Data breach: cos'è e cosa fare secondo il GDPR

Cos'è un data breach, da cosa nasce, chi deve gestirlo e cosa fare passo per passo: la valutazione del rischio, la notifica al Garante entro 72 ore, la comunicazione agli interessati, il registro delle violazioni e le sanzioni.
In breve — Un data breach è una violazione di sicurezza che porta alla distruzione, perdita, modifica o divulgazione non autorizzata di dati personali (art. 4 del GDPR). Quando accade, il titolare del trattamento deve muoversi in fretta: contenere la violazione, valutare il rischio per le persone coinvolte e adempiere fino a tre obblighi — notificare al Garante entro 72 ore se c’è un rischio, comunicare agli interessati se il rischio è elevato, e in ogni caso annotare la violazione nel registro. Sbagliare — non notificare quando si deve, o farlo in ritardo — espone a sanzioni fino a 10 milioni di euro o al 2% del fatturato.
1. Che cos’è un data breach
Un attacco ransomware che blocca gli archivi, un’email inviata per errore al destinatario sbagliato, il furto di un portatile aziendale: sono episodi molto diversi tra loro, ma con la stessa conseguenza giuridica. In ciascun caso si è verificato un data breach, e da quel momento il titolare del trattamento ha precisi obblighi da rispettare, in tempi molto stretti.
«Data breach» è il termine inglese con cui il GDPR indica una violazione dei dati personali. Non è, però, qualunque intoppo o incidente informatico: è una violazione di sicurezza che ha come conseguenza un danno ai dati personali. La definizione è precisa e conviene tenerla a mente, perché è da lì che discendono tutti gli obblighi.
La norma · Art. 4, n. 12, GDPR
La «violazione dei dati personali» è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
Da questa definizione derivano tre tipi di violazione, che spesso si combinano tra loro:
- di riservatezza — i dati sono divulgati o resi accessibili a chi non è autorizzato (un’email al destinatario sbagliato, un accesso abusivo ai sistemi);
- di integrità — i dati vengono alterati o modificati senza autorizzazione;
- di disponibilità — i dati vanno persi, distrutti o diventano inaccessibili (un ransomware che cifra gli archivi, un server danneggiato, un dispositivo smarrito).
Vale una distinzione utile: non ogni incidente di sicurezza è un data breach. Un tentativo di attacco respinto, o un guasto tecnico che non coinvolge dati personali, non fa scattare gli obblighi che vedremo. Perché si abbia un data breach devono ricorrere due elementi insieme: una violazione della sicurezza e il coinvolgimento di dati personali.
2. Da cosa nasce un data breach: cause ed esempi
Contrariamente a quanto si immagina, il data breach non è quasi mai opera di un hacker sofisticato. La causa più frequente è l’errore umano — un allegato inviato alla persona sbagliata, un dispositivo smarrito, una password lasciata incustodita — insieme al phishing, cioè alle email-trappola che inducono un dipendente a consegnare le proprie credenziali. Gli attacchi tecnici veri e propri esistono, ma vengono dopo.
Casi tipici di violazione
Un attacco ransomware che cifra o esfiltra gli archivi aziendali;
una email o una PEC con allegati inviata al destinatario sbagliato;
il furto o lo smarrimento di un laptop, di uno smartphone o di una chiavetta USB non cifrati;
la pubblicazione online per errore di documenti con dati personali;
l'accesso abusivo ai sistemi da parte di un dipendente non autorizzato o di un terzo.
La conseguenza pratica è importante: se il rischio più grande è interno, la prevenzione non è solo una questione di firewall, ma di procedure e formazione. E significa anche che un data breach può capitare a chiunque, anche a chi è ben organizzato: ciò che distingue una gestione corretta da una sanzione è il modo in cui si reagisce.
3. Chi deve gestire il data breach
La responsabilità della gestione è del titolare del trattamento: è lui che valuta il rischio, decide se notificare e se comunicare agli interessati, e risponde davanti al Garante. Ma non agisce da solo, e conoscere i ruoli in anticipo è ciò che permette di reagire nei tempi giusti.
Il Responsabile della protezione dei dati (DPO), quando è nominato, affianca il titolare nella valutazione del rischio e tiene i rapporti con il Garante. Il responsabile del trattamento — il fornitore esterno che tratta i dati per conto del titolare, per esempio chi gestisce i server o il software gestionale — non notifica direttamente al Garante, ma ha l’obbligo di informare il titolare senza ingiustificato ritardo appena rileva una violazione, così che il titolare possa attivarsi entro i termini. Per questo i contratti con i fornitori devono prevedere con precisione tempi e modalità di segnalazione.
