Quando è probabile, sulla base della valutazione d’impatto effettuata, che la violazione rilevata dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento notifica, ai sensi dell’art. 33 del GDPR, la violazione stessa al Garante senza ingiustificato ritardo entro 72 ore dal momento in cui ne è venuto a conoscenza.
Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Nel caso che a rilevare o a ricevere la segnalazione della violazione sia il responsabile del trattamento, quest’ultimo informa tempestivamente il titolare che provvede alla notifica
Con la notifica il Titolare comunica al Garante il nome ed i dati di contatto del Responsabile della Protezione dei Dati, o di altro contatto presso cui ottenere più informazioni e descrive la natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali coinvolti, le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e per attenuarne i possibili effetti negativi. Le informazioni, qualora non fossero ancora disponibili al momento della notifica, possono essere fornite successivamente, corredando le ulteriori comunicazioni con i motivi che le hanno determinate.
La notifica va redatta con un linguaggio semplice e chiaro e inoltrata anche agli interessati tranne nei casi in cui il titolare abbia cifrato i dati personali, rendendoli incomprensibili a chiunque non sia autorizzato, o nei casi in cui la violazione sia stata affrontata con misure che hanno impedito gli effetti dannosi per i diritti e le libertà degli interessati.
Nel caso, invece, che la notifica sia necessaria anche agli interessati, ma la comunicazione ad ogni persona singola richiederebbe sforzi sproporzionati, è possibile procedere ad una comunicazione pubblica o ad una misura simile.