1. In caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a conoscenza. Qualora non sia effettuata entro 24 ore, la notificazione all’autorità di controllo è corredata di una giustificazione motivata.
2. In conformità dell’articolo 26, paragrafo 2, lettera f), l’incaricato del trattamento allerta e informa il responsabile del trattamento immediatamente dopo aver accertato la violazione.
3. La notificazione di cui al paragrafo 1 deve come minimo:
4. Il responsabile del trattamento documenta la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione deve consentire all’autorità di controllo di verificare il rispetto del presente articolo. In essa figurano unicamente le informazioni necessarie a tal fine.
5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti l’accertamento della violazione di dati personali di cui ai paragrafi 1 e 2 e le circostanze particolari in cui il responsabile del trattamento e l’incaricato del trattamento sono tenuti a notificare la violazione.
6. La Commissione può stabilire il formato standard di tale notificazione all’autorità di controllo, le procedure applicabili all’obbligo di notificazione e la forma e le modalità della documentazione di cui al paragrafo 4, compresi i termini per la cancellazione delle informazioni ivi contenute. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.