In caso di violazione dei dati personali (data breach), il titolare del trattamento deve notificare l’evento al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne viene a conoscenza (art. 33 GDPR), tramite l’apposita procedura online sul portale del Garante, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Se il rischio per gli interessati è elevato, il titolare deve anche comunicare la violazione, senza ingiustificato ritardo, direttamente alle persone coinvolte (art. 34 GDPR). Ogni violazione, notificata o meno, va documentata in un registro interno (art. 33, par. 5). Le 72 ore non sono un adempimento formale: la Relazione annuale del Garante segnala oltre 2.415 notifiche di data breach nel 2025, in aumento del 10% sull’anno precedente, e la gestione della violazione è oggi uno dei principali punti di controllo dell’Autorità.
In sintesi
- La violazione di dati personali è definita dall’art. 4, n. 12, GDPR: qualsiasi violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato a dati personali.
- Il termine di 72 ore decorre dal momento in cui il titolare acquisisce un ragionevole grado di certezza che si è verificata una violazione, non dall’istante materiale dell’incidente.
- La soglia è il rischio: si notifica al Garante salvo che sia “improbabile che la violazione presenti un rischio”; si comunica agli interessati solo in caso di “rischio elevato”.
- Il contenuto minimo della notifica è fissato dall’art. 33, par. 3, GDPR (natura della violazione, categorie e numero di interessati, conseguenze probabili, misure adottate).
- Il registro delle violazioni (art. 33, par. 5) è obbligatorio anche per gli incidenti che non vengono notificati.
Che cos’è una violazione dei dati personali
L’art. 4, n. 12, del GDPR definisce la violazione dei dati personali come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. La definizione copre tre categorie che il titolare deve saper riconoscere subito:
- Violazione di riservatezza: accesso o divulgazione non autorizzati (un attacco ransomware con esfiltrazione, l’invio di un’email a un destinatario errato, il furto di un portatile aziendale non cifrato).
- Violazione di integrità: alterazione non autorizzata dei dati.
- Violazione di disponibilità: perdita di accesso o distruzione dei dati (un ransomware che cifra gli archivi senza backup, la cancellazione accidentale di un database).
Non ogni incidente informatico è un data breach in senso giuridico, ma ogni incidente che coinvolge dati personali va valutato in questa chiave. La valutazione va fatta con rapidità perché il cronometro delle 72 ore inizia a decorrere presto.
Quando notificare: la regola delle 72 ore e la soglia del rischio
L’art. 33, par. 1, impone al titolare di notificare la violazione al Garante “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche”. Due elementi meritano attenzione.
Il primo è il dies a quo. Le 72 ore non decorrono dal momento dell’attacco, ma da quando il titolare acquisisce un ragionevole grado di certezza che una violazione si è effettivamente verificata. Secondo le linee guida dell’EDPB sulla notifica delle violazioni (WP250, adottate dal Comitato europeo per la protezione dei dati), una volta che il titolare è “consapevole”, il termine parte, anche nei fine settimana e nei giorni festivi.
Il secondo è la soglia. Il criterio non è la gravità in astratto, ma il rischio per gli interessati. Il titolare deve svolgere una valutazione documentata considerando il tipo di violazione, la natura e il volume dei dati, la facilità di identificazione degli interessati, la gravità delle conseguenze possibili (furto d’identità, frode, danno reputazionale, discriminazione) e il numero di persone coinvolte.
| Livello di rischio | Notifica al Garante (art. 33) | Comunicazione agli interessati (art. 34) |
|---|---|---|
| Improbabile che presenti un rischio | Non obbligatoria (ma annotare nel registro e motivare) | No |
| Rischio presente | Obbligatoria entro 72 ore | No |
| Rischio elevato | Obbligatoria entro 72 ore | Sì, senza ingiustificato ritardo |
Quando la notifica non è effettuata entro 72 ore, l’art. 33, par. 1, richiede di corredarla dei motivi del ritardo. È inoltre ammessa la notifica per fasi (art. 33, par. 4): se le informazioni non sono disponibili tutte insieme, si può fornire un primo quadro entro le 72 ore e completarlo successivamente.
Come notificare: il portale del Garante
La notifica al Garante si effettua esclusivamente per via telematica, attraverso la procedura online disponibile sul sito del Garante, accessibile con SPID/CIE dal legale rappresentante del titolare o da un soggetto delegato. Il sistema guida la compilazione dei campi corrispondenti al contenuto richiesto dall’art. 33, par. 3, e consente di gestire sia la prima notifica sia gli eventuali aggiornamenti in caso di notifica per fasi.
È buona prassi che il modello di notifica sia predisposto in anticipo e che i ruoli siano già assegnati: chi rileva l’incidente, chi valuta il rischio, chi firma e trasmette. Improvvisare la compilazione a incidente in corso è il modo più sicuro per sforare le 72 ore.
Il contenuto della notifica (art. 33, par. 3)
La notifica deve contenere almeno:
- la natura della violazione, comprese, ove possibile, le categorie e il numero approssimativo di interessati coinvolti e le categorie e il numero approssimativo di registrazioni dei dati personali;
- i dati di contatto del Responsabile della protezione dei dati (RPD/DPO) o di altro punto di contatto presso cui ottenere informazioni;
- le probabili conseguenze della violazione;
- le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e attenuarne i possibili effetti negativi.
La qualità di queste informazioni conta: una descrizione vaga delle misure di sicurezza pregresse e di quelle correttive espone il titolare a un giudizio negativo dell’Autorità in sede di eventuale istruttoria.
