GDPR e data breach: workflow Art. 33-34 e incident management
Risposta rapida
Un data breach GDPR è una violazione di sicurezza che comporta distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato a dati personali. Il workflow deve consentire rilevazione, contenimento, classificazione, valutazione del rischio, decisione sulla notifica al Garante entro 72 ore quando dovuta, eventuale comunicazione agli interessati e registrazione dell'evento. GAPOFF collega incident management e GDPR, creando timer, task, evidenze e report per gestire l'emergenza senza improvvisare.
Registro trattamenti, DPIA, data breach, diritti degli interessati e audit-ready.
Perché questo tema è importante
Il data breach è uno dei momenti in cui la compliance viene realmente messa alla prova. Le decisioni devono essere rapide, ma non superficiali. Occorre capire cosa è successo, quali dati sono coinvolti, quanti interessati, quali conseguenze probabili, quali misure sono state adottate e se la notifica è necessaria.
Senza workflow, le prime ore vengono perse tra telefonate, email e incertezze. L'IT guarda l'incidente tecnico, il DPO cerca informazioni, la direzione teme conseguenze reputazionali, il fornitore può non rispondere subito. Un processo predefinito riduce il caos.
Quadro normativo e fonti ufficiali
Gli artt. 33 e 34 del GDPR disciplinano notifica all'autorità di controllo e comunicazione agli interessati. La notifica all'autorità deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare ne è venuto a conoscenza, salvo che la violazione sia improbabile che presenti un rischio per i diritti e le libertà delle persone. L'EDPB ha pubblicato linee guida specifiche sulla notifica delle violazioni.
Il responsabile del trattamento deve informare il titolare senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
Cosa significa per l'azienda
Per l'azienda, ogni evento di sicurezza che coinvolge dati personali deve entrare in una triage privacy. Non tutti gli incidenti sono data breach, e non tutti i data breach sono notificabili, ma tutti devono essere valutati e registrati.
Il workflow deve raccogliere informazioni minime: data e ora di scoperta, fonte, sistemi coinvolti, dati e interessati, cause, misure di contenimento, valutazione rischio, decisione, eventuale notifica, comunicazioni e azioni correttive.
Cosa deve fare concretamente l'organizzazione
- Rilevare e segnalare immediatamente l'incidente.
- Contenere l'evento e preservare evidenze tecniche.
- Determinare se sono coinvolti dati personali.
- Classificare tipo di breach: confidenzialità, integrità, disponibilità.
- Valutare rischio per diritti e libertà degli interessati.
- Coinvolgere DPO, legale, IT, management e fornitori.
- Decidere notifica al Garante e comunicazione agli interessati.
- Compilare notifica con informazioni disponibili, anche per fasi.
- Registrare l'evento, anche se non notificato.
- Eseguire post-incident review e remediation.
Esempio pratico
Un dipendente invia per errore un file con dati clienti a un destinatario esterno. Il workflow GAPOFF apre l'incidente, registra ora di scoperta, tipo di dati, numero interessati, richiesta di cancellazione al destinatario, valutazione rischio e decisione di notifica. Anche se l'evento viene ritenuto non notificabile, resta registrato con motivazione, misure adottate e formazione correttiva.
Errori comuni da evitare
- Aspettare di avere tutte le informazioni prima di attivare il processo.
- Confondere incidente IT e data breach senza valutazione privacy.
- Non registrare breach non notificati.
- Non coinvolgere fornitori responsabili del trattamento.
- Non documentare la decisione di non notificare.
- Non fare remediation dopo la chiusura.
Come GAPOFF aiuta
GAPOFF collega Incident & Breach Ops e modulo GDPR: ogni evento può essere classificato, associato a trattamenti e fornitori, gestito con timer, task, allegati, decisioni e report. Il sistema aiuta a rispettare tempi, raccogliere evidenze e conservare un registro delle violazioni, elemento essenziale in caso di audit o controllo.
Registro trattamenti, DPIA, data breach, diritti degli interessati, responsabili Art.28 ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica GDPR, Incident & Breach Ops, Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo GDPR →Checklist operativa
- Canale interno di segnalazione attivo.
- Timer 72 ore configurato.
- Ruoli di escalation definiti.
- Registro breach mantenuto.
- Criteri rischio documentati.
- Template notifica disponibili.
- Post-incident review obbligatoria.
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo GDPR →
FAQ
Ogni data breach va notificato al Garante?
No. La notifica è richiesta quando la violazione presenta un rischio per i diritti e le libertà delle persone. La decisione deve essere documentata.
Quando partono le 72 ore?
Dal momento in cui il titolare è venuto a conoscenza della violazione, secondo la valutazione del caso concreto e delle linee guida applicabili.
Un responsabile del trattamento può notificare direttamente?
Normalmente il responsabile deve informare il titolare senza ingiustificato ritardo; la notifica all'autorità compete al titolare, salvo accordi e circostanze specifiche.
Articoli correlati consigliati
- GDPR e Vendor Risk Management: controllare responsabili e sub-responsabili
- GDPR e continuità operativa: disponibilità, resilienza e ripristino dati
- Gestire il GDPR in una piattaforma SaaS: vantaggi e limiti
Registro trattamenti, DPIA, gestione data breach, diritti degli interessati, responsabili Art.28, audit privacy e report audit-ready. Cross-mapping automatico con NIS2, DORA, ISO 27001 e AI Act.
Vai al modulo GDPR →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2016/679
- Garante Privacy - GDPR Regolamento 2016/679
- Garante Privacy - Guida all'applicazione del GDPR
- EDPB - Guidelines, Recommendations, Best Practices
- Normattiva - D.Lgs. 196/2003 Codice Privacy
- Garante Privacy - Data breach
- EDPB - Guidelines 9/2022 on personal data breach notification
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
Ogni data breach va notificato al Garante?
No. La notifica è richiesta quando la violazione presenta un rischio per i diritti e le libertà delle persone. La decisione deve essere documentata.
Quando partono le 72 ore?
Dal momento in cui il titolare è venuto a conoscenza della violazione, secondo la valutazione del caso concreto e delle linee guida applicabili.
Un responsabile del trattamento può notificare direttamente?
Normalmente il responsabile deve informare il titolare senza ingiustificato ritardo; la notifica all'autorità compete al titolare, salvo accordi e circostanze specifiche.
- Eur-Lex - Regolamento (Ue) 2016/679
- Garante Privacy - Gdpr Regolamento 2016/679
- Garante Privacy - Guida All'applicazione Del Gdpr
- Edpb - Guidelines, Recommendations, Best Practices
- Normattiva - D.lgs. 196/2003 Codice Privacy
- Garante Privacy - Data Breach
- Edpb - Guidelines 9/2022 On Personal Data Breach Notification
Ultima revisione: 2026-05-19.