Come definire le modalità e i tempi affinché il titolare possa attuare le indagini necessarie per stabilire se si sia verificata una violazione dei dati personali oppure no?
Come definire la “conoscenza di una violazione” e decidere di notificare all’autorità?

Regolamento e procedure; ovvero dotandosi di una procedura che abbia previsto almeno alcuni passaggi salienti: 

• definire il momento intercorso dall’incidente per cui il titolare può definirsi a “conoscenza” della violazione in corso, sulla base delle misure di monitoraggio stabilite;
  
  
• definire, attraverso l’adozione di misure tecniche, il più rapidamente possibile, la causa dell’incidente, al fine di stabilire che le vulnerabilità poste ad insorgenza determinato l’incidente siano ancora presenti; 
• definire l’avvio, il più rapidamente possibile, delle indagini su un incidente per stabilire se i dati personali sono stati effettivamente violati;
  
  
• definire l’obbligo, in caso di smarrimento o furto di documenti in formato cartaceo o di strumenti elettronici, contenenti dati personali, di segnalare immediatamente l'incidente al Responsabile della protezione dei dati e ai competenti uffici privacy dell’organizzazione;
  
  
• in caso di attacco informatico, definire, nel calcolo del rischio durante l’indagine, il metodo di infiltrazione e individuare la tipologia di codice malevolo per comprendere se le conseguenze dell’attacco sono solo di cifratura o anche di esfiltrazione;
  
  
• definire una valutazione del rischio integrativa che, tenuto conto delle nuove circostanze della violazione, affianchi la valutazione d’impatto (DPIA) sul trattamento già realizzata dal titolare, sebbene quest’ultima possa risultare più generica rispetto alla valutazione necessaria per valutare la probabilità di rischio per i diritti e le libertà degli interessati;
  
  
• definire, in relazione ad eventuali accordi contrattuali di contitolarità, quale contitolare sarà responsabile della notifica della violazione;
  
  
• definire un termine entro nel quale consentire al responsabile di stabilire se si è verificata una violazione e di notificarla al titolare. In questi casi, il titolare può considerarsi a “conoscenza” della violazione non appena il responsabile gliela comunica.