Il Digital Omnibus introduce una ridefinizione silenziosa ma profonda dell’ecologia normativa europea in materia di dati e infrastrutture digitali. Attraverso interventi puntuali sul GDPR e sul diritto della cybersicurezza, l’operazione sposta assi di equilibrio: riordina obblighi, riallinea tempistiche, ricompone il mosaico tra protezione dei dati personali, sicurezza delle reti, continuità dei servizi essenziali.
Il testo proposto stabilisce che, in caso di violazione di dati personali suscettibile di determinare un alto rischio per i diritti e le libertà delle persone fisiche, il titolare deve notificare la violazione, senza indebito ritardo e ove possibile entro novantasei ore dalla conoscenza, tramite il punto di ingresso unico istituito dall’articolo 23a della direttiva NIS2, al garante competente ai sensi degli articoli 55 e 56.
Indice degli argomenti
Digital Omnibus e data breach: cosa cambia per l’art. 33 GDPR
Cambia quindi anche il regime dei data breach perché incide sulla prima reazione istituzionale agli incidenti. La riforma innalza la soglia semantica e sostanziale dell’allerta regolatoria, poiché un incidente entra nella sfera istituzionale solo se possiede un potenziale pregiudizio di intensità elevata. Il legislatore sposta così l’asse della sensibilità pubblica dall’attenzione continua alle vulnerabilità diffuse alla selezione dei casi più onerosi sul piano della lesione individuale.
Il passaggio oggetto di analisi è il nuovo art. 33 che trasforma il parametro oggettivo della notifica da “rischio” a “alto rischio” e che allunga il termine di obbligatorietà della stessa da settantadue a novantasei ore. Il data breach, da segnale quasi capillare di vulnerabilità, rischia di diventare una sorta di filtro: soltanto gli eventi con un potenziale lesivo elevato attraversano il varco normativo e alimentano il circuito formale di comunicazione con le autorità.
+, in origine fortemente orientata a catturare anche le fratture minori della sicurezza, riceverebbe così una torsione verso una logica di priorità poiché un incidente entra nella sfera istituzionale solo se possiede un potenziale pregiudizio di intensità elevata. Il legislatore sposta così l’asse della sensibilità pubblica dall’attenzione continua alle vulnerabilità diffuse alla selezione dei casi più onerosi sul piano della lesione individuale.
L’innalzamento della soglia di alto rischio e la logica di precauzione
Il passaggio da “rischio” a “alto rischio” incide sulla stessa idea di precauzione che il GDPR aveva innestato nel diritto europeo dei dati. La soglia originaria valorizzava qualsiasi possibile pregiudizio per i diritti e le libertà degli interessati; la nuova soglia esige un salto qualitativo del danno temuto.
Questa scelta sposta il baricentro dall’evento in sé alla sua gravità prospettica, con effetto di scrematura sistematica: numerosi incidenti, prima destinatari di notifica, entrano in una zona grigia nella quale l’ultima parola ricade sul giudizio discrezionale del titolare. In quella zona prendono forma valutazioni organizzative, calcoli reputazionali, strategie di contenimento della visibilità esterna. L’autorità di controllo riceve un numero inferiore di segnalazioni e costruisce la propria conoscenza del fenomeno su un sottoinsieme già selezionato, con una visione più rarefatta della frequenza e della tipologia dei punti di vulnerabilità presenti nel tessuto digitale.
Digital Omnibus e data breach tra sicurezza delle reti e diritti fondamentali
Questa trasformazione investe anche il rapporto tra dimensione tecnica e dimensione dei diritti fondamentali. Il criterio dell’“alto rischio” tende a privilegiare eventi che minacciano grandemente continuità del servizio, integrità dei sistemi, esposizione massiva di dati.
