interessata. Pertanto, non appena viene a conoscenza di un'avvenuta violazione dei dati personali, il titolare del
trattamento dovrebbe notificare la violazione dei dati personali all'autorità di controllo competente, senza ingiusti
ficato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare
del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è
improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni
potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
(86) Il titolare del trattamento dovrebbe comunicare all'interessato la violazione dei dati personali senza indebito
ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e
le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione
dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona
fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero
essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con l'autorità di controllo e nel
rispetto degli orientamenti impartiti da questa o da altre autorità competenti quali le autorità incaricate dell'appli
cazione della legge. Ad esempio, la necessità di attenuare un rischio immediato di danno richiederebbe che la
comunicazione agli interessati fosse tempestiva, ma la necessità di attuare opportune misure per contrastare
violazioni di dati personali ripetute o analoghe potrebbe giustificare tempi più lunghi per la comunicazione.
(87) È opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di
protezione per stabilire immediatamente se c'è stata violazione dei dati personali e informare tempestivamente
l'autorità di controllo e l'interessato. È opportuno stabilire il fatto che la notifica sia stata trasmessa senza ingiusti
ficato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle
sue conseguenze e effetti negativi per l'interessato. Siffatta notifica può dar luogo a un intervento dell'autorità di
controllo nell'ambito dei suoi compiti e poteri previsti dal presente regolamento.
(88) Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati
personali, è opportuno tenere debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati
personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il
rischio di furto d'identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e procedure tengano
conto dei legittimi interessi delle autorità incaricate dell'applicazione della legge, qualora una divulgazione
prematura possa ostacolare inutilmente l'indagine sulle circostanze di una violazione di dati personali.
(89) La direttiva 95/46/CE ha introdotto un obbligo generale di notificare alle autorità di controllo il trattamento dei
dati personali. Mentre tale obbligo comporta oneri amministrativi e finanziari, non ha sempre contribuito a
migliorare la protezione dei dati personali. È pertanto opportuno abolire tali obblighi generali e indiscriminati di
notifica e sostituirli con meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti
che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura,
ambito di applicazione, contesto e finalità. Tali tipi di trattamenti includono, in particolare, quelli che
comportano l'utilizzo di nuove tecnologie o quelli che sono di nuovo tipo e in relazione ai quali il titolare del
trattamento non ha ancora effettuato una valutazione d'impatto sulla protezione dei dati, o la valutazione
d'impatto sulla protezione dei dati si riveli necessaria alla luce del tempo trascorso dal trattamento iniziale.
(90) In tali casi, è opportuno che il titolare del trattamento effettui una valutazione d'impatto sulla protezione dei dati
prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura,
dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di
impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare
tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.
(91) Ciò dovrebbe applicarsi in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole
quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto
numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità,
laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su
larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati,
specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l'esercizio dei propri diritti. È
opportuno altresì effettuare una valutazione d'impatto sulla protezione dei dati nei casi in cui i dati personali
4.5.2016
L 119/17
Gazzetta ufficiale dell'Unione europea
IT