Sebbene il titolare del trattamento conservi la responsabilità generale per la protezione dei dati personali, il responsabile del trattamento svolge un ruolo importante nel consentire al titolare del trattamento di adempiere ai propri obblighi, segnatamente in materia di notifica delle violazioni. L’articolo 28, paragrafo 3, dispone che il trattamento da parte di un responsabile del trattamento è disciplinato da un contratto o da un altro atto giuridico, e precisa, alla lettera f), che il contratto o altro atto giuridico deve prevedere che il responsabile del trattamento “assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento”.
L’articolo 33, paragrafo 2, chiarisce che se il titolare del trattamento ricorre a un responsabile del trattamento e quest’ultimo viene a conoscenza di una violazione dei dati personali che sta trattando per conto del titolare del trattamento, il responsabile del trattamento deve notificarla al titolare del trattamento “senza ingiustificato ritardo”. Va notato che il responsabile del trattamento non deve valutare la probabilità di rischio derivante dalla violazione prima di notificarla al titolare del trattamento; spetta infatti a quest’ultimo effettuare la valutazione nel momento in cui viene a conoscenza della violazione. Il responsabile del trattamento deve soltanto stabilire se si è verificata una violazione e quindi notificarla al titolare del trattamento. Poiché quest’ultimo si serve del responsabile del trattamento per conseguire le proprie finalità, in linea di principio dovrebbe considerarsi “a conoscenza” della violazione non appena il responsabile del trattamento gliela notifica. L’obbligo del responsabile del trattamento di effettuare la notifica al titolare del trattamento consente a quest’ultimo di far fronte alla violazione e di stabilire se deve notificarla all’autorità di controllo ai sensi dell’articolo 33, paragrafo 1, e alle persone fisiche interessate ai sensi dell’articolo 34, paragrafo 1. Il titolare del trattamento potrebbe anche indagare sulla violazione, in quanto il responsabile del trattamento potrebbe non conoscere tutti i fatti pertinenti connessi alla violazione, ad esempio potrebbe ignorare se il titolare del trattamento detiene comunque una copia o un backup dei
dati personali distrutti o persi. Tale circostanza può influire sull’eventualità che il titolare del trattamento debba effettuare la notifica.
Il regolamento non fissa un termine esplicito entro il quale il responsabile del trattamento deve avvertire il titolare del trattamento, salvo specificare che deve farlo “senza ingiustificato ritardo”. Di conseguenza, il Gruppo di lavoro raccomanda al responsabile del trattamento di effettuare la notifica al titolare del trattamento tempestivamente, fornendo successivamente le eventuali ulteriori informazioni sulla violazione di cui venga a conoscenza. Ciò è importante al fine di aiutare il titolare del trattamento a soddisfare l’obbligo di notifica all’autorità di controllo entro 72 ore.
Come precedentemente spiegato, il contratto tra il titolare del trattamento e il responsabile del trattamento dovrebbe specificare le modalità per il soddisfacimento delle prescrizioni di cui all’articolo 33, paragrafo 2, e delle altre disposizioni del regolamento, tra cui i requisiti per la notifica tempestiva da parte del responsabile del trattamento, che serve per aiutare il titolare del trattamento a rispettare l’obbligo di segnalare la violazione all’autorità di controllo entro 72 ore.
Qualora fornisca servizi a più titolari del trattamento tutti interessati dal medesimo incidente, il responsabile del trattamento dovrà segnalare i dettagli dell’incidente a ciascun titolare del trattamento.
Il responsabile del trattamento può effettuare la notifica per conto del titolare del trattamento qualora quest’ultimo gli abbia concesso l’opportuna autorizzazione e ciò faccia parte degli accordi contrattuali tra il titolare del trattamento e il responsabile del trattamento. La notifica deve essere effettuata conformemente agli articoli 33 e 34. Tuttavia, è importante osservare che la responsabilità legale della notifica rimane in capo al titolare del trattamento.