Separatamente e in aggiunta alla notifica e alla comunicazione delle violazioni ai sensi del regolamento, il titolare del trattamento deve altresì essere a conoscenza di qualsiasi obbligo di notifica di incidenti di sicurezza previsto da altri atti legislativi associati cui potrebbe essere soggetto, e dell’eventuale obbligo parallelo di notificare all’autorità di controllo una violazione dei dati personali. Tali obblighi possono variare a seconda degli Stati membri. Esempi di obblighi di notifica sanciti in altri strumenti giuridici e di modalità con cui si correlano con il regolamento generale sulla protezione
dei dati sono i seguenti:
• Regolamento (UE) n. 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (regolamento eIDAS).
L’articolo 19, paragrafo 2, del regolamento eIDAS impone ai prestatori di servizi fiduciari di notificare all’organismo di vigilanza una violazione della sicurezza o la perdita di integrità che hanno un impatto significativo sul servizio fiduciario fornito o sui dati personali conservati in tale contesto. Ove applicabile, ossia quando tale violazione o perdita costituiscono altresì una violazione dei dati personali ai sensi del regolamento generale sulla protezione dei dati, il prestatore di servizi fiduciari deve effettuare la notifica anche all’autorità di controllo.
• Direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (direttiva NIS).
Gli articoli 14 e 16 della direttiva NIS impongono agli operatori di servizi essenziali e ai fornitori di servizi digitali di notificare gli incidenti di sicurezza alle loro autorità competenti. Come riconosciuto dal considerando 63 della direttiva NIS, gli incidenti di sicurezza possono spesso comportare una compromissione di dati personali. Sebbene la direttiva NIS imponga alle autorità competenti e alle autorità di controllo di cooperare e scambiare informazioni in tale contesto, rimane comunque il fatto che qualora tali incidenti siano o diventino violazioni di dati personali ai sensi del regolamento generale sulla protezione dei dati, tali operatori e/o fornitori sono tenuti a effettuare la notifica all’autorità di controllo in maniera distinta dagli obblighi di notifica degli incidenti a norma della direttiva NIS.
Esempio
Un fornitore di servizi cloud che notifica una violazione ai sensi della direttiva NIS può comunque essere tenuto a notificarla al titolare del trattamento se tale violazione include una violazione dei dati personali. Analogamente, un prestatore di servizi fiduciari che effettua una notifica a norma del regolamento eIDAS può anche essere tenuto a effettuare una notifica all’autorità competente per la protezione dei dati in caso di violazione.
• Direttiva 2009/136/CE (direttiva sui diritti dei cittadini) e regolamento (UE) n. 611/2013 (regolamento sulla notifica delle violazioni).
I fornitori di servizi di comunicazione elettronica accessibili al pubblico nel contesto della direttiva 2002/58/CE devono notificare le violazioni alle autorità nazionali competenti.
Il titolare del trattamento dovrebbe altresì essere a conoscenza di eventuali ulteriori obblighi di notifica in ambito giuridico, medico o professionale previsti da altri regimi applicabili.