Rischi più sottili, radicati nella qualità del dato compromesso o nel contesto sociale di riferimento, faticano a entrare nella soglia alta e quindi a generare un obbligo di notifica. Si consolida così una gerarchia implicita tra interessi: l’infrastruttura e il servizio acquistano un peso crescente, la vulnerabilità individuale conserva una tutela più episodica, affidata ai casi di rottura macroscopica.
Il data breach perde progressivamente la funzione di sonda sistematica del rapporto tra algoritmo, organizzazione e individuo, per assumere una fisionomia più vicina a quella di un indicatore critico di sistema, utile soprattutto per gli incidenti di grande intensità.
Il tempo come potere: dalle 72 alle 96 ore nella notifica
Quanto alla estensione del termine da settantadue a novantasei ore è utile riflettere sul ruolo che gioca il tempo nel diritto della sicurezza informativa. Esso costituisce un elemento costitutivo del potere del dominus: il numero di ore a disposizione del titolare determina lo spazio per ricostruire i fatti, negoziare racconti interni, predisporre narrative e strategie difensive.
Le settantadue ore, pur con la loro tradizionale elasticità, trasmettevano un’idea di urgenza procedurale, quasi una richiesta di immediatezza nella messa a disposizione dell’informazione verso l’esterno. Diversamente valgono le novantasei ore; queste conferiscono invece una dilatazione misurata, che consente margini più ampi per processi interni di classificazione dell’incidente e per scelte selettive sulla documentazione da condividere.
Si guardi più da vicino la procedura in discussione. La fase iniziale prevede una disciplina transitoria che mantiene la notifica diretta al garante fino all’effettiva operatività dello sportello unico.
Inoltre, il legislatore affida al Comitato europeo la predisposizione di un modello uniforme di notifica e di una lista delle circostanze nelle quali una violazione risulta “verosimilmente idonea a generare un alto rischio”, con successiva adozione mediante atto di esecuzione della Commissione.
Digital Omnibus e data breach nell’ecosistema NIS2, DORA, eIDAS e CER
L’architettura della notifica subisce così una trasformazione profonda. La relazione originaria, fondamentalmente bilaterale, tra titolare e autorità di controllo viene assorbita in una infrastruttura multi-livello, in cui il primo interlocutore non coincide più con il garante bensì con un nodo tecnico-istituzionale radicato nella logica della sicurezza delle reti.
Il rinvio alla direttiva NIS2 non introduce un semplice meccanismo procedurale di trasmissione, ma istituisce una gerarchia concettuale: la violazione di dati personali entra in un circuito che accomuna incidenti di sicurezza, eventi rilevanti ai fini della resilienza cibernetica, obblighi informativi previsti da DORA, eIDAS, CER. La notifica di data breach confluisce così in un flusso informativo unificato, nel quale la tutela dei diritti fondamentali convive con esigenze di stabilità dei sistemi, continuità operativa, protezione delle infrastrutture critiche.
Il riferimento espresso al punto di ingresso unico produce conseguenze giuridiche ulteriori. La violazione di dati personali smette di costituire una categoria autonoma dell’ordinamento europeo e entra in una costellazione in cui il medesimo evento alimenta, potenzialmente, più regimi: NIS2 per la sicurezza, DORA per l’operatività digitale nel settore finanziario, eIDAS per i servizi fiduciari, CER per la resilienza dei soggetti essenziali.
L’articolo 33 diventa la cerniera che innesta il GDPR dentro questa infrastruttura, con effetti importanti sul piano del potere informativo pubblico. L’autorità di protezione dei dati riceve ancora la notifica, tuttavia tale flusso nasce in un ambiente progettato per la circolazione verso altre autorità, spesso dotate di mandati incentrati sulla sicurezza economica e istituzionale più che sulla tutela della vita privata. In altri termini, il dato sulla violazione entra fin dall’origine in un ecosistema volto a servire interessi plurali, nel quale il profilo dei diritti fondamentali mantiene rilevanza giuridica ma convive con logiche di sorveglianza sistemica delle infrastrutture.
