Guida alla notifica delle violazioni secondo il GDPR

Non perdere mai la finestra di 72 ore del GDPR per le violazioni . Ecco esattamente quando inizia il conto alla rovescia

Sbagliare è costato milioni alle aziende. Scopri come i team privacy delle organizzazioni multi-entità automatizzano il rilevamento, la valutazione e la notifica delle violazioni per restare conformi ai sensi dell'articolo 33 , ogni volta.

Scelto da team privacy che gestiscono oltre 50 entità in tutta Europa

Hosting svizzero -- conforme a ISO 27001

4.8/5 di soddisfazione dei clienti, Q1 2025

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

"Prima di Priverion, una violazione in una sola controllata poteva impiegare giorni per raggiungere il RPD del gruppo. Ora ogni incidente viene registrato a livello centrale nel giro di pochi minuti , siamo passati dallo sperare di rispettare la finestra di 72 ore al sapere che l'avremmo rispettata."

Responsabile della protezione dei dati presso un operatore sanitario -- Gestione della privacy in 14 strutture di cura

"Abbiamo ridotto del 60% il tempo dedicato all'amministrazione della conformità nei primi sei mesi. La sola escalation automatica ci ha salvato durante due incidenti che, con il nostro vecchio processo, si sarebbero tradotti in notifiche tardive."

Responsabile conformità presso un produttore aeronautico -- Sulla base del sondaggio clienti, Q1 2025

Funzionalità chiave per la risposta alle violazioni

Cosa richiede davvero una finestra di 72 ore alla tua organizzazione

Conoscere le regole non è la parte difficile. Applicarle sotto pressione , tra controllate, fusi orari e catene di escalation , è il punto in cui le organizzazioni vanno in crisi. Ecco cosa richiede una risposta alle violazioni operativamente all'altezza.

Acquisizione centralizzata degli incidenti in ogni entità

Quando una violazione emerge nella controllata numero 23 un sabato sera, non può restare nella casella di posta di qualcuno fino al lunedì. Serve un unico punto di acquisizione che registri gli incidenti da qualsiasi entità, qualsiasi dipendente, qualsiasi fuso orario , e li indirizzi immediatamente alle persone giuste con il giusto contesto. Senza un'acquisizione centralizzata, la "conoscenza" viene ritardata dagli attriti organizzativi, non da un'indagine reale.

Tasso di acquisizione degli incidenti del 100% in tutte le entità

Un operatore sanitario , ha raggiunto la copertura completa del proprio gruppo di cura entro 90 giorni dall'implementazione

Escalation automatica e valutazione della gravità

Nel momento in cui un incidente viene registrato, deve essere valutato: riguarda dati personali? Quali categorie? Quanti interessati? Il rischio è abbastanza elevato da richiedere la notifica agli interessati ai sensi dell'articolo 34? La valutazione del rischio assistita dall'IA aiuta il tuo team a prendere queste decisioni in minuti anziché in ore , trasformando un giudizio in una decisione strutturata e documentata, in grado di reggere all'esame delle autorità.

Riduzione del 60% del tempo dedicato all'amministrazione della conformità

Produttore aeronautico , misurato nei primi 6 mesi di utilizzo di Priverion

Flussi di notifica multi-giurisdizione

Una violazione che coinvolge clienti in Germania, Francia e Austria può richiedere la notifica a più autorità di controllo , ciascuna con moduli, portali e aspettative leggermente diversi. Se il tuo gruppo non dispone di un'autorità di controllo capofila nell'ambito del meccanismo dello sportello unico, il tuo RPD si ritrova improvvisamente a coordinare notifiche parallele sotto lo stesso conto alla rovescia. Modelli preconfigurati e flussi di lavoro specifici per giurisdizione trasformano un incubo di coordinamento in un processo gestito.

Supporto RPD 24/7 in più entità

Un gruppo multi-entità , supporto operativo continuo per la gestione della privacy tra le entità

Pacchetti di prove pronti per l'audit su richiesta

Le autorità non si limitano a chiedere se hai notificato in tempo. Chiedono come hai stabilito che la violazione era notificabile, come si è svolto il tuo processo di valutazione, chi è stato coinvolto e quali prove hanno guidato ogni decisione. Se quelle risposte vivono in catene di e-mail e messaggi Slack, stai costruendo la tua difesa a partire da frammenti. Un registro strutturato degli incidenti , con decisioni datate, punteggi di rischio e tracce di approvazione , è la prova che la "conoscenza" è stata gestita correttamente.

