Guida alla notifica delle violazioni GDPR

Rispetta il termine di 72 ore del GDPR per le violazioni, anche su oltre 50 filiali

Aggiornato il 2026-06-23
Punti chiave: Priverion è una piattaforma GRC ospitata in Svizzera che aiuta le organizzazioni multi-entità a rispettare il termine di 72 ore del GDPR per la notifica delle violazioni, con flussi di lavoro centralizzati per la gestione degli incidenti, escalation automatizzata e documentazione pronta per l'audit.

Il conto alla rovescia parte quando una qualsiasi entità del gruppo viene a conoscenza della violazione, non quando lo scopre la sede centrale. Ottieni il playbook passo dopo passo che i team privacy multi-entità utilizzano per restare conformi sotto pressione.

Niente spam. Disiscriviti in qualsiasi momento. I tuoi dati sono trattati e ospitati in Svizzera.

Infrastruttura ospitata in Svizzera Allineato a ISO 27001 Scelto da oltre 150 organizzazioni Conforme a nLPD e GDPR
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Dove falliscono le organizzazioni multi-entità

Perché 72 ore non bastano per la maggior parte delle organizzazioni multi-entità

Conoscere i requisiti di notifica delle violazioni di dati GDPR è una cosa. Eseguirli sotto pressione tra filiali, giurisdizioni e sistemi scollegati è il punto in cui la conformità si rompe davvero.

Frammentazione della conoscenza

Si verifica una violazione presso una filiale. Il team IT locale indaga per 36 ore prima di effettuare l'escalation. Quando il RPD del gruppo viene informato, la finestra di 72 ore prevista dall'articolo 33 è quasi chiusa, o già scaduta. Senza un'acquisizione centralizzata degli incidenti per ogni entità, il tempo scade prima ancora di iniziare per la sede centrale.

Risultato: i flussi di lavoro di escalation automatizzata hanno ridotto il ritardo nella conoscenza delle violazioni a meno di 4 ore per un gruppo multi-entità, su più entità.

Gruppo multi-entità, supporto RPD 24/7 su più entità tramite Priverion

Disconnessione del registro dei trattamenti

Non puoi valutare l'impatto di una violazione se non disponi di un registro delle attività di trattamento accurato e aggiornato. Se il tuo registro dei trattamenti è stato aggiornato l'ultima volta 14 mesi fa, la tua valutazione dell'impatto della violazione poggia sulla sabbia. Le notifiche ai sensi dell'articolo 33 richiedono di descrivere la natura della violazione (categorie e numero approssimativo di interessati e di record coinvolti). I registri obsoleti rendono tutto questo impossibile sotto pressione temporale.

Risultato: un assicuratore svizzero ha raggiunto un tasso di ricertificazione del registro dei trattamenti del 100% con flussi di lavoro completamente automatizzati, con documentazione sempre pronta in caso di violazione.

Un assicuratore svizzero, tasso di ricertificazione del registro dei trattamenti del 100% tramite la ricertificazione automatizzata di Priverion

Lacune nella documentazione

L'articolo 33(5) richiede ai titolari del trattamento di documentare TUTTE le violazioni, non solo quelle notificabili, inclusi fatti, effetti e azioni correttive. La maggior parte delle organizzazioni multi-entità tiene traccia di tutto questo su fogli di calcolo condivisi via email. Nessun auditor accetta questo come registro delle violazioni difendibile. Quando un'autorità di controllo richiede il tuo registro delle violazioni, hai bisogno di pacchetti di prove pronti per l'audit, non di una cartella di file Excel formattati in modo incoerente.

Risultato: un produttore aeronautico ha ridotto del 60% il tempo dedicato all'amministrazione della conformità in 6 mesi, e il suo RPD si concentra ora sul lavoro strategico in materia di privacy invece che sulla manutenzione dei fogli di calcolo.

