Articolo 33

Notifica di una violazione dei dati personali all’autorit├á di controllo

  • In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorit├á di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne ├Ę venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libert├á delle persone fisiche. Qualora la notifica all’autorit├á di controllo non sia effettuata entro 72 ore, ├Ę corredata dei motivi del ritardo.
  • Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
  • La notifica di cui al paragrafo 1 deve almeno:
    • a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonch├ę le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
    • b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere pi├╣ informazioni;
    • c) descrivere le probabili conseguenze della violazione dei dati personali;
    • d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
  • Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
  • Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorit├á di controllo di verificare il rispetto del presente articolo.