Notifica data breach al Garante: quando è obbligatoria (e quando no)

Notifica data breach al Garante: quando è obbligatoria (e quando no)

Dopo un attacco informatico la prima domanda è: devo notificare la violazione al Garante? Non sempre è obbligatorio. La notifica è dovuta solo a due condizioni: coinvolgimento di dati personali e rischio per i diritti delle persone. Ecco come valutarlo e cosa fare in ogni caso.

In breve — La notifica di un data breach al Garante non è sempre obbligatoria. Lo è solo quando ricorrono due presupposti insieme: l’incidente ha coinvolto dati personali e la violazione comporta un rischio per i diritti e le libertà delle persone. Se entrambi sussistono, la notifica va fatta — ove possibile — entro 72 ore. Se invece il rischio è improbabile, la notifica non è dovuta, ma occorre documentare per iscritto la valutazione che ha portato a non procedere. Una gestione approssimativa di questi adempimenti espone l’impresa a sanzioni significative.

1. Dopo un attacco informatico: la prima domanda è «devo notificare?»

Gli attacchi informatici sono ormai all’ordine del giorno: ransomware, accessi abusivi, e-mail compromesse, esfiltrazione di documenti. Quando un’impresa o un ente subisce un incidente di sicurezza che tocca dati personali, la prima domanda che si pone è quasi sempre la stessa: dobbiamo fare la notifica al Garante?

Nella nostra esperienza, sempre più aziende ed enti ci contattano proprio per gestire questo passaggio. E non è un adempimento da prendere alla leggera: una gestione approssimativa — una notifica omessa quando era dovuta, o fatta male — può esporre l’organizzazione a sanzioni pecuniarie anche significative.

Occorre però premettere una cosa che spesso si dà per scontata: in caso di violazione la notifica non è sempre obbligatoria. Lo è solo a determinate condizioni. In questo articolo vediamo quando la notifica al Garante è obbligatoria, quando non lo è, e quali adempimenti restano anche quando non si procede.

Art. 33 GDPR — la regola base. Il titolare del trattamento notifica al Garante la violazione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, «a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche». Il comma 5 aggiunge l’obbligo di documentare qualsiasi violazione, le sue circostanze, conseguenze e i provvedimenti adottati.

La norma, letta bene, dice quindi una cosa precisa: la notifica è la regola, ma cade quando è improbabile un rischio per le persone. Da qui i due presupposti che vanno verificati in sequenza.

2. Primo presupposto: è stata coinvolta una violazione di dati personali?

È il punto di partenza, e sembra ovvio — ma non lo è. Non tutti gli attacchi o gli incidenti informatici coinvolgono necessariamente dati personali.

Un attacco può aver bloccato i sistemi senza che nessun dato personale sia stato letto o copiato; può aver colpito informazioni aziendali non riferibili a persone fisiche; può essersi limitato all’invio di e-mail dai server compromessi senza accesso agli archivi. In tutti questi casi manca il primo presupposto: senza coinvolgimento di dati personali, non si entra nemmeno nel perimetro dell’art. 33 GDPR.

È dunque fondamentale, come prima cosa, accertare se e quali dati personali siano stati effettivamente interessati: sono stati copiati? Sono stati scaricati documenti che li contengono? O l’attacco si è fermato prima? Spesso questa analisi richiede tempo e il supporto di tecnici, e va condotta con attenzione perché da essa dipende tutto il resto.

3. Secondo presupposto: c’è un rischio per i diritti e le libertà delle persone?

Accertato il coinvolgimento di dati personali, il secondo presupposto è quello che la norma pone come vero spartiacque: la violazione presenta un rischio per i diritti e le libertà delle persone fisiche?

Lo conferma il Considerando 85 del GDPR: il titolare effettua la notifica «a meno che (…) non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».

Lo stesso Garante, alla domanda su quali violazioni vadano notificate, ha chiarito:

«Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.»

La valutazione di questo rischio spetta al titolare del trattamento, che si avvale degli uffici interni, dei consulenti e delle relazioni tecniche disponibili. È una valutazione di merito, da condurre caso per caso: contano la natura dei dati, la quantità, il numero di interessati, la facilità di identificazione, le possibili conseguenze concrete.

4. Se i due presupposti sono soddisfatti: la notifica entro 72 ore

Quando entrambi i presupposti ricorrono — dati personali coinvolti e rischio non improbabile — la notifica al Garante è obbligatoria e va effettuata, ove possibile, entro 72 ore dal momento in cui il titolare è venuto a conoscenza della violazione, tramite la procedura telematica dedicata sul sito del Garante.

