Versione HTML di base
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei
servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o
tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di
garantire la sicurezza del trattamento.
2.
Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che
derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso,
in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3.
L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato
di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1
del presente articolo.
4.
Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e
abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo
richieda il diritto dell'Unione o degli Stati membri.
Articolo 33
Notifica di una violazione dei dati personali all'autorità di controllo
1.
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo
competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è
venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le
libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei
motivi del ritardo.
2.
Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a
conoscenza della violazione.
3.
La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssi
mativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in
questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso
cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio
alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
4.
Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono
essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5.
Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative,
le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo
di verificare il rispetto del presente articolo.
Articolo 34
Comunicazione di una violazione dei dati personali all'interessato
1.
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle
persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.
4.5.2016
L 119/52
Gazzetta ufficiale dell'Unione europea
IT