Quando si verifica un data breach, il tempo non è una variabile neutra, ma è bensì il primo fattore di rischio. Nelle prime 72 ore, infatti, si decide non solo la qualità della risposta tecnica, ma anche la tenuta giuridica dell’organizzazione, la credibilità verso clienti e assistiti e, in molti casi, l’entità della futura esposizione sanzionatoria.
Per aziende e studi professionali il punto, infatti, non è soltanto “subire” o meno un incidente. Il vero discrimine è come reagire, con quale metodo, con quali evidenze e con quale capacità di distinguere tra evento informatico, incidente di sicurezza e violazione di dati personali rilevante ai sensi del Regolamento. Il GDPR impone infatti al titolare di notificare la violazione all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo che sia improbabile un rischio per i diritti e le libertà delle persone fisiche. Se il rischio è elevato, occorre anche comunicare la violazione agli interessati senza ingiustificato ritardo. Il responsabile del trattamento, dal canto suo, deve informare il titolare senza ritardo.
Le prime ore non devono quindi essere impiegate a inseguire soluzioni improvvisate, ma devono servire necessariamente a governare il caos. Occorre attivare subito una cabina di regia minima: direzione, referente tecnico, funzione privacy, DPO (se nominato), legale interno o esterno, e, se necessario, comunicazione. Questa impostazione non è una semplice buona prassi manageriale, ma è coerente con il modello di gestione dell’incidente delineato dagli standard ISO/IEC 27001 e 27002, che richiedono processi, ruoli, responsabilità, procedure documentate, raccolta delle evidenze e risposta ordinata agli incidenti.
In questa fase la priorità è duplice. Da un lato, contenere l’evento, isolando sistemi compromessi, revocndo credenziali, bloccando accessi anomali, segmentando la rete, preservando backup e verificando eventuali fornitori coinvolti. Dall’altro, cristallizzare le prove, log, timestamp, copie forensi, ticket, screenshot, tracciati di accesso, alert ricevuti, decisioni assunte. La raccolta delle evidenze è un presidio tecnico, ma anche un presidio probatorio.
E’ bene precisare, comunque che non ogni anomalia tecnica integra una violazione di dati personali, anche se comuqnue la nozione di data breach è più ampia di quanto spesso si creda. Non riguarda solo la sottrazione o la divulgazione indebita, ma può consistere anche nella perdita di disponibilità dei dati. Ad esempio, anche una indisponibilità temporanea può costituire violazione, se espone gli interessati a un rischio concreto, un ransomware, in tale prospettiva, non è un semplice problema informatico, ma può diventare un data breach a tutti gli effetti.
La domanda corretta, dunque, non è solo: “Ci hanno rubato i dati?”. La domanda giusta è: sono stati compromessi riservatezza, integrità o disponibilità di dati personali? Se la risposta è sì, il perimetro GDPR è già aperto.
Ma il GDPR non impone una notifica indiscriminata sic et simpliciter, impone piuttosto una valutazione concreta ed attuale del rischio. La notifica all’autorità non è ad esempio richiesta se la violazione non presenta un rischio per i diritti e le libertà delle persone fisiche, e la comunicazione agli interessati è invece dovuta quando il rischio diventa elevato.
Ed è qui il vero punto. Perchè questa valutazione deve essere rapida ma al tempo stesso non sommaria. Occorre chiedersi, in concreto, quali dati siano coinvolti, quanti interessati siano esposti, se i dati siano stati cifrati, se vi siano minori, dati sanitari, dati giudiziari, informazioni finanziarie, credenziali o documenti professionali coperti da particolare riservatezza. Per uno studio professionale, ad esempio, la violazione di atti difensivi, corrispondenza riservata o documentazione sanitaria dei clienti innalza in modo sensibile il rischio giuridico e reputazionale.
Non basta dire “stiamo verificando”. Bisogna documentare il ragionamento. Anche quando si conclude per la non notifica, la scelta deve essere motivata e tracciata. È qui che si misura la vera accountability.
