Consultazione pubblica per le Linee Guida EDPB 9/2022 sulla notifica delle violazioni dei dati personali
La consultazione pubblica delle linee guida EDPB 9/2022 sulla notifica delle violazioni dei dati personali riguarda un’unica modifica, relativa al paragrafo 73. Dalla versione originale WP250 rev.01 viene proposto un aggiornamento limitatamente all’esigenza di chiarire i requisiti per provvedere alla notifica nell’ambito di attività svolte da parte di titolari non stabiliti nel territorio dell’Unione le cui attività riguardano “l’offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato” oppure “il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione” (art. 3.2 GDPR).
La modifica proposta riguarda di conseguenza esclusivamente tali titolari e gli adempimenti che devono svolgere per tramite dei propri rappresentanti designati ai sensi dell’art. 27 GDPR.
Nell’ipotesi in cui un titolare non stabilito nell’Unione Europea rientri nell’ambito di applicazione territoriale del GDPR, le linee guida vigenti indicano l’obbligo di notifica nei confronti dell’autorità di controllo dello Stato membro in cui è stabilito il rappresentante. Di conseguenza, consentono fino ad ora l’applicazione del principio di one-stop-shop. Ma leggendo le linee guida WP244 per l'individuazione dell'autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento, “Se una società non dispone di uno stabilimento nell'UE, la semplice esistenza di un rappresentante designato in uno Stato membro non comporta l'intervento del meccanismo di "sportello unico". Ciò significa che un titolare del trattamento che non sia stabilito in alcun paese dell'UE dovrà interfacciarsi con le autorità di controllo di ciascuno Stato membro in cui opera, per il tramite del rappresentante designato.”
Da qui l’esigenza del chiarimento presentato, dunque. Il principio dello sportello unico è espressamente escluso dalla nuova formulazione proposta che invece impone l’obbligo di notifica a ciascuna autorità di controllo di riferimento rispetto agli interessati coinvolti dalla violazione.
Le ricadute a livello di gestione degli adempimenti sono evidenti, poiché rendono necessaria un’attività di analisi dell’incidente più profonda e completa la cui esperibilità non è detto che si possa svolgere entro 72 ore. Ma se così fosse, molto probabilmente si incontrerà una reviviscenza della notifica all’autorità presso cui è la sede del rappresentante, salvo l’integrazione man mano che dalle informazioni sul data breach si circoscrivono gli interessati coinvolti dalla violazione. O altrimenti si asseconderà un’interpretazione più radicale, con un obbligo notifica nei confronti di tutti gli interessati potenzialmente coinvolti dalla violazione? Con tutte le conseguenze del caso sugli obblighi di rendicontazione del processo decisionale.
Si spera che tali dubbi applicativi potranno trovare conforto nella versione licenziata dopo il 29 novembre 2022, data di termine della consultazione pubblica.