Digital Omnibus e data breach: il nuovo potere informativo di ACN e rete NIS2
L’innesto del data breach nel perimetro di NIS2 determina un riallineamento degli equilibri istituzionali e introduce un nuovo punto di gravità del potere informativo. L’Agenzia per la cybersicurezza nazionale acquisisce, attraverso il punto di ingresso unico, una posizione che conferisce alla dimensione della sicurezza delle reti una precedenza analitica nella lettura degli incidenti, poiché la prima ricezione del dato avviene entro un ambiente progettato per interpretare l’evento attraverso metriche tecniche, tassonomie cyber, logiche di continuità operativa e modelli di rischio sistemico.
Qualunque violazione, prima di raggiungere il Garante, transita dunque attraverso un filtro istituzionale che inscrive l’episodio in una semantica orientata alla resilienza infrastrutturale. Tale transito attribuisce all’ACN un ruolo che supera la mera trasmissione: l’Agenzia gestisce un flusso informativo che produce conoscenza strutturata sugli operatori, sulle loro vulnerabilità, sulle dipendenze tecnologiche, sulle dinamiche interne dei sistemi digitali, e integra la violazione dei dati personali in un mosaico più ampio di incidenti delle reti, insieme a quelli disciplinati da DORA, eIDAS e CER.
In tal modo, la lettura dell’incidente assume una densità stratificata, con una matrice che si nutre di esigenze di sicurezza nazionale, tutela dell’economia digitale e governo delle infrastrutture critiche. Questa nuova tessitura istituzionale conferisce alla rete NIS2 una funzione ulteriore, poiché trasforma la raccolta delle notifiche in una forma di “intelligenza regolatoria”: un archivio capace di restituire mappe delle fragilità digitali del Paese, con riferimenti ai vettori di attacco, alle ricorrenze, ai fornitori maggiormente coinvolti, ai segmenti infrastrutturali più esposti.
Tale patrimonio, consolidato attraverso un linguaggio comune e alimentato da un modello uniforme che la Commissione definirà, produce una base conoscitiva che può orientare decisioni, interventi pubblici, priorità di vigilanza e politiche settoriali. La tutela dei diritti personali continua a permanere come elemento della notifica, tuttavia convive con un’interpretazione dell’incidente che attribuisce ai dati sulle violazioni un rilievo strategico, capace di incidere su più livelli di governo, dalla sicurezza alle politiche industriali.
La compresenza di vocabolari differenti, uno centrato sulla persona e l’altro sulla tenuta dell’infrastruttura, alimenta un dialogo interno alla norma, poiché il Garante riceve informazioni già predisposte entro formati e categorie che riflettono priorità logiche distanti dalla tradizione del GDPR.
Digital Omnibus e data breach: ruolo del Garante, dell’interessato e nuovi vuoti di conoscenza
Da questo spostamento del baricentro informativo deriva un mutamento significativo della posizione delle autorità nazionali per la protezione dei dati. Il Garante riceve ancora la notifica, tuttavia la riceve attraverso un processo informativo che nasce altrove, secondo parametri fissati dall’EDPB e consolidati in atti della Commissione.
Tale posizione, distante dal momento genetico dell’accertamento, incide sulla capacità dell’autorità di esercitare una funzione interpretativa pienamente autonoma sull’incidente. La relazione diretta tra violazione e controllo, tipica della stagione originaria del GDPR, appare filtrata da un’infrastruttura che convoglia l’episodio entro classificazioni tecniche pensate per finalità ulteriori rispetto alla protezione dei dati personali. Contestualmente, l’attenzione pubblica tende a privilegiare gli incidenti con maggiore impatto sistemico, poiché l’architettura della notifica incentiva una lettura dell’evento proporzionata alla sua incidenza sulla sicurezza complessiva del settore, con effetti sulla selezione degli episodi che il Garante riesce a esaminare nella loro pienezza qualitativa.
