1. Quando la violazione dei dati personali rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del trattamento, dopo aver provveduto alla notificazione di cui all’articolo 31, comunica la violazione all’interessato senza ingiustificato ritardo.
2. La comunicazione all’interessato di cui al paragrafo 1 descrive la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui all’articolo 31, paragrafo 3, lettere b) e c).
3. Non è richiesta la comunicazione di una violazione dei dati personali all’interessato se il responsabile del trattamento dimostra in modo convincente all’autorità di controllo che ha utilizzato le opportune misure tecnologiche di protezione e che tali misure erano state applicate ai dati violati. Tali misure tecnologiche di protezione devono rendere i dati incomprensibili a chiunque non sia autorizzato ad accedervi.
4. Fatto salvo l’obbligo per il responsabile del trattamento di comunicare all’interessato la violazione dei dati personali, se il responsabile del trattamento non ha provveduto a comunicare all’interessato la violazione dei dati personali, l’autorità di controllo, considerate le presumibili ripercussioni negative della violazione, può obbligare il responsabile del trattamento a farlo.
5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le circostanze in cui una violazione di dati personali rischia di pregiudicare la protezione dei dati personali di cui al paragrafo 1.
6. La Commissione può stabilire il formato della comunicazione all’interessato di cui al paragrafo 1, e le procedure applicabili a tale comunicazione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.