Anche la sola indisponibilità dei dati può integrare un data breach, se crea conseguenze rilevanti. Un gestionale bloccato, un ERP compromesso o un archivio contabile temporaneamente inutilizzabile possono generare obblighi precisi, soprattutto se incidono sui dati personali trattati.
In questi scenari, spesso il problema non è solo privacy, ma anche sicurezza organizzativa, come emerge chiaramente nei temi affrontati in Software gestionali ERP: protezione dei dati aziendali
https://www.studiolegalecalvello.it/erp-protezione-dati/
In sintesi: non ogni incidente va notificato, ma ogni incidente va valutato seriamente e documentato.
Ed è proprio questa fase iniziale che spesso determina la differenza tra una gestione conforme e una potenziale contestazione.
Entro quanto tempo bisogna notificare un data breach al Garante e cosa succede se si arriva tardi
Uno degli aspetti che genera maggiore confusione nelle aziende riguarda il fattore tempo. Quando emerge una violazione dei dati personali, infatti, la percezione comune è quella di avere qualche giorno per “capire meglio” cosa sia accaduto, raccogliere informazioni con calma e solo successivamente valutare se procedere. Sul piano giuridico, questo approccio può rivelarsi estremamente pericoloso.
Il GDPR impone che la notifica del data breach al Garante Privacy venga effettuata senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare del trattamento ne è venuto a conoscenza.
Questo punto merita una precisazione fondamentale.
Le 72 ore non decorrono necessariamente dal momento in cui si verifica materialmente l’attacco, la perdita o l’accesso abusivo. Decorrono da quando l’organizzazione acquisisce una consapevolezza sufficiente dell’esistenza della violazione.
In concreto, questo significa che se un attacco informatico si verifica il venerdì notte ma viene scoperto il lunedì mattina, il conteggio parte da quel momento. Diversamente, se i segnali erano già presenti ma nessuno li ha monitorati o gestiti adeguatamente, la posizione aziendale può diventare molto più delicata.
È proprio qui che emergono criticità organizzative spesso sottovalutate. Sistemi di logging carenti, controlli interni deboli, account condivisi, procedure di escalation assenti o password aziendali gestite in modo improprio possono rallentare drasticamente la rilevazione della violazione e aggravare la responsabilità del titolare del trattamento. Su questi aspetti, abbiamo approfondito temi strettamente collegati in Monitoraggio dei log informatici aziendali: regole privacy, Log di accesso ai server: cosa conservare, Password aziendali: regole essenziali di sicurezza e Account condivisi in azienda: rischi e soluzioni.
Un aspetto importante da comprendere è che il legislatore europeo conosce perfettamente la complessità tecnica di alcuni incidenti. Per questo motivo, la normativa non pretende necessariamente che entro 72 ore si disponga di un quadro investigativo completo e definitivo.
Ciò che viene richiesto è una gestione diligente e tempestiva.
In altre parole: se entro il termine disponibile non si conoscono ancora tutti i dettagli, la notifica iniziale può comunque essere inviata, integrando successivamente le informazioni mancanti.
L’errore più grave non è notificare con dati ancora parziali.
L’errore più grave è restare immobili.
Molte aziende, soprattutto dopo un attacco ransomware o una compromissione dei sistemi, tendono a concentrarsi esclusivamente sul ripristino operativo, trascurando gli obblighi privacy. È una reazione umanamente comprensibile, ma giuridicamente rischiosa.
Anche perché un attacco informatico non è soltanto un problema tecnologico: può diventare immediatamente una questione di compliance, responsabilità organizzativa e potenziale esposizione sanzionatoria, come abbiamo analizzato anche nella guida dedicata a Privacy e sicurezza aziendale informatica: aziende e attacchi informatici.
Ma cosa accade se la notifica viene inviata oltre il termine?