Oltre 200 ore risparmiate nella preparazione agli audit

Un'azienda di tecnologia medica , durante la preparazione alla certificazione ISO 27001 con Priverion

Coordinamento delle violazioni dei fornitori e monitoraggio dei responsabili del trattamento

Quando un responsabile del trattamento scopre una violazione, l'articolo 33(2) gli impone di notificartelo "senza ingiustificato ritardo". Ma se i tuoi accordi con i fornitori sono incoerenti o il tuo inventario dei responsabili del trattamento è sparso tra i drive del reparto legale, non puoi nemmeno verificare se gli obblighi di notifica siano stati rispettati. Valutazioni centralizzate del rischio dei fornitori , comprese le clausole contrattuali di notifica delle violazioni , garantiscono che tu sappia esattamente quali responsabili del trattamento ti devono cosa, e con quale rapidità.

Copertura del 100% nella valutazione del rischio dei fornitori

Un operatore sanitario , copertura completa del rischio di terze parti in tutte le strutture di cura

Sovranità dei dati svizzera per i registri delle violazioni

La tua documentazione sulle violazioni contiene alcuni dei dati più sensibili che la tua organizzazione genererà mai: dettagli di falle di sicurezza, categorie di interessati coinvolte, note di valutazione interne. Conservare questi dati in una piattaforma con hosting negli Stati Uniti crea un rischio secondario di trasferimento transfrontaliero, oltre alla violazione stessa. Tutti i dati di Priverion , compresi i registri degli incidenti e i pacchetti di prove , sono trattati e conservati all'interno dell'infrastruttura svizzera, secondo il diritto svizzero in materia di protezione dei dati.

Sviluppato e ospitato in Svizzera

Tutto il trattamento dei dati all'interno dell'infrastruttura svizzera , residenza europea dei dati garantita

Scopri come Priverion automatizza il rilevamento e la notifica delle violazioni per le organizzazioni multi-entità , in 30 minuti.

Prenota una valutazione gratuita della prontezza alle violazioni

200+

Ore risparmiate nella gestione del registro dei trattamenti

Un'azienda di tecnologia medica ha recuperato oltre 200 ore durante la preparazione alla ISO 27001 sostituendo la tenuta manuale dei registri con flussi di lavoro automatizzati per la ricertificazione.

60%

Costi inferiori rispetto alle piattaforme enterprise tradizionali

Sulla base dei confronti dei prezzi pubblicati con OneTrust per organizzazioni multi-entità che gestiscono oltre 10 controllate. Nessun costo per utente, nessuna espansione per modulo.

3 mesi

In anticipo sulla tabella di marcia per la prontezza alla ISO 27001

Un'azienda di tecnologia medica ha accelerato di tre mesi i tempi della propria certificazione ISO 27001 grazie ai pacchetti di prove pronti per l'audit e alla documentazione automatizzata di Priverion.

Consapevoli della concorrenza

Perché i team privacy del mid-market stanno abbandonando OneTrust

Non ti serve una piattaforma costruita per le aziende Fortune 50 , e con un prezzo da Fortune 50. Ti serve una conformità di livello enterprise adatta al modo in cui la tua organizzazione lavora davvero.

L'esperienza OneTrust

Prezzi per modulo

Ti servono registro dei trattamenti, DPIA, rischio dei fornitori e gestione delle richieste degli interessati? Sono quattro voci separate. Le richieste di budget diventano negoziati , e i costi crescono in modo imprevedibile man mano che aggiungi utenti o entità.

Infrastruttura ospitata negli Stati Uniti

In un mondo post-Schrems II, ospitare i dati di conformità presso un fornitore con sede negli Stati Uniti crea esattamente quel rischio di trasferimento che il tuo programma privacy dovrebbe mitigare. Le opzioni di data center nell'UE non risolvono la questione giurisdizionale.

Complessità pensata per le Fortune 50

Centinaia di funzionalità che non userai mai. Tempi di implementazione di mesi. Il tuo team passa più tempo a imparare lo strumento che a gestire la privacy , esattamente il problema che il software avrebbe dovuto risolvere.

Oltre 200 integrazioni superficiali

Un lungo elenco di connettori fa colpo in una demo. Nella pratica, le integrazioni superficiali si rompono, richiedono manutenzione costante e raramente offrono la profondità di dati di cui i tuoi flussi di lavoro privacy hanno davvero bisogno.

