Guida all'articolo 34 del GDPR

Smetti di tirare a indovinare quando notificare gli interessati dopo una violazione: ottieni il framework esatto

Aggiornato il 2026-06-23
Punti chiave: Priverion è una piattaforma GRC ospitata in Svizzera che aiuta i team privacy a gestire le notifiche di violazione ai sensi dell'articolo 34 del GDPR nei gruppi aziendali multi-entità.

Ottieni il framework decisionale passo dopo passo dell'articolo 34, i modelli di notifica e la checklist di coordinamento multi-entità che i team privacy di oltre 50 organizzazioni utilizzano per gestire le notifiche di violazione senza tentativi a caso, panico o esposizione normativa.

Niente spam. Accesso immediato alla checklist e ai modelli.

Oppure continua a leggere per l'analisi completa dell'articolo 34

Scelto dai team privacy di

Utilizzato dai team privacy che gestiscono la conformità in oltre 50 entità nei servizi finanziari, nel settore farmaceutico, manifatturiero e tecnologico, tra cui un produttore aeronautico, un operatore sanitario e un'azienda di tecnologia medica.

50+

Entità gestite

4,8/5

Valutazione media dei clienti (1° trimestre 2025)

100%

Dati ospitati in Svizzera

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Cosa dicono i professionisti della privacy

Risultati di team privacy come il tuo

60% di tempo amministrativo in meno

"Abbiamo ridotto del 60% il tempo dedicato all'amministrazione della conformità entro sei mesi. Il nostro RPD ora dedica il tempo alle valutazioni del rischio e alle decisioni strategiche, invece di inseguire la documentazione tra i fogli di calcolo."

Responsabile della protezione dei dati, presso un produttore aeronautico

Produzione aeronautica, programma privacy multi-entità

Oltre 200 ore risparmiate

"Abbiamo risparmiato oltre 200 ore sulla documentazione di conformità e completato la preparazione ISO 27001 con tre mesi di anticipo. I pacchetti di evidenze pronti per l'audit erano disponibili su richiesta, eliminando la corsa affannosa prima delle richieste delle autorità di controllo."

Responsabile della conformità, presso un'azienda di tecnologia medica

Tecnologie sanitarie, certificata ISO 27001

Coordinamento delle violazioni 24/7

"Gestiamo il supporto al RPD e il coordinamento della risposta alle violazioni su più entità da un'unica piattaforma unificata. I punti ciechi giurisdizionali che avevamo con i processi basati su email sono spariti e ogni decisione di notifica è tracciata per entità."

RPD di gruppo, presso un'azienda tecnologica

Tecnologia, gestione della privacy multi-entità

Sulla base dei risultati riportati dai clienti. Dati del produttore aeronautico e dell'azienda di tecnologia medica relativi ai primi 12 mesi dopo l'implementazione. Dati dell'azienda tecnologica relativi alla collaborazione in corso.

Framework dell'articolo 34

L'analisi completa dell'articolo 34: quando, cosa e come notificare gli interessati

L'articolo 34 è una delle disposizioni più fraintese del GDPR. Notifica quando non dovresti e scateni un panico inutile. Ometti la notifica quando dovresti e ti esponi a un provvedimento sanzionatorio. Ecco il framework per farlo nel modo giusto.

Passaggio 1

Stabilisci se la violazione raggiunge la soglia di "rischio elevato"

L'articolo 34, paragrafo 1, scatta solo quando una violazione "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche". Si tratta di una soglia più alta rispetto alla notifica all'autorità di controllo prevista dall'articolo 33, che si applica a qualsiasi violazione per cui non è improbabile che si verifichi un rischio.