Ora, le 72 ore decorrono dal momento in cui il titolare viene a conoscenza della violazione. Se la notifica non viene effettuata entro tale termine, deve essere accompagnata dalle ragioni del ritardo. Questo dato merita una precisazione pratica: il termine non autorizza inerzie investigative. Le 72 ore non sono una franchigia, ma sono un limite esterno. Il titolare deve muoversi senza ingiustificato ritardo e può magari anche effettuare una notifica iniziale incompleta, integrandola successivamente quando emergano ulteriori dettagli. Il responsabile del trattamento, a sua volta, deve informare prontamente il titolare proprio per consentirgli di rispettare la finestra temporale prevista dall’art. 33 GDPR.
Sul piano operativo, il Garante ha anche indicato modalità e modello per la notificazione (premere qui per leggere), e il dato è meno formale di quanto sembri: una notifica mal costruita, generica o incoerente rivela spesso una governance fragile e può aggravare il giudizio complessivo dell’autorità.
Si badi che la comunicazione agli interessati non va confusa con la notifica all’autorità. È un adempimento distinto, più delicato, e spesso più impattante sul piano reputazionale. Deve essere resa senza ingiustificato ritardo quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Vi sono, però, ipotesi di esonero. La comunicazione non è necessaria ad esempio se i dati erano protetti da misure adeguate, in particolare tali da renderli incomprensibili, come la cifratura, oppure se il titolare ha adottato successivamente misure idonee a escludere il rischio elevato, oppure ancora se la comunicazione richiederebbe sforzi sproporzionati, nel qual caso occorre una comunicazione pubblica o misura equivalente.
Qui si vede con chiarezza la differenza tra quella che potremmo definire “compliance apparente” con la compliance sostanziale: chi ha investito prima in cifratura, segmentazione, backup e procedure di risposta arriva dopo in una posizione molto più difendibile.
Gran parte degli incidenti nascono o si propagano nella filiera tecnologica, è per questo che nelle prime 72 ore, è essenziale verificare se il data breach coinvolga responsabili del trattamento, sub-responsabili, provider cloud, software house o partner esterni. Gli standard ISO insistono sul governo della supply chain ICT, sul monitoraggio dei servizi dei fornitori e sulla necessità di requisiti di sicurezza chiari nei relativi accordi.
Per imprese e studi questo punto è cruciale, il fatto che l’evento si manifesti “presso il fornitore” non elide automaticamente la responsabilità del titolare. La filiera contrattuale deve essere già predisposta a gestire escalation, segnalazioni, accesso ai log, cooperazione e tempi di risposta.
Ad ogni modo, un data breach, com’è facile intuire, non produce soltanto effetti lato privacy. ma può letteralmente bloccare l’operatività, compromettendo disponibilità dei sistemi. Ecco perché la garanzia di continuità, la possibilità di ripristino e la tenuta dei servizi sono parte integrante della risposta. Per uno studio professionale questo significa salvaguardare fascicoli, scadenze, udienze, accessi da remoto e flussi con i clienti. Per un’azienda significa proteggere produzione, assistenza, contabilità, HR e customer care. Insomma, il data breach è anche un problema di business continuity. Trascurarlo è un errore che si paga due volte.
Ma vediamo meglio dov’è che si annida il rischio giuridico.
Gli articoli 33 e 34 GDPR rientrano tra gli obblighi del titolare e del responsabile compresi negli articoli da 25 a 39 GDPR. La loro violazione è dunque esposta alla fascia sanzionatoria fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo, se superiore.
Il quadro, però, non si esaurisce qui. Se l’incidente rivela violazioni più profonde dei principi di base del trattamento – si pensi a carenze strutturali di sicurezza, minimizzazione, liceità o accountability – possono entrare in gioco anche le soglie più elevate, fino a 20 milioni di euro o al 4% del fatturato mondiale annuo. Inoltre, il GDPR contempla il risarcimento del danno in favore dell’interessato, mentre l’autorità può adottare misure correttive ulteriori, incluso il divieto di trattamento fino al ripristino della conformità.