Produttore aeronautico, riduzione del 60% del tempo dedicato all'amministrazione della conformità nei primi 6 mesi con Priverion

Confusione sulle giurisdizioni

Quale autorità di controllo devi notificare quando una violazione coinvolge interessati in 8 Paesi ma il titolare del trattamento è stabilito in un 9°? Il meccanismo dello "sportello unico" del GDPR presenta sfumature che richiedono alberi decisionali pre-mappati creati prima di un incidente, non ricerche su Google in tempo reale alle 2 del mattino. Le notifiche transfrontaliere delle violazioni richiedono percorsi di escalation preconfigurati per ciascuna entità e giurisdizione.

Risultato: un operatore sanitario ha raggiunto una copertura del 100% nella valutazione del rischio dei fornitori, pre-mappando i flussi di dati di terze parti tra le entità prima del verificarsi degli incidenti.

Un operatore sanitario, copertura del 100% nella valutazione del rischio dei fornitori tramite Priverion

Punti ciechi su DPIA / TIA

Un trattamento ad alto rischio mai valutato tramite una valutazione d'impatto sulla protezione dei dati significa non disporre di una base di riferimento del rischio preesistente per valutare la gravità della violazione. Quando l'articolo 34 chiede se la violazione sia "suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche", hai bisogno di una valutazione del rischio documentata per rispondere, non dell'istinto. Le DPIA mancanti trasformano ogni violazione in un esercizio basato sull'ipotesi peggiore.

Risultato: un'azienda di tecnologia medica ha risparmiato oltre 200 ore nella preparazione della certificazione ISO 27001, inclusa la documentazione DPIA che funge da base di riferimento per la risposta alle violazioni.

Un'azienda di tecnologia medica, oltre 200 ore risparmiate nella preparazione della certificazione ISO 27001 tramite Priverion

Mancata notifica da parte del responsabile del trattamento

I responsabili del trattamento devono notificare al titolare "senza ingiustificato ritardo": per i responsabili non esiste alcun margine di sicurezza di 72 ore. Nei gruppi multi-entità con servizi condivisi o accordi di trattamento infragruppo, una filiale che agisce da responsabile potrebbe non rendersi conto di dover notificare immediatamente l'entità titolare. Senza una mappa unificata dei fornitori e dei trattamenti infragruppo, questo trigger dimenticato diventa la lacuna di conformità che le autorità di controllo sfruttano per prime. Quando le azioni di enforcement citano ritardi nella notifica, è qui che la catena si spezza nella stragrande maggioranza dei casi.

Risultato: la mappatura dei dati tra le entità offre una visibilità a livello di gruppo sulle relazioni titolare-responsabile, così ogni entità sa esattamente chi notificare.

Funzionalità della piattaforma Priverion, mappatura dei dati tra le entità per la visibilità a livello di gruppo

Ottieni il tuo playbook gratuito sulle violazioni

Una guida passo dopo passo per le organizzazioni multi-entità, PDF gratuito, niente spam.

200+

Ore risparmiate nella gestione del registro dei trattamenti

Un'azienda di tecnologia medica ha recuperato oltre 200 ore precedentemente dedicate alla tenuta manuale dei registri, tempo reindirizzato alla preparazione della certificazione ISO 27001.

60%

Costo inferiore rispetto alle piattaforme tradizionali

Un produttore aeronautico ha ottenuto una conformità di livello enterprise a un costo totale significativamente inferiore rispetto ai tipici contratti GRC enterprise di portata comparabile, senza canoni per utente e senza trappole di espansione per modulo.

3 mesi

In anticipo sui tempi per ISO 27001

Un'azienda di tecnologia medica ha completato la preparazione dell'audit ISO 27001 con tre mesi di anticipo rispetto alla tabella di marcia originale, utilizzando i pacchetti di prove integrati di Priverion.

Cosa dicono i responsabili della privacy di Priverion

Basato su interviste ai clienti e risposte ai sondaggi, Q1 2025

"Siamo passati da 47 fogli di calcolo scollegati a un'unica piattaforma per tutte le filiali. Quando si è verificata la nostra prima violazione reale, avevamo la notifica pronta in 18 ore, inclusa la valutazione transfrontaliera. Prima sarebbe stato impossibile."