Fattori che tipicamente fanno rientrare una violazione nel territorio del "rischio elevato":

  • Sono coinvolte categorie particolari di dati (salute, dati biometrici, origine razziale/etnica, opinioni politiche)
  • Dati finanziari che potrebbero consentire frodi (conti bancari, numeri di carte di credito)
  • Numero elevato di persone interessate
  • Dati che potrebbero portare a furto d'identità, discriminazione o danno fisico
  • Sono interessati soggetti vulnerabili (minori, pazienti, dipendenti)
  • I dati non erano cifrati o pseudonimizzati al momento della violazione

La domanda chiave non è "quanto è stata grave la violazione?" ma "quanto è probabile che le persone interessate subiscano un danno reale?" La tua valutazione del rischio deve documentare il ragionamento, perché le autorità di controllo lo richiederanno.

Passaggio 2

Verifica le tre eccezioni che eliminano l'obbligo di notifica

L'articolo 34, paragrafo 3, prevede tre eccezioni. Se una di queste si applica, non sei tenuto a notificare gli interessati, ma devi comunque documentare perché l'eccezione si applica.

Eccezione (a): erano in atto misure di protezione adeguate

Hai applicato misure tecniche e organizzative che rendono i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi. L'esempio più comune è la cifratura: se i dati violati erano cifrati con un algoritmo robusto e la chiave non è stata compromessa, è probabile che si applichi questa eccezione.

Eccezione (b): misure successive eliminano il rischio

Hai adottato un'azione immediata dopo la violazione che garantisce che il rischio elevato per gli interessati non sia più probabile che si concretizzi. Ad esempio, hai individuato e contenuto la violazione prima che si accedesse effettivamente a qualsiasi dato, oppure hai cancellato da remoto un dispositivo smarrito prima che venisse sbloccato.

Eccezione (c): sforzo sproporzionato

Se la notifica individuale comportasse uno sforzo sproporzionato (ad esempio, non riesci a identificare o contattare tutte le persone interessate), devi invece effettuare una comunicazione pubblica o adottare una misura simile che informi gli interessati in modo altrettanto efficace. Questa è l'eccezione più frequentemente applicata in modo errato; le autorità di controllo interpretano lo "sforzo sproporzionato" in senso restrittivo.

Passaggio 3

Redigi il contenuto della notifica

L'articolo 34, paragrafo 2, rinvia all'articolo 33, paragrafo 3, lettere b), c) e d). La tua notifica agli interessati deve includere quattro elementi, comunicati "con un linguaggio semplice e chiaro":

  • La natura della violazione: descrivi cosa è successo con termini che il destinatario possa comprendere. Evita il gergo giuridico e il linguaggio tecnico. "Un terzo non autorizzato ha avuto accesso alle informazioni del tuo account" è meglio di "si è verificato un incidente di sicurezza che ha comportato l'esposizione di credenziali".
  • Contatti del RPD: il nome e i recapiti del tuo responsabile della protezione dei dati o di un altro punto di contatto presso cui ottenere maggiori informazioni.
  • Probabili conseguenze: sii onesto e specifico. "Questo potrebbe significare che il tuo indirizzo email e la tua password sono disponibili a parti non autorizzate, che potrebbero usarli per accedere ad altri account se utilizzi la stessa password" è più utile di "potrebbe esserci un rischio per i tuoi dati personali".
  • Misure di mitigazione: descrivi cosa hai fatto e cosa consigli di fare: reimpostazione delle password, monitoraggio degli account, blocco del credito, punti di contatto per domande.
Passaggio 4

Scegli il canale di comunicazione giusto

Il GDPR non prescrive un canale specifico, ma la notifica deve effettivamente raggiungere le persone interessate. Considera:

  • Email diretta: il più comune per le violazioni online. Assicurati di inviare a indirizzi verificati e di poter dimostrare la consegna.
  • Posta cartacea: adatta per violazioni che coinvolgono dati offline o quando gli indirizzi email non sono disponibili.
  • Pagina dedicata all'incidente: utile come supplemento ma di solito insufficiente come unico metodo di notifica.
  • Notifica in-app: può funzionare per gli utenti attivi di un servizio digitale ma non raggiunge gli account inattivi.

