Gli aggiornamenti contenuti nelle Linee guida 9/2022 (versione aggiornata delle precedenti linee guida WP250- rev.01) mirano a imporre obblighi di notifica delle violazioni dei dati personali più onerosi ai titolari del trattamento che non hanno sede nell’UE, ma che sono comunque soggetti alle disposizioni extraterritoriali del GDPR. Tali titolari del trattamento:
- anche se hanno designato un rappresentante in uno Stato membro, non beneficiano del sistema dello sportello unico e, dunque, non potranno notificare la violazione alla sola autorità di questo Stato;
- dovranno bensì notificare una violazione della sicurezza dei dati ad “ogni singola autorità per la quale gli interessati risiedono nel loro Stato membro“.
Il nuovo approccio è destinato a generare un carico di incombenze estremamente pesante per i titolari del trattamento con sede al di fuori degli Stati membri (compresi quelli con sede nel Regno Unito) che subiscano un data breach. Essi dovrebbero notificare, entro il termine di 72 ore, la violazione tante autorità di protezione dei dati dei paesi UE quante sono le nazionalità UE degli interessati coinvolti. Si rinvia al nostro approfondimento per maggiori informazioni sui contenuti delle nuove Linee Guida.