È importante ricordare, poi, che nella quantificazione della sanzione rilevano la natura e gravità della violazione, la durata, il carattere doloso o colposo, le misure adottate per attenuare il danno e il grado di cooperazione con l’autorità. In altri termini, la condotta tenuta nelle prime 72 ore incide direttamente anche sul destino sanzionatorio del caso.
Entro le prime ore occorre quindi attivare il team di crisi, delimitare il perimetro dell’incidente e impedire che l’evento continui a propagarsi. Subito dopo bisogna accertare se sono coinvolti dati personali, distinguendo tra perdita di riservatezza, alterazione e indisponibilità.
Nelle ore successive serve una valutazione del rischio che non sia impressionistica. Bisogna capire quali dati, quali persone, quali sistemi e quali fornitori siano interessati. Contestualmente vanno raccolte e conservate le evidenze.
Se il rischio per i diritti e le libertà è presente, bisogna predisporre la notifica al Garante entro 72 ore, se il rischio è elevato, anche la comunicazione agli interessati. Se i dati erano cifrati o il rischio elevato è stato neutralizzato, va spiegato con precisione perché si ritiene non necessaria la comunicazione.
Infine, prima che si chiuda la finestra delle 72 ore, occorre già aver impostato tre cantieri: ripristino operativo, correzione delle vulnerabilità e tracciamento documentale di ogni decisione assunta. Senza questa triade, la risposta resta monca.
Insomma, come abbiamo visto, un data breach non è soltanto un incidente tecnico. È una prova di maturità organizzativa. Nelle prime 72 ore emergono con nettezza le differenze tra chi ha costruito processi, ruoli e misure e chi, invece, affida la protezione dei dati a soluzioni estemporanee.
Per aziende e studi professionali la vera difesa non coincide con l’illusione dell’inviolabilità, ma coincide con la capacità di rilevare, valutare, contenere, notificare e documentare in modo tempestivo, proporzionato e giuridicamente sorvegliato.
Per questo l’incident response non dovrebbe essere attivato quando il danno è già manifesto, ma progettato prima, testato prima e governato prima. Solo così le 72 ore del GDPR smettono di essere una trappola e diventano uno spazio di controllo.
Ed allora, risulta alquanto evidente che prima ancora di richiedere supporto nella gestione di un data breach va chiesto nella costruzione di una procedura di incident response conforme al GDPR. Un intervento tempestivo, tecnico-legale e documentato può ridurre l’impatto dell’evento e rafforzare la posizione dell’organizzazione sin dalle prime ore.
Per approfondire:
- G. FINOCCHIARO, La protezione dei dati personali in Italia, Bologna, 2019;
- M. G. RICCIO, G. SCORZA, E. BELISARIO, GDPR e Normativa Privacy Commentario, Padova, 2018;
- R. SCIAUDONE, E. CARAVÀ, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pisa, 2019;
- S. SICA, V. ZENO ZENCOVICH, Manuale di diritto dell'informazione e della comunicazione, Padova, 2019;
- A. CICCIA MESSINA, N. BERNARDI, Privacy e Regolamento Europeo, Padova, 2017;
- R. BESSI, Il trasferimento dei dati personali verso paesi terzi nel regolamento generale sulla protezione dei dati, in Rivista di diritto dei media, 3/2017, pp. 1-28.
- G. BUTTARELLI, Il trasferimento internazionale dei dati personali tra continuità e innovazione: il regolamento generale sulla protezione dei dati e il protocollo modificativo alla convenzione 108 del Consiglio d'Europa, in Diritto dell'informazione e dell'informatica, 1/2018, pp. 3-24.