La gestione multi-entità come ripensamento

La visibilità a livello di gruppo richiede soluzioni alternative e configurazioni personalizzate. Gestire 12 controllate non dovrebbe essere come gestire 12 implementazioni separate.

L'esperienza Priverion

Prezzo di piattaforma tutto in uno

Registro dei trattamenti, DPIA, rischio dei fornitori, richieste degli interessati, gestione degli incidenti, registro IA , inclusi. Prezzo basato sul numero di aziende e sulle dimensioni organizzative, non per utente o per modulo. Nessuna trappola di espansione, nessuna fattura a sorpresa al rinnovo.

Sviluppato e ospitato in Svizzera

Tutto il trattamento dei dati all'interno dell'infrastruttura svizzera , una delle poche giurisdizioni con una decisione di adeguatezza dell'UE. La residenza europea dei dati per noi non è una casella da spuntare. È la nostra identità. I tuoi dati di conformità restano al di fuori della giurisdizione statunitense, punto e basta.

Operativo in settimane, non in mesi

Un produttore aeronautico ha ottenuto una riduzione del 60% del tempo dedicato all'amministrazione della conformità entro i primi 6 mesi. Un'esperienza utente più semplice significa che il tuo team passa il tempo a gestire la privacy , non a imparare il software.

Produttore aeronautico , primi 6 mesi dopo l'implementazione

Integrazioni profonde che contano

Ci integriamo in profondità con i sistemi che alimentano i flussi di lavoro privacy . risorse umane, approvvigionamento, gestione degli asset IT , invece di offrire 200 connettori superficiali che generano oneri di manutenzione e forniscono dati di superficie.

A livello di gruppo per progettazione

La gestione multi-entità è la nostra architettura di base, non un'aggiunta. Un assicuratore svizzero ha ottenuto il 100% di ricertificazione del registro dei trattamenti in tutte le entità , in modo completamente automatizzato. Un'unica dashboard, ogni controllata, visibilità completa.

Un assicuratore svizzero , ricertificazione automatizzata del registro dei trattamenti in tutte le entità del gruppo

La guida completa: notifica delle violazioni entro 72 ore secondo l'articolo 33 del GDPR

L'articolo 33 del GDPR impone ai titolari del trattamento di notificare alle autorità di controllo le violazioni di dati personali "senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sono venuti a conoscenza." Quelle poche parole hanno generato più linee guida normative, azioni sanzionatorie e ansia da conformità di quasi ogni altra disposizione del regolamento.

La domanda cruciale non è "con quanta rapidità dobbiamo notificare?" . è "quando inizia effettivamente il conto alla rovescia?"

Cosa significa "conoscenza" ai sensi dell'articolo 33

La finestra di 72 ore non inizia quando si verifica la violazione. Inizia quando il titolare del trattamento "ne viene a conoscenza". Il Comitato europeo per la protezione dei dati (EDPB) lo ha chiarito nelle sue Linee guida 9/2022 sulla notifica delle violazioni di dati personali:

Un titolare del trattamento dovrebbe essere considerato "a conoscenza" quando ha un ragionevole grado di certezza che si è verificato un incidente di sicurezza che ha portato alla compromissione di dati personali.

Linee guida EDPB 9/2022, paragrafo 72

Questo significa che il conto alla rovescia non parte nel momento in cui qualcuno nella tua organizzazione sospetta che qualcosa possa non andare. Parte quando hai un "ragionevole grado di certezza" che dei dati personali siano stati compromessi. Tuttavia , ed è qui che le organizzazioni finiscono nei guai , non puoi ritardare la conoscenza scegliendo di non indagare.

Il criterio del "avrebbe dovuto saperlo"

Le autorità hanno costantemente ritenuto che le organizzazioni non possano invocare l'ignoranza se hanno omesso di implementare ragionevoli misure di rilevamento. Se una violazione era rilevabile attraverso un monitoraggio standard e la tua organizzazione l'ha mancata perché il monitoraggio era inadeguato, le autorità tratteranno il momento in cui la violazione avrebbe dovuto essere rilevata come il momento della conoscenza.

