Una violazione dei dati personali può compromettere la riservatezza (in caso di divulgazione dei dati o accesso agli stessi non autorizzati o accidentali), l’integrità (in caso di modifica non autorizzata o accidentale dei dati) o la disponibilità (in caso di perdita o distruzione non autorizzate o accidentali di dati). Può consistere, ad esempio:

• nell’accesso o nell’acquisizione dei dati da parte di terzi non autorizzati;
• nella perdita di riservatezza a seguito dell’invio di una mail contenente dati personali a un destinatario errato;
• nel furto o nella perdita di dispositivi informatici o di un supporto di memorizzazione contenenti dati personali;
•  nella deliberata alterazione di dati personali;
• nell’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; 
• nella perdita di disponibilità di dati personali archiviati in un database, ad esempio attraverso un ransomware;
•  nella perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
•  nella perdita di disponibilità dei dati personali se, ad esempio, tali dati sono stati accidentalmente cancellati in maniera definitiva o resi temporaneamente indisponibili a causa dell’interruzione di un servizio;
•  nella divulgazione non autorizzata dei dati personali.

La norma chiarisce che se è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche la violazione occorsa non è soggetta all’obbligo di notifica all’Autorità di controllo. Tale  valutazione del rischio, che deve tener conto della probabilità e della gravità del suo impatto sulle persone fisiche i cui dati sono stati coinvolti (cfr. considerando 75 e 76 del Regolamento), è un importante adempimento che, conformemente al principio di responsabilizzazione, spetta unicamente al titolare del trattamento e dalla quale deriva il corretto adempimento 1) dell’obbligo di notifica della violazione all’autorità di controllo e dell’eventuale 2) comunicazione della violazione agli interessati. Al fine di valutare il potenziale rischio per le persone fisiche, le “Linee guida” suggeriscono di considerare diversi fattori, tra cui:

• tipo di violazione; 
• natura, carattere sensibile e volume dei dati personali;
•  facilità di identificazione delle persone fisiche;
•  gravità delle conseguenze per le persone fisiche;
•  caratteristiche particolari dell’interessato;
•  caratteristiche particolari del titolare del trattamento;
•  numero di persone fisiche interessate.  

Violazioni non soggette all’obbligo di notifica all’Autorità di controllo sono, per esempio:

• la violazione di dati personali già disponibili pubblicamente, in quanto potrebbe risultare improbabile il verificarsi di un danno fisico per gli interessati conseguente alla divulgazione di dati personali già pubblici;
• la perdita o il furto di una chiavetta USB contente dati personali crittografati (con algoritmo di crittografia all’avanguardia e chiave di decifrazione non sia compromessa), di cui è disponibile un backup che consente un integrale e tempestivo ripristino dei dati.

Tuttavia, laddove il Titolare del trattamento non ravvisi la necessità di notifica al Garante deve comunque documentare tutte le violazioni dei dati personali che si verificano. All’uopo è consigliabile creare un registro interno delle violazioni occorse – notificate o meno – ove verranno annotate oltre ad informazioni quali cause, fatti, dati personali, effetti e conseguenze della violazione, il ragionamento alla base delle decisioni prese in risposta a una violazione (per esempio, il perché una determinata violazione non è stata notificata al Garante). 

Le Linee guida forniscono anche un elenco, se pur non esaustivo, dei tipi di violazioni che comportano un rischio elevato per le persone fisiche e, di conseguenza, in cui il titolare del trattamento deve comunicarla agli interessati.  Ove invece il Titolare ritenga che la violazione occorsa non comporti un rischio elevato per gli interessati, non è obbligatorio effettuare la comunicazione agli interessati