Data breach, la notifica è più facile
Per le microimprese una procedura ad hoc di notifica, al Garante della privacy, degli attacchi ai dati (data breach).
Sarà lo stesso Garante a dover definire le modalità semplificate e a predisporre un servizio di assistenza. È quanto prevede il ddl sulle semplificazioni per le imprese, definito dal consiglio dei ministri del 4/8/2025.
L’intervento riguarda i casi in cui una impresa con meno di 5 dipendenti registra un incidente ai propri archivi, informatici e cartacei, con conseguenti pericoli per i dati delle persone (dipendenti, clienti, fornitori, ecc.). In base al Gdpr (regolamento UE 2016/679, articolo 33*) anche una microimpresa (così come un multinazionale) deve segnalare il data breach al Garante. La cosa, però, non è semplice, considerate le valutazioni tecniche e giuridiche da compiere: tutte incombenze sproporzionatamente complesse per un operatore economico piccolissimo. E tra l’altro le sanzioni per violazioni dell’articolo 33 sono pesantissime (arrivano a 10 milioni di euro).
Il ddl, pertanto, incarica il Garante di istituire una procedura guidata per fare la notifica, con strumenti di autovalutazione degli episodi, così da permettere alle microimprese, con l’assistenza del Garante stesso, di portare a termine in autonomia l’adempimento.
Al riguardo si sottolinea che l’autovalutazione non deve consistere in un percorso con domande complicate, per rispondere alle quali si deve assumere un consulente.
Inoltre, il canale di assistenza dovrà essere rispondente agli adempimenti: ad esempio, dovrà essere raggiungibile anche in giorni festivi, visto che per la notifica bisogna rispettare un termine inderogabile di 72 ore.
Infine, si osserva che il ddl si limita a parlare dell’adempimento previsto dall’articolo 33 del Gdpr. Peraltro, in materia di data breach, c’è anche l’adempimento della comunicazione agli interessati (articolo 34 Gdpr), per cui sono opportune misure di agevolazione.
Articolo di Antonio Ciccia Messina - Italia Oggi 6/8/25
* L'articolo 33 del Regolamento Europeo 2016/679 (GDPR) disciplina la notifica delle violazioni dei dati personali all'autorità di controllo. In sintesi, il titolare del trattamento è tenuto a notificare all'autorità competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore, la violazione dei dati personali che comporti un rischio per i diritti e le libertà delle persone fisiche.