La violazione dei dati personali è l’evento, accidentale o doloso, che ha come conseguenza la distruzione, la perdita, la modifica, la divulgazione o l’accesso indebito rispetto ai dati personali (siano essi trattati con strumenti elettronici o tradizionali). Queste conseguenze, peraltro, costituiscono la base per l’autovalutazione dei rischi che ogni titolare o responsabile dovrebbe effettuare.

Ogni titolare del trattamento di dati personali dovrà organizzarsi perché in occasione di una violazione che abbia qualche probabilità di comportare un rischio elevato per i diritti e le libertà dell’interessato esiste un doppio obbligo per tutti i titolari.

Il primo obbligo consiste nella notifica della violazione al Garante per la Protezione dei Dati Personali. La notifica deve essere effettuata dal titolare entro 72 ore dalla conoscenza della violazione e deve contenere i seguenti elementi

La natura della violazione

Le categorie di dati personali interessati

Le categorie degli interessati ed il loro numero approssimativo

Gli estremi del DPO (se è obbligatorio nominarlo) o di un altro punto di contatto (se non è obbligatoria la nomina del DPO)

Le probabili conseguenze della violazione

Le misure adottate o in corso di adozione per contenere gli effetti negativi della violazione

La notifica al Garante potrà avvenire tramite procedura telematica.

Il secondo obbligo consiste nella comunicazione della violazione all’interessato. Tale obbligo sussiste solo se viene rilevato un rischio elevato per i diritti e le libertà dell’interessato e deve essere effettuata senza ingiustificato ritardo.

Linee-guida sulle violazioni di dati personali del Gruppo dei Garanti UE