Il tuo server è stato violato. Un dipendente ha perso un laptop con i dati dei clienti. Un attacco ransomware ha crittografato il database. In quel momento, la priorità è fermare l’emergenza, ma il GDPR ti impone un countdown preciso: 72 ore per notificare il Garante. Hai una procedura pronta o rischi sanzioni milionarie? Noi, di Meteora Web, vediamo quotidianamente aziende che scoprono il data breach quando è troppo tardi — o che non sanno cosa fare dopo la scoperta. Questa guida non è teoria: è la lista concreta di azioni da eseguire, tempistiche da rispettare e documenti da preparare.
Quali sono le tempistiche per la notifica di un data breach secondo il GDPR
Il GDPR all’articolo 33 è chiaro: il titolare del trattamento deve notificare il data breach all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Non dal giorno dell’attacco, ma dal momento in cui l’azienda — o chi per essa — capisce che c’è stata una violazione di dati personali. La differenza è cruciale. Spesso si scopre un breach settimane dopo, e le 72 ore decorrono dalla scoperta effettiva, non dall’evento. Se non si riesce a fornire tutte le informazioni entro le 72 ore, si può inviare una notifica preliminare, seguita da comunicazioni successive senza indebito ritardo. Noi consigliamo di strutturare un template di notifica già pronto, perché quando scatta l’emergenza il tempo per scrivere non c’è. Nella notifica vanno indicati: natura del breach, categorie di dati coinvolti, numero approssimativo di interessati, conseguenze e misure adottate.
Sponsored Protocol
Quando scatta l’obbligo di notifica e quando no
Non tutti gli incidenti informatici sono data breach soggetti a notifica. Se i dati sono già pubblici o crittografati con chiave sicura (e la chiave non è compromessa), il rischio per i diritti delle persone è nullo — e la notifica può essere omessa. Ma attenzione: la valutazione del rischio va fatta sotto la propria responsabilità e documentata. In caso di dubbio, notifica. Il Garante italiano ha chiarito che l’omissione ingiustificata è una violazione grave. Per esempio, un attacco ransomware che crittografa i dati ma non li esfiltra: se si ha un backup integro, si può evitare la notifica? Non sempre. Se i dati sono personali e l’attaccante ha avuto accesso, c’è potenziale rischio. Noi, in un caso reale, abbiamo assistito un cliente il cui database era stato copiato ma non crittografato: la notifica è stata obbligatoria.
Sponsored Protocol
Cosa fare entro le prime 72 ore dopo un data breach
La finestra di 72 ore include tre fasi parallele: contenimento, analisi e notifica. Non c’è tempo per fare tutto in sequenza. Ecco una checklist operativa che noi usiamo con i clienti:
- Isolare il sistema compromesso: stacca il server dalla rete, blocca gli accessi sospetti, cambia tutte le password critiche. Non spegnere il server se può cancellare log utili.
- Identificare il tipo di violazione: esfiltrazione, accesso non autorizzato, modifica di dati, perdita fisica. Categorizzare aiuta la notifica.
- Stabilire la data di inizio e fine della violazione: dai log, dai sistemi di monitoraggio, dall’analisi forense. Anche approssimativa.
- Quantificare i dati coinvolti: quante persone, quali categorie (finanziarie, sanitarie, di contatto). Più è sensibile, più urgente la notifica.
- Valutare il rischio: se i dati sono esposti a rischi concreti (furto d’identità, frode, discriminazione) devi notificare anche gli interessati (art. 34 GDPR). Se no, solo il Garante.
- Preparare la notifica: usa il modello ufficiale del Garante (disponibile sul sito). Includi tutte le info richieste. Se manca qualcosa, indicalo come provvisorio.
- Inviare la notifica entro le 72 ore: via PEC o tramite il portale del Garante. Conserva ricevuta.
Un errore comune è cercare di capire tutto prima di notificare. Il GDPR permette di integrare i dettagli dopo. Inviare una notifica parziale è meglio che saltare la scadenza.
Sponsored Protocol
Strumenti per la rilevazione precoce
Per rispettare le 72 ore devi sapere del breach il prima possibile. Noi raccomandiamo di configurare sistemi di rilevamento delle intrusioni (IDS), log centralizzati (ELK, Graylog) e alert su errori di autenticazione anomali. Se il tuo sito è su WordPress, plugin come Wordfence o Sucuri danno alert in tempo reale. Ma attenzione: gli alert devono arrivare a chi può agire. Un log che nessuno legge è inutile.
Come gestire la notifica del data breach al Garante e documentare l’accaduto
La notifica formale va inviata al Garante per la protezione dei dati personali. In Italia, si usa la PEC all’indirizzo garante@pec.gpdp.it. Il formato non è rigido, ma deve contenere gli elementi dell’articolo 33. Noi abbiamo predisposto un template che include:
Sponsored Protocol
- Nome e contatti del titolare del trattamento e del DPO (se nominato).
- Descrizione della violazione (natura, cause, data e durata).
- Categorie e numero di interessati coinvolti.
- Conseguenze probabili e misure già adottate.
- Raccomandazioni agli interessati (se applicabile).
Documentazione interna obbligatoria
Oltre alla notifica, devi documentare internamente ogni data breach, anche quelli non notificati (art. 33.5 GDPR). Tieni un registro con: data di scoperta, data di notifica (se fatta), dettagli dell’incidente, azioni intraprese, motivazione della mancata notifica. Questo registro è tra i primi documenti che il Garante chiede in caso di ispezione. Noi suggeriamo di usare un foglio di calcolo o un piccolo database, con accesso controllato.
Quali sono le sanzioni per la mancata notifica di un data breach
Il GDPR prevede sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato annuo globale per la mancata notifica al Garante. Per la mancata comunicazione agli interessati (quando obbligatoria) le sanzioni arrivano a 20 milioni o 4% del fatturato. Ma non è solo una questione di multa: la reputazione dell’azienda subisce un danno spesso irreversibile. Noi abbiamo visto clienti che hanno perso contratti B2B perché non sapevano mostrare una procedura di data breach. La prevenzione e la preparazione pagano molto più della sanzione eventuale.
Sponsored Protocol
Cosa fare adesso
Non aspettare che un incidente ti svegli di notte. Ecco le tre azioni concrete che puoi fare da oggi:
- Scarica e compila un template di notifica: prendi il modello dal sito del Garante e personalizzalo con i dati della tua azienda. Tienilo pronto in una cartella accessibile ma protetta.
- Verifica i tempi di rilevamento: hai sistemi di monitoraggio che ti avvisano subito di un accesso anomalo? Se no, implementa un minimo di alerting (ad esempio, uptime monitor + login log).
- Nomina un responsabile per la gestione degli incidenti: una persona del team che sa cosa fare quando scatta l’allarme. Noi, di Meteora Web, offriamo sessioni di incident response planning per PMI. Ma anche da soli potete definire un flusso: chi avvisa, chi analizza, chi comunica.
Per approfondire il quadro completo della normativa, leggi la nostra guida pillar su Privacy e GDPR per Sviluppatori.