Aggiornato il 28 Giugno 2026
Il registro data breach serve per documentare in modo conforme e ordinato ogni incidente di violazione dei dati personali. Questo fac simile ti permette di registrare identificazione dell’incidente, sistemi e dati coinvolti, valutazione del rischio, misure adottate, notifiche a autorità e interessati e tutte le evidenze necessarie ai sensi del GDPR.
Indice
Come si compila il registro data breach
Il registro data breach è il documento con cui un’organizzazione registra e conserva le informazioni relative alle violazioni di dati personali. Per data breach si intende una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali trasmessi, conservati o comunque trattati. Può trattarsi di un attacco informatico, dell’invio di un’email al destinatario sbagliato, dello smarrimento di un computer, della pubblicazione non autorizzata di documenti, di un accesso abusivo a un gestionale o della perdita di archivi cartacei contenenti dati personali.
Il registro non serve solo quando la violazione deve essere notificata al Garante Privacy. Il GDPR richiede al titolare del trattamento di documentare tutte le violazioni dei dati personali, comprese quelle che, dopo una valutazione del rischio, non vengono comunicate all’autorità di controllo. Questa documentazione deve consentire di verificare i fatti, gli effetti della violazione e le misure adottate per gestirla. Per questo il registro data breach è uno strumento di accountability, cioè di responsabilizzazione documentata: dimostra che l’organizzazione non si limita a reagire in modo improvvisato, ma segue un processo tracciabile.
Un registro ben costruito dovrebbe permettere di ricostruire l’intera storia dell’evento. Occorre indicare quando la violazione è stata scoperta, chi l’ha segnalata, quali sistemi o archivi sono stati coinvolti, quale tipologia di dati personali è interessata, quante persone potrebbero essere coinvolte e quali conseguenze potrebbero derivarne. È importante descrivere in modo chiaro anche la causa, se nota, distinguendo tra errore umano, malfunzionamento tecnico, attacco esterno, accesso non autorizzato, perdita fisica di documenti o comportamento scorretto di un soggetto interno o esterno.
La parte più delicata riguarda la valutazione del rischio per i diritti e le libertà delle persone fisiche. Non tutte le violazioni hanno lo stesso peso. La perdita di dati già pubblici può avere un impatto limitato, mentre la diffusione di dati sanitari, credenziali, documenti di identità, informazioni finanziarie o dati relativi a minori può comportare conseguenze molto più gravi. Nel registro deve emergere il ragionamento seguito dall’organizzazione per decidere se notificare o meno la violazione al Garante e se comunicare l’accaduto anche agli interessati. Se la violazione presenta un rischio per le persone, il titolare deve notificarla all’autorità competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
Il registro deve documentare anche le misure adottate. Non basta scrivere che il problema è stato risolto. È opportuno indicare quali azioni sono state compiute per contenere la violazione, recuperare o bloccare i dati, cambiare credenziali, informare i responsabili interni, coinvolgere fornitori o responsabili del trattamento, ripristinare sistemi, correggere vulnerabilità e prevenire episodi simili. Questa parte è fondamentale perché il data breach non è solo un evento da archiviare, ma un’occasione per migliorare sicurezza, procedure e formazione del personale.
La gestione del registro deve essere riservata e ordinata. Il documento contiene informazioni sensibili sull’organizzazione, sui sistemi informatici, sui dati trattati e sulle persone coinvolte. Deve quindi essere accessibile solo a chi ha un ruolo nella gestione privacy, sicurezza informatica, direzione o consulenza legale. Può essere cartaceo o digitale, ma deve essere conservato in modo sicuro, aggiornato tempestivamente e integrato con la procedura interna di gestione degli incidenti.
Fac simile registro data breach Word
In questa sezione puoi scaricare il fac simile del registro data breach in formato Word, pronto per essere compilato e archiviato come documento ufficiale.
Fac simile registro data breach PDF
In questa sezione è disponibile il fac simile del registro data breach in formato PDF, utile come esempio o per la distribuzione interna e la consultazione.
