La gestione dei data breach tra Data Protection e Cybersecurity.

L’Avv. Alessandro Del Ninno ha partecipato in qualità di relatore al convegno Paradigma intitolato “La gestione dei data breach tra Data Protection e Cybersecurity”, svoltosi l’11 marzo 2026 e dedicato all’analisi delle violazioni di dati personali e degli incidenti informatici alla luce del GDPR, delle Linee guida EDPB, delle indicazioni ACN e delle più recenti normative settoriali in materia di resilienza digitale e cybersicurezza. Nell’ambito del programma, il suo intervento ha avuto ad oggetto gli obblighi di notifica dei data breach e degli incidenti informatici nella prospettiva delle normative di sicurezza cibernetica, con particolare riferimento al Regolamento DORA, al d.lgs. n. 23/2025 e alla legge n. 90/2024.

Nel corso della relazione, l’Avv. Del Ninno ha evidenziato come la gestione dei breach non possa più essere letta esclusivamente attraverso la lente del GDPR, ma debba essere collocata in un quadro normativo più ampio, in cui la nozione di incidente si estende alla disponibilità, integrità, autenticità e riservatezza dei dati e dei servizi digitali. In tale prospettiva, ha richiamato l’evoluzione del diritto europeo della cybersicurezza, soffermandosi sul coordinamento tra data protection, NIS 2, DORA, disciplina nazionale di adeguamento e legge italiana sulla cybersicurezza.

Una parte centrale dell’intervento è stata dedicata al Regolamento DORA e agli obblighi posti a carico delle entità bancarie, finanziarie e assicurative in materia di individuazione, gestione, classificazione e notifica degli incidenti connessi alle TIC. L’Avv. Del Ninno ha illustrato la distinzione tra incidenti TIC, incidenti operativi o di sicurezza dei pagamenti, gravi incidenti e minacce informatiche significative, soffermandosi sui criteri di classificazione, sulle procedure di escalation interna, sui flussi di comunicazione verso le autorità competenti e verso la clientela, nonché sul sistema di notifiche articolato in segnalazione iniziale, relazioni intermedie e relazione finale.

L’intervento ha poi approfondito il d.lgs. n. 23/2025, mettendo in luce le norme italiane di coordinamento con DORA, in particolare la ripartizione delle competenze tra Banca d’Italia, Consob, IVASS e COVIP, il raccordo con CSIRT Italia per talune categorie di entità finanziarie, nonché il quadro sanzionatorio applicabile in caso di inosservanza degli obblighi di segnalazione. È stato evidenziato come la disciplina rafforzi la dimensione organizzativa della gestione degli incidenti, imponendo meccanismi di cooperazione e tempestiva circolazione delle informazioni tra autorità e soggetti vigilati.

Nella parte finale della relazione, l’Avv. Del Ninno ha esaminato gli obblighi di notifica previsti dalla legge n. 90/2024, con particolare attenzione ai soggetti pubblici e para-pubblici destinatari della disciplina, al meccanismo bifasico di segnalazione entro 24 ore e notifica completa entro 72 ore, nonché alla tassonomia degli incidenti definita dall’ACN nel febbraio 2026. In tale ambito, sono stati richiamati i casi di perdita di riservatezza, perdita di integrità e violazione dei livelli di servizio, evidenziando le implicazioni operative per le amministrazioni e gli enti obbligati a integrare le procedure di incident notification nei propri modelli di sicurezza e risposta agli eventi.

Attraverso questo contributo, l’Avv. Alessandro Del Ninno ha fornito ai partecipanti una lettura integrata del rapporto tra data breach e incident reporting, mostrando come la gestione delle violazioni richieda oggi un coordinamento effettivo tra compliance privacy, resilienza operativa, procedure interne di escalation e obblighi di notifica verso una pluralità di autorità competenti

Programma del Convegno