NexData Privacy Consultingdi Mattia Matricano
GDPR · Data Breach· 18 Giugno 2026 · 10 minuti

Data Breach: guida operativa GDPR per aziende

Cosa fare nelle ore immediatamente successive alla scoperta di una violazione di dati personali: termini di notifica al Garante, obblighi GDPR, errori che aggravano la sanzione e casi reali. Una guida pratica per imprenditori, professionisti e responsabili aziendali.

Team aziendale gestisce un data breach in corso, con allarmi di sicurezza sugli schermi e lucchetto digitale compromesso
MM
Mattia Matricano — Consulente Privacy & DPO Esterno, NexData

Un attacco ransomware che cifra i server aziendali. Una email con i destinatari in CC invece che in BCC. Una chiavetta USB smarrita con l'archivio clienti. Un dipendente che clicca su un link di phishing e consegna le credenziali di accesso al gestionale. Sono solo alcuni esempi reali di data breach: eventi che capitano più spesso di quanto si immagini, anche alle piccole e medie imprese, e che il GDPR disciplina con regole stringenti e tempistiche molto brevi.

Questa guida nasce per offrire a imprenditori, professionisti e responsabili aziendali un percorso operativo chiaro su cosa fare nelle ore immediatamente successive alla scoperta di una violazione, quali sono gli obblighi di legge e quali errori evitare, perché — come vedremo analizzando alcuni provvedimenti sanzionatori reali — è spesso la gestione della crisi, più della violazione in sé, a determinare l'entità della sanzione.

Cos'è un data breach secondo il GDPR

L'articolo 4, numero 12, del Regolamento (UE) 2016/679 definisce la violazione di dati personali come un incidente di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato a dati personali trasmessi, conservati o comunque trattati. La definizione è volutamente ampia e copre situazioni molto diverse tra loro: un attacco informatico esterno, ma anche un errore umano interno, come l'invio di una comunicazione al destinatario sbagliato o lo smarrimento di un dispositivo non cifrato. Non conta l'intenzionalità: anche un incidente del tutto accidentale, se compromette riservatezza, integrità o disponibilità dei dati, può configurare un data breach rilevante ai fini di legge.

Riferimento: Art. 4, n. 12 Reg. UE 2016/679.

Le prime ore: cosa fare immediatamente

Nel momento in cui si sospetta o si accerta una violazione, la priorità assoluta è agire con metodo, evitando sia l'inerzia sia le reazioni scomposte che possono aggravare la situazione.

Contenere l'incidente

Il primo passo tecnico è isolare i sistemi compromessi per impedire che la violazione si propaghi: disconnessione di rete, blocco di account compromessi, cambio immediato delle credenziali coinvolte. Questa fase richiede il coinvolgimento del tecnico IT o del fornitore di servizi informatici.

Coinvolgere da subito i referenti privacy

Il titolare del trattamento deve attivare immediatamente il proprio consulente privacy, il DPO se nominato, e il referente IT. La valutazione di un data breach richiede competenze sia giuridiche che tecniche, e una decisione presa in fretta senza questo supporto è spesso la causa di errori che si ripercuotono poi sulla sanzione.

Documentare da subito, passo per passo

Ogni azione intrapresa, ogni orario, ogni decisione deve essere annotata. Questa documentazione sarà alla base sia della valutazione del rischio sia, se necessario, della notifica al Garante.

Quando iniziano le 72 ore? Le Linee Guida EDPB n. 9/2022 chiariscono che il titolare si considera "a conoscenza" quando ha un ragionevole grado di certezza che un incidente di sicurezza si sia effettivamente verificato — non serve un quadro completo. È ammessa una breve indagine preliminare, ma è una finestra molto stretta, non un margine per temporeggiare.

La valutazione del rischio: il cuore della decisione

Non tutte le violazioni vanno notificate al Garante. L'articolo 33, paragrafo 1, del GDPR impone la notifica "a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche". La valutazione di questa probabilità non è discrezionale nel senso di arbitraria: deve basarsi su parametri oggettivi, alla luce del principio di accountability previsto dall'articolo 5, paragrafo 2, del Regolamento.

Tra gli elementi da considerare: la natura e la categoria dei dati coinvolti (dati comuni, dati sanitari, dati relativi a minori, credenziali di accesso), il numero di interessati coinvolti, la facilità con cui un terzo potrebbe identificare le persone a partire dai dati esposti, le possibili conseguenze per gli interessati (furto di identità, danno reputazionale, discriminazione, perdita finanziaria), e le misure di sicurezza già in essere al momento dell'incidente.

