Nuove linee guida WP 29

  • Categoria dell'articolo:Diritto e fisco

Come già anticipato nel precedente articolo  sono state emesse da parte del gruppo di lavoro sulla protezione dei dati personali WP 29 alcune nuove linee guida concernenti argomenti trattati nel GDPR Reg. (UE) 2016/679 ed in particolare:

in merito alla profilazione:

Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 20 as adopted on 3 October 2017

 Secondo il GDPR è profilazione ” qualsiasi forma di trattamento automatizzato di dati personali consi-stente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a
una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
Ci sono tre elementi secondo il WP 29 che la possono caratterizzare meglio:
  • deve essere effettuata in una forma di elaborazione automatizzata;
  • deve essere eseguita sui dati personali; e
  • l’obiettivo della profilazione deve essere quello di valutare gli aspetti personali relativi ad una persona fisica
 Decisamente interessanti le raccomandazioni riportate anche al fondo di questo documento.
Il gruppo di lavoro sulla protezione dei dati Wp29 ha pubblicato in particolare questa linea guida che sono aperte al commento pubblico fino al 28 novembre 2017.

in merito alla valutazione di impatto una nuova versione aggiornata:

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 as adopted on 4 April 2017 as last Revised and Adopted on 4 October 2017

Com’è ormai noto la valutazione di impatto è un procedimento per costruire e dimostrare la conformità ad un modello organizzativo adeguato alle rischiosità valutate in merito a quanto riportato nel GDPR. Queste linee guida sono state ora leggermente rivisitate.

 

in merito alle violazioni dei dati personali:

Guidelines on Personal Data Breach notification under Regulation 2016/679  as adopted on 3 October 2017.

In caso di violazione dei dati personali, infatti il GDPR prevede che il titolare del trattamento notifichi la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, dovrebbe essere corredata dei motivi del ritardo.

Il gruppo di lavoro sulla protezione dei dati Wp29 ha pubblicato in particolare questa linea guida commentando in dettaglio come dovrebbe funzionare tale meccanismo delle notifiche di violazione dei dati e soprattutto quando dovrebbero essere effettuate, che sono aperte al commento pubblico fino al 28 novembre 2017 (via JUST-ARTICLE29WP-SEC@ec.europa.eu) .

Tra gli interessanti commenti del WP29, segnalo la raccomandazione del gruppo stesso al fatto che la valutazione dei rischi effettuata a seguito di una violazione dei dati consideri i seguenti criteri:

Tipo di violazione
Natura, sensibilità e volume dei dati personali
Facilità di individuazione degli individui coinvolti
Severità delle conseguenze per gli individui coinvolti
Caratteristiche particolari di individui (ad esempio bambini)
Numero di individui coinvolti
Caratteristiche particolari del titolare.

Utili anche gli esempi riportati. Pertanto consiglio vivamente la lettura.