Il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato in data 28 Marzo 2023 le “Guidelines 9/2022 on personal data breach notification under GDPR“.
Si tratta della versione aggiornata delle precedenti Linee guida WP250, approvate in data 25 Maggio 2018.
Le principali novità
L’aggiornamento delle Linee guida riguarda, in particolare, i Titolari del trattamento che non abbiano stabilito una sede od una rappresentanza in un Paese UE e l’ampliamento anche a questi ultimi degli oneri gravanti sui Titolari comunitari.
In caso di data breach, entro 72 ore dalla scoperta del fatto, anche il Titolare del trattamento che abbia sede extra UE dovrà inviare la notifica della violazione dei dati personali all’Autorità garante di ogni Paese membro UE i cui cittadini siano stati coinvolti nel data breach.
E’ evidente la linea “dura” adottata in materia dall’EDPB e, pure, la gravosità degli oneri gravanti sugli operatori extra UE, che in un lasso di tempo ridotto debbono verificare la nazionalità dei titolari dei dati oggetto di compromissione ed inviare le singole notifiche a ciascuna delle Autorità nazionali.
L’incremento della tutela dei cittadini UE
Le novità introdotte nelle Linee Guida europee mirano soprattutto a rafforzare la tutela dei diritti dei cittadini comunitari nei confronti degli operatori, commerciali e non, che operano al di fuori dello spazio economico europeo.
I nuovi oneri imposti a tali operatori consentiranno infatti ai cittadini comunitari di poter conoscere tempestivamente i data breach occorsi in Paesi extra UE e, nel caso in cui siano rimasti coinvolti e vi sia stata compromissione dei propri dati personali, di attivarsi per tutelare i propri diritti.
Le Linee guida europee sui data breach
L’aggiornamento delle Linee Guida non ha sostanzialmente mutato l’assetto adottato con la pubblicazione delle Linee Guida europee in tema di violazione dei dati personali (Linee Guida WP250).
Restano pertanto invariati i principi, gli adempimenti, i compiti e gli oneri prescritti dalle Linee Guida del 2021 nei confronti dei soggetti interessati o coinvolti da una violazione di dati personali (data breach).
Ricordiamo che un data breach possa riguardare, singolarmente o contemporaneamente, uno o più aspetti previsti e tutelati dalla normativa riguardante i dati personali:
- la riservatezza
- l’integrità
- la disponibilità.
Gli oneri in caso di violazione dei dati personali
In tutti i casi in cui il Titolare del trattamento dei dati abbia un ragionevole grado di certezza circa una possibile violazione di uno di tali aspetti, deve notificare l’evento alla competente Autorità di Controllo (per quanto riguarda l’Italia, il Garante per la privacy) senza ingiustificato ritardo; e, possibilmente, entro 72 ore. Residuando poi l’onere di integrare la notifica allorchè emergano ulteriori fatti e circostanze caratterizzanti il data breach.
In Italia, dall’1 Luglio 2021 le notifiche devono essere inviate al Garante tramite la procedura telematica disponibile nel portale dei servizi online dell’Autorità all’indirizzo https://servizi.gpdp.it/databreach/s/.
Salvo poi che ciò comporti uno sforzo sproporzionato, il Titolare del trattamento è tenuto inoltre a comunicare la violazione subita a ciascun soggetto interessato coinvolto dal data breach.
Il Garante della privacy ha pubblicato le Linee Guida 01/2021, nelle quali sono ben trattati i casi in cui il Titolare del trattamento debba inviare o meno la notifica della violazione. Potete visionarle QUI→
Residua poi l’onere per il Titolare del trattamento di notificare l’evento alle singole Autorità nazionali, in caso di violazione avente ad oggetto il trattamento transfrontaliero dei dati personali.
Infine, si ricorda che il Titolare del trattamento sia tenuto a conservare la documentazione di tutte le violazioni subite.
In tema, l’EDPB ha raccomandato di documentare anche la motivazione delle decisioni prese in occasione di ogni singola violazione; ed, in particolare, la motivazione che ha indotto il Titolare a provvedere o meno alla notifica ed alla comunicazione ai soggetti interessati.
Potete leggere la versione completa delle linee guida 9/2022 QUI →
Per approfondimenti od assistenza sugli argomenti trattati in questo articolo potete contattare l’avv. Andrea Spreafico.