Con il Provvedimento del Garante per la Protezione dei Dati Personali in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) del 4 aprile 2013, pubblicato sulla Gazzetta Ufficiale n. 97 del 4 aprile 2013, il Garante ha dato attuazione alla direttiva europea 2009/136/CE – che ha modificato, in parte, la direttiva 2002/58/CE – sulla privacy nel settore delle comunicazioni elettroniche. Il Garante ha così introdotto l’obbligo di avvisare l’autorità e gli utenti in caso di gravi violazioni a seguito di attacchi informatici o di eventi avversi (ad esempio incendi) che possano comportare la perdita, la distruzione o la diffusione indebita di dati. In capo ai titolari dei trattamenti vige l’obbligo di condurre una preliminare ricognizione dei dati trattati e dei rischi ai quali sono soggetti cui dovrà seguire l’adozione di idonee misure di sicurezza. La comunicazione della violazione al Garante deve avvenire in tempi molto rapidi e nei casi più gravi di violazioni è previsto l’obbligo di informare ciascun contraente coinvolto. La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendano inintelligibili i dati. Per consentire l’attività di accertamento del Garante, occorre tenere un elenco aggiornato delle violazioni subite, con il dettaglio delle circostanze e delle conseguenze. L’inventario deve adottare misure che ne garantiscano integrità ed immodificabilità.