Un esempio concreto: se i dati compromessi erano correttamente cifrati con un algoritmo robusto e il titolare dispone di backup integri, la notifica potrebbe non essere necessaria proprio perché il rischio concreto per gli interessati risulta contenuto. Se invece i dati non erano protetti, anche un errore apparentemente minore — come l'invio di una email in CC a una lista che rivela indirettamente lo stato di salute dei destinatari — può configurare un data breach notificabile, come chiarito dal Garante con il provvedimento del 7 luglio 2022 nei confronti di Sensonics Inc., sanzionata con 45.000 euro proprio per un errore di questo tipo.

Per le organizzazioni che hanno difficoltà a orientarsi nella valutazione, il Garante mette a disposizione uno strumento di self-assessment online che, attraverso una procedura guidata, aiuta a individuare le azioni da intraprendere: garanteprivacy.it/data-breach.

La notifica al Garante: termini, contenuti, modalità

Se la valutazione del rischio porta a ritenere che la violazione possa avere effetti avversi sugli interessati, l'articolo 33 del GDPR impone la notifica all'Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si è acquisita conoscenza della violazione.

Cosa deve contenere la notifica

L'articolo 33, paragrafo 3, del GDPR stabilisce che la notifica debba indicare almeno:

  • la descrizione della natura della violazione, incluse — ove possibile — le categorie e il numero approssimativo di interessati coinvolti e delle registrazioni di dati personali compromesse;
  • i dati di contatto del DPO o di un altro punto di riferimento;
  • le probabili conseguenze della violazione;
  • le misure adottate o che si intende adottare per porvi rimedio e attenuarne i possibili effetti negativi.

Se non è possibile fornire subito tutte le informazioni, il Regolamento consente di integrarle successivamente, senza ulteriore ingiustificato ritardo.

Come si notifica

A partire dal 1° luglio 2021 la notifica deve essere inviata attraverso l'apposito servizio telematico messo a disposizione dal Garante, accessibile dalla pagina dedicata del sito istituzionale. In alternativa, è possibile inviare la notifica tramite PEC all'indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria a protocollo@gpdp.it, indicando obbligatoriamente nell'oggetto del messaggio la dicitura "NOTIFICA VIOLAZIONE DATI PERSONALI" e sottoscrivendo il documento con firma digitale qualificata o, in alternativa, con firma autografa accompagnata da copia del documento d'identità del firmatario.

Se si supera il termine

Se la notifica avviene oltre le 72 ore, deve essere obbligatoriamente accompagnata dai motivi del ritardo: un'omissione su questo punto aggrava ulteriormente la posizione del titolare in caso di accertamento.

Novità EDPB 2026. Nella riunione plenaria dell'8-9 giugno 2026 l'EDPB ha approvato e messo in consultazione pubblica un nuovo modello di notificazione dei data breach, con l'obiettivo di arrivare a un formato condiviso fra tutte le Autorità europee e di coordinarlo, in futuro, con il Single Entry Point (SEP). È una proposta in consultazione, non ancora vincolante, ma segnala chiaramente la direzione verso una maggiore armonizzazione UE.

La comunicazione agli interessati: quando è obbligatoria

L'articolo 34 del GDPR introduce un obbligo distinto e più stringente: se la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve comunicare l'accaduto direttamente agli interessati coinvolti, senza ingiustificato ritardo, a meno che non abbia già adottato misure tali da neutralizzare il rischio (per esempio una cifratura efficace dei dati esposti).

La comunicazione deve avvenire, in linea di principio, in modo diretto verso ciascun interessato, salvo che ciò comporti uno sforzo sproporzionato: in tal caso è ammessa una comunicazione pubblica o una misura di analoga efficacia informativa. In ogni caso, il messaggio deve essere chiaramente distinguibile da newsletter, comunicazioni promozionali o aggiornamenti ordinari, proprio per garantirne la visibilità.

Caso Italiaonline (provv. Garante 30 aprile 2019, doc. web n. 9116509). La società aveva comunicato la violazione di oltre 1,5 milioni di credenziali email utilizzando come canale le stesse caselle di posta compromesse dall'attacco. Il Garante ha imposto una nuova comunicazione tramite mezzi realmente idonei. Regola pratica: il canale utilizzato per comunicare la violazione non deve mai essere lo stesso canale compromesso dall'incidente.

