L'European Data Protection Board adotta le nuove Linee Guida sugli obblighi di notifica dei data breach
Cosa dicono le nuove linee guida EDPB 9/2022 sul data breach? Esaurita la fase di consultazione pubblica, l’European Data Protection Board ha infatti licenziato la versione 2.0 delle linee guida riguardanti gli obblighi di notifica delle violazioni dei dati personali.
L’aggiornamento riguarda però esclusivamente il paragrafo 73 e ha impatto esclusivamente nei confronti di titolari del trattamento che hanno un rappresentante all’interno di uno dei Paesi dell’Unione, rientrando nell’ambito di applicazione del GDPR – e dunque: sono soggetti destinatari degli obblighi - in forza del criterio di targeting del trattamento.
Difatti, sono tenuti a designare un rappresentante i titolari stabiliti in un paese terzo che svolgono però attività che coinvolgono intenzionalmente i dati personali di interessati che si trovano all’interno del territorio dell’Unione per l’offerta di beni e servizi o altrimenti per il monitoraggio dei comportamenti (nella misura in cui tali comportamenti avvengono all’interno del territorio dell’Unione).
Per tali soggetti viene espressamente esclusa l’applicazione del principio di one-stop-shop per l’individuazione dell’autorità di controllo capofila, andando a conformarsi con quanto già disposto all’interno delle linee guida WP244 e EDPB 3/2018 secondo una lettura coerente e sistematica. Infatti, nella versione previgente era individuata come autorità di controllo capofila cui notificare la violazione di dati personali quella del Paese presso cui risiedeva il rappresentante. Adesso, la notifica deve invece avvenire in modo granulare nei confronti di ciascuna delle autorità di controllo di riferimento per gli interessati coinvolti.
Questa declinazione dell’obbligo di cui all’art. 33 GDPR in capo al titolare del trattamento presuppone dunque la capacità tecnica dello stesso di essere in grado di distinguere già nell’immediato dell’analisi dell’incidente – e dunque entro le 72 ore prescritte dalla norma – un criterio di riferibilità territoriale dei dati personali raccolti e trattati. Tutto ciò comporta alcune conseguenze inevitabili: in primo luogo sulle modalità di progettazione dei database, nonché apre a non pochi interrogativi circa le corrette modalità di acquisizione delle informazioni che dovranno essere implementate per poter svolgere tali adempimenti.
Il riflesso della disposizione comporta inevitabilmente dei costi operativi soprattutto per l’ambito dei servizi online, nonché fa sorgere alcune perplessità circa la sostenibilità degli stessi a fronte dell’effettività di tutela e protezione degli interessati cui dovrebbe provvedere tale adempimento.
Quanto si può prevedere come ricaduta nella gestione dei data breach per i titolari del trattamento impattati da tali obblighi sarà probabilmente il consolidamento di una procedura di notifica per fasi successive in cui, man mano che si indaga sugli interessati coinvolti, sarà notificato anche all’autorità di controllo dello Stato membro di riferimento. Peccato che si sia così perduta l’occasione di rafforzare od estendere invece la comunicazione agli interessati prevista dall’art. 34 GDPR, che invece – al di là della portata formale delle prescrizioni – ha valore come strumento efficace di tutela informativa circa la violazione occorsa.