Responsabile della protezione dei dati di gruppo

Produttore aeronautico, 11 entità in 4 giurisdizioni

"La sola ricertificazione automatizzata del registro dei trattamenti ha giustificato il passaggio. Ma ciò che conta davvero è che ogni entità dispone ora di documentazione sempre pronta in caso di violazione. I nostri rapporti con le autorità di controllo sono diventati davvero semplici."

Responsabile della privacy

Un assicuratore svizzero, tasso di ricertificazione del registro dei trattamenti del 100% in tutte le entità

"Abbiamo eliminato oltre 200 ore di lavoro manuale sulla conformità nel primo anno. La preparazione ISO 27001 che avrebbe dovuto richiedere nove mesi è stata completata in sei. I pacchetti di prove di Priverion corrispondevano direttamente ai requisiti dell'auditor."

CTO e RPD

Un'azienda di tecnologia medica, 3 mesi di anticipo sui tempi per ISO 27001

"Avere una copertura del 100% nella valutazione del rischio dei fornitori significa sapere esattamente dove fluiscono i dati prima che si verifichi un incidente. Quando un responsabile del trattamento ha subito una violazione lo scorso trimestre, avevamo la notifica al titolare pronta nel giro di ore, non di giorni."

Responsabile della conformità

Un operatore sanitario, copertura del 100% nella valutazione del rischio dei fornitori

Allineato a ISO 27001

Gestione della sicurezza delle informazioni

100% ospitato in Svizzera

Si applica il diritto svizzero sulla protezione dei dati

Conforme a nLPD

Nuova legge svizzera sulla protezione dei dati

Oltre 150 organizzazioni

In Europa e in Svizzera

Priverion vs. OneTrust

Livello enterprise senza la complessità enterprise

Le aziende mid-market non hanno bisogno di una piattaforma pensata per i cicli di approvvigionamento delle Fortune 50. Hanno bisogno di una soluzione che gestisca la conformità privacy a livello di gruppo senza inutili complicazioni, sorprese di budget o rischi legati alla residenza dei dati negli Stati Uniti.

L'esperienza con OneTrust

Trattamento dei dati con sede negli Stati Uniti

Dati trattati su infrastruttura statunitense, soggetti al CLOUD Act e alla FISA 702. Dopo Schrems II, questo crea un rischio continuo di trasferimento per le organizzazioni europee.

Prezzi per modulo e per utente

I costi aumentano man mano che aggiungi filiali, utenti o moduli. La prevedibilità del budget scompare quando la struttura del gruppo cresce.

Progettato per le Fortune 500

Ricco di funzionalità al punto da risultare opprimente. I team mid-market trascorrono mesi nell'implementazione e ne utilizzano comunque solo una frazione delle capacità.

Architettura a moduli frammentata

Hai bisogno di registro dei trattamenti, DPIA, gestione dei fornitori e gestione degli incidenti? Si tratta di quattro trattative d'acquisto separate e potenzialmente quattro diversi modelli di UX.

Oltre 200 integrazioni superficiali

Un lungo elenco di connettori fa colpo sulla carta ma crea un onere di manutenzione. La maggior parte dei team mid-market ne utilizza meno di 10.

L'esperienza con Priverion

Sovranità dei dati svizzera garantita

Sviluppato in Svizzera, ospitato in Svizzera, residenza dei dati europea. Tutto il trattamento dei dati rimane all'interno dell'infrastruttura svizzera, non una casella di marketing, ma una tutela giuridica per i trasferimenti transfrontalieri.

Prezzi prevedibili e trasparenti

Tariffato in base al numero di aziende e alla dimensione organizzativa, non per utente o per modulo. Nessuna trappola di espansione quando la tua terza filiale diventa operativa o la tua quinta unità di business ha bisogno di accesso.

