Il 10 ottobre 2021 il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato le Guidelines 9/2022 on personal data breach notification under GDPR. Trattasi della versione aggiornata delle precedenti linee guida WP250 (rev.01) che furono adottate il 6 febbraio 2018 dal Gruppo di lavoro art. 29  e poi approvate dall’EDPB il 25 maggio 2018. Il nuovo testo è soggetto ad una breve consultazione pubblica mirata.

Gli aggiornamenti contenuti nelle Linee guida 9/2022 mirano a imporre obblighi di notifica delle violazioni dei dati personali più onerosi ai titolari del trattamento che non hanno sede nell’UE, ma che sono comunque soggetti alle disposizioni extraterritoriali del GDPR. Secondo i termini degli aggiornamenti proposti, tali titolari del trattamento (che non beneficiano del sistema dello sportello unico) dovranno notificare una violazione della sicurezza dei dati ad “ogni singola autorità per la quale gli interessati risiedono nel loro Stato membro“. Ciò differisce dagli orientamenti attuali che specificano che i titolari del trattamento non appartenenti all’UE sono tenuti a notificare solo l’autorità di controllo dell’UE nello Stato membro in cui è stabilito il rappresentante del titolare del trattamento.

Se confermati, questi aggiornamenti sono potenzialmente in grado di generare un carico di lavoro estremamente pesante per i titolari del trattamento con sede al di fuori degli Stati membri (compresi quelli con sede nel Regno Unito). A tali titolari spetterebbe il compito di notificare una violazione a numerose autorità di protezione dei dati entro il termine di 72 ore.

Le Guidelines 9/2022 resteranno in consultazione pubblica fino al 29 novembre 2022.