È obbligatorio fare la segnalazione di data breach? Guida operativa al GDPR e alla gestione delle violazioni

La sicurezza delle informazioni non è mai assoluta e l'incubo di ogni azienda è scoprire che i propri dati sono stati compromessi. Di fronte a un incidente di sicurezza, la domanda più urgente che un Titolare del trattamento o un IT Manager deve porsi è: è obbligatorio fare la segnalazione di data breach?

La risposta breve è: dipende dal livello di rischio. Il Regolamento Europeo 2016/679 (GDPR) ha introdotto un regime rigoroso di accountability (responsabilizzazione) che impone di valutare ogni incidente, ma non obbliga a notificare tutto indistintamente. In questo articolo tecnico, analizzeremo gli articoli 33 e 34 del GDPR per capire esattamente quando scatta l'obbligo di notifica all'Autorità Garante, quando è necessario avvisare gli interessati e quali sono i tempi e le modalità per non incorrere in sanzioni.

Cos'è esattamente un Data Breach secondo il GDPR?

Prima di capire se è obbligatorio fare la segnalazione di data breach, è fondamentale definire cosa costituisce una "violazione dei dati personali". Molti associano il termine solo agli attacchi hacker esterni, ma la definizione giuridica è molto più ampia.

Secondo l'articolo 4, punto 12 del GDPR, una violazione di dati personali è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Esistono tre tipologie principali di violazione (Triade RID):

Violazione di Confidenzialità: divulgazione o accesso non autorizzato ai dati (es. invio di una email con dati sensibili al destinatario sbagliato, furto di credenziali, accesso abusivo).

Violazione di Integrità: alterazione non autorizzata o accidentale dei dati (es. un malware che modifica le cartelle cliniche).

Violazione di Disponibilità: perdita o distruzione accidentale o non autorizzata (es. un attacco ransomware che cripta i dati rendendoli inaccessibili senza un backup funzionante).

Quando è obbligatorio notificare il Garante Privacy (Articolo 33)

L'articolo 33 del GDPR stabilisce la regola generale per la notifica all'Autorità di controllo (in Italia, il Garante per la Protezione dei Dati Personali). L'obbligo scatta se la violazione presenta un rischio per i diritti e le libertà delle persone fisiche.

Il Titolare del trattamento deve notificare la violazione all'Autorità competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Se la notifica avviene oltre questo termine, deve essere accompagnata dai motivi del ritardo.

Il criterio del "Rischio"

Quindi, è obbligatorio fare la segnalazione di data breach sempre? No. L'articolo 33 specifica un'eccezione fondamentale: la notifica non è dovuta se è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

Esempi in cui la notifica NON è obbligatoria:

Dati cifrati: Se viene smarrita una chiavetta USB contenente dati personali, ma questi sono protetti da una crittografia robusta e la chiave di decifrazione non è stata compromessa, i dati sono inintelligibili per chiunque li trovi. Il rischio è nullo o molto basso.

Dati recuperati immediatamente: Se un dipendente invia per errore un file a un collega sbagliato interno all'azienda, e il mittente conferma l'immediata cancellazione senza che i dati siano stati letti o diffusi, il rischio potrebbe essere considerato trascurabile.

Al contrario, se la violazione riguarda dati sanitari, dati bancari, password in chiaro o può portare a furto d'identità, discriminazione o danno reputazionale, la notifica è assolutamente obbligatoria.

Quando è obbligatorio comunicare la violazione agli interessati (Articolo 34)

Esiste un secondo livello di obbligo, spesso confuso con il primo. Oltre a dire al Garante cosa è successo, bisogna dirlo anche alle persone coinvolte (clienti, dipendenti, utenti)?

L'articolo 34 del GDPR stabilisce che la comunicazione agli interessati è obbligatoria quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Si noti la differenza: per il Garante basta un "rischio", per gli utenti serve un "rischio elevato".

In questo caso, la comunicazione deve essere fatta "senza ingiustificato ritardo" e deve essere chiara e semplice, spiegando la natura della violazione e le raccomandazioni per mitigare i possibili effetti negativi (es. "cambiate subito la vostra password").

Anche qui esistono eccezioni. Non è obbligatorio informare i singoli utenti se:

Misure tecniche adeguate: I dati erano cifrati o resi inintelligibili.

Misure successive: Il Titolare ha agito immediatamente per scongiurare il rischio elevato (es. blocco immediato di carte di credito compromesse).

Sforzo sproporzionato: Se contattare ogni singolo utente richiede uno sforzo eccessivo, si può procedere con una comunicazione pubblica (es. avviso sul sito web o sui giornali).

Cosa fare entro le 72 ore: il ruolo del DPO

La finestra temporale delle 72 ore è estremamente ristretta. In questo lasso di tempo, l'azienda, supportata dal Data Protection Officer (DPO), deve attivare una procedura di Incident Response che preveda:

1. Rilevamento e contenimento: Isolare i sistemi compromessi per fermare la fuga di dati.

2. Valutazione del rischio: Analizzare la natura dei dati, il volume, le conseguenze per gli interessati e la probabilità di danno.

3. Decisione sulla notifica: Stabilire formalmente se è obbligatorio fare la segnalazione di data breach al Garante e/o agli interessati basandosi sull'assessment del rischio.

Il contenuto della notifica al Garante deve includere almeno: la natura della violazione, le categorie e il numero approssimativo di interessati e record di dati, il nome e i contatti del DPO, le probabili conseguenze della violazione e le misure adottate o proposte per porvi rimedio.

L'obbligo del Registro delle Violazioni

C'è un aspetto cruciale che viene spesso trascurato. Anche se l'azienda decide che non è obbligatorio fare la segnalazione di data breach perché il rischio è basso, ha comunque l'obbligo di documentare l'accaduto internamente.

L'articolo 33, paragrafo 5, impone al Titolare del trattamento di tenere un Registro delle violazioni (spesso integrato nel Registro dei Trattamenti). In questo documento devono essere riportate tutte le violazioni, comprese quelle non notificate, indicando le circostanze, le conseguenze e i provvedimenti adottati. Questo registro è la prima cosa che l'Autorità Garante chiederà in caso di ispezione per verificare se la decisione di non notificare era legittima (Principio di Accountability).

Le sanzioni per mancata segnalazione

Sottovalutare la domanda "è obbligatorio fare la segnalazione di data breach?" può costare molto caro. La mancata notifica all'Autorità, o la mancata comunicazione agli interessati quando dovuta, costituisce una violazione autonoma del GDPR, distinta dalla violazione che ha causato la perdita dei dati (carenza di misure di sicurezza).

Secondo l'articolo 83 del GDPR, le sanzioni amministrative per la violazione degli articoli 33 e 34 possono arrivare fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente. Inoltre, nascondere un data breach espone l'azienda a danni reputazionali devastanti e a possibili class action da parte degli utenti danneggiati.

Conclusioni sulla gestione dell'incidente

Determinare se sia obbligatorio o meno procedere alla notifica richiede una valutazione tecnica e legale immediata. L'approccio migliore è la prudenza documentata: ogni incidente va registrato, valutato analiticamente e, nel dubbio, il coinvolgimento tempestivo del proprio DPO è l'unica via per garantire la conformità e proteggere il business.