La comunicazione agli interessati (art. 34)
Quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, l’art. 34 impone al titolare di comunicarla anche agli interessati, senza ingiustificato ritardo e con un linguaggio chiaro e semplice. La comunicazione deve descrivere la natura della violazione e contenere almeno le informazioni sub b), c) e d) dell’art. 33, par. 3.
L’art. 34, par. 3, prevede tre casi in cui la comunicazione diretta non è richiesta: se il titolare aveva applicato misure che rendono i dati incomprensibili a terzi (ad esempio una cifratura robusta), se ha adottato misure successive che scongiurano il rischio elevato, o se la comunicazione individuale richiederebbe sforzi sproporzionati (in tal caso si procede con una comunicazione pubblica o misura analoga). Il Garante può comunque ordinare al titolare di informare gli interessati se ritiene che il rischio elevato sussista.
Il registro delle violazioni (art. 33, par. 5)
A prescindere dalla notifica, il titolare deve documentare qualsiasi violazione dei dati personali in un registro interno: le circostanze, gli effetti e i provvedimenti adottati. Vale anche per le violazioni che si è deciso di non notificare perché ritenute prive di rischio: in quel caso la motivazione della mancata notifica va conservata proprio nel registro, perché è la prima cosa che il Garante chiede in caso di controllo. Il registro delle violazioni è complementare al registro dei trattamenti (art. 30) e alla valutazione d’impatto (DPIA): insieme costituiscono la prova documentale della vostra accountability.
Procedura interna passo passo
Un incidente ben gestito segue una sequenza definita in anticipo:
- Rilevazione e contenimento — chi individua l’anomalia la segnala immediatamente al punto di contatto interno; si isolano i sistemi e si ferma la propagazione.
- Registrazione dell’ora — si annota il momento in cui il titolare diventa consapevole: è il punto di partenza delle 72 ore.
- Valutazione del rischio — natura dei dati, volume, categorie di interessati, gravità delle conseguenze; il tutto messo per iscritto.
- Decisione — notifica al Garante sì/no; comunicazione agli interessati sì/no; con motivazione.
- Notifica — compilazione e invio tramite il portale del Garante entro il termine, eventualmente per fasi.
- Comunicazione agli interessati — se il rischio è elevato, in linguaggio chiaro.
- Documentazione — inserimento nel registro delle violazioni e chiusura con analisi post-incidente.
Se avete affidato parte dei trattamenti a fornitori esterni, ricordate che il responsabile del trattamento nominato ex art. 28 ha l’obbligo di informarvi “senza ingiustificato ritardo” appena viene a conoscenza di una violazione (art. 33, par. 2): il contratto deve fissare tempi e canali di segnalazione compatibili con le vostre 72 ore.
Un esempio concreto: il caso Enel Energia
La sicurezza delle banche dati non è un tema teorico. Con provvedimento dell’11 gennaio 2024 (comunicato del 29 febbraio 2024), il Garante ha irrogato a Enel Energia una sanzione di 79.107.101 euro — la più elevata mai comminata dall’Autorità italiana — anche per gravi carenze nella sicurezza delle banche dati aziendali, che avevano consentito a procacciatori abusivi di accedere e trattare illecitamente dati dei clienti nell’ambito di attività di telemarketing (provvedimento sul sito del Garante). Il caso mostra come le lacune organizzative e di sicurezza — proprio quelle che una violazione mette a nudo — possano tradursi in sanzioni di ordine di grandezza molto elevato. Per un quadro delle decisioni recenti si veda l’analisi delle sanzioni del Garante.
Domande frequenti
Da quando decorrono le 72 ore?
Dal momento in cui il titolare del trattamento acquisisce un ragionevole grado di certezza che si è verificata una violazione di dati personali, non dall’istante materiale dell’incidente né dalla sua scoperta tecnica preliminare. Le 72 ore comprendono anche fine settimana e festivi. Se non si riesce a rispettare il termine, la notifica va comunque effettuata indicando i motivi del ritardo (art. 33, par. 1).
Devo sempre avvisare gli interessati?
No. La comunicazione diretta agli interessati (art. 34) è dovuta solo quando la violazione è suscettibile di presentare un rischio elevato per i loro diritti e libertà. Non è richiesta se i dati erano cifrati e quindi incomprensibili a terzi, se sono state adottate misure che scongiurano il rischio elevato, o se la comunicazione individuale comporterebbe sforzi sproporzionati (con ricorso, in tal caso, a una comunicazione pubblica).
Cosa succede se non notifico una violazione notificabile?
La mancata o tardiva notifica costituisce di per sé una violazione dell’art. 33 e può essere sanzionata, indipendentemente dalla violazione originaria. È uno degli aspetti che il Garante verifica con maggiore attenzione: per questo è essenziale documentare nel registro anche le violazioni che si decide di non notificare, con la motivazione della valutazione del rischio.
Conclusione
La gestione di un data breach si gioca sulla preparazione, non sull’improvvisazione. Chi ha definito in anticipo il punto di contatto, la matrice di valutazione del rischio, i modelli di notifica e i tempi di segnalazione dei responsabili del trattamento rispetta le 72 ore quasi senza sforzo; chi non lo ha fatto scopre l’art. 33 mentre il cronometro corre. Predisponete una procedura scritta, un registro delle violazioni sempre aggiornato e canali chiari con i fornitori. Una piattaforma di conformità come Legiscope consente di tenere insieme registro dei trattamenti, registro delle violazioni e documentazione delle misure di sicurezza, così che, il giorno dell’incidente, la notifica sia una compilazione guidata e non una corsa contro il tempo. Per il quadro d’insieme degli adempimenti, resta utile partire da un buon software di conformità GDPR.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial