Data breach: cosa fare nelle prime 72 ore

Una violazione dei dati personali non è questione di “se”, ma di “quando”. Il GDPR impone tempi stretti, e la fretta è la principale causa di errori. Sapere in anticipo cosa fare cambia l’esito.

Un allegato inviato al destinatario sbagliato, un portatile smarrito, un ransomware che cifra i sistemi, un accesso non autorizzato al gestionale: sono tutti data breach. E quasi sempre l’errore non è nella violazione in sé, ma nel modo confuso e tardivo con cui viene gestita.

Cos’è, davvero, un data breach

Il GDPR definisce la violazione dei dati personali come qualunque violazione di sicurezza che comporti, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato a dati personali. Non riguarda quindi solo gli attacchi informatici: anche un errore umano o un guasto che rende i dati indisponibili può esserlo.

Le prime 72 ore: la notifica al Garante

L’art. 33 del GDPR prevede che il titolare notifichi la violazione all’autorità di controllo — in Italia il Garante per la protezione dei dati personali — senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Il termine non decorre da quando si è capito tutto, ma da quando si è ragionevolmente consapevoli che una violazione è avvenuta.

La notifica non è automatica: si effettua a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone. È quindi la valutazione del rischio a guidare la decisione. Se la notifica avviene oltre le 72 ore, va accompagnata dalle ragioni del ritardo.

Le 72 ore non servono a “capire tutto”: servono a comunicare ciò che si sa, anche in modo progressivo.

Quando avvisare le persone coinvolte

Se la violazione comporta un rischio elevato per i diritti e le libertà degli interessati, l’art. 34 impone di comunicarlo anche a loro, senza ingiustificato ritardo e con un linguaggio chiaro, indicando la natura della violazione, le probabili conseguenze e le misure adottate. La comunicazione non è dovuta in alcuni casi — ad esempio se i dati erano cifrati in modo robusto, o se sono state adottate misure che scongiurano il rischio elevato.

Il registro delle violazioni

Anche quando una violazione non va notificata, va comunque documentata. L’art. 33 richiede di tenere traccia di tutte le violazioni — circostanze, effetti e provvedimenti adottati — in un registro interno. È lo strumento con cui il titolare dimostra di aver gestito l’incidente in modo responsabile, se il Garante lo chiede.

Cosa evitare

  • Aspettare di avere tutte le informazioni prima di muoversi: i termini decorrono dalla consapevolezza, non dalla ricostruzione completa.
  • Sottovalutare gli incidenti “interni”, come l’invio errato di dati: contano quanto un attacco esterno.
  • Comunicare in modo confuso o allarmistico agli interessati, o non conservare le evidenze tecniche dell’accaduto.

Prepararsi prima che accada

La differenza tra gestire e subire una violazione si gioca prima dell’incidente. Serve una procedura di gestione degli incidenti con ruoli chiari, un canale interno di segnalazione, i contatti del DPO, modelli di notifica già pronti e un minimo di formazione del personale. Quando l’orologio parte, non è il momento di decidere chi fa cosa.

Questo contenuto ha finalità informative e divulgative e non costituisce consulenza legale. La gestione di una violazione va valutata sul caso concreto, preferibilmente con il supporto del DPO o di un professionista.