Dentro l’organizzazione, infine, ogni dipendente dovrebbe sapere a chi segnalare un sospetto: nella maggior parte dei casi la violazione la scopre chi sta in prima linea — chi riceve l’email anomala, chi si accorge del sistema bloccato — non l’ufficio legale. Una procedura interna che indichi chiaramente il canale di segnalazione fa risparmiare ore preziose.
4. Cosa fare in caso di data breach: i primi passi
Individuata la violazione, i primi passi non cambiano.
Rilevare e contenere. La violazione va subito circoscritta — isolando i sistemi compromessi, revocando gli accessi, recuperando i dati dove possibile — e va ricostruito che cosa è successo: quali dati, di quante persone, con quali possibili conseguenze.
Far partire l’orologio. Il termine delle 72 ore per la notifica decorre da quando il titolare viene a conoscenza della violazione, cioè da quando ha un ragionevole grado di certezza che si è verificata, non dal primo, vago sospetto. Il tempo per accertarlo, però, deve essere breve e ragionevole: prendersela comoda è un rischio in sé.
Documentare fin da subito. Ogni passaggio — quando è emersa la violazione, quali dati, quali misure adottate — va messo per iscritto man mano. È materiale che servirà per il registro, per l’eventuale notifica e per dimostrare al Garante di aver agito con diligenza.
5. Valutare il rischio: la decisione che guida tutto
È il passaggio che decide ogni cosa. Occorre stimare il rischio per i diritti e le libertà delle persone coinvolte, guardando a tre elementi: la natura dei dati (molto più grave se sanitari, finanziari o idonei a un furto d’identità), il numero degli interessati e la gravità delle possibili conseguenze. Il rischio si considera elevato, in particolare, quando la violazione può esporre le persone a frodi, furto d’identità, danni economici o discriminazioni, o quando riguarda categorie di dati particolarmente delicate. Da questa valutazione dipende cosa si è obbligati a fare — e va sempre messa per iscritto.
Cosa scatta, in base al rischio
Rischio improbabile → solo il registro delle violazioni;
Rischio per i diritti e le libertà → registro + notifica al Garante entro 72 ore;
Rischio elevato → registro + notifica + comunicazione agli interessati.
Nei paragrafi seguenti vediamo i tre adempimenti uno per uno.
6. La notifica al Garante (entro 72 ore)
Se la violazione può comportare un rischio per i diritti e le libertà delle persone, il titolare deve notificarla al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore da quando ne è venuto a conoscenza (art. 33 GDPR). Se il rischio è improbabile, la notifica non è dovuta — ma la scelta va motivata e documentata.
È l’adempimento più urgente e più delicato: sbagliare la valutazione, o superare le 72 ore, è tra le cause più frequenti di sanzione. Quando non tutte le informazioni sono disponibili subito, si può notificare in più fasi, integrando in seguito. I dettagli su quando la notifica è obbligatoria e come si presenta sono nella guida dedicata alla notifica del data breach al Garante.
7. La comunicazione agli interessati
Quando la violazione può comportare un rischio elevato per i diritti e le libertà delle persone, non basta informare il Garante: il titolare deve comunicarla anche agli interessati, senza ingiustificato ritardo e con un linguaggio chiaro (art. 34 GDPR), così che possano proteggersi — per esempio cambiando le password o bloccando una carta. In alcuni casi la comunicazione non è dovuta, ad esempio se i dati erano cifrati e quindi inintelligibili a chi vi ha avuto accesso. Il dettaglio è nella guida sulla comunicazione del data breach agli interessati.
8. Il registro delle violazioni
C’è un adempimento che va assolto sempre, a prescindere dalla notifica e dalla comunicazione: annotare la violazione nel registro delle violazioni (art. 33, par. 5, GDPR), documentando i fatti, gli effetti e le misure adottate. Serve anche a dimostrare al Garante di aver gestito correttamente l’evento — comprese le violazioni che si è deciso di non notificare, che vanno comunque tracciate con la relativa motivazione. Come si tiene e cosa deve contenere lo spieghiamo nella guida al registro delle violazioni dei dati.