Questo principio è stato messo alla prova in diverse azioni sanzionatorie di rilievo:

  • L'autorità olandese per la protezione dei dati ha multato Booking.com per notifica tardiva, stabilendo che la conoscenza si è verificata quando i singoli hotel hanno segnalato accessi non autorizzati , non quando il team centrale di Booking.com ha completato l'indagine interna settimane dopo.
  • L'ICO del Regno Unito ha riscontrato che la conoscenza da parte di Marriott era stata ritardata perché l'azienda aveva ereditato i sistemi compromessi di Starwood e aveva omesso di condurre un'adeguata due diligence, ereditando di fatto la tempistica di conoscenza della violazione.
  • L'AEPD spagnola ha costantemente ritenuto che la conoscenza da parte di un titolare del trattamento inizi quando qualsiasi dipendente con l'autorità di agire sulle informazioni le riceve , non quando il RPD viene formalmente notificato.

Quando inizia il conto alla rovescia per i responsabili del trattamento?

L'articolo 33(2) pone un obbligo distinto in capo ai responsabili del trattamento: devono notificare al titolare del trattamento "senza ingiustificato ritardo dopo essere venuti a conoscenza di una violazione di dati personali." Per i responsabili del trattamento non è specificato alcun termine di 72 ore, ma "senza ingiustificato ritardo" è stato interpretato in modo restrittivo.

Per i titolari del trattamento, ciò crea una tempistica a cascata. Se il tuo responsabile del trattamento ne viene a conoscenza lunedì e te lo notifica mercoledì, il tuo conto alla rovescia di 72 ore parte mercoledì , ma se il ritardo del responsabile del trattamento è stato irragionevole, l'autorità di controllo potrebbe comunque esaminare la tempistica complessiva.

Ecco perché le clausole contrattuali di notifica delle violazioni contano. Se i tuoi accordi con i fornitori prevedono una "notifica del responsabile del trattamento entro 48 ore" ma il tuo inventario dei responsabili del trattamento è sparso tra drive condivisi, non puoi verificare se quelle clausole siano state rispettate , né quali responsabili del trattamento siano rilevanti per la violazione.

Cosa conta come "senza ingiustificato ritardo"?

Le 72 ore sono un massimo, non un obiettivo. Il GDPR dice "senza ingiustificato ritardo e, ove possibile, entro 72 ore." Questo significa:

  • Se puoi notificare in 24 ore, dovresti farlo. Aspettare fino all'ora 71 quando avevi informazioni sufficienti all'ora 12 è di per sé una violazione della conformità.
  • Se davvero non riesci a completare la tua valutazione entro 72 ore, puoi presentare una notifica in più fasi , ma devi fornire le ragioni del ritardo e trasmettere le informazioni iniziali entro la finestra delle 72 ore.
  • I fine settimana e i giorni festivi non mettono in pausa il conto alla rovescia. Se la conoscenza si verifica alle 23:00 di venerdì, hai tempo fino alle 23:00 di lunedì.

Quali informazioni deve contenere la notifica?

L'articolo 33(3) specifica il contenuto minimo delle notifiche di violazione:

  • La natura della violazione di dati personali, comprese le categorie e il numero approssimativo di interessati e di registrazioni
  • Il nome e i dati di contatto del RPD o di altro punto di contatto
  • Una descrizione delle probabili conseguenze della violazione
  • Una descrizione delle misure adottate o proposte per affrontare la violazione, comprese le misure di mitigazione

Per le organizzazioni multi-entità, ciò crea una sfida di coordinamento. Se la violazione coinvolge interessati in più controllate situate in giurisdizioni diverse, potresti dover presentare la notifica a più autorità di controllo , a meno che tu non disponga di un'autorità capofila nell'ambito del meccanismo dello sportello unico.

Il problema del coordinamento multi-entità

Il conto alla rovescia di 72 ore è già abbastanza impegnativo per una singola organizzazione. Per i gruppi enterprise che gestiscono la conformità tra 10, 20 o oltre 50 entità, diventa esponenzialmente più difficile:

  • Quale entità è il titolare del trattamento , la controllata in cui si è verificata la violazione o la società madre?
  • Se più entità condividono un sistema di trattamento dei dati, la conoscenza in una sola entità costituisce conoscenza per tutte?
  • Chi ha l'autorità di presentare la notifica , il RPD locale, il RPD del gruppo o il reparto legale?
  • Quale autorità di controllo riceve la notifica quando gli interessati coinvolti si estendono su più Stati membri?

A queste domande non si può rispondere durante una violazione. Devono essere risolte in anticipo, documentate nel tuo piano di risposta agli incidenti e testate attraverso regolari esercitazioni teoriche.