La documentazione interna: un obbligo che esiste sempre

A prescindere dal fatto che la violazione vada notificata al Garante o comunicata agli interessati, il titolare del trattamento è tenuto a documentare ogni violazione di dati personali, ad esempio attraverso un registro interno dedicato. Questa documentazione è parte integrante del principio di accountability e consente all'Autorità, in caso di verifica, di accertare che il titolare abbia correttamente valutato l'incidente anche quando ha deciso di non procedere alla notifica.

Gli errori più frequenti (e più sanzionati)

Dall'analisi dei provvedimenti del Garante emerge un pattern ricorrente di errori che espongono le organizzazioni a sanzioni, spesso anche quando la violazione di partenza non era di particolare gravità:

  • Notifica tardiva senza giustificazione. Il semplice superamento delle 72 ore non è automaticamente sanzionabile, ma diventa un'aggravante quando non è accompagnato da una motivazione credibile del ritardo.
  • Sottostima dell'entità della violazione. Con il provvedimento n. 659 del 2 novembre 2024 il Garante ha imposto a un istituto bancario di informare nuovamente i clienti coinvolti entro 20 giorni, dopo aver accertato che la comunicazione iniziale all'Autorità non rifletteva l'ampiezza reale della violazione.
  • Comunicazione tramite il canale compromesso (caso Italiaonline).
  • Valutazione errata del rischio che porta a non notificare quando invece la notifica sarebbe stata necessaria, esponendo l'organizzazione a una sanzione aggiuntiva per la mancata notifica stessa, oltre alla violazione originaria.
Caso recente. Il 22 maggio 2026 il Garante ha sanzionato per 85.000 euro la società di consulenza The European House Ambrosetti a seguito di un data breach che aveva coinvolto 61.670 persone — un esempio di come anche realtà strutturate possano commettere errori nella gestione della violazione, e di quanto la dimensione dell'incidente influisca sull'entità della sanzione.

Le sanzioni previste dal GDPR

  • Fino a 10 milioni di euro;
  • Oppure fino al 2% del fatturato totale annuo mondiale dell'esercizio precedente, se superiore;
  • Riferimento: Art. 83, par. 4, lett. a) GDPR;
  • Oltre alla sanzione pecuniaria, il Garante può imporre misure correttive ex Art. 58, par. 2, anche sull'adeguatezza delle misure di sicurezza tecniche e organizzative.

Una checklist operativa di sintesi

Per orientarsi rapidamente nei momenti più critici, ecco i passaggi essenziali in ordine cronologico:

  1. Contenere tecnicamente l'incidente;
  2. Allertare immediatamente consulente privacy, DPO (se presente) e IT;
  3. Documentare ogni azione con orario;
  4. Valutare il rischio per gli interessati sulla base di natura dei dati, numero di persone coinvolte e possibili conseguenze;
  5. Se il rischio non è improbabile, notificare il Garante entro 72 ore tramite il servizio telematico o PEC;
  6. Se il rischio è elevato, comunicare agli interessati tramite un canale non compromesso;
  7. Aggiornare in ogni caso il registro interno delle violazioni;
  8. Conservare tutta la documentazione prodotta: sarà la prova della tempestività e correttezza della gestione in caso di verifica.

Perché prepararsi prima conta più di reagire bene dopo

L'esperienza dei casi sanzionati dimostra una costante: le organizzazioni che gestiscono peggio un data breach sono quasi sempre quelle che non avevano già una procedura interna definita, un registro dei trattamenti aggiornato e un referente privacy chiaramente individuato. La preparazione preventiva — procedure scritte, formazione del personale, misure di cifratura, audit periodici, registro dei data breach — non è solo un adempimento formale: incide concretamente sulla rapidità della risposta e, in caso di accertamento, può essere considerata dal Garante come elemento attenuante nella determinazione della sanzione.

NexData Privacy Consulting affianca aziende, professionisti e studi della Campania nella gestione della compliance GDPR, dalla predisposizione delle procedure interne per il data breach alla nomina di un DPO esterno, fino alla gestione operativa di un incidente in corso. Se la tua organizzazione non ha ancora una procedura di gestione data breach, oppure ha subito un incidente e ha bisogno di supporto immediato, contattaci per una valutazione del tuo caso specifico.

Questo articolo ha finalità informativa e non costituisce consulenza legale personalizzata. Per la gestione di un caso specifico è necessaria una valutazione puntuale della situazione concreta.

Articoli correlati
GDPR

Articolo 30 GDPR — Il Registro dei Trattamenti

Leggi →Studi professionali

Privacy negli Studi Professionali — Il Ruolo del Consulente del Lavoro

Leggi →
📚

Tutti gli approfondimenti

Esplora →