Come già anticipato nel precedente articolo sono state emesse da parte del gruppo di lavoro sulla protezione dei dati personali WP 29 alcune nuove linee guida concernenti argomenti trattati nel GDPR Reg. (UE) 2016/679 ed in particolare:
• in merito alla profilazione:
- deve essere effettuata in una forma di elaborazione automatizzata;
- deve essere eseguita sui dati personali; e
- l’obiettivo della profilazione deve essere quello di valutare gli aspetti personali relativi ad una persona fisica
• in merito alla valutazione di impatto una nuova versione aggiornata:
Com’è ormai noto la valutazione di impatto è un procedimento per costruire e dimostrare la conformità ad un modello organizzativo adeguato alle rischiosità valutate in merito a quanto riportato nel GDPR. Queste linee guida sono state ora leggermente rivisitate.
• in merito alle violazioni dei dati personali:
Il gruppo di lavoro sulla protezione dei dati Wp29 ha pubblicato in particolare questa linea guida commentando in dettaglio come dovrebbe funzionare tale meccanismo delle notifiche di violazione dei dati e soprattutto quando dovrebbero essere effettuate, che sono aperte al commento pubblico fino al 28 novembre 2017 (via JUST-ARTICLE29WP-SEC@ec.europa.eu) .
Tra gli interessanti commenti del WP29, segnalo la raccomandazione del gruppo stesso al fatto che la valutazione dei rischi effettuata a seguito di una violazione dei dati consideri i seguenti criteri:
Tipo di violazione
Natura, sensibilità e volume dei dati personali
Facilità di individuazione degli individui coinvolti
Severità delle conseguenze per gli individui coinvolti
Caratteristiche particolari di individui (ad esempio bambini)
Numero di individui coinvolti
Caratteristiche particolari del titolare.
Utili anche gli esempi riportati. Pertanto consiglio vivamente la lettura.