Il 78% delle organizzazioni multi-entità gestisce ancora i registri dei trattamenti in fogli di calcolo. Se i tuoi registri dei trattamenti sono frammentati tra le controllate, determinare l'ambito di una violazione , quali categorie di dati, quali interessati, quali giurisdizioni , richiede giorni invece di ore. Il conto alla rovescia di 72 ore non aspetta che i tuoi fogli di calcolo vengano riconciliati.

Sulla base dell'analisi Priverion sulla maturità dei programmi privacy presso i potenziali clienti enterprise, 2023-2024

Quando la notifica non è richiesta

Non tutte le violazioni fanno partire il conto alla rovescia di 72 ore. L'articolo 33(1) include un'importante riserva: la notifica è richiesta "a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche."

Questa valutazione del rischio è il punto in cui molte organizzazioni faticano. L'EDPB ha fornito alcuni esempi:

  • Un laptop cifrato viene rubato e la chiave di cifratura non è stata compromessa , probabilmente nessun rischio, probabilmente nessuna notifica richiesta
  • Una breve interruzione di corrente causa l'impossibilità temporanea di accedere alle cartelle cliniche dei pazienti , il rischio dipende dal contesto (cure d'emergenza vs. registri di routine)
  • Un'e-mail contenente dati personali viene inviata al destinatario sbagliato, che conferma la cancellazione senza leggerla , rischio basso, ma comunque una violazione che deve essere documentata internamente

Anche quando la notifica all'autorità di controllo non è richiesta, l'articolo 33(5) impone di documentare la violazione, i suoi effetti e l'azione correttiva intrapresa. Questa documentazione deve essere disponibile per l'esame dell'autorità di controllo su richiesta.

Rendere gestibile la finestra di 72 ore

Le organizzazioni che rispettano costantemente il termine di 72 ore condividono caratteristiche comuni:

  • Dispongono di un sistema centralizzato di acquisizione degli incidenti che registra le violazioni da qualsiasi entità, qualsiasi dipendente, qualsiasi fuso orario , eliminando gli attriti organizzativi che ritardano la conoscenza
  • Utilizzano framework strutturati di valutazione del rischio (non giudizi improvvisati) per determinare la notificabilità entro pochi minuti dall'acquisizione
  • Mantengono registri dei trattamenti aggiornati e accurati, in modo che la valutazione dell'ambito della violazione non richieda giorni di raccolta manuale dei dati
  • Dispongono di modelli di notifica preconfigurati per ciascuna autorità di controllo pertinente, riducendo i tempi di redazione da ore a minuti
  • Documentano ogni decisione con marche temporali, creando la traccia di audit che dimostra la conformità anche quando i tempi sono stretti

Il conto alla rovescia di 72 ore è impegnativo per progettazione. Costringe le organizzazioni a costruire l'infrastruttura operativa che rende la gestione della privacy sostenibile , non solo conforme sulla carta, ma resiliente sotto pressione.

Smetti di gestire la privacy nei fogli di calcolo

Scopri come appare la gestione della privacy a livello di gruppo quando funziona davvero

In 30 minuti analizzeremo la tua specifica configurazione multi-entità , come funzionano la ricertificazione automatizzata del registro dei trattamenti, le DPIA assistite dall'IA e la mappatura dei dati tra le entità per organizzazioni come la tua. Tutto sviluppato e ospitato in Svizzera. Nessun discorso di vendita, nessun elenco di funzionalità. Solo chiarezza sul fatto che Priverion sia adatto al tuo programma.

60%

In meno di tempo per l'amministrazione della conformità

Produttore aeronautico, primi 6 mesi

200+

Ore risparmiate nella preparazione alla ISO 27001

Un'azienda di tecnologia medica

Settimane

Per l'implementazione completa, non mesi

Media sull'intera base clienti

Prenota una valutazione gratuita della prontezza alle violazioni

Nessun impegno richiesto. Prezzi prevedibili , nessuna sorpresa per utente o per modulo.

The Privacy Compliance Briefing

Approfondimenti mensili sull'applicazione del GDPR, gli aggiornamenti della nLPD svizzera e le strategie di automazione per RPD e team di conformità.

Niente spam. Disiscriviti in qualsiasi momento.

Prenota una valutazione gratuita della prontezza alle violazioni

30 min. Nessun impegno richiesto.