Con l’incremento esponenziale degli attacchi informatici, la gestione delle violazioni di dati personali assume un ruolo cruciale nel sistema di tutela delineato dal GDPR. La notifica del data breach al Garante non è solo un obbligo, ma uno strumento strategico di contenimento e prevenzione.

Data breach: significato e funzione della notifica secondo il GDPR

Nel contesto europeo regolato dal GDPR, la notifica di un data breach all’autorità di controllo non è solamente una formalità amministrativa, bensì una misura di tutela preventiva volta a limitare le conseguenze dannose per i soggetti coinvolti in un attacco informatico. Gli articoli 33 e 34 del Regolamento europeo per la protezione dei dati personali, letti in combinato con il considerando 85, sottolineano infatti come la violazione di dati personali possa produrre danni fisici, materiali o immateriali, quali furti di identità, discriminazioni o perdite economiche.

Pertanto, il legislatore invita il titolare del trattamento a notificare la violazione al Garante entro 72 ore dalla conoscenza del fatto, indicando chiaramente come questa notifica debba servire da leva per un intervento collaborativo, più che punitivo, da parte dell’Autorità. A conferma di questa lettura, il considerando 87 prevede che la notifica possa condurre l’Autorità a intervenire nell’ambito dei suoi poteri non solo per sanzionare, ma anche per supportare e mitigare i danni derivanti dalla violazione.

Il ruolo proattivo del Garante: tra vigilanza e consulenza

Le Linee Guida 9/22 dell’EDPB (European Data Protection Board) chiariscono in maniera inequivocabile la ratio della notifica: essa dev’essere considerata un elemento cardine del piano di intervento in caso di incidente informatico. Il titolare del trattamento, infatti, non solo adempie a un obbligo legale, ma può ottenere consulenza qualificata sull’opportunità di informare gli interessati coinvolti.

In questa prospettiva, la notifica assume un valore strategico: non più sinonimo di esposizione al rischio sanzionatorio, bensì strumento di conformità e prevenzione. Tuttavia, è fondamentale comprendere che il Garante mantiene la facoltà di valutare l’idoneità delle misure di sicurezza adottate e, in caso di mancanze rilevanti, può procedere con provvedimenti correttivi e sanzioni fino a 10 milioni di euro o al 2% del fatturato globale annuo, ai sensi dell’art. 83 GDPR.

Le relazioni annuali del Garante e l’importanza di un approccio bilanciato

Le Relazioni annuali 2022 e 2023 del Garante italiano testimoniano un aumento significativo delle notifiche, che sono passate da 1.351 a 2.037 in un solo anno, registrando un incremento dell’80%. Questo dato, da un lato segnala maggiore attenzione alla compliance, ma dall’altro lascia emergere la sottostima del fenomeno, se si considera l’effettivo numero di attacchi informatici subiti nel Paese.

Inoltre, la Relazione 2023 ha evidenziato come, accanto a casi sanzionati severamente, il Garante abbia optato in più circostanze per misure proporzionate, come nel caso del provvedimento n. 399 del 14 settembre 2023, relativo a un errore di invio di fattura in ambito sanitario. In questo caso, l’Autorità ha deciso per un ammonimento al posto di una sanzione pecuniaria, riconoscendo la cooperazione del titolare, l’assenza di precedenti e la natura circoscritta della violazione.

Questo approccio differenziato è cruciale per incentivare la notifica. Chi adotta misure preventive adeguate, si coordina con il DPO e investe nella sicurezza (anche tramite certificazioni come la ISO 27001) deve poter confidare in una risposta istituzionale equilibrata e non aprioristicamente punitiva. Solo così si potrà ridurre la diffidenza verso l’istituto della notifica e colpire selettivamente quei soggetti che si dimostrano inadempienti in termini di protezione dei dati.