GDPR: Data Breach e la scadenza delle 72 ore – Cosa fare se non riesci a notificare il Garante in tempo?

目次
Immagina: sono le 3 di notte, ricevi una notifica di un data breach. Il GDPR ti impone di notificare il Garante entro 72 ore. Ma cosa succede se non ce la fai? Tranquillo, non è la fine del mondo (anche se potrebbe sembrare).
Il principio delle 72 ore: flessibilità, non rigidità
Il GDPR all'articolo 33 prevede che la notifica vada fatta "senza ingiustificato ritardo" e, comunque, entro 72 ore dal momento in cui si è venuti a conoscenza del breach. Ma la legge non è una tagliola: se non riesci a rispettare il termine, devi motivare il ritardo.
Featured Snippet Bait: Se non riesci a notificare il Garante entro 72 ore, devi comunque inviare una notifica preliminare entro il termine, indicando le ragioni del ritardo e fornendo le informazioni disponibili. Il resto va integrato successivamente.
Quando è giustificato il ritardo?
Le circostanze che possono giustificare un ritardo includono: indagini forensi complesse, mancanza di informazioni complete, o eventi imprevisti (es. attacco ransomware che blocca i sistemi). L'importante è documentare tutto.
Cosa fare in pratica
- Invia una notifica preliminare entro le 72 ore, anche se parziale.
- Spiega chiaramente le ragioni del ritardo.
- Integra la notifica non appena hai più informazioni.
Ricorda: il Garante valuta la diligenza e la buona fede. Non nasconderti, ma agisci con trasparenza.
Le conseguenze del ritardo ingiustificato
Se il ritardo è ingiustificato, le sanzioni possono essere salate: fino a 10 milioni di euro o il 2% del fatturato annuo globale. Ma se dimostri di aver fatto tutto il possibile, le probabilità di sanzione si riducono.
Per approfondire, consulta il testo ufficiale del GDPR: Regolamento UE 2016/679.
FAQ
Devo notificare anche se il breach è minimo?
Sì, se il breach comporta rischi per i diritti e le libertà delle persone fisiche. Se il rischio è basso, potresti non dover notificare, ma è meglio documentare la valutazione.
Cosa succede se notifico dopo 72 ore?
Devi fornire una giustificazione scritta del ritardo. Il Garante valuterà caso per caso. Se la giustificazione è valida, di solito non ci sono sanzioni.
Posso delegare la notifica a un DPO?
Sì, il DPO può essere incaricato di gestire la notifica, ma la responsabilità rimane del titolare del trattamento.
Checklist per la notifica del data breach
- Identificare il breach e valutarne la gravità
- Documentare tempestivamente l'accaduto
- Inviare notifica preliminare entro 72 ore
- Motivare eventuali ritardi
- Integrare la notifica con info complete
- Conservare tutta la documentazione
Clicca mentalmente per spuntare ✅

NakedPact 編集委員会
NakedPact 編集部が作成した記事です。私たちの使命は、一般市民や消費者を保護するために、日常の契約に潜む不当な条項や隠れたリスクを分析、簡素化、および明らかにすることです。

おすすめ記事
🛡️ ワンクリックで権利を守る
不当な条項に署名するリスクを避けてください。Chrome または Firefox 用の無料の NakedPact 拡張機能をインストールして、Web 上のあらゆる契約を即座に分析します。


