Una violazione può avere potenzialmente numerosi effetti negativi significativi sulle persone fisiche, che possono causare danni fisici, materiali o immateriali, ad esempio la perdita del controllo da parte degli interessati sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale, nonché qualsiasi altro danno economico o sociale significativo alle persone fisiche interessate.
Di conseguenza, il regolamento impone al titolare del trattamento di notificare le violazioni all’autorità di controllo competente, fatta salva l’improbabilità che la violazione presenti il rischio che si verifichino detti effetti negativi. Laddove sia altamente probabile che tali effetti negativi si verifichino, il regolamento impone al titolare del trattamento di comunicare la violazione alle persone fisiche interessate non appena ciò sia ragionevolmente fattibile.
L’importanza di essere in grado di identificare una violazione, di valutare il rischio per le persone fisiche e, di conseguenza, di effettuare la notifica se necessario, è sottolineata nel considerando 87 del regolamento:
“È opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato. È opportuno stabilire il fatto che la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l’interessato. Siffatta notifica può dar luogo a un intervento dell’autorità di controllo nell’ambito dei suoi compiti e poteri previsti dal presente regolamento”.
Ulteriori linee guida sulla valutazione del rischio di effetti negativi per le persone fisiche sono considerate nella sezione IV.
Se il titolare del trattamento omette di notificare una violazione dei dati all’autorità di controllo o agli interessati oppure a entrambi, nonostante siano soddisfatte le prescrizioni di cui agli articoli 33 e/o 34, l’autorità di controllo dovrà effettuare una scelta e prendere in considerazione tutte le misure correttive a sua disposizione, tra cui l’imposizione di una sanzione amministrativa pecuniaria appropriata19, in associazione a una misura correttiva ai sensi dell’articolo 58, paragrafo 2, oppure come sanzione indipendente. Qualora l’autorità opti per una sanzione amministrativa pecuniaria il suo valore può ammontare fino a un massimo di 10 000 000 EUR o fino al 2% del fatturato totale annuo globale di un’impresa ai sensi dell’articolo 83, paragrafo 4, lettera a), del regolamento. È altresì importante ricordare che, in alcuni casi, la mancata notifica di una violazione potrebbe rivelare l’assenza di misure di sicurezza o la loro inadeguatezza. Gli orientamenti del Gruppo di lavoro in materia di sanzioni amministrative affermano che “qualora nell’ambito di un singolo caso siano state commesse congiuntamente più violazioni diverse, l’autorità di controllo può applicare le sanzioni amministrative pecuniarie a un livello che risulti effettivo, proporzionato e dissuasivo entro i limiti della violazione più grave”. In tal caso, l’autorità di controllo avrà altresì la possibilità di comminare sanzioni per la mancata notifica o comunicazione della violazione (articoli 33 e 34), da un lato, e l’assenza di misure di sicurezza (adeguate) (articolo 32), dall’altro, in quanto si tratta di due infrazioni
separate.