Entro quando va notificato al Garante?

Senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza, se la violazione comporta un rischio per gli interessati (art. 33).

Vanno avvisati gli interessati?

Sì, quando il rischio è elevato: la comunicazione va fatta senza ritardo e in modo chiaro (art. 34), salvo eccezioni come i dati cifrati.

Devo registrare anche le violazioni non notificate?

Sì: tutte le violazioni vanno documentate nel registro, con circostanze, effetti e misure adottate.

Data breach — cosa fare in caso di violazione dei dati

Q: Cos'è un data breach?

Una violazione di sicurezza che comporta distruzione, perdita, modifica o accesso non autorizzato ai dati personali (art. 4 GDPR).

← Torna a Casi pratici applicati

Ultimo aggiornamento: 17 Giugno 2026

Fonte: Normattiva.it · Gazzetta Ufficiale

Indice

Testo dell'articolo
Domande frequenti
Vedi anche

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.

In sintesi

Cos’è: una violazione di sicurezza che comporta distruzione, perdita, modifica o accesso non autorizzato ai dati.
Notifica al Garante: entro 72 ore dalla conoscenza, salvo rischio improbabile per gli interessati (art. 33).
Comunicazione agli interessati: se il rischio è elevato, vanno avvisati senza ritardo (art. 34).
Registro: tutte le violazioni vanno documentate, anche quelle non notificate.

Cos’è un data breach

Il data breach è una violazione di sicurezza che comporta accidentalmente o illecitamente la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati (art. 4, n. 12, GDPR). Esempi: furto di un laptop o di credenziali, attacco ransomware, invio di una mail con dati alla persona sbagliata, smarrimento di documenti.

La valutazione del rischio

Di fronte a una violazione, il titolare deve valutarne le conseguenze per gli interessati: la natura dei dati, il numero di persone coinvolte, la gravità e la probabilità dei danni. Da questa valutazione dipendono gli obblighi: notifica al Garante e/o comunicazione agli interessati. La valutazione va fatta rapidamente e documentata.

La notifica al Garante (72 ore)

Se la violazione comporta un rischio per i diritti e le libertà delle persone, il titolare deve notificarla al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza (art. 33). Se la notifica avviene dopo le 72 ore, va motivato il ritardo. Solo se è improbabile che la violazione presenti un rischio si può evitare la notifica.

La comunicazione agli interessati

Quando la violazione comporta un rischio elevato per i diritti e le libertà delle persone, il titolare deve comunicarla anche agli interessati, senza ingiustificato ritardo e con un linguaggio chiaro (art. 34), indicando natura della violazione, possibili conseguenze e misure adottate. La comunicazione non è dovuta se i dati erano, ad esempio, cifrati in modo da renderli incomprensibili.

Il registro delle violazioni

Il titolare deve documentare tutte le violazioni, comprese quelle che ha deciso di non notificare, indicando circostanze, effetti e provvedimenti adottati (art. 33, par. 5). Questo registro consente al Garante di verificare la correttezza delle valutazioni ed è parte dell’accountability. È bene avere una procedura interna pronta prima che il problema accada.

Esempio pratico

Una SRL subisce un attacco che cifra i dati dei clienti (ransomware). Il titolare valuta il rischio, notifica al Garante entro 72 ore, e poiché il rischio è elevato comunica l’accaduto ai clienti spiegando misure e raccomandazioni. Annota tutto nel registro delle violazioni, compresi i passi compiuti per ripristinare la sicurezza.

Serve un parere sul tuo caso concreto?

Questa guida spiega la regola generale, ma ogni situazione ha le sue specificità. Per un controllo sul tuo caso puoi trovare un professionista tramite Legge in Chiaro.

Quanta IRPEF devi pagare?

Calcola l'IRPEF lorda e netta con scaglioni, aliquote e detrazioni aggiornati, per capire cosa aspettarti dal modello 730.

Apri il calcolatore IRPEF →

Domande frequenti

A cura di

Andrea Marton — Dottore in Economia e Finanza, praticante commercialista

Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 100 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.