Il superamento delle 72 ore non determina automaticamente un illecito insanabile, ma impone un onere preciso: occorre motivare il ritardo in modo serio, documentabile e coerente.
Una giustificazione generica — ad esempio “stavamo ancora verificando” — raramente rappresenta una difesa solida.
Molto diverso è il caso in cui l’azienda possa dimostrare una reale complessità investigativa, un’attività tecnica immediatamente avviata, una gestione strutturata dell’incidente e una progressiva raccolta delle informazioni.
In sostanza, ciò che viene valutato non è soltanto il ritardo cronologico, ma la qualità della reazione organizzativa.
Ed è proprio per questo che la differenza tra un evento gestito bene e uno gestito male non si misura solo nell’incidente iniziale, ma nella documentazione che l’azienda è in grado di esibire successivamente.
Come si notifica concretamente un data breach al Garante Privacy senza commettere errori formali
Quando si comprende che una violazione dei dati personali presenta un rischio tale da rendere necessaria la comunicazione all’Autorità, la domanda che inevitabilmente emerge è molto pratica: come si effettua correttamente la notifica?
È qui che molte aziende, pur animate dalla volontà di fare la cosa giusta, iniziano a commettere errori che possono complicare inutilmente la situazione.
La notifica di un data breach al Garante Privacy non consiste in una semplice comunicazione generica in cui si dichiara di aver subito un incidente informatico. Si tratta, invece, di un adempimento formale che richiede precisione, coerenza e capacità di rappresentare correttamente l’accaduto.
Il primo errore che osserviamo con frequenza è affrontare la notifica come se fosse un semplice obbligo amministrativo da “chiudere in fretta”. In realtà, ogni parola inserita nella comunicazione può assumere rilievo successivamente, sia sotto il profilo della compliance sia in eventuali richieste di chiarimenti dell’Autorità.
Per questo motivo, prima ancora dell’invio, è essenziale ricostruire con lucidità alcuni elementi fondamentali.
Occorre comprendere che cosa è accaduto, quando l’evento è stato rilevato, quali categorie di dati personali risultano coinvolte, quante persone potrebbero essere interessate, quali possibili conseguenze concrete possono derivarne e soprattutto quali misure immediate siano già state adottate per contenere il danno.
Questa fase preliminare è tutt’altro che formale.
Se, ad esempio, un’azienda subisce un accesso abusivo al gestionale clienti ma non è ancora in grado di stabilire se vi sia stata effettiva esfiltrazione dei dati, questa incertezza va gestita correttamente, non nascosta né banalizzata.
Allo stesso modo, se la violazione deriva da carenze organizzative — pensiamo a credenziali condivise tra dipendenti, accessi non revocati, password deboli o controlli insufficienti — il problema non riguarda soltanto il singolo incidente, ma l’intero assetto di sicurezza adottato dall’organizzazione. Temi che abbiamo approfondito anche nelle guide dedicate a Password aziendali: regole essenziali di sicurezza, Account condivisi in azienda: rischi e soluzioni e Software contabili: gestione privacy e sicurezza.
La comunicazione al Garante deve poi descrivere in modo intellegibile la natura della violazione.
Questo significa spiegare se si tratta di:
accesso non autorizzato,
distruzione accidentale,
perdita di disponibilità,
diffusione indebita,
oppure alterazione dei dati personali.
Una descrizione vaga o tecnicamente confusa rischia di trasmettere l’idea di una gestione improvvisata.
Altro passaggio centrale riguarda la valutazione delle conseguenze per gli interessati.
Qui non basta affermare genericamente che “potrebbero esserci rischi”.
Bisogna ragionare concretamente.
Parliamo di rischio di furto d’identità? Uso fraudolento delle credenziali? Esposizione di dati sanitari? Danno reputazionale? Accesso a dati economici o fiscali? Compromissione di informazioni riservate relative ai dipendenti?
Più la valutazione appare solida, più la posizione del titolare risulta credibile.