Documenta la motivazione della scelta del canale. Se un'autorità di controllo ti chiede perché hai scelto l'email anziché la posta per una violazione che riguarda pazienti anziani, ti serve una risposta difendibile.

Passaggio 5

Esegui la notifica e conserva la traccia di audit

L'articolo 34 dice "senza ingiustificato ritardo". A differenza della scadenza di 72 ore dell'articolo 33, non c'è un orologio fisso, ma le autorità di controllo si aspettano un'azione non appena disponi di informazioni sufficienti a fornire indicazioni concrete.

Cosa deve registrare la tua traccia di audit:

  • Marca temporale della decisione di valutazione del rischio
  • Nomi e ruoli delle persone coinvolte nella decisione
  • La motivazione a favore o contro la notifica (compresa l'analisi delle eccezioni)
  • Versioni in bozza e contenuto finale della notifica
  • Scelta del canale ed evidenza della consegna
  • Comunicazioni di follow-up e richieste degli interessati

È qui che i processi basati su fogli di calcolo crollano. Quando un'autorità di controllo richiede il tuo fascicolo sulla violazione sei mesi dopo, ti serve ogni decisione, marca temporale e comunicazione in un unico posto, non sparpagliati tra thread di email, cartelle condivise e taccuini individuali.

Passaggio 6

Gestisci la complessità multi-entità

Per le organizzazioni che gestiscono più filiali tra giurisdizioni diverse, la notifica ai sensi dell'articolo 34 diventa esponenzialmente più complessa:

  • Quale entità è il titolare del trattamento per le persone interessate?
  • Le diverse giurisdizioni hanno requisiti locali aggiuntivi rispetto all'articolo 34 del GDPR?
  • Le notifiche devono essere inviate nella lingua locale di ciascuna giurisdizione interessata?
  • Chi approva il contenuto della notifica: il RPD di gruppo, il RPD locale o il consulente legale di ciascuna giurisdizione?
  • Come si evita che diverse filiali inviino comunicazioni contrastanti sullo stesso incidente?

È esattamente lo scenario per cui Priverion è stato progettato. La mappatura dei dati tra le entità individua quali filiali detengono i dati interessati, la gestione degli incidenti coordina la risposta tra le entità e i pacchetti di evidenze pronti per l'audit registrano l'intera traccia decisionale, per entità e per giurisdizione.

Funzionalità chiave

Gli strumenti che trasformano gli obblighi dell'articolo 34 in un processo ripetibile

La notifica di violazione agli interessati fallisce quando dipende dalla memoria, dai fogli di calcolo e da catene di email improvvisate. Queste funzionalità sostituiscono i tentativi a caso con un flusso di lavoro strutturato e verificabile, soprattutto quando gestisci incidenti su più entità.

Gestione degli incidenti con scoring del rischio integrato

Quando viene segnalata una violazione, la piattaforma guida il tuo team attraverso una valutazione strutturata, rilevando tipo di violazione, categorie di dati, numero di persone interessate e fattori di vulnerabilità. Lo scoring del rischio assistito dall'IA ti aiuta a stabilire se la soglia di "rischio elevato" dell'articolo 34 è raggiunta, così il tuo RPD prende una decisione informata invece di una valutazione istintiva sotto pressione.

Risultato: un produttore aeronautico ha ridotto del 60% il tempo amministrativo dedicato alla conformità nei primi 6 mesi, liberando il proprio RPD per concentrarsi sulle valutazioni del rischio e sulle decisioni strategiche invece di inseguire la documentazione.

Un produttore aeronautico, primi 6 mesi dopo l'implementazione

Coordinamento delle violazioni tra le entità

Quando una violazione riguarda interessati di più filiali e giurisdizioni, ti serve un'unica fonte di verità, non una catena di email inoltrate. Priverion offre visibilità a livello di gruppo su ogni incidente attivo, mappa automaticamente le entità interessate tramite la mappatura dei dati tra le entità e traccia le decisioni di notifica per giurisdizione, così nulla passa inosservato.

