Il 28 marzo 2023 il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato, a seguito di consultazione pubblica, le Guidelines 9/2022 on personal data breach notification under GDPR. Trattasi della versione aggiornata delle precedenti linee guida WP250 (rev.01) che furono adottate il 6 febbraio 2018 dal Gruppo di lavoro art. 29  e poi approvate dall’EDPB il 25 maggio 2018.

Gli aggiornamenti contenuti nelle Linee guida 9/2022 mirano a imporre obblighi di notifica delle violazioni dei dati personali più onerosi ai titolari del trattamento che non hanno sede nell’UE, ma che sono comunque soggetti alle disposizioni extraterritoriali del GDPR. Tali titolari del trattamento:

• anche se hanno designato un rappresentante in uno Stato membro, non beneficiano del sistema dello sportello unico e, dunque, non potranno notificare la violazione alla sola autorità di questo Stato;
• dovranno bensì notificare una violazione della sicurezza dei dati ad “ogni singola autorità per la quale gli interessati risiedono nel loro Stato membro“.

Il nuovo approccio è destinato a generare un carico di incombenze estremamente pesante per i titolari del trattamento con sede al di fuori degli Stati membri (compresi quelli con sede nel Regno Unito) che subiscano un data breach. Essi dovrebbero notificare, entro il termine di 72 ore, la violazione tante autorità di protezione dei dati dei paesi UE quante sono le nazionalità UE degli interessati coinvolti.