Il 18 e 21 ottobre 2022, il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato le Linee Guida aggiornate sulla notifica di violazione dei dati personali ai sensi del GDPR e per l’individuazione dell’Autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento. Entrambe le linee guida sono in forma di bozza e sono aperte alla consultazione pubblica fino alla fine di novembre.
Linee guida sulla notifica di violazione dei dati personali (cd. Data Breach).
L’EDPB ha modificato le Linee Guida per chiarire che i titolari del trattamento e gli incaricati del trattamento non stabiliti nell’UE che subiscono una violazione dei dati personali che interessano gli interessati in diversi Stati membri dell’UE devono notificare a tutte le autorità di controllo in cui risiedono gli interessati. Non possono beneficiare dello “sportello unico” del GDPR, che consente ai titolari del trattamento e ai responsabili del trattamento stabiliti nell’UE di notificare solo all’Autorità di controllo (capofila) dello Stato membro in cui si trova la loro sede principale. Se queste regole possano essere applicate efficacemente, supponendo che vengano confermate nella versione definitiva delle Linee Guida, è una questione aperta e le Autorità potrebbero avere difficoltà ad applicarle nella pratica.
Linee guida per l’individuazione dell’Autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento.
L’EDPB ha modificato le Linee Guida per chiarire che i cotitolari non possono avere uno stabilimento principale comune. Ciascun Titolare del trattamento può avere uno stabilimento principale e beneficiare dello “sportello unico”, ma non può accettare di avere uno stabilimento principale combinato e un’autorità di controllo capofila. Ciò significa, ad esempio, che se i contitolari del trattamento subiscono una violazione dei dati che può essere notificata ai sensi del GDPR, ciascun titolare del trattamento deve notificare la violazione dei dati alla rispettiva autorità di controllo competente.