Risultato: un'azienda tecnologica gestisce il supporto al RPD 24/7 e il coordinamento della risposta alle violazioni su più entità da una piattaforma unificata, eliminando i punti ciechi giurisdizionali creati dai processi manuali.

Un'azienda tecnologica, gestione del programma privacy multi-entità

Pacchetti di evidenze pronti per l'audit

La conformità all'articolo 34 non finisce quando premi invio sulla notifica. Le autorità di controllo si aspettano la documentazione della tua valutazione del rischio, la motivazione della tua decisione di notifica, il contenuto della comunicazione e la prova della consegna. Priverion genera pacchetti di evidenze completi, con tracce di audit dotate di marca temporale, in pochi minuti, non nelle settimane di corsa affannosa che richiedono i processi basati su fogli di calcolo.

Risultato: un'azienda di tecnologia medica ha risparmiato oltre 200 ore nella preparazione della documentazione di conformità, con evidenze pronte per l'audit disponibili su richiesta per le autorità di controllo.

Un'azienda di tecnologia medica, periodo di preparazione ISO 27001

Una nota onesta: Priverion non copre i banner per il consenso ai cookie, le hotline etiche o la rendicontazione ESG. Andiamo in profondità sulla gestione del programma privacy (risposta agli incidenti, registro dei trattamenti, DPIA, rischio dei fornitori e richieste degli interessati) affinché i tuoi flussi di lavoro sulle violazioni funzionino davvero quando conta.

200+

Ore risparmiate sulla documentazione di conformità

Un'azienda di tecnologia medica ha recuperato oltre 200 ore durante la preparazione ISO 27001 sostituendo la documentazione manuale con flussi di lavoro automatizzati, primi 12 mesi

60%

Meno tempo amministrativo per la conformità

Sulla base dei risultati di un produttore aeronautico, tariffazione basata sulle entità senza costi aggiuntivi per utente o per modulo

3 mesi

In anticipo sui tempi per la preparazione ISO 27001

Un'azienda di tecnologia medica ha accelerato di tre mesi la tempistica della certificazione ISO 27001 grazie ai pacchetti di evidenze pronti per l'audit di Priverion

Risorsa gratuita

Ottieni il kit per la notifica di violazione dell'articolo 34

Checklist passo dopo passo, albero decisionale per la valutazione del rischio, due modelli di notifica (diretta e comunicazione pubblica) e flusso di coordinamento multi-entità. Pensato per RPD e responsabili della conformità.

Niente spam. Ti invieremo i modelli e nient'altro, a meno che tu non scelga di iscriverti.

Consapevole della concorrenza

Perché i team del mid-market lasciano OneTrust per Priverion

OneTrust si rivolgeva a un profilo di acquirente ampio, comprese le organizzazioni Fortune 500 con team GRC dedicati più grandi. A te serve una conformità di livello enterprise senza la complessità enterprise né le fatture enterprise.

L'esperienza OneTrust

Prezzi modulari che si accumulano

La fatturazione per utente e per modulo significa che i tuoi costi crescono in modo imprevedibile ogni volta che aggiungi una filiale, un membro del team o una nuova esigenza di conformità. Le richieste di budget diventano trattative trimestrali.

Infrastruttura ospitata negli Stati Uniti

In uno scenario post-Schrems II, archiviare i dati di conformità privacy presso un fornitore con sede negli Stati Uniti crea esattamente il rischio di trasferimento transfrontaliero che stai cercando di gestire. L'ironia si commenta da sola.

Pensato per le Fortune 500

Oltre 200 integrazioni, moduli ESG, hotline etiche: funzionalità che aggiungono complessità alla tua console di amministrazione ma non al tuo programma privacy. Al tuo RPD non serve una piattaforma che richiede un team dedicato per essere gestita.

Implementazione lunga mesi

Le implementazioni enterprise si estendono regolarmente oltre i sei mesi, con team di progetto dedicati, consulenti esterni e cicli di onboarding prolungati prima di vedere qualsiasi valore in termini di conformità.

