GDPR: ecco la review delle linee guida dei garanti europei sui data breach

Il Comitato Europeo per la protezione dei dati ha adottato il 28 marzo u.s. la versione aggiornata delle linee guida 09/2022 sulla notifica delle violazioni dei dati personali. Tali orientamenti si affiancano alle “Guidelines 01/2021 on Examples regarding Data Breach Notification” adottate dall’EDPB il 14 dicembre 2021. Di seguito un riepilogo pratico delle novità di maggior interesse sottolineate dal Board di cui i player del settore assicurativo dovranno fare tesoro:

  • qualora il titolare non abbia uno stabilimento all’interno dell’Unione dovrà inviare la notifica all’Autorità Garante di ogni stato membro UE i cui interessati siano stati coinvolti nel data breach, superando il principio dell’“one-stop-shop”;
  • registro delle violazioni: i Garanti privacy UE evidenziano come nel suddetto registro, il titolare del trattamento sia tenuto a documentare le violazioni di dati, comprese quelle non notificate all’Autorità, specificando i motivi per cui non abbia ritenuto necessario procedere con la notifica e la comunicazione ai soggetti interessati;
  • comunicazioni agli interessati: la comunicazione che il titolare deve trasmettere agli interessati deve essere ben  separata dai flussi informativi “ordinari” (come le newsletter);
  • anche l’invio di comunicazioni e-mail o di liste di contatto a destinatari errati possono far scattare l’obbligo di notifica all’Autorità o di comunicazione agli interessati.

.

Leggi il documento