GDPR · art. 33-34 · Garante Privacy

Notifica data breach al Garante: cosa fare in 72 ore.

Una violazione di dati personali va notificata al Garante entro 72 ore (GDPR art. 33). Gli studi legali coprono l'obbligo; quasi nessuno copre il lato tecnico: capire cosa è stato davvero esfiltrato e raccogliere le evidenze. Quel lato lo presidia Fortgale.

72hNotifica al Garante
art. 33-34GDPR · interessati
10 M€Sanzione · o 2% fatturato
Conformità
GDPR · art. 33-34
Garante Privacy
ISO/IEC 27001
Standard forense
MITRE ATT&CK
NIST IR
chain of custody
Data breach ≠ incidente NIS2

Due obblighi distinti, spesso simultanei.

La stessa violazione può attivare due notifiche diverse, ad autorità diverse, con tempi diversi. Confonderle è un rischio. Per i fondamentali: cos'è un data breach GDPR; per l'altro binario: obbligo di notifica NIS2.

GDPR ·

Garante · dati personali

Notifica al Garante entro 72 ore (art. 33), comunicazione agli interessati se rischio elevato (art. 34), registro delle violazioni. Obbligo del titolare del trattamento.

Insieme ·

Quando scattano entrambe

Un attacco ransomware con esfiltrazione di dati personali tipicamente attiva sia CSIRT sia Garante. Vanno gestite in parallelo.

Il lato che gli studi legali non coprono

Una notifica vale quanto le evidenze che la sostengono.

Il Garante chiede natura della violazione, dati e interessati coinvolti, conseguenze e misure adottate. Tutto questo nasce da un lavoro tecnico-forense, non legale.

01 ·

Quali dati esfiltrati

Analisi forense di log, traffico e artefatti per distinguere ciò che è stato copiato verso l'esterno da ciò che è stato solo cifrato o consultato. La base fattuale della notifica.

02 ·

Evidenze per la notifica

Raccolta e conservazione delle evidenze, timeline dell'attacco, IOC, perimetro coinvolto: il materiale che rende la notifica accurata e difendibile.

Caso reale · determinare cosa è stato esfiltrato

Nell'Operation Storming Tide il team Fortgale ha ricostruito la catena multi-stadio e bloccato l'esfiltrazione RClone: stabilire cosa è stato realmente portato all'esterno è esattamente ciò che serve a una notifica accurata.

Leggi l'analisi →

Clienti in 22 paesi su 3 continenti →

FAQ · data breach Garante

Le domande sulla notifica.

Differenza tra notifica al Garante e al CSIRT?

Due obblighi distinti: Garante (GDPR art. 33, dati personali, 72h) e CSIRT Italia (NIS2, incidente cyber, preavviso 24h). Un ransomware con esfiltrazione di dati personali può attivarli entrambi. Vedi notifica NIS2.

Entro quando va notificata la violazione?

Entro 72 ore dalla conoscenza (art. 33). Se il rischio per gli interessati è elevato, va data anche comunicazione agli interessati (art. 34). Ogni violazione va annotata nel registro delle violazioni.

Cosa fa Fortgale e cosa il DPO o il legale?

Fortgale presidia il lato tecnico-forense: cosa è successo, quali dati esfiltrati, evidenze, contenimento. La valutazione giuridica e l'atto di notifica restano in capo al titolare e al DPO o al legale.

Come si determina cosa è stato esfiltrato?

Con analisi forense di log, traffico di rete e artefatti: si ricostruisce cosa l'attaccante ha effettivamente copiato all'esterno, distinguendolo da ciò che è stato solo cifrato. È la base di una notifica difendibile.

Quali sanzioni per la mancata notifica?

Fino a 10 milioni di euro o il 2% del fatturato annuo globale. Una notifica tempestiva e sostenuta da evidenze tecniche solide è anche un elemento di tutela nella valutazione dell'autorità.

Avete una violazione di dati in corso?

La notifica giusta nasce da evidenze solide.

Parlate con i nostri analisti: determiniamo cosa è stato esfiltrato, raccogliamo le evidenze per la notifica al Garante e conteniamo l'incidente. La valutazione giuridica resta al vostro DPO o legale, noi diamo il fondamento tecnico.

Tempo di risposta: < 1 giorno lavorativo.