Un altro errore frequente è dimenticare di documentare le misure adottate subito dopo la scoperta dell’evento.
Ad esempio:
isolamento dei sistemi compromessi, revoca delle credenziali, reset delle password, segmentazione della rete, blocco degli accessi, verifica forense, attivazione di consulenti tecnici, informazione interna ai soggetti coinvolti.
Questi elementi non servono solo a dimostrare reattività.
Servono a raccontare all’Autorità che l’azienda ha affrontato il problema con metodo.
Ed è un aspetto decisivo.
Perché in materia privacy il punto non è soltanto subire o meno un incidente, ma dimostrare di averlo gestito responsabilmente.
Per chi opera in contesti strutturati, questo si collega direttamente anche all’adeguamento organizzativo generale, che abbiamo affrontato nella guida Documenti obbligatori privacy aziendale e nell’approfondimento su Adeguamento GDPR PMI: cosa serve davvero.
Infine, è importante chiarire un principio pratico che spesso tranquillizza impropriamente gli operatori: notificare non equivale automaticamente a “mettersi al sicuro”.
Una notifica mal costruita, incoerente o contraddittoria può generare ulteriori criticità.
Per questo motivo, soprattutto nei casi complessi, la gestione del data breach non dovrebbe mai essere trattata come una mera incombenza burocratica, ma come un’attività di risk management giuridico.
Esempio pratico reale: un errore apparentemente banale che può trasformarsi in un vero data breach
Per comprendere davvero come funziona la notifica di un data breach al Garante Privacy, conviene uscire per un momento dalla teoria e ragionare su una situazione concreta, molto più comune di quanto si immagini.
Immaginiamo una PMI che gestisce rapporti commerciali con clienti e fornitori attraverso il proprio ufficio amministrativo.
Un dipendente, durante una normale giornata lavorativa, deve inviare documentazione contabile a un cliente. Prepara l’e-mail, allega il file corretto — o almeno così crede — e procede con l’invio.
Solo dopo alcuni minuti emerge il problema.
L’allegato non contiene la documentazione prevista per quel destinatario, ma un file completamente diverso: un estratto con dati personali riferiti ad altri clienti, comprensivo di nominativi, indirizzi, dati fiscali, coordinate economiche e informazioni amministrative riservate.
A questo punto la reazione più comune è spesso minimizzare.
“Abbiamo già chiamato il destinatario.”
“Ci ha detto che cancellerà tutto.”
“È una persona affidabile.”
“Non è successo niente di grave.”
Dal punto di vista giuridico, però, questo approccio rischia di essere fuorviante.
Il semplice fatto che i dati personali siano stati comunicati a un soggetto non autorizzato integra già, in linea generale, una violazione dei dati personali.
Il punto successivo diventa quindi la valutazione del rischio.
Ci troviamo davanti a dati comuni o categorie particolari di dati? Quante persone risultano coinvolte? Il destinatario ha realmente eliminato il file? I dati erano facilmente leggibili? Possono derivarne danni economici, reputazionali o utilizzi impropri?
È esattamente in questo tipo di episodi che molte aziende commettono l’errore di non attivare alcuna procedura interna.
In realtà, una gestione corretta dovrebbe svilupparsi con metodo.
Anzitutto, l’incidente dovrebbe essere immediatamente registrato internamente, perché la documentazione tempestiva dell’accaduto rappresenta già un elemento importante di accountability.
Successivamente, occorre contenere l’evento, cercando concretamente di limitare la diffusione dei dati.
Parallelamente, bisogna effettuare una valutazione seria del rischio, senza affidarsi a impressioni superficiali.
Se emerge un rischio per i diritti e le libertà degli interessati, la notifica al Garante diventa un tema reale e immediato.
In casi come questo, il problema spesso non è l’errore umano in sé — che può accadere in qualsiasi organizzazione — ma l’assenza di controlli preventivi adeguati.