Esempio registro data breach
Responsabile della protezione dei dati (DPO): _____________
Data di creazione del registro: _____________
Numero registro / ID incidente: _____________
1. Identificazione dell’incidente
– Numero progressivo: _____________
– Data e ora di scoperta: _____________
– Data e ora di inizio evento (se nota): _____________
– Data e ora di fine evento (se nota): _____________
– Segnalato da (nome, ruolo): _____________
– Ricevuto da (nome, ruolo): _____________
– Luogo/area interessata: _____________
– Modalità di scoperta: _____________
2. Descrizione dell’incidente
– Descrizione dettagliata dell’incidente: _____________
– Natura della violazione (accesso non autorizzato, perdita, furto, divulgazione, alterazione, distruzione, altro): _____________
– Eventuali soggetti esterni coinvolti (fornitori, terze parti): _____________
3. Sistemi e dati coinvolti
– Sistemi/applicazioni coinvolte: _____________
– Tipologie di dati personali coinvolti (es. identificativi, contatti, finanziari, sanitari): _____________
– Presenza di categorie particolari di dati (art. 9 GDPR) (sì/no): _____________
– Numero stimato di interessati coinvolti: _____________
– Ambito territoriale dell’incidente: _____________
4. Valutazione del rischio e impatto
– Probabilità di rischio per i diritti e le libertà delle persone: _____________
– Gravità dell’impatto previsto: _____________
– Valutazione complessiva del rischio (basso/medio/alto): _____________
– Possibili conseguenze per gli interessati: _____________
5. Misure immediate adottate
– Misure tecniche adottate immediatamente (isolamento, disconnessione, patch, ecc.): _____________
– Misure organizzative adottate immediatamente (revoca accessi, informazione personale, ecc.): _____________
– Data e ora di attuazione delle misure: _____________
– Responsabile dell’attuazione delle misure: _____________
6. Notifiche alle autorità e agli interessati
– Notifica all’Autorità di controllo necessaria? (sì/no): _____________
– Data/ora della notifica all’Autorità di controllo: _____________
– Riferimento comunicazione all’Autorità (protocollo/n. pratica): _____________
– Notifica agli interessati necessaria? (sì/no): _____________
– Data/ora comunicazione agli interessati: _____________
– Modalità e contenuto della comunicazione agli interessati: _____________
– Misure suggerite agli interessati (cosa fare per mitigare il rischio): _____________
7. Azioni correttive e piani di rimedio
– Azioni correttive pianificate: _____________
– Priorità delle azioni: _____________
– Termine previsto per completamento: _____________
– Responsabile dell’esecuzione: _____________
– Valutazione dell’efficacia delle azioni (a seguito dell’attuazione): _____________
8. Evidenze e documentazione
– Log, prove e documenti raccolti (descrizione): _____________
– Modalità e luogo di conservazione delle evidenze: _____________
– Elenco documenti allegati: _____________
9. Analisi delle cause e misure preventive
– Causa principale dell’incidente (root cause): _____________
– Cause contributive: _____________
– Misure preventive implementate per evitare il ripetersi: _____________
– Aggiornamenti a procedure e formazione: _____________
10. Impatti contrattuali e assicurativi
– Fornitori/terze parti coinvolti (contratti/obblighi): _____________
– Comunicazioni a terzi (assicuratore, consulenti legali, altri): _____________
– Risarcimenti o azioni legali intraprese o prevedibili: _____________
11. Valutazione finale e chiusura
– Data di chiusura dell’incidente: _____________
– Sintesi delle azioni intraprese: _____________
– Valutazione finale dell’impatto residuo: _____________
– Note finali: _____________
12. Riferimenti normativi e procedure interne
– Base giuridica del trattamento dei dati coinvolti: _____________
– Procedure interne applicate (nome e versione): _____________
– Riferimenti a valutazioni d’impatto sulla protezione dei dati (DPIA) correlate: _____________
Firme e responsabilità
– Responsabile del trattamento (nome, firma, data): _____________
– Responsabile della sicurezza/IT (nome, firma, data): _____________
– DPO (se presente) (nome, firma, data): _____________
Registro revisioni
– Data revisione: _____________
– Motivo della revisione: _____________
– Revisore (nome, ruolo): _____________
– Esito della revisione: _____________