Solo nel mese di gennaio 2026 in Italia sono stati registrati complessivamente 225 eventi cyber, con un aumento del 42% rispetto ai 158 rilevati nel mese precedente[1]. Questi dati descrivono una dinamica ormai nota: il numero di eventi di sicurezza cresce in modo costante, mentre sempre più organizzazioni – spesso di dimensioni ridotte – si trovano a dover affrontare decisioni complesse in tempi molto rapidi. Una di queste decisioni riguarda la gestione delle violazioni di dati personali e, in particolare, la scelta se notificare o meno l’incidente all’autorità di controllo. È in questo contesto che si inserisce il D.L. 19/2026, recante ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza e in materia di politiche di coesione (il “DL PNRR” o il “Decreto”). Il Decreto, approvato dal Consiglio dei ministri lo scorso 29 gennaio, introduce una revisione organica di oltre 400 adempimenti amministrativi. Tra le novità più interessanti figura una misura destinata a incidere direttamente sulla gestione dei data breach: l’introduzione di una procedura semplificata per le imprese con meno di 5 dipendenti. La modifica interviene direttamente sul Codice Privacy (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) attraverso l’inserimento del nuovo articolo 2-quaterdecies.1, rubricato “Procedura di notifica delle violazione di dati personali da parte di microimprese”. Ma cosa cambia nella pratica per le imprese interessate? Il punto di partenza: l’obbligo di notifica dei data breach Per comprendere la portata della riforma occorre partire dalla disciplina generale contenuta nel GDPR (Reg. UE 679/2019). L’articolo 33 del GDPR stabilisce che, in caso di violazione di dati personali – il c.d. data breach – il titolare del trattamento deve notificare l’incidente all’Autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. L’obbligo non sussiste soltanto quando sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. In termini concreti, ciò significa che ogni qualvolta venga compromessa la riservatezza, l’integrità o la disponibilità di dati personali, il titolare, salvo l’eccezione prevista dal GDPR, deve notificare l’incidente al Garante Privacy, utilizzando la piattaforma telematica disponibile sul sito dell’Autorità. Il punto più delicato non è tuttavia l’adempimento formale della notifica, bensì la valutazione che lo precede. L’architettura dell’articolo 33 GDPR si fonda infatti su una valutazione preventiva del rischio. Il titolare deve stabilire se la violazione sia idonea a produrre un rischio per i diritti e le libertà degli interessati e, soprattutto, se tale rischio sia sufficientemente significativo da giustificare la notifica. Si tratta di un passaggio che richiede competenze tecniche, giuridiche e organizzative. Nella pratica, la decisione di notificare un data breach nasce quasi sempre da un confronto tra responsabili IT, DPO (ove nominato), consulenti privacy e legali, spesso in tempi estremamente ristretti. Per le grandi organizzazioni questo processo è spesso parte delle procedure interne di gestione degli incidenti. Per le microimprese, invece, il quadro è molto diverso: la stessa valutazione del rischio potrebbe diventare un esercizio complesso, quando non addirittura paralizzante. Ed è proprio su questo punto che interviene la novità introdotta dal DL PNRR. La procedura semplificata per le microimprese Il DL PNRR inserisce nel Codice Privacy una disciplina specifica destinata alle imprese con meno di 5 dipendenti, prevedendo l’introduzione di una procedura semplificata per la notifica dei data breach ai sensi dell’articolo 33 del GDPR. La norma non definisce direttamente i dettagli tecnici della procedura, ma demanda al Garante Privacy il compito di definirli attraverso un proprio provvedimento. Tuttavia, il Decreto indica due elementi che dovranno necessariamente caratterizzare il nuovo sistema. Da un lato, l’introduzione di strumenti di autovalutazione guidata, destinati presumibilmente ad aiutare le microimprese a orientarsi nella valutazione del rischio e a comprendere se una violazione richieda o meno la notifica. Dall’altro, la previsione di un canale di assistenza semplificata, pensato per supportare le imprese tenute alla notifica. Data breach e Digital Omnibus Parallelamente alle novità introdotte dal legislatore italiano, il tema delle notifiche di data breach è oggetto di una riflessione anche a livello europeo. Il 19 novembre 2025, la Commissione europea ha presentato la proposta COM(2025) 837, il c.d. Digital Omnibus (il “Digital Omnibus” o la “Proposta”). Tra i diversi interventi prospettati, vi è anche una revisione della disciplina delle notifiche di data breach prevista dall’articolo 33 del GDPR. La Proposta introduce innanzitutto un cambiamento concettuale significativo. L’obbligo di notifica all’autorità di controllo verrebbe allineato all’obbligo di comunicazione agli interessati, prevedendo che la notifica sia richiesta soltanto quando la violazione comporti un rischio elevato per i diritti degli interessati. In altre parole, verrebbe superato l’attuale modello a due soglie – “rischio” per la notifica all’autorità, “rischio elevato” per la comunicazione agli interessati – a favore di un criterio unico più selettivo. La Proposta introduce inoltre un’estensione del termine per la notifica, che passerebbe dalle attuali 72 ore a 96 ore. Un altro elemento di rilievo è la previsione di un punto di accesso unico per la segnalazione degli incidenti. L’obiettivo è consentire ai soggetti obbligati di adempiere, attraverso un’unica interfaccia, agli obblighi di notifica previsti da diverse normative europee[2], tra cui quelli relativi agli incidenti di sicurezza disciplinati dalla normativa NIS2. Infine, il Digital Omnibus attribuisce all’EDPB (European Data Protection Board) il compito di elaborare un modello comune per la notifica delle violazioni dei dati personali e un elenco condiviso di circostanze nelle quali una violazione può essere considerata idonea a generare un rischio elevato per i diritti e le libertà delle persone fisiche. Conclusioni: perché è necessario leggere insieme queste due riforme Le due iniziative normative – da un lato il DL PNRR e dall’altro il Digital Omnibus – operano su piani diversi, ma intervengono sullo stesso tema: come rendere più chiara e gestibile la decisione di notificare un data breach. La procedura semplificata prevista per le microimprese rappresenta un primo tentativo di tradurre in strumenti operativi un obbligo che, nella sua formulazione attuale, richiede valutazioni spesso complesse. Tuttavia, il quadro normativo europeo resta ancora in evoluzione. Per questo motivo le due riforme dovranno essere monitorate in parallelo. La procedura guidata che il Garante Privacy sarà chiamato a sviluppare dovrà inevitabilmente confrontarsi con l’evoluzione dell’articolo 33 GDPR e con gli eventuali modelli comuni che potranno emergere a livello europeo. [1] Agenzia per la Cybersicurezza Nazionale, Operational Summary, Dati e indicatori della minaccia cyber in Italia, gennaio 2026. [2] Il punto di accesso unico per la segnalazione degli incidenti dovrebbe consentire ai soggetti di adempiere agli obblighi di segnalazione a norma delle direttive (UE) 2022/2555 (Direttiva NIS2) e (UE) 2022/2557 (Direttiva CER), del GDPR e dei regolamenti (UE) 2022/2554 (DORA) e (UE) n. 910/2014 (eIDAS), inviando le notifiche tramite un’unica interfaccia. Il punto di accesso unico dovrebbe iniziare a essere utilizzato ai fini della segnalazione a norma di tali atti entro 18 mesi dall’entrata in vigore del Digital Omnibus.
