Lo scorso gennaio sono state pubblicate le «Guidelines 01/2021 on Examples regarding Data Breach Notification», approvate il 14 dicembre 2021 dall’European Data Protection Board (“EDPB”), riunitosi in seduta plenaria. Attraverso l’emanazione delle nuove Linee guida, l’EDPB, ha inteso proseguire il percorso iniziato nel 2017 dall’ex WP29 con l’adozione delle «Guidelines on personal data breach notification under Regulation 2016/679», con l’obiettivo di aiutare Titolari e Responsabili del trattamento nella gestione dei data breach occorsi all’interno della propria organizzazione. In tale contesto, il Board, in funzione dell’esperienza maturata dalle diverse Autorità di Controllo europee, ha identificato e analizzato diciotto case-studies, previa definizione di sei differenti macrocategorie di rischio (tra cui rilevano ransomware, rischio derivante dal fattore umano, perdita o sottrazione illecita di dispositivi o documenti, social engineering). Per ciascun caso specifico, il Board suggerisce non solo raccomandazioni concrete relative alle misure di sicurezza tecniche ed organizzative da adottare per la mitigazione del rischio, ma anche indicazioni pratiche in relazione alla necessità di procedere con la notifica del breach all’Autorità di Controllo e/o agli interessati. Le nuove Linee guida, dunque, costituiscono un valido strumento pratico e operativo di cui le organizzazioni possono servirsi per la corretta gestione dei data breach.