Cosa deve fare un'organizzazione in caso di violazione dei dati personali.
Il recente caso della sanzione del Garante a una società di consulenza.
Sappiamo purtroppo bene che il rischio zero nel campo della sicurezza informatica non esiste.
Se, quindi, si rimane vittima di un attacco informatico, è fondamentale sapere come gestire correttamente la situazione senza ritardo per contenere il più possibile le conseguenze e i danni. Non si può aspettare che la situazione si calmi (perché il più delle volte non si calma da sola) né rinviare per ragioni di opportunità organizzativa o reputazionale. È necessario sapere già cosa fare: conoscere gli obblighi normativi e avere una strategia già definita in anticipo.
Un recente provvedimento del mese di aprile 2026 con cui il Garante privacy* ha sanzionato una società di consulenza in conseguenza proprio di un data breach, ci dà l’occasione per ricordare alcune regole che ogni organizzazione che tratta dati personali deve sapere.
Una premessa: il data breach
Il data breach è una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Alcuni esempi di data breach riportati dallo stesso Garante privacy sono l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; il furto o la perdita di dispositivi informatici contenenti dati personali; la deliberata alterazione di dati personali; l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware.
La vicenda
Ad aprile 2024, una società di consulenza scopre di aver subito un attacco informatico. Una persona non autorizzata ha avuto accesso a un database contenente dati personali (nome, cognome, indirizzo e-mail e credenziali di accesso) di oltre 60.000 utenti.
Si trattava principalmente di dipendenti di aziende clienti che avevano utilizzato le piattaforme digitali della società per accedere a servizi di formazione professionale.
La società, in seguito alla scoperta, notifica la violazione al Garante privacy, ma decide di non comunicarla ai diretti interessati poiché il rischio per le persone coinvolte era, a suo giudizio, trascurabile.
Il Garante, non condividendo questa valutazione, con un provvedimento di qualche giorno successivo alla comunicazione, ingiunge alla società di effettuare la comunicazione agli interessati. Solo a quel punto, quindi con oltre due mesi di ritardo, le persone coinvolte vengono finalmente informate.
Le violazioni accertate dal Garante privacy
Il Garante ha rilevato tre ordini di violazioni, la prima di cui ti parliamo relativa proprio alla gestione del data breach mentre le altre, precedenti, relative alla inadeguatezza di altri profili relativi al trattamento dei dati personali:
1. comunicazione tardiva della violazione agli interessati (art. 34 GDPR)
Quando un data breach è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone, il titolare del trattamento è obbligato a comunicarlo agli interessati senza ingiustificato ritardo. Non si tratta di una valutazione discrezionale, ma di un obbligo che scatta al verificarsi di determinate condizioni.
In questo caso, a giudizio del Garante, vi erano le condizioni perché il titolare del trattamento non solo notificasse la violazione al Garante ma inviasse anche la comunicazione della violazione agli interessati: erano stati esfiltrati username e password di oltre 60.000 persone, alcune conservate in chiaro, altre con algoritmi crittografici deboli. Il rischio di riutilizzo delle credenziali su altri servizi online era concreto e rilevante.
La società aveva però scelto di non comunicare la violazione, ritenendo il rischio trascurabile.
Durante l'istruttoria davanti al Garante, inoltre, era emerso che la società aveva rinviato la comunicazione anche per evitare ricadute reputazionali in un momento delicato per la società, impegnata nell'organizzazione di importanti eventi e in alcune riorganizzazioni societarie.
Il Garante ha chiarito che i motivi reputazionali non possono prevalere sui diritti delle persone. Anzi, questa scelta è stata considerata un elemento di scarso rispetto del principio di accountability.
2. Le altre violazioni: password conservate in modo inadeguato e eccessiva conservazione dei dati (artt. 5 e 32 GDPR)
Al momento dell'attacco, numerose password erano conservate con una funzione già da anni riconosciuta come non sicura, mentre altre erano conservate in chiaro, senza alcuna protezione crittografica. In entrambi i casi, una violazione dell'obbligo di garantire un livello di sicurezza adeguato al rischio (art. 32 GDPR) e del principio di integrità e riservatezza (art. 5 GDPR).
A questo si era aggiunto un secondo problema: alcune delle credenziali esfiltrate erano relative a sistemi e applicazioni dismesse anni prima, ma ancora presenti nei sistemi della società.
Conservare dati non più necessari viola il principio di limitazione della conservazione (art. 5, par. 1, lett. e GDPR). E nel caso delle password, il rischio aumenta nel tempo: più a lungo restano nei sistemi, più le misure di protezione adottate diventano obsolete.
