Il Data Breach consiste nell’obbligo generale di comunicare al Garante Privacy gli incidenti e/o le più gravi violazioni.
L’articolo 33 del GDPR, sancisce che:
“in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”
Il responsabile del trattamento deve “informare il titolare del trattamento senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione” (art. 33, comma 2, GDPR).