- P. DE HERT, V. PAPAKONSTANTINOU, The new General Data Protection Regulation: Still a sound system for the protection of individuals?, in Computer Law & Security Review, 2016, vol. 32, n. 2, pp. 179-194.
- F. FABBRINI, Schrems II: A watershed moment for data privacy?, in European Law Review, 2020, vol. 45, n. 6, pp. 769-789.
- G. FINOCCHIARO, G. RESTA, Il trasferimento internazionale dei dati personali tra diritto europeo e diritto interno: profili sostanziali e processuali, in Giurisprudenza italiana, 2019, vol. 167, n. 11-12, pp. 2615-2624;
- G. FINOCCHIARO, Identità personale su Internet: Il diritto alla contestualizzazione dell’informazione, in DInf, 28, 3, 2012, 383;
- G. FINOCCHIARO, Il diritto all’oblio nel quadro dei diritti della personalità, in DInf, 29, 4-5, 2014, 596;
- A. RICCI, I diritti dell’interessato, in G. FINOCCHIARO (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2016, 201;
- F. PIZZETTI, Le Autorità Garanti per la protezione dei dati personali e la sentenza della Corte di giustizia sul caso Google Spain: è tempo di far cadere il “Velo di Maya”, in RESTA-ZENO-ZENCOVICH, Il diritto all’oblio su Internet dopo la sentenza Google Spain, Roma, 2015, 274;
- F. PIZZETTI, Il prisma del diritto all’oblio, in F. PIZZETTI, Il caso del diritto all’oblio, Torino, 2013, 21-63;
- T.E. FROSINI, Il diritto all’oblio e la libertà informatica, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 94;
- A. MANTELERO, Il diritto all’oblio dalla carta stampata ad Internet, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 145-172;
- SIANO, Il diritto all’oblio in Europa e il recente caso spagnolo, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 125;
- D’ANTONIO, Oblio e cancellazione dei dati nel diritto europeo, in SICA-D’ANTONIO-RICCIO (a cura di), La nuovadisciplina europea della privacy, Milano, 2016, 207;
- FERRI, Diritto all’informazione e diritto all’oblio, in RDC, 1990, I, 818;
- OROFINO, Trattamento dei dati personali e libertà di espressione e di informazione, in CALIFANO-COLAPIETRO (a cura di), Innovazione tecnologica e valore della persona, Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017;
- E. PELINO, I diritti dell’interessato, in BOLOGNINI-PELINO-BISTOLFI, Il Regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016, 259, 263, 264;
- RICCIO, Diritto all’oblio e responsabilità dei motori di ricerca, in DInf, 29, 4-5, 2014, 759;
- COOLEY, Treatise on the Law of Torts del 1879, in GLANCY, The Invention of the Right to Privacy, Arizona Law Review, vol. 29, 1, 1979;
- WARREN-BRANDEIS, The Right to Privacy, in Harvard Law Review, vol. 4, 1890, V, 193-220;
- G. ALPA, A. IANNINI, P. ROCCO, Circolazione e protezione dei dati personali tra libertà e regole del mercato, Milano, 2019;
- G.M. RICCIO, G. SCORZA, E. BELISARIO, GDPR e normativa privacy, Commentario, Padova, 2018;
- L. BOLOGNINI, E. PELINO (diretto da), Codice della disciplina privacy, Milano, 2019;
- A. AVITABILE, Il Data Protection Officier, in G. FINOCCHIARO (diretto da), Il nuovo regolamento europeo sulla privacy e protezione dei dati personali, Bologna, 2017;
- E. PELINO, L. BOLOGNINI, C. BISTOLFI, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- E-commerce: gli obblighi legali decisivi - 30 Marzo 2026
- Videosorveglianza sul lavoro: gli errori che costano caro - 23 Marzo 2026
- Il DPO esterno nelle PMI - 16 Marzo 2026
- Data breach: cosa fare nelle prime 72 ore - 9 Marzo 2026
- Privacy e imprese: il problema non è il regolamento - 2 Marzo 2026
