Data breach GDPR: cos'è e cosa comporta
Un data breach, secondo il GDPR, è una violazione di sicurezza che comporta la distruzione, perdita, modifica, divulgazione o accesso non autorizzato a dati personali. Se rappresenta un rischio per gli interessati va notificato al Garante entro 72 ore dalla conoscenza (art. 33); se il rischio è elevato, vanno informati anche gli interessati (art. 34). È un obbligo distinto dalla notifica NIS2 al CSIRT.
Cos’è (e cosa non è) un data breach
Nel linguaggio comune «data breach» è qualunque attacco. Per il GDPR è qualcosa di preciso: una violazione di sicurezza che comporta in modo accidentale o illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali trasmessi, conservati o trattati. Un ransomware che cifra dati personali è un data breach (è una perdita di disponibilità); un attacco che non tocca dati personali può non esserlo. Il GDPR classifica le violazioni in tre tipi, non mutualmente esclusivi.
- 72 hnotifica al Garante · dalla conoscenza (art. 33)
- 3tipi di violazione · riservatezza, integrità, disponibilità
- 10 M€sanzione max · o 2% del fatturato globale
- art. 34comunicazione agli interessati · se rischio elevato
I tre tipi: violazione di riservatezza (divulgazione o accesso non autorizzato), di integrità (alterazione non autorizzata) e di disponibilità (perdita di accesso o distruzione, è il caso tipico del ransomware). Lo stesso incidente può ricadere in più categorie insieme.
Due obblighi da non confondere
La notifica al Garante (GDPR) riguarda i dati personali; la notifica al CSIRT Italia (NIS2) riguarda la sicurezza di reti e sistemi. Un ransomware con esfiltrazione di dati personali tipicamente attiva entrambe: due autorità, due tracciati normativi, due cronometri che partono in parallelo. Confonderle, o gestirne solo una, espone su due fronti. Vedi NIS2 spiegata.
Stesso incidente, due notifiche. NIS2 al CSIRT (incidente di sicurezza) e GDPR al Garante (dati personali) non si escludono. Un attacco con esfiltrazione di dati le fa scattare entrambe: vanno gestite insieme, con gli stessi fatti tecnici alla base ma due valutazioni distinte.
La timeline della notifica
Le 72 ore non partono dall’attacco, ma dalla conoscenza dell’incidente: il momento in cui il titolare acquisisce un ragionevole grado di certezza che una violazione si è verificata. È questo che rende la detection decisiva: senza visibilità, l’incidente si scopre tardi e il cronometro è già in ritardo.
Se non tutte le informazioni sono disponibili entro 72 ore, il GDPR consente una notifica per fasi: si comunica quanto noto e si integra senza ulteriore ingiustificato ritardo. Quando il rischio per i diritti e le libertà degli interessati è elevato, si aggiunge la comunicazione agli interessati (art. 34), in linguaggio chiaro e senza ingiustificato ritardo. Ogni violazione, notificata o meno, va comunque iscritta nel registro delle violazioni interno: è la base su cui il Garante può verificare la valutazione fatta.
Cosa serve in una notifica accurata
Una notifica vale quanto i fatti che la sostengono. Gli elementi richiesti dall’art. 33 e ciò che li alimenta:
- Natura della violazione. Tipo di incidente, categorie e numero approssimativo di interessati e di record coinvolti.
- Quali dati sono usciti. La distinzione tra dato cifrato e dato esfiltrato cambia il rischio: la stabilisce l'analisi forense, non una stima.
- Conseguenze probabili. L'impatto atteso per gli interessati, su cui si fonda la valutazione del rischio elevato.
- Misure adottate. Contenimento, mitigazione e azioni per ridurre gli effetti negativi.
- Contatto del DPO. Punto di riferimento per il Garante e per gli interessati.
Cifrato non vuol dire al sicuro. Se i dati esfiltrati erano cifrati con chiavi non compromesse, il rischio per gli interessati può essere basso e la comunicazione agli interessati non necessaria. Ma stabilire se la cifratura ha tenuto, e se le chiavi sono integre, è una determinazione tecnico-forense: senza evidenze, si finisce per sovra-notificare o, peggio, sotto-notificare.
Chi fa cosa: legale e tecnica insieme
La notifica è un atto a due mani. La valutazione giuridica e l’atto formale spettano al titolare e al DPO: decidono se c’è rischio, se è elevato, cosa e a chi notificare. Il lato tecnico-forense stabilisce i fatti su cui quella decisione si regge: come è entrato l’attaccante, cosa ha toccato, quali dati ha esfiltrato, in che finestra temporale. Senza i fatti, la valutazione legale è cieca; senza la valutazione legale, i fatti restano inerti. È il lato tecnico che un presidio gestito presidia: notifica data breach al Garante.
Conoscere cosa è uscito è il primo atto: senza evidenze non c'è notifica accurata. Bloccarlo in tempo è il secondo.
Data breach (Garante) vs incidente NIS2 (CSIRT)
| Data breach · Garante | Incidente · CSIRT | |
|---|---|---|
| Norma | GDPR art. 33-34 | NIS2 · D.Lgs. 138/2024 |
| Oggetto | Dati personali | Sicurezza del servizio |
| Termine | 72 ore | Preavviso 24h, notifica 72h |
| A chi | Garante (+ interessati se rischio elevato) | CSIRT Italia |
Nell'Operation Storming Tide il team Fortgale ha ricostruito la catena e bloccato l'esfiltrazione: stabilire quali dati sono stati portati all'esterno è la base fattuale di una notifica accurata al Garante.
Leggi l'analisi →Domande frequenti.
Ogni incidente è un data breach?
No. È un data breach solo se coinvolge dati personali con rischio per gli interessati. Un incidente può essere notificabile alla NIS2/CSIRT senza essere un data breach GDPR, e viceversa. Spesso, però, scattano entrambi.
Entro quanto si notifica al Garante?
Entro 72 ore dalla conoscenza (art. 33). Se il rischio per gli interessati è elevato, va data anche comunicazione agli interessati senza ingiustificato ritardo (art. 34). Ogni violazione va registrata.
Chi fa cosa nella notifica?
La valutazione giuridica e l'atto di notifica spettano al titolare e al DPO. Il lato tecnico-forense (cosa è successo, quali dati esfiltrati, evidenze) lo fornisce il team di sicurezza. Vedi notifica data breach al Garante.
Quali sanzioni per un data breach gestito male?
Le violazioni degli obblighi possono arrivare a 10 milioni di euro o il 2% del fatturato annuo globale. Una notifica accurata e tempestiva, con evidenze tecniche solide, è anche un elemento di tutela.
Cosa significa «dalla conoscenza» dell'incidente?
Il cronometro delle 72 ore parte quando il titolare acquisisce un ragionevole grado di certezza che una violazione di dati personali si è verificata, non dal momento dell'attacco. Per questo serve detection: prima si rileva e si qualifica l'incidente, più tempo resta per valutare e notificare con evidenze, anziché con stime.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Notifica data breach al Garante.
Risorse correlate: NIS2 spiegata · Notifica data breach al Garante · Attacco ransomware: cosa fare
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.