Data breach: cosa fare se succede? – L'esperienza e la competenza al vostro servizio

La gestione dell’incidente che nessuno è pronto ad affrontare

Il termine “data breach” – o violazione dei dati personali – evoca scenari da hacker e grandi multinazionali. In realtà, le violazioni più frequenti avvengono ogni giorno nelle PMI, spesso per errori banali: un’email inviata al destinatario sbagliato, una chiavetta USB smarrita, un computer non protetto da password.

Il problema non è solo tecnico, ma organizzativo: la maggior parte delle aziende non sa cosa fare quando succede. Eppure, l’art. 33 del Regolamento (UE) 2016/679 (GDPR) è chiarissimo: in caso di violazione dei dati personali, il titolare del trattamento deve notificare il data breach al Garante entro 72 ore dal momento in cui ne è venuto a conoscenza.

Il vuoto organizzativo delle PMI

Pochissime PMI italiane hanno un protocollo interno per gestire le violazioni. Spesso manca una procedura di rilevazione dell’incidente, un registro interno dove documentare gli eventi, una catena di responsabilità chiara tra dipendenti, referenti IT e DPO, o una valutazione del rischio legata alla violazione.

Il risultato è un effetto domino: il tempo passa, la violazione si aggrava, i dati vengono diffusi ulteriormente, e l’azienda scopre troppo tardi di essere fuori norma — senza aver mai notificato nulla al Garante o agli interessati.

Cosa si intende per “data breach”

Il GDPR (art. 4, par. 12) definisce il data breach come una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati.

Tipo di violazione	Esempio	Rischio prevalente
Disponibilità	Perdita di dati per guasto o cancellazione accidentale	Interruzione dei servizi
Integrità	Alterazione o modifica non autorizzata dei dati	Dati falsati o inaffidabili
Riservatezza	Accesso o diffusione non autorizzata di dati	Violazione della privacy dell’interessato

Le 72 ore che fanno la differenza

Il termine di 72 ore non è negoziabile. Il conteggio parte dal momento in cui il titolare ha conoscenza del fatto. In queste ore critiche, il titolare deve rilevare l’incidente, documentare la violazione, notificare il Garante, comunicare agli interessati se necessario e aggiornare il registro aziendale dei data breach.

Gli errori più comuni nelle PMI

– Negare o minimizzare l’incidente, sperando che passi inosservato.

– Non coinvolgere il DPO o farlo troppo tardi.

– Confondere il problema tecnico con quello legale.

– Non avere canali interni di segnalazione.

– Mancanza di formazione del personale.

Come strutturare un piano di gestione del data breach

Un piano efficace deve essere semplice ma concreto, adattato alla dimensione aziendale. Ecco i passi fondamentali:

Fase	Azione chiave	Strumento operativo
Prevenzione	Identificare i trattamenti critici e formare il personale	Registro dei trattamenti e corsi di sensibilizzazione
Rilevazione	Stabilire come segnalare incidenti o anomalie	Modulo interno o helpdesk IT
Analisi	Valutare impatto e rischio per gli interessati	Modello di valutazione e supporto DPO
Notifica	Redigere la comunicazione per il Garante entro 72 ore	Template ufficiale del Garante Privacy
Comunicazione	Informare gli interessati, se necessario	Lettera/email conforme all’art. 34 GDPR
Revisione	Aggiornare misure e procedure	Report post-incidente e formazione correttiva

Il ruolo del DPO e della formazione

Il Data Protection Officer (DPO) è la figura chiave nella gestione delle violazioni: coordina le attività di analisi, valuta la necessità di notifica e supporta il titolare nella comunicazione con il Garante. Tuttavia, anche dove presente, spesso viene coinvolto troppo tardi.

Serve una formazione continua dei dipendenti: saper riconoscere email sospette, evitare dispositivi personali non protetti e segnalare immediatamente ogni anomalia. Un data breach non è mai solo un incidente tecnico: è un fallimento del sistema organizzativo.

Cosa succede se non si notifica

Le conseguenze possono essere molto gravi: sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, perdita di fiducia, responsabilità civile e pubblicazione della violazione da parte del Garante.

La mancata gestione del data breach è un segnale di assenza di accountability: significa che l’azienda non è in grado di dimostrare di aver fatto tutto il possibile per tutelare i dati personali.

Conclusione: dall’emergenza alla prontezza

Gestire un data breach non è un esercizio teorico, ma un test di maturità aziendale. Ogni organizzazione deve saper rispondere rapidamente, documentare correttamente e comunicare con trasparenza. La differenza non la fa l’incidente, ma la capacità di reagire. Le 72 ore del GDPR sono la linea sottile tra l’errore e la negligenza.

PNRR Istruzione

Piano Nazionale di Ripresa e Resilienza per la Scuola.

Google Education

Google Education – Il mondo Google al tuo servizio Un percorso operativo e coinvolgente nel cuore della didattica digitale: scopri […]

AI – Intelligenza Artificiale

Etica, società, coscienza collettiva Cosa trovi in questa sezione Riflessioni sulla convivenza tra intelligenza artificiale e valori umani Casi reali, […]

Innovazione didattica

Idee che trasformano la classe Cosa trovi in questa sezione Progetti didattici supportati dalla tecnologia: dalle classi virtuali ai laboratori […]

Sicurezza informatica nella scuola

Sicurezza informatica nella scuola: una priorità imprescindibile per la protezione degli studenti Con lo sviluppo esponenziale nell’uso delle tecnologie digitali […]

Innovazione nella PMI