¹ Il titolare del trattamento notifica quanto prima all’IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata.

² Nella notifica il titolare del trattamento menziona almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste.

³ Il responsabile del trattamento informa quanto prima il titolare del trattamento su ogni violazione della sicurezza dei dati.

⁴ Il titolare del trattamento informa la persona interessata sulla violazione della sicurezza dei dati, se ciò è necessario per proteggere la persona interessata o se lo esige l’IFPDT.

⁵ Il titolare del trattamento può limitare o differire l’informazione della persona interessata o rinunciarvi se:

1. sussiste uno dei motivi di cui all’articolo 26 capoversi 1 lettera b o 2 lettera b oppure un obbligo legale di serbare il segreto;
2. l’informazione è impossibile o richiede un onere sproporzionato; o
3. l’informazione è garantita in modo equivalente con una comunicazione pubblica.

⁶ Una notifica effettuata in forza del presente articolo può essere usata nel quadro di un procedimento penale contro la persona soggetta all’obbligo di notifica soltanto con il suo consenso.