Elaborazione dell'IA opaca

Un trattamento dei dati poco chiaro per le funzionalità di IA solleva interrogativi su dove confluiscono i tuoi dati di conformità, una conversazione difficile da affrontare con la tua autorità di controllo.

L'esperienza Priverion

Prezzi prevedibili e onnicomprensivi

Tariffazione basata sul numero di aziende e sulla dimensione organizzativa, non per utente o per modulo. Aggiungi membri del team in tutte le filiali senza vedere crescere la tua fattura. Il tuo CFO apprezzerà la prevedibilità.

Sovranità dei dati svizzera garantita

Sviluppato in Svizzera, ospitato in Svizzera, con tutto il trattamento dei dati all'interno dell'infrastruttura svizzera. La residenza europea dei dati non è una casella di marketing: è un requisito giuridico per i trasferimenti transfrontalieri di dati che semplifica la tua DPIA per lo strumento stesso.

Progettato su misura per la privacy a livello di gruppo

Registro dei trattamenti, DPIA, valutazioni dei fornitori, gestione degli incidenti, gestione delle richieste degli interessati e mappatura dei dati tra le entità: tutto ciò che serve a un programma privacy multi-entità, niente di superfluo. Non ci occupiamo di ESG, hotline etiche o consenso ai cookie. Questa focalizzazione è deliberata.

Operativo in settimane, non in mesi

Un produttore aeronautico ha ottenuto una riduzione del 60% del tempo amministrativo dedicato alla conformità nei primi 6 mesi, implementazione compresa. Nessun team di progetto dedicato o consulente esterno richiesto.

Caso studio di un produttore aeronautico, primi 6 mesi dopo l'implementazione

IA trasparente con supervisione umana

Redazione DPIA assistita dall'IA, scoring del rischio e mappatura normativa, il tutto elaborato all'interno dell'infrastruttura svizzera. Ogni output dell'IA viene esaminato dal tuo team prima di diventare una registrazione di conformità. Nessun dato dei clienti viene utilizzato per l'addestramento dei modelli. L'IA assiste, le persone decidono.

Passare a Priverion è più semplice di quanto pensi. La maggior parte dei team migra completamente in meno di 8 settimane.

Prenota una panoramica di 30 minuti
FAQ

Domande frequenti sulla notifica di violazione dell'articolo 34

Quando l'articolo 34 del GDPR richiede la notifica agli interessati?

L'articolo 34 richiede la notifica quando una violazione dei dati personali può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Si tratta di una soglia più alta rispetto alla notifica all'autorità di controllo prevista dall'articolo 33, che si applica a tutte le violazioni tranne quelle per cui è improbabile che si verifichi un rischio. La determinazione chiave è se sia probabile che le persone interessate subiscano un danno reale: furto d'identità, perdita finanziaria, discriminazione o danno reputazionale.

Cosa deve contenere una notifica ai sensi dell'articolo 34?

La notifica deve descrivere la natura della violazione con un linguaggio semplice e chiaro, fornire il nome e i recapiti del RPD o di un altro punto di contatto, descrivere le probabili conseguenze della violazione e descrivere le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione e attenuarne gli effetti. Evita il gergo giuridico; le autorità di controllo hanno sanzionato organizzazioni per notifiche tecnicamente conformi ma incomprensibili per la persona media.

Quando la notifica dell'articolo 34 NON è richiesta?

La notifica non è richiesta quando: (a) hai applicato misure tecniche e organizzative di protezione adeguate ai dati interessati, come la cifratura in cui la chiave non è stata compromessa; (b) hai adottato misure successive che garantiscono che il rischio elevato non sia più probabile che si concretizzi; oppure (c) comporterebbe uno sforzo sproporzionato, nel qual caso è invece richiesta una comunicazione pubblica o una misura simile. Tutte e tre le eccezioni devono essere documentate nel tuo fascicolo sulla violazione.

Con quale rapidità devono essere notificati gli interessati ai sensi dell'articolo 34?

L'articolo 34 stabilisce che la notifica deve avvenire "senza ingiustificato ritardo" ma non specifica un termine fisso come la regola delle 72 ore dell'articolo 33. In pratica, le autorità di controllo si aspettano la comunicazione non appena viene presa la decisione sul rischio elevato e disponi di informazioni sufficienti a fornire indicazioni concrete alle persone interessate. Ritardi di settimane senza giustificazione hanno portato a provvedimenti sanzionatori.

Qual è la differenza tra l'articolo 33 e l'articolo 34 del GDPR?

L'articolo 33 disciplina la notifica all'autorità di controllo (scadenza di 72 ore, si applica alla maggior parte delle violazioni). L'articolo 34 disciplina la notifica agli interessati (nessuna scadenza fissa ma "senza ingiustificato ritardo") e si applica solo quando la violazione può presentare un rischio elevato per i diritti e le libertà delle persone. Molte organizzazioni confondono i due, portando a un'eccessiva notifica (che crea panico inutile) o a una notifica insufficiente (che crea esposizione normativa).

Come si gestiscono le notifiche dell'articolo 34 tra più filiali?

La notifica di violazione multi-entità richiede una piattaforma centralizzata di gestione degli incidenti che mappa le entità interessate, traccia le decisioni di notifica per giurisdizione e mantiene un'unica traccia di audit. Il coordinamento manuale tramite catene di email tra le filiali crea lacune che le autorità di controllo individueranno durante le indagini. La mappatura dei dati tra le entità e il flusso di gestione degli incidenti di Priverion sono stati progettati specificamente per questo scenario.

Smetti di gestire la risposta alle violazioni nei fogli di calcolo

Scopri come si presenta la gestione della privacy a livello di gruppo quando funziona davvero

In 30 minuti illustreremo la tua specifica configurazione multi-entità: come funzionano la ricertificazione automatizzata del registro dei trattamenti, le DPIA assistite dall'IA e la mappatura dei dati tra le filiali per organizzazioni come la tua. Tutto costruito su infrastruttura svizzera, con prezzi che non ti penalizzano per la crescita.

60%

meno tempo amministrativo per la conformità

Un produttore aeronautico, primi 6 mesi

200+

ore risparmiate sulla preparazione dell'audit

Un'azienda di tecnologia medica, preparazione ISO 27001

Settimane

per andare in produzione, non mesi

Media su tutte le implementazioni dei clienti

Prenota una panoramica di 30 minuti

Nessun discorso di vendita. Nessuna pressione. Solo le tue sfide di conformità mappate su una soluzione funzionante.

The Privacy Compliance Briefing

Approfondimenti mensili sull'applicazione del GDPR, gli aggiornamenti della nLPD svizzera e le strategie di automazione per RPD e team di conformità.

Niente spam. Disiscriviti in qualsiasi momento.

Ottieni il Breach Kit gratuito
Informazioni su questa pagina — riferimenti, definizioni e FAQ

Punti chiave — Notifica di violazione GDPR agli interessati

L'articolo 34 del GDPR impone ai titolari del trattamento di notificare gli interessati senza ingiustificato ritardo quando una violazione dei dati personali può presentare un rischio elevato per i loro diritti e libertà. Questa soglia è più alta rispetto alla notifica all'autorità di controllo dell'articolo 33. Tre eccezioni previste dall'articolo 34, paragrafo 3 — cifratura, successiva eliminazione del rischio e sforzo sproporzionato — possono far venir meno l'obbligo, ma ciascuna deve essere documentata. I programmi efficaci di notifica delle violazioni richiedono modelli predisposti, percorsi di escalation chiari e registri decisionali verificabili in ogni entità di un gruppo aziendale.

Definizioni

Che cos'è una violazione dei dati personali ai sensi del GDPR?

Violazione dei dati personali è definita all'articolo 4, punto 12, del GDPR come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati". (GDPR Articolo 4 — EUR-Lex)

Che cos'è l'articolo 34 del GDPR?