L’assetto che ne deriva mostra un ridisegno del rapporto tra autorità privacy e titolari. L’interazione immediata tra controllore e controllato si ritrae, mentre la fase iniziale del processo informativo si concentra all’interno di strutture aziendali che dispongono di un tempo più ampio e di una cornice valutativa che privilegia categorie tecnico-cyber.
Il garante interviene quindi su un incidente già tradotto in un linguaggio istituzionale che rafforza la prospettiva della resilienza, mentre la dimensione dei diritti fondamentali rimane affidata alla sua capacità di reinterpretare l’evento entro la tradizione garantista del GDPR.
Tale riposizionamento introduce un’interessante questione sistemica: la protezione dei dati personali si intreccia ora con un modello istituzionale che attribuisce centralità alla sicurezza nazionale e alla stabilità delle infrastrutture strategiche, riducendo lo spazio nel quale l’autorità di protezione dei dati può costruire un proprio percorso conoscitivo indipendente.
A questo punto, quanto potere mantiene il vero titolare dei dati? Il punto di vista dell’interessato acquisisce, in questa riforma, una tonalità diversa, quasi crepuscolare, perché la traiettoria che un tempo conduceva dalla violazione al destinatario della tutela procede ora attraverso soglie più alte, tempi più lenti e circuiti istituzionali più densi.
L’innalzamento della soglia dell’alto rischio incide immediatamente su questa relazione, poiché condiziona la possibilità stessa che l’individuo venga a conoscenza dell’incidente. La comunicazione diventa un atto selettivo, riservato agli episodi ritenuti idonei a produrre un pregiudizio di intensità tale da oltrepassare la soglia definita dalla Commissione.
L’esperienza quotidiana dell’interessato riceve quindi una minore quantità di segnali, mentre il sistema continua a generare incidenti numerosi, complessi, talvolta ripetitivi, talvolta diffusi lungo catene di trattamento sempre più articolate. Tale scarto tra quantità di incidenti e quantità di comunicazioni introduce un fenomeno particolare: l’interessato percepisce una riduzione del rischio, mentre il piano tecnico restituisce dinamiche più intricate e una moltiplicazione dei punti vulnerabili.
La rarefazione del contatto diretto con l’incidente genera una distanza nuova, nella quale l’esperienza individuale del danno informativo appare meno frequente, pur senza un corrispondente mutamento della fisiologia digitale.
La minore densità delle notifiche sui data breach trova un riflesso ulteriore nella trasformazione della disciplina dell’informativa, del registro dei trattamenti e della valutazione d’impatto. L’ordinamento riduce gli obblighi di informazione preventiva, alleggerisce il registro attraverso deroghe progressive, accentua la selettività della DPIA tramite elenchi comuni predisposti dal Comitato europeo e adottati dalla Commissione.
Tale sistema produce un ambiente nel quale l’interessato dispone di strumenti sempre più esili per ricostruire la trama della vita del proprio dato. La conoscenza preventiva si affievolisce, la mappa dei trattamenti perde granularità, il registro diventa un documento meno pervasivo, capace di offrire solo una parte dell’universo dei flussi informativi.
Il data breach entra dunque in una condizione peculiare: diventa l’unico momento in cui il trattamento riaffiora nella vita dell’interessato, poiché interrompe il silenzio ordinario del sistema e crea un varco episodico attraverso il quale la persona intravede, per un istante, la struttura tecnica che elabora i suoi dati.
Questa emersione, tuttavia, conserva un carattere frammentario. Da un lato, la violazione restituisce un’immagine parziale del trattamento, spesso circoscritta al segmento vulnerabile, talvolta legata a un errore, talvolta a un attacco esterno e dall’altro, l’interessato costruisce così una conoscenza discontinua, priva della linearità narrativa che l’informativa o la DPIA garantivano nei modelli originari del GDPR.
