I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o come spesso accade di diffusione indebita, ad esempio accessi abusivi. Sono situazioni che possono comportare pericoli da non sottovalutare per la privacy delle persone cui si riferiscono i dati.
Esistono, infatti, dei provvedimenti (n.513 del 2014; n.331del 2015; provvedimento del 2 luglio 2015 “misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche) che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali all’Autorità Garante stessa e, in alcuni casi, anche ai soggetti interessati.
Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.
La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati.