Il 6 febbraio scorso è stato pubblicato il testo revisionato delle “Guidelines on Personal data breach notification under Regulation 2016/679” formulate dal Gruppo Articolo 29. È da sottolineare che, in tema di tempistiche entro le quali effettuare la notifica, la revisione ha interessato il capitolo II.a.4 inserendovi le seguenti considerazioni:
- il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione;
- il responsabile non è tenuto a valutare il rischio derivante dalla violazione, prima di effettuare la notifica;
- tale valutazione spetta al titolare:
- il responsabile deve solo stabilire se la violazione di è verificata e quindi informare il titolare.
Definito tale flusso il Gruppo Articolo 29 conclude sottolineando, elemento innovativo inizialmente assente, che bisogna considerare il titolare “a conoscenza della violazione” esclusivamente nel momento in cui il responsabile lo ha informato.
Riteniamo che questo elemento debba essere adeguatamente ponderato nelle procedure per la gestione del data breach.