Garante · dati personali
Notifica al Garante entro 72 ore (art. 33), comunicazione agli interessati se rischio elevato (art. 34), registro delle violazioni. Obbligo del titolare del trattamento.
Una violazione di dati personali va notificata al Garante entro 72 ore (GDPR art. 33). Gli studi legali coprono l'obbligo; quasi nessuno copre il lato tecnico: capire cosa è stato davvero esfiltrato e raccogliere le evidenze. Quel lato lo presidia Fortgale.
La stessa violazione può attivare due notifiche diverse, ad autorità diverse, con tempi diversi. Confonderle è un rischio. Per i fondamentali: cos'è un data breach GDPR; per l'altro binario: obbligo di notifica NIS2.
Notifica al Garante entro 72 ore (art. 33), comunicazione agli interessati se rischio elevato (art. 34), registro delle violazioni. Obbligo del titolare del trattamento.
Per i soggetti essenziali e importanti: preavviso 24 ore al CSIRT Italia. Vedi notifica incidente NIS2 e CSIRT Italia.
Un attacco ransomware con esfiltrazione di dati personali tipicamente attiva sia CSIRT sia Garante. Vanno gestite in parallelo.
Il Garante chiede natura della violazione, dati e interessati coinvolti, conseguenze e misure adottate. Tutto questo nasce da un lavoro tecnico-forense, non legale.
Analisi forense di log, traffico e artefatti per distinguere ciò che è stato copiato verso l'esterno da ciò che è stato solo cifrato o consultato. La base fattuale della notifica.
Raccolta e conservazione delle evidenze, timeline dell'attacco, IOC, perimetro coinvolto: il materiale che rende la notifica accurata e difendibile.
Eradicazione degli attaccanti, contenimento, ripristino sicuro. Il lavoro forense nell'incident response alimenta la notifica e ferma il danno.
Nell'Operation Storming Tide il team Fortgale ha ricostruito la catena multi-stadio e bloccato l'esfiltrazione RClone: stabilire cosa è stato realmente portato all'esterno è esattamente ciò che serve a una notifica accurata.
Leggi l'analisi →Due obblighi distinti: Garante (GDPR art. 33, dati personali, 72h) e CSIRT Italia (NIS2, incidente cyber, preavviso 24h). Un ransomware con esfiltrazione di dati personali può attivarli entrambi. Vedi notifica NIS2.
Entro 72 ore dalla conoscenza (art. 33). Se il rischio per gli interessati è elevato, va data anche comunicazione agli interessati (art. 34). Ogni violazione va annotata nel registro delle violazioni.
Fortgale presidia il lato tecnico-forense: cosa è successo, quali dati esfiltrati, evidenze, contenimento. La valutazione giuridica e l'atto di notifica restano in capo al titolare e al DPO o al legale.
Con analisi forense di log, traffico di rete e artefatti: si ricostruisce cosa l'attaccante ha effettivamente copiato all'esterno, distinguendolo da ciò che è stato solo cifrato. È la base di una notifica difendibile.
Fino a 10 milioni di euro o il 2% del fatturato annuo globale. Una notifica tempestiva e sostenuta da evidenze tecniche solide è anche un elemento di tutela nella valutazione dell'autorità.
Parlate con i nostri analisti: determiniamo cosa è stato esfiltrato, raccogliamo le evidenze per la notifica al Garante e conteniamo l'incidente. La valutazione giuridica resta al vostro DPO o legale, noi diamo il fondamento tecnico.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.