Se il rischio per i diritti e le libertà degli interessati è valutato come elevato, alla notifica deve seguire anche la comunicazione agli interessati, senza indebito ritardo, per consentire loro di adottare le precauzioni necessarie (art. 34 GDPR). È un adempimento ulteriore e distinto, che abbiamo trattato nella guida dedicata a quando informare gli interessati di un data breach.

5. Se i presupposti non ci sono: la relazione motivata

Ed è qui il punto che molti trascurano. Se la valutazione porta a concludere che la notifica non è dovuta — perché non vi sono dati personali coinvolti, o perché è improbabile un rischio per le persone — il titolare non resta esonerato da ogni obbligo.

Il principio di responsabilizzazione (accountability) impone di documentare per iscritto la decisione: una relazione motivata che dia conto di cosa è accaduto, di quali dati siano stati interessati, della valutazione del rischio svolta e delle ragioni per cui si è ritenuto di non procedere alla notifica. Lo prevede espressamente l’art. 33, comma 5, GDPR: il titolare documenta qualsiasi violazione, anche quella non notificata, così da consentire all’autorità di verificare la correttezza della scelta.

In altre parole: la decisione di non notificare è legittima, ma deve essere provabile. In assenza di una valutazione documentata, in caso di controllo l’omessa notifica diventa indifendibile. È esattamente il punto su cui, nella nostra esperienza, le organizzazioni sono più scoperte: pensano che «non notificare» significhi «non fare nulla», mentre significa «motivare e conservare».

6. E la denuncia alla Polizia Postale?

Una domanda frequente dopo un attacco riguarda la denuncia alla Polizia Postale. Va chiarito che la denuncia è facoltativa sul piano del GDPR e non costituisce un presupposto della notifica al Garante: sono due piani distinti.

La sua utilità è però concreta. La denuncia crea un atto ufficiale con data certa che documenta l’incidente, fornisce all’organizzazione una prova qualificata dell’attacco subito — utilizzabile verso terzi, in sede di verifica delle autorità di controllo o in caso di contestazioni — e agevola eventuali attività investigative se l’attacco fa parte di una campagna più ampia.

7. Lo Studio Legale Calzoni a supporto dopo un data breach

Lo Studio Legale Calzoni assiste imprese ed enti pubblici nella gestione delle violazioni di dati personali: dalla valutazione dei due presupposti alla notifica al Garante entro 72 ore, dalla comunicazione agli interessati alla tenuta del registro delle violazioni, fino alla relazione motivata in caso di mancata notifica. Per chi ha già un assetto privacy strutturato, il punto di riferimento è spesso la figura del DPO, che coordina la risposta all’incidente.

Domande frequenti

Dopo un attacco informatico devo sempre notificare al Garante? No. La notifica è obbligatoria solo se ricorrono due presupposti: l’incidente ha coinvolto dati personali e la violazione comporta un rischio per i diritti e le libertà delle persone. Se è improbabile un rischio, la notifica non è dovuta — ma la valutazione va documentata per iscritto.

Entro quanto tempo va fatta la notifica? Ove possibile entro 72 ore dal momento in cui il titolare è venuto a conoscenza della violazione, tramite la procedura telematica del Garante. Se la notifica avviene oltre le 72 ore, va corredata dei motivi del ritardo.

Cosa rischio se non notifico una violazione che andava notificata? L’omessa o tardiva notifica è soggetta alle sanzioni amministrative del GDPR (fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, ai sensi dell’art. 83), oltre ai profili di responsabilità verso gli interessati. Per le pubbliche amministrazioni si aggiungono responsabilità erariali e disciplinari.

Se decido di non notificare, devo fare comunque qualcosa? Sì. Devi redigere e conservare una relazione motivata che documenti l’accaduto, i dati coinvolti, la valutazione del rischio e le ragioni della mancata notifica (art. 33, comma 5, GDPR). È ciò che rende difendibile la scelta in caso di controllo.

La notifica al Garante coincide con la comunicazione agli interessati? No, sono adempimenti distinti. La notifica si fa al Garante quando c’è un rischio; la comunicazione agli interessati è dovuta solo quando il rischio è elevato (art. 34 GDPR).

E se l’azienda rientra anche nella NIS2? In questo caso l’attacco può far scattare un secondo binario di notifica: oltre alla notifica al Garante per i dati personali (GDPR), i soggetti essenziali e importanti devono notificare l’incidente significativo all’ACN ai sensi del d.lgs. 138/2024 (NIS2). I due obblighi convivono e vanno gestiti in coordinamento.

I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.