Il 28 marzo 2023 l’European Data Protection Board (“EDPB”) ha adottato la versione 2.0 delle Linee Guida 09/2022 sigli obblighi di notifica in caso di data breach.
Tali Linee Guida fanno chiarezza sugli obblighi di notifica che sussistono rispetto alle autorità garanti e agli interessati nel caso in cui si verifichi una violazione dei dati personali (il c.d. data breach). Le Linee Guida modificano il contenuto della versione 1.0 del 10 ottobre 2022 e sono state oggetto di pubblica consultazione preventiva.
Nel Regolamento (UE) 2016/679 è previsto che in caso di data breach il titolare del trattamento sia tenuto a notificare la violazione all’autorità garante competente senza ingiustificato ritardo e ove possibile non oltre le 72 ore dal momento in cui è venuto a conoscenza della stessa. Inoltre, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a comunicare quanto accaduto all’interessato senza ingiustificato ritardo.
Il corretto adempimento degli obblighi sopra descritti è fondamentale per la protezione i diritti degli interessati e il mancato rispetto è sanzionato a norma dell’art. 83 GDPR. Per questo motivo, come ha dichiarato l’EDPB le Linee Guida hanno l’obiettivo di fornire ulteriori chiarimenti e numerosi esempi pratici circa il comportamento da tenere in queste circostanze.
Confermando l’orientamento adottato nella versione 1.0, l’EDPB ha chiarito che in caso di data breach il titolare del trattamento ha il compito di svolgere una valutazione del rischio e stimare caso per caso se sia necessario effettuare la notifica. Infatti, se risulta improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche la segnalazione non è richiesta. È, invece, più alta la soglia di pericolo richiesta per rendere necessaria la comunicazione agli interessati: tale avviene allo scopo di fornire informazioni specifiche sulle misure da adottare per proteggersi dalla violazione.
Secondo l’EDPB sussistono rischi quando il data breach può causare un danno fisico, materiale o immateriale per gli interessati. Nell’effettuare questa valutazione devono essere tenute presenti anche tutte le possibili conseguenze secondarie della violazione, i cui effetti potrebbero essere comunque significativi per gli individui.
All’esito dell’accertamento, l’obbligo di notifica scatta nel momento in cui il titolare diventa “consapevole “ del data breach. Questo momento dipende dalle circostanze specifiche della violazione. Le stesse circostanze possono rendere necessarie ulteriori indagini e notificazioni follow up all’autorità.
La nuova versione delle Linee Guida ha in particolare aggiornato il contenuto del paragrafo 73, che disciplina gli obblighi di notifica all’autorità garante nel caso in cui il data breach si verifichi in stabilimenti extra-UE. In base a quanto previsto dal regolamento privacy europeo, se il titolare del trattamento che non stabilito in Unione è comunque soggetto all’applicazione del GDPR, deve procedere alla nomina di un rappresentante all’interno di uno degli stati membri. Il paragrafo 73 come modificato è volto ad impedire la pratica dell’one-stop-shop indicando che in tal caso il paese dove si trova il rappresentante non può essere considerato quello della leading authority ai fini del principio del one-stop-shop. Ne consegue che una notifica di data breach sarà necessaria a tutte le autorità dei paesi in cui sono basati gli individui impattati.
Significativo è il commento di alcuni soggetti che hanno partecipato alla consultazione sulle nuove Linee Guida secondo cui la modifica rispetto alla precedente versione:
- ha aumentato i costi per i titolari del trattamento, demotivando le aziende a nominare un rappresentante e riducendo il numero di aziende straniere interessate a dirigere l’attività verso gli Stati membri con mercati più piccoli;
- crea un onere amministrativo aggiuntivo per le autorità di controllo, allungando i tempi di risposta; e
- crea disuguaglianze tra i soggetti interessati di diversi Stati membri, poiché gli Stati membri hanno pratiche diverse in materia di gestione delle violazioni.
In conclusione, sebbene l’EDPB ribadisca che la notificazione in caso di data breach sia uno strumento per rafforzare i meccanismi di tutela dell’interessato, parte delle imprese ritiene che la versione 2.0 delle Linee Guida rallenterà il processo di segnalazione e sarà fonte di ritardi, creando più ostacoli alla tutela efficace dei diritti degli interessati.
Sul tema può essere di interesse il seguente articolo “La comunicazione di un data breach secondo il Garante privacy”.
