Quando fare una segnalazione data breach? Guida operativa ai termini e agli obblighi del GDPR

La gestione di un incidente di sicurezza è uno dei momenti più critici per qualsiasi azienda o ente pubblico. Il panico iniziale, unito alla complessità tecnica dell'accaduto, spesso offusca la lucidità necessaria per prendere decisioni legali corrette. Una delle domande più urgenti che il Titolare del trattamento deve porsi, consultando il proprio DPO, è: quando fare una segnalazione data breach?

Il Regolamento Europeo 2016/679 (GDPR) ha introdotto regole ferree, ma non impone la notifica indiscriminata di ogni minimo disguido. Esistono soglie di rischio e tempistiche precise che, se ignorate, possono portare a sanzioni amministrative devastanti. In questo articolo tecnico, analizzeremo gli articoli 33 e 34 del GDPR per fornire una risposta definitiva e operativa su scadenze, criteri di valutazione e procedure obbligatorie.

Cos'è un Data Breach: Non solo attacchi hacker

Per capire quando fare una segnalazione data breach, bisogna prima identificare correttamente l'evento. L'articolo 4 del GDPR definisce la violazione dei dati personali come una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.

Non si tratta solo di intrusioni esterne (ransomware, phishing). Rientrano nella casistica anche:

Accesso non autorizzato interno: Un dipendente che accede a dati riservati senza averne diritto.

Furto o smarrimento di dispositivi: La perdita di un notebook, uno smartphone o una chiavetta USB contenente dati non cifrati.

Invio errato di comunicazioni: Una email con dati sensibili inviata al destinatario sbagliato (violazione di confidenzialità).

Indisponibilità dei dati: Un guasto ai server o un attacco che rende i dati inaccessibili per un periodo significativo (violazione di disponibilità).

La notifica al Garante Privacy (Articolo 33): Il criterio delle 72 ore

L'articolo 33 del GDPR stabilisce l'obbligo primario verso l'Autorità di Controllo (in Italia, il Garante per la Protezione dei Dati Personali). La regola generale impone di notificare la violazione senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il Titolare ne è venuto a conoscenza.

Il filtro del "Rischio"

Tuttavia, l'obbligo non è assoluto. La notifica non è necessaria se è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Dunque, per decidere quando fare una segnalazione data breach, il Titolare (supportato dal DPO) deve effettuare un'immediata valutazione del rischio (Risk Assessment).

Se la violazione comporta rischi di discriminazione, furto d'identità, perdite finanziarie, pregiudizio alla reputazione o perdita di riservatezza di dati protetti dal segreto professionale, la notifica è obbligatoria.

La comunicazione agli interessati (Articolo 34): La soglia del "Rischio Elevato"

Spesso si fa confusione tra la notifica al Garante e l'avviso ai diretti interessati (clienti, dipendenti, utenti). L'articolo 34 del GDPR pone un'asticella più alta. È obbligatorio comunicare la violazione agli interessati solo quando questa è suscettibile di presentare un rischio elevato per i loro diritti e le libertà.

Mentre al Garante si notifica quasi ogni rischio (tranne quelli improbabili), agli utenti si scrive solo se il pericolo è concreto e grave. La comunicazione deve essere fatta "senza ingiustificato ritardo" e deve spiegare chiaramente la natura della violazione e le raccomandazioni per proteggersi (es. "cambiate subito le vostre password").

Esempi pratici: Quando segnalare e quando no

Per chiarire definitivamente quando fare una segnalazione data breach, esaminiamo tre scenari comuni basati sulle linee guida dei garanti europei (WP29/EDPB).

Scenario A: Furto di database in chiaro (Segnalazione Obbligatoria)

Un attacco hacker esfiltra un database contenente nomi, indirizzi, codici fiscali e dati sanitari dei clienti. Qui c'è un rischio elevato di frode e discriminazione.

Azione: Notifica al Garante entro 72 ore E comunicazione agli interessati.

Scenario B: Smarrimento dispositivo cifrato (Nessuna Segnalazione)

Un dipendente perde una chiavetta USB contenente dati personali. La chiavetta è protetta da crittografia avanzata (es. AES-256) e la password non è conservata insieme al dispositivo. I dati sono inintelligibili per chiunque la trovi.

Azione: Non è necessario notificare né al Garante né agli interessati, poiché il rischio è considerato nullo (i dati non sono accessibili).

Scenario C: Ransomware con backup funzionante (Segnalazione Dipendente dalle azioni del Cybercriminale)

Un ransomware cripta i dati aziendali rendendoli indisponibili per 1 ora. L'azienda ripristina tutto dai backup e l'analisi forense conferma che non c'è stata esfiltrazione (copia) dei dati verso l'esterno.

Azione: Se l'indisponibilità temporanea non ha creato danni gravi ai diritti delle persone (es. non ha bloccato un intervento chirurgico urgente), potrebbe non essere necessario notificare. Tuttavia, la valutazione va fatta con estrema cautela in quanto bisogna dimostrare che il cybercriminale non ha avuto accesso a nessun dato personale.
Questi sono i casi più complessi da trattare: In ogni caso il consiglio è quello di aprire una segnalazione preliminare al Garante della privacy per poi riservarsi più tempo per verificare se c'è stata una perdita di Riservatezza, Disponibilità o Integrità dei dati personali

Cosa fare se si superano le 72 ore?

Il termine delle 72 ore non è perentorio nel senso che, se superato, la notifica viene rifiutata. Tuttavia, se la segnalazione avviene oltre tale termine, essa deve essere corredata dai motivi del ritardo. Le violazioni complesse possono richiedere più tempo per essere indagate: il GDPR permette una "notifica preliminare" entro le 72 ore, seguita da integrazioni successive man mano che emergono i dettagli (notifica a fasi).

L'importanza del Registro delle Violazioni (Accountability)

C'è un obbligo che sussiste sempre, indipendentemente dalla decisione di notificare o meno. Ai sensi dell'articolo 33, paragrafo 5, il Titolare deve documentare qualsiasi violazione dei dati personali in un apposito registro interno.

Questo registro deve contenere le circostanze della violazione, le sue conseguenze e i provvedimenti adottati. È fondamentale perché, in caso di ispezione futura, l'Autorità chiederà di vedere questo registro per capire perché, in una determinata occasione, avete deciso che non era necessario fare una segnalazione data breach. Senza questa prova documentale, la mancata notifica sarà indifendibile.

Le sanzioni per mancata notifica

Sottovalutare la domanda "quando fare una segnalazione data breach?" comporta rischi enormi. La mancata notifica all'Autorità (art. 33) o agli interessati (art. 34) costituisce una violazione autonoma, punibile con sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo. Spesso, la sanzione per non aver notificato è più alta di quella per la carenza di sicurezza che ha causato l'incidente.

Conclusioni

Determinare quando fare una segnalazione data breach non è una scelta discrezionale, ma un processo tecnico-legale basato sull'analisi del rischio. In caso di dubbio, la trasparenza verso l'Autorità è spesso la strategia migliore per dimostrare la propria buona fede e la capacità di gestire l'incidente. Il ruolo del DPO è centrale in questa fase: è la figura che deve guidare il Titolare nella tempestosa finestra delle 72 ore, bilanciando la compliance normativa con la tutela della reputazione aziendale.