L'articolo 34 del GDPR disciplina la comunicazione di una violazione dei dati personali all'interessato. Recita: "Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo". (GDPR Articolo 34 — EUR-Lex)

Che cos'è la soglia di "rischio elevato"?

La soglia di rischio elevato ai sensi dell'articolo 34 viene valutata considerando la gravità e la probabilità del danno per gli interessati. Le Linee guida 01/2021 dell'EDPB sugli esempi relativi alla notifica di violazione dei dati personali forniscono casi di studio pratici che illustrano quando le violazioni superano questa soglia. (Linee guida 01/2021 dell'EDPB)

Che cos'è l'articolo 33 del GDPR?

L'articolo 33 del GDPR impone ai titolari del trattamento di notificare all'autorità di controllo competente una violazione dei dati personali entro 72 ore dal momento in cui ne sono venuti a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. (GDPR Articolo 33 — EUR-Lex)

Statistiche e dati di settore

Secondo la Relazione annuale 2023 dell'EDPB, le autorità europee per la protezione dei dati hanno ricevuto oltre 130.000 notifiche di violazione dei dati personali nel 2023, proseguendo un trend di crescita anno su anno da quando il GDPR è entrato in vigore nel 2018. (Relazione annuale 2023 dell'EDPB)

Il rapporto ENISA Threat Landscape 2024 ha rilevato che gli attacchi ransomware e di esfiltrazione di dati restano le principali cause di violazione dei dati personali nell'UE, con la sanità e la pubblica amministrazione tra i settori più presi di mira. (ENISA Threat Landscape)

Secondo l'IAPP-EY Privacy Governance Report 2023, il 73% delle organizzazioni ha riferito che i propri team privacy sono coinvolti nella risposta alle violazioni, ma solo il 38% dispone di flussi di lavoro per la notifica delle violazioni completamente automatizzati. (IAPP-EY Privacy Governance Report)

Le Linee guida 9/2022 dell'EDPB sulla notifica di violazione dei dati personali ai sensi del GDPR chiariscono che il termine di 72 ore dell'articolo 33 decorre da quando il titolare del trattamento ha un "ragionevole grado di certezza" che si sia verificata una violazione, e che la notifica dell'articolo 34 dovrebbe seguire "senza ingiustificato ritardo" una volta completata la valutazione del rischio elevato. (Linee guida 9/2022 dell'EDPB)

Domande frequenti

Quando l'articolo 34 del GDPR richiede la notifica agli interessati?

L'articolo 34, paragrafo 1, richiede la notifica quando una violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Si tratta di una soglia più alta rispetto alla notifica all'autorità di controllo dell'articolo 33, che si applica a meno che sia "improbabile che la violazione presenti un rischio". Il titolare del trattamento deve valutare la gravità, la probabilità del danno, la sensibilità dei dati e il numero di persone interessate. (GDPR Articolo 34)

Quali sono le tre eccezioni alla notifica agli interessati ai sensi dell'articolo 34, paragrafo 3?

L'articolo 34, paragrafo 3, prevede tre eccezioni: (a) il titolare del trattamento ha applicato misure tecniche e organizzative adeguate (ad esempio, una cifratura robusta) che rendono i dati incomprensibili; (b) il titolare del trattamento ha adottato misure successive che garantiscono che il rischio elevato non sia più probabile che si concretizzi; (c) la notifica individuale comporterebbe uno sforzo sproporzionato, nel qual caso si deve invece effettuare una comunicazione pubblica. Ciascuna eccezione deve essere documentata. (GDPR Articolo 34)

Cosa deve contenere una notifica di violazione agli interessati?

Ai sensi dell'articolo 34, paragrafo 2, la notifica deve descrivere con un linguaggio semplice e chiaro: la natura della violazione, il nome e i recapiti del RPD o del punto di contatto, le probabili conseguenze e le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione e attenuarne gli effetti. (GDPR Articolo 34)

Qual è la scadenza per notificare gli interessati ai sensi dell'articolo 34?