Progettato su misura per i gruppi multi-entità

Operativo in settimane, non in mesi. Un produttore aeronautico è passato da 47 fogli di calcolo a una ricertificazione completamente automatizzata nei primi 6 mesi, riducendo del 60% il tempo dedicato all'amministrazione della conformità.

Produttore aeronautico, primi 6 mesi di implementazione di Priverion

Piattaforma privacy all-in-one

Registro dei trattamenti, DPIA, rischio dei fornitori, gestione degli incidenti, gestione delle richieste degli interessati, mappatura dei dati e conformità assistita dall'IA: un'unica piattaforma, un unico contratto, un'esperienza coerente in ogni entità.

Integrazioni approfondite dove contano

Connessioni significative con i sistemi HR, di approvvigionamento e di gestione degli asset IT, i flussi di lavoro che alimentano davvero la conformità privacy. Non 200 connettori superficiali che creano un onere di manutenzione.

Sii pronto prima della prossima violazione

Ottieni il playbook che i team privacy multi-entità utilizzano per rispettare il termine di 72 ore

Costruito a partire da flussi di lavoro reali di risposta alle violazioni in organizzazioni che gestiscono da 5 a oltre 50 filiali. Include alberi decisionali, modelli di escalation e la checklist della documentazione che le autorità di controllo richiedono effettivamente.

6 modelli

Documenti di risposta alle violazioni pronti all'uso

Cronologia di 72 ore

Con assegnazione dei ruoli per ciascuna entità

100% gratuito

Nessun impegno richiesto

Ottieni il tuo playbook gratuito sulle violazioni

Niente spam. Niente pitch di vendita. Solo una risorsa pratica per i team privacy sotto pressione.

Risorsa gratuita

Scarica il playbook di risposta alle violazioni

Una guida passo dopo passo costruita per le organizzazioni multi-entità che devono rendere operativa la notifica delle violazioni GDPR, non solo comprenderla.

Cosa contiene:

  • Cronologia di 72 ore con assegnazione dei ruoli per RPD di gruppo e referenti delle filiali
  • Albero decisionale: notificare o documentare, quando si applica l'articolo 33 e quando no
  • Diagramma di flusso per la notifica transfrontaliera nelle violazioni multi-giurisdizionali
  • Modello di escalation da responsabile a titolare per gli incidenti infragruppo
  • Elenco dei contatti delle autorità di controllo per UE/SEE e Svizzera
  • Checklist della documentazione post-violazione allineata all'articolo 33(5)

Niente spam. Disiscriviti in qualsiasi momento. I tuoi dati sono trattati all'interno dell'infrastruttura svizzera e protetti dal diritto svizzero sulla protezione dei dati. Non condivideremo mai le tue informazioni con terze parti.

Ottieni il tuo playbook gratuito sulle violazioni
Informazioni su questa pagina — riferimenti, definizioni e FAQ

Punti chiave

Gli articoli 33 e 34 del GDPR impongono ai titolari del trattamento rigorosi obblighi di notifica delle violazioni: notificare l'autorità di controllo entro 72 ore e informare gli interessati coinvolti senza ingiustificato ritardo in caso di rischio elevato. Le organizzazioni multi-entità affrontano sfide aggravate: conoscenza frammentata, registri dei trattamenti obsoleti, confusione sulle giurisdizioni e lacune nella notifica da parte dei responsabili. Una piattaforma GRC centralizzata e ospitata in Svizzera come Priverion aiuta a unificare l'acquisizione degli incidenti, automatizzare l'escalation e mantenere registri delle violazioni pronti per l'audit in tutte le filiali.

Definizioni

Che cos'è una violazione dei dati personali ai sensi del GDPR?

La violazione dei dati personali è definita all'articolo 4(12) del GDPR come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati". Questa definizione copre le violazioni di riservatezza, le violazioni di integrità e le violazioni di disponibilità. Fonte: articolo 4(12) del GDPR

Che cos'è l'obbligo di notifica entro 72 ore?

