Una consultazione che incide sulla forma, non sulla sostanza, dell’obbligo di notifica
Il 10 giugno 2026 il Comitato europeo per la protezione dei dati ha avviato una consultazione pubblica, in chiusura il 5 agosto 2026, su un modello comune per la notifica delle violazioni dei dati personali, adottato in versione 1.0 l’8 giugno 2026 (EDPB, 2026). L’iniziativa non introduce obblighi sostanziali nuovi, poiché il perimetro della notifica resta quello dell’art. 33 del regolamento generale, ma standardizza la forma e la procedura, rispondendo a un’esigenza di uniformità che la frammentazione dei moduli nazionali aveva disatteso (Regolamento (UE) 2016/679; EDPB, 2026). La distinzione non è marginale, perché è proprio sul terreno formale che si sono concentrati i costi di conformità più gravosi per le organizzazioni operanti in più Stati membri.
L’architettura del modello e la sua vocazione applicativa nei sistemi informatici delle autorità
Il modello è una struttura tabellare articolata in sette sezioni e circa centoventisei campi numerati, con valori predefiniti, suggerimenti esplicativi e una logica condizionale che subordina la visibilità delle domande alle risposte già fornite (EDPB, 2026). Le sezioni procedono dalla tipologia di notifica all’identificazione del titolare, alle informazioni iniziali e ulteriori sulla violazione, alla comunicazione agli interessati, alle questioni connesse e agli allegati. Il dato di maggiore rilievo è la finalità implementativa, poiché il modello è concepito per essere recepito dalle autorità nazionali tramite uno strumento informatico che raccoglie le informazioni solo quando necessarie. Ne deriva un percorso guidato, e non un formulario statico, in cui ad esempio l’opzione «da determinare» è disponibile soltanto per le notifiche incomplete, con evidente beneficio per la tracciabilità del ragionamento sotteso.
La codificazione del giudizio di rischio e il raccordo con gli articoli 33 e 34
Il modello traduce in campi strutturati il giudizio valutativo richiesto dagli artt. 33 e 34. La sezione dedicata alle conseguenze distingue violazione di riservatezza, integrità e disponibilità, e per ciascuna declina conseguenze e impatti tipizzati, dalla perdita di controllo sui dati al furto di identità, dalla discriminazione al danno reputazionale (Regolamento (UE) 2016/679; EDPB, 2026). Segue un’autovalutazione della gravità su tre gradi, minore, moderata e severa, e l’esplicitazione dell’esito del giudizio di rischio nei termini dell’art. 34. La struttura procedimentalizza la sequenza interpretativa già delineata dalle linee guida sulla notifica, dapprima dal Gruppo di lavoro Articolo 29 e poi nella casistica del Comitato (Gruppo di lavoro Articolo 29, 2018; EDPB, 2021), orientando il titolare verso le categorie che le autorità impiegheranno e codificando puntualmente le condizioni di esonero dell’art. 34, paragrafo 3.
La dimensione transfrontaliera e la gestione del meccanismo dello sportello unico
Le sezioni 6.2 e 6.3 distinguono il titolare stabilito nello Spazio economico europeo da quello non stabilito ma comunque soggetto al regolamento. Nel primo caso il modello richiede l’autorità capofila, i Paesi di stabilimento, i Paesi in cui si trovano gli interessati coinvolti, il numero approssimativo per ciascuno Stato e le autorità destinatarie, selezionabili da un elenco nominativo che comprende anche le numerose autorità regionali tedesche (EDPB, 2026). Lo schema rende immediatamente leggibile la geografia della violazione e agevola la cooperazione, senza modificare i criteri di individuazione dell’autorità capofila, che restano quelli propri dello sportello unico.
Il superamento della frammentazione nazionale e il caso della procedura telematica del Garante italiano
La portata innovativa del modello si coglie rispetto alla disomogeneità attuale delle procedure nazionali. In Italia la notifica si trasmette, dal primo luglio 2021, attraverso una procedura telematica nel portale dei servizi online del Garante, con uno strumento di autovalutazione e un facsimile consultabile (Garante per la protezione dei dati personali, 2021). È un’esperienza matura, ma con campi e denominazioni propri, non sovrapponibili a quelli di altre autorità. Il modello dell’EDPB non sopprime gli strumenti telematici nazionali, destinati anzi a veicolarlo, ma ne uniforma il contenuto sottostante, così che la medesima violazione possa descriversi con il medesimo lessico in ogni Stato membro. Per le organizzazioni dotate di strutture di compliance articolate, e per i responsabili del trattamento attivi su più giurisdizioni, il vocabolario comune rappresenta una semplificazione operativa di rilievo.
