Quando si applica la notifica di violazione dei dati personali e cosa fare dopo
Risposta diretta
La notifica si applica quando un incidente di sicurezza coinvolge dati personali e puo creare un rischio, un obbligo del responsabile del trattamento o un obbligo verso il cliente. Il primo passo e aprire un registro, assegnare ownership, valutare il rischio e conservare prove.
Chi riguarda: Team privacy, compliance lead, product manager, legali, sicurezza e founder SaaS
Cosa fare ora
- Aprire un registro quando un incidente puo coinvolgere dati personali.
- Separare autorita, interessati, clienti e stakeholder interni.
- Conservare timeline, analisi, decisione e remediation in un unico posto.
La notifica di violazione dei dati personali e un processo operativo, non solo un parere legale. Se un incidente puo coinvolgere dati personali, il team deve aprire un registro di valutazione, confermare i sistemi impattati, assegnare responsabili e documentare fatti noti e mancanti.
L'articolo 33 GDPR richiede al titolare di notificare l'autorita competente senza ingiustificato ritardo e, ove possibile, entro 72 ore da quando viene a conoscenza della violazione, salvo che sia improbabile un rischio per diritti e liberta delle persone. Il responsabile deve informare il titolare senza ingiustificato ritardo. L'articolo 34 richiede una comunicazione separata agli interessati quando vi e un rischio elevato.
Per i team SaaS, la risposta parte da tre domande: ci sono dati personali, esiste un rischio o rischio elevato, e quale ruolo GDPR ha l'azienda per ogni dataset. Lo stesso fornitore puo essere titolare per dati account o marketing e responsabile per dati dei clienti.
Il registro dovrebbe includere rilevazione, momento di consapevolezza, sistemi, categorie di dati, persone o record interessati, fornitori, contenimento, conseguenze probabili, misure correttive e decisione di notifica. Gli obblighi dei contratti cliente e dei DPA devono stare nello stesso flusso.
Autorita, interessati, clienti e team interni sono audience diverse. La soglia di rischio per l'autorita e la soglia di rischio elevato per gli interessati vanno valutate separatamente.
Errori comuni: aspettare certezza, non mappare i ruoli, confondere rischio e rischio elevato, fidarsi troppo di cifratura o contenimento, e lasciare prove sparse tra chat, ticket ed email. Un buon workflow collega incident response, privacy, clienti e remediation.
FAQ
Ogni violazione va notificata?
No. Se il rischio per le persone e improbabile, la notifica all'autorita puo non essere richiesta. Fatti, effetti e decisione devono comunque essere documentati.
Cosa documentare prima?
Timeline, dati colpiti, ruolo GDPR, clienti, contenimento, valutazione del rischio, decisione e azioni correttive.
Termini chiave in questo articolo
Fonti primarie
- General Data Protection RegulationEuropean Union · Consultato 9 mag 2026
- Guidelines 9/2022 on personal data breach notification under GDPREuropean Data Protection Board · Consultato 9 mag 2026
- Personal data breaches - a guideInformation Commissioner's Office · Consultato 9 mag 2026
- 72 hours - how to respond to a personal data breachInformation Commissioner's Office · Consultato 9 mag 2026
Esplora hub correlati
Articoli correlati
Termini del glossario correlati
Pronto a garantire la tua compliance?
Non aspettare che le violazioni blocchino la tua attività. Ottieni in pochi minuti il tuo report completo di compliance.
Scansiona ora il tuo sito gratis