Art. 13. 
                     Notifica di una violazione 
                         dei dati personali 
 
    1. Ai sensi e nei limiti dell'art. 33 del regolamento, in caso di
violazione di dati personali contenuti nei SIC il gestore comunica la
violazione medesima all'autorita' di controllo compente e si  impegna
ad informare i partecipanti senza ingiustificato ritardo e, comunque,
entro i termini fissati dal regolamento, unitamente alla  descrizione
dettagliata della violazione ed informazioni circa  la  natura  della
violazione, il numero  approssimativo  di  interessati  in  questione
nonche'  le  categorie  di  dati  personali   trattati,   il   numero
approssimativo di registrazioni di dati personali  in  questione,  il
nome e i dati di contatto del responsabile della protezione dei dati,
le probabili conseguenze della violazione e le misure adottate  o  da
adottare per porre rimedio alla violazione, mitigare l'impatto  sugli
interessati e prevenire il ripetersi della  violazione.  I  contenuti
della notifica sono quelli indicati nel paragrafo 3 dell'art. 33  del
regolamento. 
    2. Quando la violazione dei dati  personali  e'  suscettibile  di
presentare un rischio elevato per  i  diritti  e  le  liberta'  delle
persone  fisiche  cui  i  dati  personali  contenuti   nei   SIC   si
riferiscono, il partecipante e/o il gestore sono tenuti, in base agli
elementi  di  cui  sono  rispettivamente  venuti  a   conoscenza,   a
comunicare  la  violazione  all'interessato.  Fermo  restando  quanto
stabilito  nel  paragrafo  3  dell'art.  34   del   regolamento,   in
particolare nel caso  che  detta  comunicazione,  nei  confronti  del
singolo interessato, richieda sforzi sproporzionati, il  partecipante
e/o il gestore procedono ad una  comunicazione  pubblica,  o  ad  una
analoga misura, tramite la quale gli interessati sono  informati  con
analoga efficacia.