I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

EDPB: Linee guida 9/2022 sul data breach

Il Comitato europeo (EDPB) ha rilasciato in data 10 ottobre 2022 le linee guida 09/2022 sull’obbligo di notificazione del data breach all’autorità di supervisione, sottoponendole a una consultazione pubblica “mirata”. Queste linee guida riprendono e sostituiscono le precedenti wp250 rev.01 sullo stesso tema, emesse dal Gruppo di lavoro dell’articolo 29 (WPArt29) e fatte proprie dall’EDPB.

 

Wp250 rev.01 e linee guida 9/2022

Il tema della violazione dei dati personali e del connesso obbligo di notificazione all’autorità di controllo competente (nel caso in cui dall’incidente possano derivare rischi per i diritti e le libertà degli individui coinvolti) era già stato affrontato dal WPArt29 con le linee guida wp250 rev.01, successivamente confermate dall’EDPB. Questo secondo documento (Lg. 9/2022) aggiorna e sostituisce il wp250 rev.01, riproducendone integralmente il contenuto con alcune variazioni di forma e con un’unica novità.

 

GDPR applicabile a titolari extra UE

L’unica sostanziale integrazione delle linee guida 9/2022 rispetto al precedente wp250 rev.01 consiste nel paragrafo 73 che affronta il tema delle modalità di notifica del data breach nel caso in cui questo sia imputabile ad un titolare extra UE che non abbia stabilimenti nell’Unione. È questo il caso di un’azienda stabilita al di fuori del territorio dell’Unione ma che effettua trattamenti di dati personali che ricadono nell’ambito territoriale del GDPR, in quanto essi sono connessi a servizi o prodotti diretti a consumatori che si trovano nella UE oppure che riguardano il monitoraggio del comportamento di individui nella UE.

Queste casistiche sono quelle in base alle quali l’articolo 3 del GDPR estende l’ambito di applicazione del regolamento oltre i confini territoriali dell’Unione, agganciandone la portata al “criterio del bersaglio”, cioè al fatto che il titolare extra UE dirige le proprie attività verso individui che si trovano sul territorio dell’Unione (bersaglio)\, qualunque sia il luogo dove si svolga il trattamento dei dati personali.

 

Titolare extra UE e obbligo di notifica di data breach

Se il titolare extra UE effettua una delle attività indicate dall’articolo 3 GDPR, secondo il “criterio del bersaglio”, per i trattamenti di dati personali relativi a tali attività si applicherà il regolamento comunitario. Di conseguenza, se una violazione di dati personali eventualmente coinvolga questi stessi trattamenti, ad essa si applicherebbe la disciplina dettata dagli articoli 33 e 34 del GDPR. Come noto, l’articolo 33 prevede l’obbligo di notifica del data breach, a carico del titolare e nei riguardi dell’autorità di supervisione interessata, nel caso in cui dall’incidente possa derivare un rischio per i diritti e le libertà degli individui coinvolti.

 

Autorità competente a ricevere la notifica

L’autorità di supervisione competente a ricevere la notifica è quella dello Stato membro in cui la violazione ha prodotto effetti. Pertanto, se le conseguenze della violazione producono impatti solo su interessati che si trovano in un unico Stato membro dell’Unione, la questione non presenterà difficoltà interpretative in quanto la notificazione, se dovuta, dovrà essere effettuata nei riguardi dell’autorità di supervisione di quello Stato membro. Diverso è il caso in cui, viceversa, gli effetti della violazione interessino individui che si trovano in più Stati membri: come andrà soddisfatto l’eventuale obbligo di notificazione?

 

Trattamenti transfrontalieri

Il GDPR definisce come “trattamenti transfrontalieri” quelli che, in sintesi,  

  • coinvolgono le attività di stabilimenti del titolare o del responsabile in più Stati membri  
  • coinvolgono le attività di un unico stabilimento nell’Unione, ma incidono in modo sostanziale su interessati in più Stati membri [art. 4 23), GDPR]. 

I trattamenti transfrontalieri, avendo effetti in più Stati membri, interessano le autorità di supervisione di ciascuno di tali paesi. Quindi, una violazione di dati personali connessa ad un trattamento transfrontaliero solleva l’interrogativo di quali siano i destinatari della notifica, se essa è dovuta.

 

Autorità capofila

È il GDPR che fornisce la risposta al quesito, prevedendo che in presenza di un trattamento transfrontaliero vi sia una singola autorità che funge da capofila rispetto alle altre autorità di supervisione interessate, cioè quelle altre autorità  

  • dello Stato membro in cui il titolare ha uno stabilimento oppure  
  • del Paese UE dove si trovano gli interessati che sono influenzati in modo sostanziale dal data breach [art. 4 23), GDPR]. 

L’autorità capofila, sempre secondo il GDPR, «è l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare», o del responsabile, che agisce secondo la procedura di cooperazione e il meccanismo dello sportello unico [detto anche “one-stop-shop”, Considerando (127)]. 

È all’autorità capofila che il titolare del trattamento transfrontaliero oggetto di data breach dovrà effettuare la notifica, specificando che la medesima violazione ha prodotto effetti anche in altre giurisdizioni.

 

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

Sei già abbonato?

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form