La notifica entro 72 ore si riferisce all'obbligo, ai sensi dell'articolo 33(1) del GDPR, per cui i titolari del trattamento notificano all'autorità di controllo competente "senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sono venuti a conoscenza" una violazione dei dati personali, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica non sia effettuata entro 72 ore, essa deve essere corredata dei motivi del ritardo. Fonte: articolo 33 del GDPR

Che cos'è una valutazione d'impatto sulla protezione dei dati (DPIA)?

Una valutazione d'impatto sulla protezione dei dati è un processo richiesto ai sensi dell'articolo 35 del GDPR per le operazioni di trattamento che possono "presentare un rischio elevato per i diritti e le libertà delle persone fisiche". Le DPIA fungono da base di riferimento del rischio preesistente, fondamentale durante la valutazione della gravità della violazione ai sensi dell'articolo 34. Fonte: articolo 35 del GDPR

Che cos'è un registro delle attività di trattamento (ROPA)?

Un registro delle attività di trattamento è la documentazione richiesta ai sensi dell'articolo 30 del GDPR che descrive ciascuna attività di trattamento, le sue finalità, le categorie di interessati e di dati personali, i destinatari, i trasferimenti e i periodi di conservazione. Un registro dei trattamenti aggiornato è essenziale per una valutazione accurata dell'impatto della violazione. Fonte: articolo 30 del GDPR

Statistiche e fonti autorevoli

Secondo le Linee guida 9/2022 dell'EDPB sulla notifica delle violazioni dei dati personali, il conto alla rovescia delle 72 ore inizia nel momento in cui il titolare del trattamento ha un "ragionevole grado di certezza" che un incidente di sicurezza abbia compromesso dati personali (Linee guida 9/2022 dell'EDPB). L'EDPB sottolinea che la conoscenza presso una qualsiasi entità all'interno di un gruppo aziendale può far partire il conto alla rovescia per l'intero gruppo.

Il rapporto ENISA Threat Landscape 2023 ha rilevato che il ransomware e le violazioni dei dati restano tra le principali minacce per le organizzazioni nell'UE, con i settori della sanità, della pubblica amministrazione e delle infrastrutture digitali presi di mira con maggiore frequenza (ENISA Threat Landscape 2023).

Ai sensi dell'articolo 83(4)(a) del GDPR, le violazioni degli obblighi di notifica possono comportare sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo totale, se superiore (articolo 83 del GDPR).

L'IAPP-EY Privacy Governance Report 2023 ha rilevato che l'organizzazione media impiega 5,2 dipendenti privacy a tempo pieno, eppure i gruppi multi-entità spesso mancano di un coordinamento centralizzato delle violazioni, una lacuna che contribuisce direttamente ai ritardi nelle notifiche (Rapporto IAPP-EY 2023).

Domande frequenti

Che cos'è il requisito GDPR di notifica delle violazioni entro 72 ore?

Ai sensi dell'articolo 33 del GDPR, i titolari del trattamento devono notificare all'autorità di controllo competente una violazione dei dati personali entro 72 ore dal momento in cui ne sono venuti a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. La notifica deve descrivere la natura della violazione, il numero approssimativo di interessati coinvolti, le probabili conseguenze e le misure adottate o proposte. Fonte: articolo 33 del GDPR

Quando devono essere notificati gli interessati di una violazione GDPR?

L'articolo 34 del GDPR richiede ai titolari del trattamento di notificare agli interessati coinvolti "senza ingiustificato ritardo" quando una violazione è suscettibile di presentare un rischio elevato per i loro diritti e libertà. Si applicano eccezioni quando il titolare ha attuato adeguate misure tecniche di protezione (ad es. la cifratura), ha adottato misure che garantiscono che il rischio elevato non sia più probabile, oppure quando la notifica individuale richiederebbe sforzi sproporzionati. Fonte: articolo 34 del GDPR

Quali sono le sanzioni per la mancata notifica tempestiva di una violazione di dati GDPR?

