Se da un lato il Regolamento in materia di trattamento dei dati personali ha cancellato l'obbligo di notifica preventiva al Garante, dall'altro ha imposto l'ulteriore obbligo di comunicare le violazioni.
Per violazione di dati personali si intende la violazione della sicurezza che comporta accidentalmente o in modo illecito una distruzione, perdita, modifica o divulgazione non autorizzata di dati personali.

In tutte queste ipotesi, o quando il trattamento può essere bloccato in seguito a un incidente causato da calamità naturali, si parla di violazione dei dati personali, quindi di violazione della sicurezza.
L'art. 33 del GDPR, a tal proposito, prevede che il titolare del trattamento debba notificare la violazione all'autorità di controllo competente, e quindi al Garante Privacy nazionale stabilendo il tempo limite di 72 ore che decorrono dal momento in cui il titolare del trattamento viene a conoscenza della violazione prodotta sui dati personali.