9. Gli errori che costano
Nella pratica, le sanzioni non arrivano per il data breach in sé, ma per come viene gestito. Gli errori più frequenti sono sempre gli stessi: sottovalutare il rischio pur di evitare la notifica, sforare le 72 ore perché ci si è mossi tardi, dimenticare il registro, comunicare agli interessati in modo tardivo o confuso, o — a monte — non avere alcuna procedura pronta, così che nel momento critico ognuno improvvisa e si perdono ore decisive.
E il conto non è solo la sanzione. Un data breach ha un costo che va ben oltre la multa: il fermo dell’attività, il ripristino dei sistemi, l’eventuale riscatto, la perdita di clienti e di fiducia, i possibili contenziosi risarcitori. È la ragione per cui prepararsi prima — con misure di sicurezza adeguate e una procedura di risposta — conviene sempre.
10. Le sanzioni
Il data breach non è di per sé una colpa: può capitare anche a chi ha adottato buone misure. Ciò che il Garante sanziona è la cattiva gestione — non aver adottato misure di sicurezza adeguate (art. 32), non aver notificato quando dovuto, averlo fatto in ritardo, non aver informato gli interessati, non aver tenuto il registro.
La violazione degli obblighi sulla gestione del data breach (artt. 33 e 34) è punita con sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo; quando la violazione coinvolge anche i principi fondamentali del trattamento, il tetto sale a 20 milioni o al 4%. A questo si aggiunge il possibile risarcimento del danno agli interessati, che possono agire anche in via collettiva.
11. Come ti assiste lo Studio Legale Calzoni
Le 72 ore corrono in fretta, e nel mezzo di una violazione le decisioni vanno prese sotto pressione: notificare o no, informare gli interessati o no, come motivare la scelta. È il momento in cui un supporto legale rapido fa la differenza tra una gestione corretta e una sanzione.
Lo Studio Legale Calzoni affianca imprese ed enti pubblici nella consulenza privacy e GDPR: interveniamo nella gestione della violazione — valutazione del rischio, notifica al Garante, comunicazione agli interessati, tenuta del registro — e, a monte, nella predisposizione delle procedure e delle misure che permettono di reagire nei tempi giusti. Prevenire e reagire bene costa una frazione di una sanzione.
Domande frequenti
Cos’è un data breach? È una violazione di sicurezza che comporta, in modo accidentale o illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali (art. 4, n. 12, GDPR). Comprende sia gli attacchi informatici sia gli errori interni, come un’email inviata alla persona sbagliata.
Cosa fare in caso di data breach? Contenere la violazione, valutare il rischio per le persone coinvolte e adempiere agli obblighi che ne derivano: notificare al Garante entro 72 ore se c’è un rischio, comunicare agli interessati se il rischio è elevato e annotare in ogni caso la violazione nel registro.
Quali sono le tre tipologie di data breach? Violazione di riservatezza (accesso o divulgazione non autorizzata dei dati), di integrità (modifica non autorizzata) e di disponibilità (perdita, distruzione o inaccessibilità dei dati). Un singolo episodio può rientrare in più tipologie insieme.
Qual è la causa più frequente di un data breach? L’errore umano — un’email inviata al destinatario sbagliato, lo smarrimento o il furto di un dispositivo non cifrato — insieme al phishing. Le violazioni nascono più spesso da episodi banali che da attacchi informatici sofisticati.
Qual è la differenza tra data breach e data leak? Il data leak è la fuoriuscita o l’esposizione di dati, spesso non intenzionale (per esempio una configurazione errata che li rende accessibili). Il data breach è la nozione più ampia del GDPR, che comprende anche gli attacchi intenzionali e la perdita o distruzione dei dati: un data leak, di regola, è una specie di data breach.
Chi è responsabile di un data breach? Il titolare del trattamento è responsabile degli adempimenti (notifica, comunicazione, registro) e delle misure di sicurezza. Il responsabile del trattamento (fornitore, gestore dei sistemi) che rileva una violazione deve informare il titolare senza ingiustificato ritardo.
Come si può prevenire un data breach? Con misure tecniche e organizzative adeguate (art. 32 GDPR): cifratura dei dati e dei dispositivi, backup, gestione degli accessi, aggiornamento dei sistemi, formazione del personale e una procedura interna di risposta agli incidenti che permetta di reagire entro le 72 ore.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.