La responsabilità resta al titolare anche se ha delegato ai fornitori
Nel corso del procedimento, la società ha spiegato che lo sviluppo delle applicazioni era stato affidato a fornitori esterni che, come emerso dopo, non avevano le competenze adeguate in materia di sicurezza e protezione dei dati. Un problema che si era aggravato durante la pandemia, quando la necessità di sviluppare rapidamente nuovi strumenti digitali aveva fatto passare in secondo piano i controlli sulla sicurezza.
Il Garante ha ricordato un principio già affermato più volte in passato: il titolare del trattamento è responsabile di tutto ciò che viene fatto con i dati personali, anche quando le attività sono affidate a terzi. Scegliere fornitori privi delle competenze adeguate configura una colpa in capo al titolare (la cosiddetto culpa in eligendo).
La quantificazione della sanzione
Nel caso concreto, il Garante ha quantificato la sanzione in € 85.000,00, qualificando la gravità delle violazioni come media, considerando:
- il numero elevato di persone coinvolte
- la durata delle violazioni: le credenziali erano conservate in modo inadeguato da oltre due anni
- il ritardo di circa due mesi nella comunicazione agli interessati
- la condotta negligente della società nella scelta e nel controllo dei fornitori
- l'assenza di precedenti violazioni
- la collaborazione con il Garante durante il procedimento
È stata inoltre disposta la pubblicazione del provvedimento sul sito del Garante.
Indicazioni pratiche per la tua organizzazione nel caso di data breach
Questo caso tocca diversi temi rilevanti per qualsiasi organizzazione che gestisce piattaforme digitali o servizi online: adottare tecniche di conservazione delle password aggiornate, cancellare i dati quando non servono più, controllare le competenze dei fornitori esterni in materia di sicurezza.
Ma il punto su cui vogliamo soffermarci perché spesso è sottovalutato è la gestione del data breach.
Scoprire un attacco informatico non è il momento giusto per iniziare a chiedersi cosa fare. La procedura deve esistere prima, deve essere scritta e deve essere conosciuta da chi lavora nell'organizzazione. Questo vale per qualsiasi realtà, indipendentemente dalle dimensioni.
Una buona procedura di gestione dei data breach deve prevedere:
- chi coinvolgere direttamente: il DPO (se nominato), i responsabili IT, i consulenti legali e tecnici di fiducia. Individuarli in anticipo, prima che accada qualcosa, fa la differenza
- come valutare la gravità dell'incidente: non ogni violazione ha le stesse conseguenze. Occorre capire quali dati sono coinvolti, quante persone riguarda, quali rischi concreti comporta per gli interessati
- quando e come notificare al Garante: la notifica va fatta “senza ingiustificato ritardo e, ove possibile, entro 72 ore” dalla scoperta della violazione, non dalla sua verificazione, ma dal momento in cui l'organizzazione ne è venuta a conoscenza. Se le 72 ore non bastano per raccogliere tutte le informazioni necessarie, è possibile inviare una notifica preliminare e integrarla dopo. Il ritardo non giustificato è già di per sé una violazione del GDPR. Le notifiche al Garante fatte oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. A questa pagina del sito del Garante privacy trovi uno strumento di autovalutazione, la procedura per fare la notifica, le istruzioni e un fac-simile di modello. La notifica al Garante non è sempre obbligatoria. Il GDPR (art. 33) prevede che vada fatta “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Se il titolare ritiene che il rischio sia improbabile, non è tenuto a notificare, ma deve ricordarsi di documentare le ragioni di questa valutazione nel registro interno delle violazioni
- quando comunicare agli interessati: se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone, la comunicazione è obbligatoria e deve avvenire senza ingiustificato ritardo. Non possono essere ragioni di immagine o di opportunità a ritardarla: come dimostra questo caso, farlo aggrava la posizione del titolare
- come documentare tutto: ogni violazione, anche quelle non notificate al Garante, deve essere documentata con la descrizione dell'accaduto, i dati coinvolti, le valutazioni fatte e le misure adottate
La compliance come protezione concreta
Questo provvedimento ci ricorda che la sicurezza informatica e la protezione dei dati personali non sono due ambiti separati. Quando i sistemi non sono sicuri, sono i dati delle persone a essere a rischio. E il titolare del trattamento ne risponde.
Costruire un sistema di compliance solido significa anche occuparsi di sicurezza tecnica, scegliere fornitori affidabili e avere procedure chiare per gestire le emergenze. Significa anche formare le persone preventivamente perché riconoscano per tempo i segnali di un attacco e lo sappiano segnalare tempestivamente: può fare la differenza.
È una protezione per l'organizzazione e per le persone di cui tratti i dati.
Iscriviti alla nostra newsletter
Per ricevere novità e approfondimenti sul tema della conformità delle organizzazioni (aziende, studi professionali, associazioni, enti): contratti, privacy, regole del digitale, sostenibilità, modello 231.