Ad esempio:
assenza di procedure interne, personale non formato, sistemi di verifica insufficienti, gestione disordinata delle comunicazioni aziendali, mancata segmentazione degli accessi.
Abbiamo trattato criticità molto simili anche negli approfondimenti dedicati a Gestione delle richieste di accesso ai dati GDPR nelle aziende, Privacy marketing e newsletter GDPR, App aziendali personalizzate: come proteggere i dati e Wi-Fi aziendale per clienti: dati raccolti e obblighi privacy, perché spesso la vulnerabilità nasce proprio dall’organizzazione quotidiana, non necessariamente da sofisticati attacchi esterni.
Ora immaginiamo uno scenario ancora più delicato.
L’azienda decide di non fare nulla.
Passano giorni.
Successivamente uno degli interessati scopre l’accaduto, presenta una segnalazione o esercita i propri diritti.
A quel punto il tema non sarebbe più soltanto la violazione iniziale, ma anche la mancata gestione corretta dell’incidente.
Ed è qui che una situazione apparentemente “piccola” può diventare molto più problematica.
Questo esempio evidenzia un principio che come studio legale ripetiamo spesso: nella privacy aziendale i problemi raramente esplodono per l’errore iniziale; molto più spesso esplodono per come quell’errore viene gestito dopo.
Le domande più frequenti sulla notifica del data breach al Garante Privacy
Quando un’azienda si trova a gestire una violazione dei dati personali, i dubbi pratici emergono rapidamente. Alcune domande ricorrono con particolare frequenza perché toccano situazioni reali, spesso vissute in momenti di forte pressione operativa. Affrontarle con chiarezza è fondamentale, perché in materia di data breach le decisioni prese nelle prime ore possono incidere in modo significativo sulla posizione dell’organizzazione.
Una e-mail inviata al destinatario sbagliato è sempre un data breach?
Nella maggior parte dei casi, sì. Quando dati personali vengono comunicati a un soggetto non autorizzato, ci troviamo generalmente davanti a una violazione dei dati personali. Questo non significa automaticamente che ogni episodio imponga la notifica al Garante, ma significa certamente che l’evento deve essere valutato e documentato. Molte aziende sottovalutano proprio questo tipo di errore perché lo percepiscono come banale o quotidiano, mentre dal punto di vista giuridico può avere conseguenze concrete.
Se i dati erano protetti da password o cifratura, devo comunque notificare?
Non necessariamente. La presenza di adeguate misure di protezione può ridurre significativamente il rischio per gli interessati. Se, ad esempio, un dispositivo aziendale viene sottratto ma i dati risultano cifrati in modo robusto e concretamente non accessibili a terzi, la necessità di notificare potrebbe venire meno. Tuttavia, questa conclusione non può mai essere automatica. Serve sempre una valutazione tecnica e giuridica coerente con il caso concreto. È proprio per questo che la sicurezza organizzativa, affrontata anche nella nostra guida su Password aziendali: regole essenziali di sicurezza, non rappresenta solo un presidio tecnico, ma un elemento centrale della compliance.
Se non conosciamo ancora tutti i dettagli dell’incidente, dobbiamo aspettare prima di notificare?
No, ed è uno degli errori più pericolosi. Il GDPR non pretende che entro poche ore l’azienda abbia completato un’indagine forense definitiva. Pretende però una reazione diligente. Se esistono elementi sufficienti per comprendere che si è verificata una violazione con potenziali rischi per gli interessati, attendere passivamente può aggravare la posizione del titolare del trattamento. In questi casi è spesso preferibile una comunicazione iniziale strutturata, integrata successivamente con ulteriori informazioni.
Se il responsabile dell’errore è un dipendente, la responsabilità resta dell’azienda?
