Quest’oggi il WP29 ha rilasciato due importanti linee guida.

• Il concetto di incidente informatico non si discosta molto dai classici criteri di sicurezza informatica, ma i rischi dovranno essere valutati avendo riguardo ai soggetti interessati e non (solo, N.d.R.) all’organizzazione. Tipico esempio di data breach in ambito bancario è un estratto conto inoltrato per errore ad un altro cliente.
• Nulla di nuovo dal punto di vista dei fattori di rischio, ma è necessario considerare con attenzione i rischi al fine di decidere se notificare il breach a Garante e soggetti interessati.
• Molto importante è la documentazione dell’incidente che servirà al Titolare a dimostrare il ragionamento sottostante le reazioni poste in essere, potendosi configurare una situazione in cui - a fronte della rivalutazione del rischio da parte dell’Autorità – le comunicazioni dovranno comunque essere operate.

• Un concetto cruciale (finalmente adeguatamente stressato) riguarda la qualità (inclusi esattezza e non obsolescenza) del dato personale sottostante il profiling e la decisione automatizzata è fondamentale per evitare bias nel funzionamento dell’algoritmo. Strumenti di controllo sempre più rilevante è l’audit di algoritmi (al centro di moltissime discussioni a Bruxelles).