Data breach: le guidelines dell’EDPB in consultazione pubblica fino al 2 marzo 2021

Nel corso della riunione plenaria del 14 gennaio 2021, il Comitato europeo per la protezione dei dati (European Data Protection Board - EDPB) ha adottato le “Guidelines 01/2021 on Examples regarding Data Breach Notification” (di seguito “le Linee Guida”), che forniscono raccomandazioni pratiche rivolte alle organizzazioni pubbliche e private al fine di gestire correttamente le attività di analisi e notifica delle violazioni di dati personali (c.d. “data breach”).

Il Regolamento UE 2016/679 (c.d. “GDPR”) ha introdotto, infatti, l’obbligo di notificare all’Autorità di Controllo nazionale competente e, in taluni casi, alle singole persone fisiche interessate, le violazioni di dati personali subite da imprese e amministrazioni pubbliche.

Nei circa tre anni trascorsi dall’effettiva applicazione del GDPR, le Autorità di Controllo dei singoli Stati membri dell’Unione Europea hanno avuto modo di rilevare le diverse criticità affrontate dalle organizzazioni nell’adozione di un approccio basato sul rischio al fine di determinare gli impatti negativi delle violazioni occorse e indirizzarne opportunamente la gestione.

In tale contesto, lo EDPB, alla luce della profonda esperienza maturata dalle singole Autorità di Controllo, ha ritenuto opportuno adottare delle linee guida in grado di rispondere e indirizzare in termini pratici tutti gli aspetti e gli obblighi connessi alla gestione dei breach.

Per tali ragioni, le nuove Linee Guida dello EDPB sono da intendersi la naturale integrazione e completamento delle “Guidelines on Personal data breach notification under Regulation 2016/679”, WP 250 dell’ormai abrogato Gruppo di Lavoro Articolo 29 per la Protezione dei dati (la cui versione definitiva risale a febbraio 2018).

Le Linee Guida presentano due tratti distintivi:

1. sono case-based: contengono, infatti, un interessante inventario di casi di data breach occorsi in molteplici settori, quali Healthcare, Transportation, Istituti di Credito, Pubblica Amministrazione, etc. Tra le tipologie di data breach trattate grande rilievo è conferito agli attacchi di tipo ransomware[1], ai data exfiltration[2] e al furto/smarrimento di dispositivi e documenti;

1. Sono practice-oriented: per ciascun esempio oggetto di analisi, forniscono le buone prassi da adottare nel corso della gestione della violazione, comprensive di raccomandazioni circa i fattori da tenere in considerazione nella valutazione dei rischi e di chiare indicazioni in merito agli obblighi da adempiere (notifica all’autorità di controllo e notifica ai soggetti interessati).

Non rimane adesso che attendere il prossimo 2 marzo - termine della consultazione pubblica – per la versione definitiva; siamo certi che le Linee Guida rappresenteranno un utile strumento per le organizzazioni al fine di integrare le migliori prassi di settore nei processi interni di gestione dei data breach.