In linea generale, sì. Dal punto di vista privacy, ciò che rileva non è soltanto l’errore umano del singolo, ma l’assetto organizzativo che avrebbe dovuto prevenire o contenere quell’errore. Se la violazione nasce da formazione insufficiente, controlli deboli, account condivisi, accessi gestiti in modo disordinato o assenza di procedure, la questione investe direttamente la responsabilità del titolare del trattamento. Per questo il tema del data breach si collega inevitabilmente alla governance privacy complessiva dell’impresa, come approfondiamo anche in Documenti obbligatori privacy aziendale e Adeguamento GDPR PMI: cosa serve davvero.
La notifica al Garante evita automaticamente sanzioni?
No. Questo è un equivoco molto diffuso. La notifica rappresenta un obbligo normativo quando ne ricorrono i presupposti, ma non costituisce una sorta di immunità automatica. L’Autorità può comunque valutare la qualità delle misure di sicurezza adottate, la tempestività della reazione, la correttezza delle procedure interne e la completezza delle informazioni fornite. In altre parole, notificare è corretto quando necessario, ma notificare male o troppo tardi può comunque esporre l’azienda a criticità rilevanti.
Assistenza legale nella gestione di un data breach: perché intervenire correttamente fin dalle prime ore fa la differenza
Quando un’azienda scopre di aver subito una violazione dei dati personali, la reazione iniziale è spesso dominata dall’urgenza operativa. Si cerca di capire cosa sia successo, di limitare il danno tecnico, di rassicurare clienti, collaboratori o partner commerciali, e talvolta di ripristinare sistemi essenziali nel minor tempo possibile.
È una reazione comprensibile.
Tuttavia, proprio nelle prime ore si concentrano alcune delle decisioni più delicate sotto il profilo giuridico, organizzativo e reputazionale.
Per esperienza professionale, possiamo affermare che molte criticità non derivano tanto dall’evento iniziale quanto da una gestione improvvisata della fase successiva.
Una notifica tardiva, una valutazione superficiale del rischio, una documentazione interna insufficiente, comunicazioni incoerenti o procedure adottate senza un criterio chiaro possono trasformare un incidente gestibile in un problema molto più complesso.
Ed è proprio per questo che il data breach non dovrebbe mai essere affrontato come una mera questione tecnica.
Parliamo di un evento che può coinvolgere obblighi GDPR, responsabilità organizzative, rapporti con il Garante Privacy, comunicazioni verso gli interessati, revisione delle misure di sicurezza e, in alcuni casi, esposizione concreta a contestazioni o richieste risarcitorie.
In scenari di questo tipo, una consulenza qualificata nelle fasi iniziali consente non soltanto di comprendere se esista un obbligo di notifica, ma soprattutto di impostare correttamente l’intera gestione dell’incidente.
Come Studio Legale Calvello assistiamo aziende, professionisti e organizzazioni proprio nella gestione pratica delle problematiche privacy, intervenendo sia nella fase preventiva di compliance sia nei momenti in cui l’emergenza è già in corso.
Per chi desidera approfondire il tema dell’organizzazione preventiva, può risultare utile anche la lettura delle nostre guide dedicate a Adeguamento GDPR PMI: cosa serve davvero, Registro dei trattamenti dati GDPR, Nomina responsabile del trattamento e DPO e Sanzioni GDPR: come evitarle nelle aziende, perché una corretta struttura interna riduce concretamente il rischio di errori critici.
Quando invece la violazione si è già verificata, il tempo diventa un fattore essenziale.
Una valutazione tempestiva e giuridicamente corretta può fare una differenza concreta nella tutela dell’organizzazione.
Se la vostra azienda ha subito una potenziale violazione dei dati personali, se avete dubbi sull’obbligo di notifica al Garante Privacy, oppure se state gestendo una situazione che richiede un inquadramento immediato, potete contattare lo Studio Legale Calvello attraverso la nostra pagina dedicata alla consulenza legale privacy e aziendale:
https://www.studiolegalecalvello.it/consulenza-studio-legale/
