Data Breach: nuove linee guide EDPB

La scorsa settimana l’EDPB ha pubblicato una nuova versione delle linee guida Data Breach 09/2022  relative gli obblighi di notifica delle violazioni dei dati personali, che aggiorna la prima versione adottata in ottobre 2022.

Le modifiche riguardano principalmente l’ipotesi in cui il Titolare del trattamento dei dati, pur non avendo uno stabilimento all’interno dell’UE, sia comunque obbligato a nominare un Rappresentante, ex articolo 3 del GDPR, in quanto svolge un’attività che coinvolge intenzionalmente i dati personali degli Interessati che si trovano all’interno del territorio UE.

Secondo i paragrafi 70 e seguenti delle Linee Guida, nel caso di violazioni dei dati personali riguardanti questi Titolari, la notifica dovrà essere inviata all’autorità Garante di ogni stato membro UE i cui cittadini siano stati coinvolti nel Data Breach, superando quindi il precedente principio di one-stop-shop che prevedeva la segnalazione all’interno del solo stato di appartenenza del Rappresentante.

Inoltre, l’EDPB ha indicato che la funzione del rappresentante nella UE non è compatibile con la funzione del DPO e, di conseguenza, la responsabilità di notificare all’autorità di controllo nel caso di Data Breach è del DPO e non del rappresentante, d’accordo l’articolo 27.5 del GDPR. Tuttavia, questa circostanza non impedisce che il Rappresentante partecipi al processo di notifica.

Ulteriormente, è stato modificato l’Allegato VII delle Linee Guida, riguardante il diagramma di flusso operativo che guida gli operatori sui passaggi da seguire in caso di data breach e che riportiamo di seguito:

.

Nuove linee guida Data Breach – aprile 2023