La data breach (in italiano “violazione di dati personali”) è una violazione della sicurezza informatica che causa distruzione, perdita, modifica, divulgazione non autorizzata o accesso a dati personali trasmessi, conservati o, comunque, trattati. Tale violazione può essere determinata da una condotta umana, illecita e intenzionale o riconducibile a errore e disattenzione; ma può anche essere indipendente dalla volontà umana.
Le cause che determinano una data breach sono molto eterogenee: dalla perdita involontaria di dati personali, ai più sofisticati attacchi cibernetici, fino alle calamità naturali. In ogni caso, si tratta di una violazione da cui possono derivare danni fisici, materiali o immateriali, alle persone cui sono riferibili i dati violati.
Sotto il profilo giuridico, vengono in rilievo diverse fattispecie, tra cui le condotte discriminatorie, il furto d’identità, la lesione della riservatezza, la sottrazione di segreti commerciali ecc. Particolarmente a rischio sono poi i diritti fondamentali della persona coinvolta nella violazione dei suoi dati in molti casi sensibili (si pensi al caso della violazione di un sistema informativo di ambito sanitario).
La normativa di riferimento che regola la gestione dei data breach è il GDPR (General Data Protection Regulation) o Regolamento generale sulla protezione dei dati n. 2016/679, che disciplina nel dettaglio la notifica e la gestione delle violazioni (cfr. gli articoli 33 e 34). In particolare, l’art. 33 stabilisce che il titolare del trattamento notifichi all'autorità di controllo (in Italia il Garante per la protezione dei dati personali) la violazione dei dati «senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo che la violazione non sia suscettibile di creare un rischio per i diritti e le libertà delle persone fisiche».