Al fine di individuare e implementare procedure interne funzionali alla corretta gestione di tali fenomeni, è necessario comprendere quali sono le azioni da attuare in caso dovessero verificarsi. La violazione dei dati, infatti, se non affrontata in modo adeguato e tempestivo può provocare “danni fisici, materiali o immateriali alle persone fisiche, ad esempio […] discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata” (Considerando 65 GDPR).

Per tale motivo, il Titolare è tenuto a notificare all’Autorità di controllo competente (in Italia, il Garante per la protezione dei dati personali) la violazione di dati personali, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo che tale violazione non presenti un rischio per i diritti e le libertà delle persone fisiche.

Un simile obbligo di notifica è imposto al Titolare anche nei confronti degli Interessati se la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

La valutazione del rischio deve prendere in considerazione la probabilità della gravità del rischio e alcuni parametri oggettivi, idonei a rappresentare gli effetti pregiudizievoli per gli Interessati causati dal data breach. Tali parametri sono:

• la tipologia della violazione
• la natura, il volume e la sensibilità dei dati violati
• la facilità di identificazione dell’Interessato
• la gravità delle conseguenze per l’individuo
• le categorie particolari di soggetti coinvolti nella violazione
• le caratteristiche del Titolare dei dati

Indipendentemente dalla notifica all’Autorità di controllo, il GDPR richiede inoltre ai Titolari di registrare e documentare qualunque violazione di dati personali. I dettagli relativi alla violazione devono essere riportati in un apposito registro, da fornire in caso di accertamenti da parte dell’Autorità.