Cookie Consent by Free Privacy Policy Generator
Studio Legale MP - Verona logo

Cerca nel sito

Inserisci una parola chiave per iniziare la ricerca

Data breach: notifica al Garante non basta - Studio Legale MP - Verona

Un'azienda subisce un attacco informatico. I sistemi IT rilevano l'intrusione nelle ore successive. Il responsabile privacy convoca una riunione d'emergenza, si attiva la procedura interna, e la notifica al Garante per la protezione dei dati personali viene inviata puntualmente entro le 72 ore previste dall'articolo 33 del GDPR. Missione compiuta?

Non necessariamente. La prassi sanzionatoria del Garante nel corso del 2026 sta consolidando un orientamento che molti titolari del trattamento sembrano ancora non aver interiorizzato: rispettare la scadenza delle 72 ore verso l'Autorità di controllo è condizione necessaria ma non sufficiente. Esiste un secondo obbligo, distinto e autonomo, che impone di comunicare la violazione direttamente agli interessati quando il breach può comportare un rischio elevato per i loro diritti e libertà. Ed è proprio questo secondo livello che continua a generare sanzioni.

Il doppio binario degli obblighi di notifica

Il GDPR costruisce il sistema di risposta al data breach su due piani paralleli che rispondono a logiche diverse. In caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare il Garante Privacy entro 72 ore dalla scoperta, ai sensi dell'articolo 33 del GDPR. Le notifiche effettuate oltre tale termine devono essere accompagnate dai motivi del ritardo.

Ma questa è solo la prima delle due obbligazioni. Se il breach riguarda dati particolari o presenta rischio elevato, va comunicato anche agli interessati, ai sensi dell'articolo 34 del GDPR. I due obblighi hanno destinatari diversi, presupposti parzialmente sovrapposti e tempistiche che il legislatore europeo ha volutamente lasciato distinte: il primo serve all'Autorità per valutare la gravità della violazione e attivare eventuali poteri correttivi; il secondo serve all'interessato per adottare misure di autotutela — cambiare password, bloccare una carta, monitorare movimenti sospetti — prima che il danno si materializzi.

La notifica al Garante non è dunque da intendersi come un mero adempimento burocratico, ma come parte integrante di un piano di risposta agli incidenti strutturato e documentato, che costituisce a sua volta espressione del principio di accountability che permea l'intero impianto del GDPR. È esattamente questo principio di accountability che viene violato quando l'azienda notifica tempestivamente l'Autorità ma poi tace verso le persone esposte al rischio.

La casistica recente del Garante dimostra che questa asimmetria è tutt'altro che teorica. Il caso che ha fatto più discutere in questi mesi riguarda The European House Ambrosetti. La comunicazione della violazione agli interessati è avvenuta in ritardo, solo dopo l'intervento dell'Autorità. L'attacco informatico, riconducibile a un accesso non autorizzato ai sistemi tramite una vulnerabilità tecnica, ha comportato l'esfiltrazione di nomi, cognomi, indirizzi email, username e password. Il dato più significativo, però, è il seguente: l'Autorità ha accertato che la società, pur avendo notificato il data breach entro le 72 ore previste dalla normativa, non ha informato tempestivamente gli interessati, nonostante la violazione potesse rappresentare un rischio elevato per i loro diritti e libertà.

Il Garante, con Provvedimento n. 280 del 2026, pubblicato nella newsletter del 21 maggio 2026, ha irrogato a The European House Ambrosetti una sanzione di 85.000 euro. Dagli accertamenti sono emerse diverse violazioni della normativa privacy: in particolare, la società conservava una parte delle password in chiaro e un'altra mediante tecniche crittografiche non conformi agli standard di sicurezza più avanzati, e conservava credenziali relative a sistemi non più in uso, in violazione dei principi di limitazione della conservazione e di sicurezza dei dati. La notifica al Garante nei termini non ha dunque attenuato la responsabilità complessiva, proprio perché il breach avrebbe richiesto una risposta tempestiva anche sul fronte degli interessati. La notifica all'Autorità è avvenuta entro le 72 ore previste dalla normativa, ma la comunicazione diretta agli utenti coinvolti è arrivata soltanto circa due mesi dopo e solo in seguito a un intervento correttivo del Garante.

Un secondo profilo critico emerge dal Provvedimento del 26 marzo 2026 (Registro n. 208), con cui il Garante ha concluso un'articolata istruttoria nei confronti di un istituto bancario in relazione alla gestione di un data breach interno causato dall'accesso non giustificato ai dati di clienti da parte di un dipendente. Il Garante ha ritenuto fondamentale il rafforzamento dei processi di governance, con particolare riguardo alla gestione dei data breach, consentendo una pronta procedura di escalation per la gestione degli accessi non giustificati ai dati dei clienti, in particolare per i soggetti più esposti. La mancata differenziazione dei controlli, in funzione dello status di persona pubblica o politicamente esposta, evidenzia l'assenza di un'adeguata valutazione del rischio, nonché l'adozione di misure di controllo tardive e frammentarie, in contrasto con gli articoli 5 e 32 del RGPD. Il provvedimento — che accerta violazioni degli artt. 5, 24, 32, 33 e 34 del RGPD — conferma che il Garante valuta non solo la notifica in sé, ma l'intera architettura organizzativa che avrebbe dovuto prevenire o contenere la violazione.

