Data-breach e notificazione: novità e osservazioni sulle nuove Linee Guida dell’European Data Protection Board

02/11/2022

Il 10 ottobre 2022 l’European Data Protection Board (“EDPB”) ha adottato le nuove Linee Guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679 (“Guidelines 9/2022 on personal data breach notification under GDPR”), aggiornandola precedente versione “WP250” del 2018.

Come può leggersi nell’introduzione delle due differenti edizioni succedutesi nel tempo, le Linee Guida “spiegano gli obblighi di notifica e di comunicazione delle violazioni sanciti dal Regolamento, nonché alcune misure che i titolari e i responsabili del trattamento possono intraprendere per soddisfare questi nuovi obblighi”.

L’aggiornamento predisposto dall’EDPB è stato piuttosto limitato; tuttavia, occorre evidenziare una rilevante novità.

Premesso che in capo al Titolare del trattamento non stabilito nel territorio dell’Unione e soggetto all’art. 3, paragrafi 2 e 3 del GDPR permane l’obbligo di notifica ai sensi dei citati articoli 33 e 34 GDPR, la nuova edizione esprime una differente posizione dell’EDPB per i casi di applicazione dell’art. 3, paragrafo 2 GDPR, laddove il Titolare (e il Responsabile del trattamento) abbiano designato un rappresentante nell’Unione ai sensi dell’art. 27 GDPR.

Le precedenti Linee Guida WP250, infatti, raccomandavano che, in tali casi, la notifica venisse effettuata all’Autorità di controllo dello stato membro in cui fosse stabilito il rappresentante del Titolare del trattamento.

Le Guidelinees 9/2022 aggiornate prevedono, invece, che la violazione dovrà essere notificata ad ogni singola autorità di controllo di ogni stato membro ove risiedono gli interessati i cui dati sono stati violati. Tale notifica deve essere effettuata in ottemperanza al mandato conferito dal Titolare al suo rappresentante e sotto la responsabilità del Titolare stesso.

Non cambia, invece, l’ipotesi in cui vi sia un responsabile del trattamento soggetto all'articolo 3, paragrafo 2, del GDPR: questo rimane vincolato all'obbligo di notificare una violazione al Titolare del trattamento ai sensi dell'articolo 33, paragrafo 2, del GDPR.

Infine, vale la pena sottolineare come le Linee Guida confermino un profilo interpretativo frequentemente ignorato dai giuristi d’impresa, e che talvolta può provocare inutili tensioni nelle trattative contrattuali tra Titolare e Responsabile. Ci si riferisce ai termini entro i quali il Responsabile è tenuto ad informare il Titolare del presunto data breach subito. L’art. 33, paragrafo 2 GDPR prescrive al Responsabile del trattamento di informare il Titolare “senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”; il paragrafo 1 del medesimo articolo impone al Titolare del trattamento di notificare la violazione all’Autorità di controllo “entro 72 ore dal momento in cui ne è venuto a conoscenza”.

Considerato che il Responsabile del Trattamento può essere considerato una figura interna al perimetro organizzativo operante sotto la responsabilità del Titolare, ci si è chiesti a partire da quale momento il Titolare può essere considerato “a conoscenza” della violazione. Evidenti sono le conseguenze sui rapporti interni qualora il termine fosse ritenuto decorrente dalla conoscenza del Responsabile, oppure dal momento – posteriore – in cui il Responsabile informa il Titolare.

Sul punto soccorrono le Guidelinees, anche nella recente versione del 9/2022 che al paragrafo 4, clausola 44), stabiliscono che “the controller should be considered as “aware” once the processor has informed it of the breach”. Sembra chiaro, dunque, che le 72 ore cui è soggetto il Titolare decorreranno non già dal momento in cui il Responsabile è venuto a conoscenza della violazione, bensì dal momento in cui quest’ultimo ne abbia dato notizia al Titolare stesso.

In termini operativi, sarà dunque opportuno allinearsi a tale interpretazione nella stipulazione di nomine a Responsabile del trattamento ex art. 28 GDPR, ponendo fine ad irrealistiche imposizioni al Responsabile di comunicazione entro dodici, ventiquattro ore, per l’erronea percezione che siano comunque erosive delle 72 concesse al Titolare.

Torna alle news