Art. 33 GDPR — Notifica di una violazione dei dati personali all’autorità di controllo

Commento

Logica della notifica e tempi

L'art. 33 GDPR impone al titolare di notificare al Garante le violazioni dei dati personali (data breach) entro 72 ore dalla conoscenza, salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. La norma è uno dei meccanismi più innovativi del GDPR: introduce un obbligo di trasparenza ex post che permette al Garante di intervenire tempestivamente e agli interessati di reagire. Il considerando 85 spiega la ratio: la violazione può causare danni materiali (perdita finanziaria) e immateriali (perdita di controllo sui propri dati, danno reputazionale, discriminazione).

Termine 72 ore (par. 1)

Il termine di 72 ore decorre dalla conoscenza della violazione da parte del titolare. La conoscenza si configura quando il titolare ha un ragionevole grado di certezza del fatto: non basta sospetto generico, ma non occorre attendere l'esito di un'analisi forense completa. Le linee guida EDPB 9/2022 (rev 1) chiariscono il punto di partenza del termine. Se la notifica non è effettuata entro 72 ore, è corredata dei motivi del ritardo (par. 1, ultimo periodo). I motivi vanno documentati e plausibili: ritardi sistematici sono sanzionati.

Contenuto della notifica (par. 3)

Il par. 3 elenca il contenuto della notifica: descrizione della natura della violazione (categorie e numero approssimativo di interessati e di registrazioni di dati coinvolti); nome e contatti del DPO o altro punto di contatto; descrizione delle probabili conseguenze; descrizione delle misure adottate o di cui si propone l'adozione per porre rimedio. Il par. 4 prevede che, qualora non sia possibile fornire le informazioni contestualmente, possano essere fornite in fasi successive senza ulteriore ingiustificato ritardo. La notifica può essere incrementale.

Eccezione di assenza di rischio

Il par. 1 prevede l'eccezione: notifica non dovuta se improbabile rischio per diritti e libertà. La valutazione del rischio è onere del titolare e va documentata: tipologia di dati, numero di interessati, possibili conseguenze (frode, discriminazione, danno reputazionale, perdita di controllo), misure tecniche già attive (cifratura efficace, accesso autorizzato). Le linee guida EDPB hanno dato esempi: laptop cifrato con buona chiave perso è generalmente assenza di rischio; database con password debole esfiltrato è rischio elevato.

Documentazione di tutte le violazioni (par. 5)

Il par. 5 impone al titolare di documentare tutte le violazioni dei dati personali, indipendentemente dalla notifica, comprensive di circostanze, effetti, provvedimenti adottati. È registro interno dei breach, separato dal registro art. 30. La documentazione è esibita al Garante su richiesta e in caso di ispezione. Anche le violazioni minori (es. invio di email errata) vanno documentate per evidenza di governance. Il Garante valuta non solo la notifica ma anche la coerenza della documentazione.

Notifica del responsabile al titolare (par. 2)

Il par. 2 prevede che il responsabile, dopo essere venuto a conoscenza di una violazione, ne informi il titolare senza ingiustificato ritardo. Il responsabile non notifica direttamente al Garante (è obbligo del titolare), ma è il punto di partenza della catena: ogni ritardo del responsabile si traduce in ritardo del titolare. I contratti art. 28 disciplinano tempi e modalità di notifica responsabile→titolare: prassi comune è entro 24-48 ore, per dare al titolare margine per le 72 ore complessive.

Regola pratica e checklist operativa

Compliance art. 33: (i) response plan breach con triage e escalation; (ii) contatti DPO/legali sempre disponibili; (iii) template di notifica; (iv) procedura di valutazione rischio; (v) integrazione con sicurezza (CSIRT, SOC); (vi) contratti art. 28 con tempi di notifica responsabile→titolare; (vii) registro interno dei breach (par. 5); (viii) post-mortem per ogni incidente.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.