Consulenza GDPR e DPO per aziende:
adeguamento al Regolamento (UE) 2016/679
Mercoledì 25 Marzo 2026




800300333

Don't Hesitate To Ask

Request A Quick Quote

Corretta gestione Data Breach

Data-breach-300x169

Un Data Breach è una violazione di dati personali che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata oppure l’accesso ai dati personali trasmessi, conservati o comunque trattati. In pratica, la violazione può compromettere la riservatezza, l’integrità o la disponibilità delle informazioni personali.

Quando scatta l’obbligo di notifica al Garante Privacy?

Il titolare del trattamento, ai sensi dell’art. 33 del Regolamento (UE) 2016/679, deve notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Se la notifica viene trasmessa oltre questo termine, deve contenere anche le ragioni del ritardo. Il Garante Privacy conferma inoltre che, in Italia, la notifica deve essere inviata tramite l’apposita procedura telematica.

L’obbligo di notifica non si applica solo quando il titolare del trattamento può dimostrare che la violazione è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche. Questa valutazione non va improvvisata: deve essere motivata e documentata.

Quando occorre informare anche gli interessati

Se la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve comunicare il Data Breach agli interessati senza ingiustificato ritardo. La comunicazione deve usare un linguaggio semplice e chiaro.

La comunicazione agli interessati deve contenere almeno:

  • il nome e i dati di contatto del responsabile della protezione dei dati, se nominato, oppure di un altro punto di contatto;
  • la descrizione delle probabili conseguenze della violazione;
  • le misure adottate o proposte dal titolare del trattamento per porre rimedio all’evento e attenuarne gli effetti negativi.

In alcuni casi, la comunicazione all’interessato può non essere necessaria, ad esempio quando i dati risultano resi incomprensibili a soggetti non autorizzati grazie a misure tecniche adeguate, come la cifratura.

Cosa deve fare subito il Datore di Lavoro

Quando emerge un possibile Data Breach, l’azienda deve agire immediatamente. Prima deve contenere l’evento, poi deve ricostruire i fatti, valutare il rischio e decidere se notificare al Garante e se comunicare agli interessati. Le Linee guida EDPB sottolineano che la valutazione del rischio deve partire subito, perché da essa dipendono tempi, contenuti e obblighi successivi.

Dal punto di vista operativo, conviene conservare sempre queste evidenze:

  • segnalazione interna dell’incidente;
  • data e ora della scoperta;
  • analisi tecnica dell’evento;
  • categorie di dati coinvolti;
  • numero stimato di interessati coinvolti;valutazione del rischio effettuata;
  • copia della notifica inviata al Garante, se dovuta;copia della comunicazione agli interessati, se dovuta;misure correttive adottate e verifiche successive.

Documentare ogni passaggio è essenziale, perché il titolare deve poter dimostrare le valutazioni svolte e le azioni intraprese in caso di controllo.

Quali sanzioni sono previste?

La violazione degli obblighi previsti dagli artt. 33 e 34 del Regolamento (UE) 2016/679 può comportare sanzioni amministrative pecuniarie fino a 10 milioni di euro oppure, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Perché serve una procedura aziendale sul Data Breach

Una procedura interna chiara consente di ridurre i tempi di reazione, assegnare responsabilità precise e raccogliere subito le prove necessarie. In azienda non basta sapere che il Data Breach va notificato entro 72 ore. Occorre definire prima chi segnala l’incidente, chi valuta il rischio, chi decide la notifica, chi contatta il DPO o il consulente privacy e quali registrazioni conservare.

Una gestione improvvisata aumenta il rischio di errori, ritardi e contestazioni. Una gestione organizzata, invece, aiuta il Datore di Lavoro a rispettare gli obblighi di legge e a dimostrare la propria accountability.

Come può aiutarti MODI?

MODI supporta le aziende nella gestione del Data Breach con consulenza privacy, verifica documentale, procedure operative, modulistica e formazione del personale. L’obiettivo è aiutare il Datore di Lavoro a sapere cosa fare subito, come farlo correttamente e quali evidenze conservare.

Con l’invio del questionario si può richiedere un sopralluogo in azienda e una proposta risolutiva personalizzata. Il numero verde 800300333 è gratis anche da mobile. I corsi online sono a catalogo con vari titoli e in generale tutte le nostre offerte formative si possono consultare dal sito www.modiq.it o cliccando qui.