Quest’oggi il WP29 ha rilasciato due importanti linee guida. 1. Data Breach: - Il concetto di incidente informatico non si discosta molto dai classici criteri di sicurezza informatica, ma i rischi dovranno essere valutati avendo riguardo ai soggetti interessati e non (solo, N.d.R.) all’organizzazione. Tipico esempio di data breach in ambito bancario è un estratto conto inoltrato per errore ad un altro cliente. - Nulla di nuovo dal punto di vista dei fattori di rischio, ma è necessario considerare con attenzione i rischi al fine di decidere se notificare il breach a Garante e soggetti interessati. - Molto importante è la documentazione dell’incidente che servirà al Titolare a dimostrare il ragionamento sottostante le reazioni poste in essere, potendosi configurare una situazione in cui - a fronte della rivalutazione del rischio da parte dell’Autorità – le comunicazioni dovranno comunque essere operate. Disponibili qui: http://ec.europa.eu/newsroom/document.cfm?doc_id=47741 2. Automated decision-making e profiling: - Un concetto cruciale (finalmente adeguatamente stressato) riguarda la qualità (inclusi esattezza e non obsolescenza) del dato personale sottostante il profiling e la decisione automatizzata è fondamentale per evitare bias nel funzionamento dell’algoritmo. Strumenti di controllo sempre più rilevante è l’audit di algoritmi (al centro di moltissime discussioni a Bruxelles). Disponibili qui: http://ec.europa.eu/newsroom/document.cfm?doc_id=47742 In particolare, queste ultime linee guida sono decisamente in linea con molte discussioni nexiane, che - a mio modesto parere - potrebbero avere come output una posizione da condividere con WP29, considerato che la consultazione è aperta fino al 29 novembre. Un caro saluto a tutti, Stefano