L'articolo 34 richiede la notifica "senza ingiustificato ritardo" ma non specifica una scadenza fissa come la finestra di 72 ore dell'articolo 33. In pratica, le autorità di controllo si aspettano che i titolari del trattamento notifichino non appena dispongono di informazioni sufficienti a fornire indicazioni concrete alle persone interessate. I ritardi devono essere giustificati e documentati.

In cosa l'articolo 34 differisce dall'articolo 33 del GDPR?

L'articolo 33 disciplina la notifica all'autorità di controllo entro 72 ore per qualsiasi violazione per cui non sia improbabile un rischio. L'articolo 34 disciplina la notifica agli interessati e si applica solo quando la violazione può presentare un rischio elevato. L'articolo 34 non ha una scadenza fissa ma richiede un'azione "senza ingiustificato ritardo". L'articolo 34 include inoltre tre eccezioni specifiche non presenti nell'articolo 33. (Articolo 33 | Articolo 34)

La cifratura può evitare l'obbligo di notificare gli interessati?

Sì. Ai sensi dell'articolo 34, paragrafo 3, lettera a), se i dati violati erano protetti da cifratura robusta e la chiave di cifratura non è stata compromessa, i dati sono considerati incomprensibili per le persone non autorizzate. In questo caso, il rischio elevato per gli interessati è di fatto neutralizzato e la notifica non è richiesta. Tuttavia, il titolare del trattamento deve documentare che la cifratura era adeguata e che la chiave è rimasta sicura. (Linee guida 9/2022 dell'EDPB)

Cosa succede se un titolare del trattamento omette la notifica agli interessati quando richiesta?

L'inosservanza dell'articolo 34 può comportare sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato globale annuo, se superiore, ai sensi dell'articolo 83, paragrafo 4, lettera a), del GDPR. Oltre alle sanzioni, l'omissione della notifica può portare a danno reputazionale, perdita di fiducia dei clienti e richieste di responsabilità civile da parte degli interessati. (GDPR Articolo 83)

Come dovrebbero coordinare le organizzazioni multi-entità le notifiche dell'articolo 34?

I gruppi aziendali con più entità giuridiche che agiscono come titolari del trattamento distinti devono coordinare la risposta alle violazioni tra le giurisdizioni. Ciascuna entità deve valutare in modo indipendente se l'articolo 34 si applica in base alle proprie attività di trattamento e agli interessati che controlla. Una piattaforma centralizzata di gestione delle violazioni — come Priverion — consente visibilità a livello di gruppo, una metodologia coerente di valutazione del rischio e tracce di audit per entità che soddisfano lo scrutinio delle autorità di controllo.

Confronto: articolo 33 vs. articolo 34 del GDPR

CriterioArticolo 33 — Autorità di controlloArticolo 34 — Interessati
Soglia di attivazioneViolazione per cui non è improbabile un rischioViolazione suscettibile di presentare un rischio elevato
ScadenzaEntro 72 ore dalla conoscenzaSenza ingiustificato ritardo (nessun orologio fisso)
DestinatarioAutorità di controllo competenteDirettamente le persone interessate
Requisiti di contenutoArticolo 33, paragrafo 3, lettere a)–d): natura, RPD, conseguenze, misureArticolo 34, paragrafo 2, con rinvio all'articolo 33, paragrafo 3, lettere b)–d): natura, RPD, conseguenze, misure
EccezioniSolo se è improbabile che la violazione presenti un rischioTre eccezioni ai sensi dell'articolo 34, paragrafo 3: cifratura, misure successive, sforzo sproporzionato
Sanzione per inosservanzaFino a 10 mln di euro o 2% del fatturato globaleFino a 10 mln di euro o 2% del fatturato globale
Obbligo di documentazioneDeve documentare tutte le violazioni ai sensi dell'articolo 33, paragrafo 5Deve documentare la valutazione del rischio e l'analisi delle eccezioni

Fonti autorevoli e approfondimenti