AUTORE
Avv. Stefano Petrussi
Il Comitato Europeo per la protezione dei dati ha adottato il 28 marzo u.s. la versione aggiornata delle linee guida 09/2022 sulla notifica delle violazioni dei dati personali. Tali orientamenti si affiancano alle “Guidelines 01/2021 on Examples regarding Data Breach Notification” adottate dall’EDPB il 14 dicembre 2021. Di seguito un riepilogo pratico delle novità di maggior interesse sottolineate dal Board di cui i player del settore assicurativo dovranno fare tesoro:
- qualora il titolare non abbia uno stabilimento all’interno dell’Unione dovrà inviare la notifica all’Autorità Garante di ogni stato membro UE i cui interessati siano stati coinvolti nel data breach, superando il principio dell’“one-stop-shop”;
- registro delle violazioni: i Garanti privacy UE evidenziano come nel suddetto registro, il titolare del trattamento sia tenuto a documentare le violazioni di dati, comprese quelle non notificate all’Autorità, specificando i motivi per cui non abbia ritenuto necessario procedere con la notifica e la comunicazione ai soggetti interessati;
- comunicazioni agli interessati: la comunicazione che il titolare deve trasmettere agli interessati deve essere ben separata dai flussi informativi “ordinari” (come le newsletter);
- anche l’invio di comunicazioni e-mail o di liste di contatto a destinatari errati possono far scattare l’obbligo di notifica all’Autorità o di comunicazione agli interessati.
.