Data Breach e (prima) decisione dell’EDPB ex art. 65 GDPR

A seguito di Data Breach, la società Twitter International Company, aveva provveduto ad effettuare la notifica della violazione di dati personali all’autorità di controllo irlandese, la quale, dopo l’attività istruttoria (con controlli ed indagini eseguiti anche d’ufficio) aveva ritenuto, prima di adottare la propria decisione, di condividere con altre autorità di controllo interessate il proprio progetto di decisione, come previsto dall’art. 60.3 GDPR.

Le altre autorità di controllo coinvolte hanno disposto di un periodo di tempo di quattro settimane per presentare eventuali osservazioni o obiezioni motivate (c.d. “RRO”), da indirizzare all’autorità irlandese quale autorità di controllo capofila.

Nel caso di specie sono state presentate alcune obiezioni (RRO) concernenti, tra l’altro: (i) le violazioni del GDPR individuate dall’autorità di controllo irlandese (autorità capofila); (ii) il ruolo di Twitter International Company in qualità di (unico) titolare del trattamento dei dati; (iii) la quantificazione della sanzione pecuniaria proposta dall’autorità capofila.

Quest’ultima tuttavia (ritenuto di dover respingere le obiezioni o reputandole non “pertinenti e motivate”) ha investito della questione l’EDPB, ai sensi dell’art. 60.4 GPDR, dando così avvio avviando alla procedura di risoluzione delle controversie di cui all’art. 65 GDPR.

All’esito di tale procedura, il 9 novembre 2020 l’EDPB ha emesso la propria decisione: la prima resa ai sensi dell’art. 65 GDPR, ancora da notificare formalmente all’autorità di controllo irlandese.

A questo punto l’autorità irlandese dovrà adottare la sua decisione definitiva, indirizzata al titolare del trattamento, basandosi sulla decisione presa dall’EDPB, al più tardi entro un mese dalla notifica della decisione da parte dell’EDPB medesimo. L’autorità capofila (in questo caso l’autorità irlandese) e le autorità di controllo interessate comunicano all’EDPB la data di notifica al titolare della decisione definitiva. A seguito di tale notifica, l’EDPB provvederà a pubblicare la propria decisione sul sito istituzionale https://edpb.europa.eu/

Previous Article