La mancata osservanza degli obblighi di notifica delle violazioni ai sensi degli articoli 33 e 34 può comportare sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo totale, se superiore, ai sensi dell'articolo 83(4)(a) del GDPR. Fonte: articolo 83 del GDPR

Il termine di 72 ore si applica ai responsabili del trattamento?

No. Ai sensi dell'articolo 33(2) del GDPR, i responsabili del trattamento devono notificare al titolare "senza ingiustificato ritardo" dopo essere venuti a conoscenza di una violazione. Il conto alla rovescia delle 72 ore per la notifica all'autorità di controllo inizia quando il titolare del trattamento ne viene a conoscenza, non il responsabile. Fonte: articolo 33(2) del GDPR

Che cosa deve essere incluso in una notifica di violazione a un'autorità di controllo?

L'articolo 33(3) richiede che la notifica includa: (a) la natura della violazione, comprese le categorie e il numero approssimativo di interessati e di record in questione; (b) il nome e i dati di contatto del RPD; (c) le probabili conseguenze; e (d) le misure adottate o proposte per affrontare la violazione e attenuarne gli effetti. Fonte: articolo 33(3) del GDPR

In che modo il meccanismo dello sportello unico influisce sulle notifiche transfrontaliere delle violazioni?

Ai sensi dell'articolo 56 del GDPR, l'autorità di controllo capofila coordina le indagini transfrontaliere. Le Linee guida 9/2022 dell'EDPB chiariscono che i titolari del trattamento devono comunque notificare l'autorità capofila entro 72 ore e che l'autorità capofila condivide le informazioni con le autorità interessate. Le organizzazioni multi-entità dovrebbero pre-mappare quale autorità sia capofila per ciascuna entità titolare. Fonte: Linee guida 9/2022 dell'EDPB

Qual è la differenza tra l'articolo 33 e l'articolo 34 del GDPR?

L'articolo 33 disciplina la notifica all'autorità di controllo (entro 72 ore, a meno che il rischio sia improbabile). L'articolo 34 disciplina la comunicazione agli interessati coinvolti (senza ingiustificato ritardo, solo in caso di rischio elevato). L'articolo 33 si applica a tutte le violazioni che presentano un qualsiasi rischio; l'articolo 34 ha una soglia più elevata che richiede un "rischio elevato per i diritti e le libertà delle persone fisiche". Articolo 33 | Articolo 34

Le organizzazioni devono documentare le violazioni non notificabili?

Sì. L'articolo 33(5) del GDPR richiede ai titolari del trattamento di documentare tutte le violazioni dei dati personali, indipendentemente dal fatto che siano notificabili, inclusi i fatti, gli effetti e le azioni correttive adottate. Questo registro delle violazioni deve essere disponibile per l'ispezione da parte dell'autorità di controllo. Fonte: articolo 33(5) del GDPR

Confronto: notifica delle violazioni GDPR vs. nLPD svizzera

AspettoGDPR (UE/SEE)nLPD svizzera (nDSG)
Base giuridicaArticoli 33 e 34 del GDPRArticolo 24 nDSG
Notifica all'autoritàEntro 72 ore"Il più presto possibile" (nessun termine fisso)
Soglia per la notifica all'autoritàA meno che sia improbabile che presenti un rischioSuscettibile di presentare un rischio elevato
Notifica agli interessatiSenza ingiustificato ritardo (rischio elevato)Quando necessario per la protezione o richiesto dall'IFPDT
Obbligo del responsabileNotificare al titolare senza ingiustificato ritardoNotificare al titolare il più presto possibile
Obbligo di documentazioneTutte le violazioni (articolo 33(5))Non esplicitamente richiesto dalla legge
Sanzione massima10 mio. di euro o 2% del fatturato globaleCHF 250'000 (responsabilità individuale)
Autorità di controlloAutorità capofila secondo lo sportello unicoIFPDT (Incaricato federale della protezione dei dati e della trasparenza)

Fonti: articolo 33 del GDPR | nLPD svizzera (nDSG) su Fedlex