Ai sensi dell’art. 33 del Regolamento (UE) 2016/679 (GDPR), il titolare del trattamento che subisce una violazione dei dati personali — c.d. data breach — è tenuto a notificare l’evento all’Autorità Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne viene a conoscenza. La notifica tardiva o omessa può comportare sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, se superiore.
Da quando decorrono le 72 ore
Il termine decorre dal momento in cui il titolare ha una ragionevole certezza che si sia verificata una violazione, non dal momento in cui viene avviata l’indagine interna o in cui si raggiunge la piena cognizione dell’accaduto. È un punto cruciale: attendere di avere un quadro completo prima di notificare è uno degli errori che le autorità sanzionano con maggiore severità. Quando i tempi sono stretti, è preferibile una notifica iniziale, eventualmente integrata in un secondo momento.
Le azioni prioritarie nelle prime ore
Nelle prime ore dall’individuazione di un incidente di sicurezza, le azioni prioritarie sono: isolare i sistemi compromessi per contenere la violazione, avviare una prima valutazione della natura e della portata dell’incidente (tipologia di dati coinvolti, numero approssimativo di interessati, possibili conseguenze) e verificare se si tratta di una violazione che comporta un “rischio per i diritti e le libertà” degli interessati — soglia che attiva l’obbligo di notifica.
Se la violazione è suscettibile di presentare un rischio elevato, occorre inoltre predisporre la comunicazione agli interessati stessi ai sensi dell’art. 34 GDPR, con un linguaggio chiaro e indicazioni pratiche sulle misure da adottare. Tutte le violazioni, anche quelle che non superano la soglia di rischio e che quindi non vanno notificate, devono comunque essere documentate nel registro interno delle violazioni.
Cosa fa davvero la differenza con il Garante
La differenza tra una sanzione pesante e un semplice rilievo formale dipende quasi sempre dalla reattività e dall’organizzazione del titolare. Le autorità di controllo tendono a valutare positivamente i casi in cui il data breach è stato notificato nei tempi, la comunicazione è stata completa e trasparente, e le misure di contenimento sono state adottate tempestivamente.
Avere una procedura interna predefinita — che individui i responsabili, i canali di comunicazione e le azioni da compiere — è la misura più efficace per essere pronti quando si verifica un incidente. Uno studio legale specializzato in privacy può affiancare l’impresa sia nella fase di prevenzione, costruendo il modello organizzativo e il registro delle violazioni, sia nella gestione dell’emergenza, quando ogni ora conta.