Un terzo caso, quello riguardante Poste Vita S.p.A., affrontato con Provvedimento del 10 luglio 2025, riguarda una tipologia di breach diversa ma altrettanto frequente: l'invio per errore di documenti e dati personali di un cliente a un indirizzo email errato. Già dal momento del disconoscimento della casella email da parte dell'interessata, la società aveva la ragionevole evidenza dell'invio di dati a un soggetto estraneo, con conseguente obbligo di provvedere alla notifica all'Autorità Garante, senza ingiustificato ritardo, entro 72 ore. Successivamente, il 20 gennaio 2025, la società notificava all'Autorità Garante il data breach connesso alla vicenda. Il ritardo nella notifica — avvenuta settimane dopo che la violazione era già riconoscibile — è stato accertato come violazione dell'art. 33 GDPR.

Il momento in cui scatta l'obbligo: "venuto a conoscenza" non significa "certezza"

Uno degli errori pratici più diffusi consiste nel far decorrere il termine delle 72 ore non dal momento in cui la violazione è riconoscibile, ma da quello in cui l'azienda ritiene di avere una certezza assoluta sulla sua portata. Il GDPR non richiede la certezza: richiede che il titolare abbia ragionevolmente motivo di ritenere che si sia verificata una violazione. Questo disallineamento tra quando l'azienda sa e quando decide di considerarsi formalmente a conoscenza è fonte sistematica di notifiche tardive.

Il titolare del trattamento, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante, a meno che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche. La formula "ne è venuto a conoscenza" deve essere interpretata in senso sostanziale: il momento rilevante è quello in cui l'evento è riconoscibile da un operatore diligente, non quello in cui l'azienda ha completato le proprie indagini interne. Questa interpretazione, consolidata dalle Linee guida EDPB 9/2022 sulla notifica delle violazioni, emerge chiaramente anche nella prassi sanzionatoria italiana.

L'interrogativo che si pone, nella lettura dei provvedimenti recenti, è se la soglia di valutazione del rischio — che determina se sia necessaria anche la comunicazione agli interessati — venga applicata dal Garante in modo più stringente rispetto a quanto le aziende tendono ad assumere. Il principio vigilantibus iura subveniunt — il diritto assiste chi vigila — risuona in questo contesto non come esortazione rivolta all'interessato, ma come monito al titolare: chi non presidia i propri sistemi con adeguata proattività non può poi invocare l'incertezza per giustificare l'inerzia.

Secondo la Relazione Annuale 2024 del Garante Privacy, le notifiche di data breach sono aumentate del 22%, raggiungendo quota 2.204 in un solo anno. A questa emergenza tecnica si affianca una risposta istituzionale ferma: l'Autorità ha irrogato sanzioni per circa 24 milioni di euro, focalizzandosi sulle carenze nelle misure di sicurezza e sulla tardiva gestione degli incidenti.

Con il provvedimento n. 797 del 30 dicembre 2025, il Garante ha varato il piano delle proprie attività ispettive per il primo semestre 2026, con specifico focus su data breach. Questo segnala che la materia rimarrà sotto osservazione intensificata per tutto il 2026, con verifiche non solo sugli incidenti già notificati ma anche sull'adeguatezza delle procedure interne di rilevazione e risposta.

Il filosofo del diritto Luigi Ferrajoli ha più volte sottolineato che la garanzia dei diritti fondamentali non si esaurisce nella loro enunciazione formale, ma richiede un sistema di meccanismi istituzionali capaci di renderli effettivi. Nel campo della protezione dei dati personali, la notifica al Garante è appunto un meccanismo di garanzia — non fine a se stesso, ma strumentale alla tutela concreta dell'interessato. Ridurlo a un semplice atto procedurale da compiere entro una scadenza significa svuotarne la funzione.

Cosa significa tutto questo per le aziende, i professionisti e gli enti che trattano dati personali? Tre sono le criticità operative che emergono con chiarezza dai provvedimenti del 2026.

La prima è la sottovalutazione del rischio per gli interessati. Molti titolari tendono ad assumere che, se la notifica al Garante è stata inviata, il problema sia gestito. I provvedimenti recenti dimostrano che la valutazione del rischio elevato ai sensi dell'art. 34 GDPR deve essere condotta in modo rigoroso e documentato, e che l'onere della prova dell'assenza di rischio grava sul titolare.

La seconda è la conservazione inadeguata delle credenziali. Il Garante ha rilevato che una parte delle password veniva conservata in chiaro mentre un'altra utilizzava tecniche crittografiche considerate non conformi agli standard di sicurezza attuali, e che la società manteneva credenziali relative a sistemi non più attivi, violando il principio di limitazione della conservazione. Questa non è una violazione eccezionale: è una delle lacune più comuni nei sistemi informativi di PMI e organizzazioni di medie dimensioni.

La terza è la mancanza di procedure di escalation automatica. Il Garante ha evidenziato la necessità di prevedere meccanismi di escalation automatica, in caso di accessi fuori contesto rispetto all'operatività ordinaria, mediante una notifica immediata al supervisore diretto e una verifica tempestiva da parte delle funzioni di controllo della Banca, incluse compliance, privacy e sicurezza. In assenza di questi meccanismi, il data breach tende a essere rilevato tardi, e la notifica — anche quando avviene — è già fuori termine.

La gestione di un data breach non è un esercizio di compilazione modulistica. È un processo che si costruisce prima dell'incidente, attraverso politiche di sicurezza adeguate, procedure documentate, formazione del personale e una chiara catena di responsabilità interna. Quando l'incidente accade — e le statistiche dicono che la probabilità che accada è alta — il margine per improvvisare è prossimo a zero: le 72 ore scorrono in tempo reale, e ogni ora di incertezza operativa aumenta l'esposizione sanzionatoria.

Hai bisogno di assistenza o di un preventivo?

Autore: Redazione - Staff Studio Legale MP


Redazione - Staff Studio Legale MP -

Redazione - Staff Studio Legale MP