Qualora si verifichi una violazione dei dati personali (data breach) che comporti un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare una:

• notifica di violazione dei dati personali all'autorità di controllo (articolo 33 del Regolamento);
• comunicazione di violazione dei dati personali all'interessato (articolo 34 del Regolamento).

Con il termine data breach si intende una violazione della sicurezza nella quale dati sensibili protetti o riservati sono, copiati, trasmessi, consultati, rubati o utilizzati da un soggetto non autorizzato.

Un data breach può essere causato volontariamente o involontariamente ad esempio in seguito a smarrimento di chiavetta USB, PC o smartphone; furto di documenti cartacei o elettronici; violazioni di policy o regole aziendali (infedeltà dei dipendenti, creazione di copie di archivi di clienti, etc.); accesso non autorizzato ai sistemi informatici e fuga di dati.

In merito alla violazione dei dati personali si segnala che il Gruppo di Lavoro ex art. 29 ha reso disponibile, in data 3 ottobre 2017 e da ultimo aggiornato al 6 febbraio 2018, il Documento "WP 250 - Guidelines on Personal data breach notification under Regulation 2016/679".