L’intersezione con i regimi di notifica settoriali: profili critici di coordinamento con NIS2 e DORA
La sezione 6.1 chiede se l’incidente sia stato segnalato ad altre autorità di controllo o organismi competenti ai sensi di ulteriori discipline, menzionando il centro nazionale per la sicurezza informatica, e invita a fornire l’eventuale identificativo del caso attribuito da tali autorità (EDPB, 2026). La previsione riconosce, sul piano documentale, la frequente sovrapposizione tra la violazione dei dati personali rilevante ai sensi del regolamento generale, l’incidente significativo rilevante ai sensi della direttiva NIS2 e l’incidente connesso alle tecnologie dell’informazione rilevante ai sensi del regolamento sulla resilienza operativa digitale del settore finanziario (Direttiva (UE) 2022/2555; Regolamento (UE) 2022/2554). Un medesimo evento, si pensi a un attacco ransomware ai danni di un’entità finanziaria, può attivare simultaneamente i tre regimi, ciascuno con autorità, presupposti e termini propri, dal Garante all’Agenzia per la cybersicurezza nazionale fino alle autorità di vigilanza del settore finanziario.
È qui che emergono i limiti del modello sul piano del coordinamento. Lo strumento si arresta a una rilevazione meramente dichiarativa della pluralità delle notifiche, senza incidere sui disallineamenti sostanziali che gravano sul titolare. I criteri di attivazione divergono, poiché la notifica ai sensi dell’art. 33 si fonda sulla probabilità di un rischio per i diritti e le libertà delle persone fisiche, mentre la direttiva NIS2 àncora l’obbligo alla significatività dell’incidente e il regolamento DORA alla gravità dell’incidente connesso alle TIC, con la conseguenza che la qualificazione del medesimo fatto può differire da regime a regime. Neppure le tempistiche collimano, posto che alla notifica entro settantadue ore prevista dal regolamento generale si affiancano la segnalazione di preallarme della NIS2 e la sequenza scandita di notifica iniziale, intermedia e finale propria della DORA. Il campo 6.1, riducendo questa complessità a una casella e a un identificativo in testo libero, rischia di essere trattato come un mero adempimento formale anziché come occasione di correlazione effettiva tra procedimenti.
Sarebbe pertanto auspicabile che la versione definitiva allineasse la semantica dei campi alle tassonomie degli incidenti già adottate in ambito NIS2 e DORA, così da consentire una corrispondenza leggibile anche in forma automatizzata tra le diverse notifiche e da trasformare la dichiarazione di pluralità in un reale strumento di coordinamento tra le autorità competenti.
Profili critici e questioni aperte in vista della chiusura della consultazione
L’impianto complessivo, pur apprezzabile, presenta profili da approfondire in consultazione. La tassonomia dei campi predefiniti, per quanto accurata, mantiene margini di rigidità, e la frequente opzione residuale «altro» con descrizione libera, se da un lato preserva la flessibilità, dall’altro rischia di reintrodurre quella discrezionalità descrittiva che la standardizzazione intendeva ridurre. Resta da chiarire il coordinamento tra il modello e gli strumenti telematici nazionali sul piano dei tempi di recepimento, avendo l’EDPB rinviato il calendario di implementazione all’esito della consultazione (EDPB, 2026).
Un ulteriore nodo riguarda la numerosità dei record interessati, ove il modello avverte che un dato aggregato risulta inadeguato alla valutazione del rischio, ma ne affida la disaggregazione alla descrizione discorsiva del notificante.
Se ne deduce che trovare un punto di equilibrio tra una fisiologica rigidità legata allo strumento e la complessità delle realtà rimane una vulnerabilità forse ancora poco gestibile.
La consultazione, aperta sino al 5 agosto 2026, costituisce la sede appropriata per sottoporre tali osservazioni.
Considerazioni conclusive
Il modello comune rappresenta un tassello del più ampio percorso di razionalizzazione degli adempimenti in materia di protezione dei dati. Il suo valore non risiede nell’innovazione sostanziale, assente per definizione, bensì nella funzione di infrastruttura procedurale condivisa, capace di tradurre in linguaggio uniforme l’obbligo di notifica e di orientare il titolare verso le categorie valutative impiegate dalle autorità. Per chi assiste organizzazioni esposte a obblighi di segnalazione plurimi e transfrontalieri, la consultazione offre l’occasione concreta di incidere sulla configurazione di uno strumento destinato a divenire il riferimento operativo quotidiano nella gestione degli incidenti.
