Programma del Corso

MODULO 1

Analisi del quadro normativo in materia di trattamento di dati personali

La direttiva 95/46/Ce: principi generali e il suo recepimento: la legge 675/1996 e il Codice Privacy
Il Regolamento Ue n. 679/2016: entrata in vigore e termine di adeguamento
Rapporto tra Regolamento europeo e normative nazionali
Il trattamento per finalità esclusivamente personali o domestiche
Il titolare stabilito nel territorio EU
L’interessato residente nel territorio EU

MODULO 2

Analisi del GDPR

Principi generali
Il principio di liceità
Il principio di correttezza
Il principio di trasparenza
Il principio di pertinenza
Il principio di necessità
Il principio di accountability
Il principio della privacy by design e by default
Ambiti di applicazione della norma
Definizioni: liceità del trattamento; categorie particolari di dati (sensibili e giudiziari)
Il Trattamento: informativa e consenso
I diritti dell’interessato: diritto all’oblio e diritto alla portabilità dei dati
Privacy by design e Privacy by default
Titolare del trattamento | obblighi e responsabilità
Responsabile del trattamento
Incaricato al trattamento
La documentazione obbligatoria: il principio dell’accountability (Registro del trattamento)
Sicurezza dei dati e necessità di misure adeguate: il Data Breach e la Violazione dei dati personali
Data Protection Impact Assessment (DPIA)

Attività relative allo sviluppo delle specifiche abilità.

Misure per la gestione dei requisiti per il trattamento e la protezione dei dati personali; · Misure tecniche ed organizzative per garantire la protezione dei dati per impostazione predefinita;

MODULO 3

Tipologie di dati personali

I dati delle persone fisiche
I dati delle persone giuridiche
Il trattamento dei dati sensibili
Il trattamento di dati giudiziari
Il trattamento dei dati genetici
Il trattamento dei dati biometrici
L’anonimizzazione e la pseudoanonimizzazione di dei dati personali
Il trattamento dei dati personali di persona deceduta
Le responsabilità connesse al trattamento dei dati personali;
Norme di legge italiane ed europee in materia di trattamento e di protezione dei dati personali;
Norme di legge in materia di trattamento e protezione dei dati personali nell’ambito delle comunicazioni elettroniche;

MODULO 4

Il consenso

Il consenso al trattamento
L’informativa preventiva

2.1. L’informativa da fornire quando i dati personali sono raccolti presso l’interessato

2.2. L’informativa da fornire quando i dati personali non sono raccolti presso l’interessato

2.3. L’informativa e consenso al trattamento necessario per adempiere a contratto

2.4. L’informativa e consenso al trattamento necessario per obbligo di legge

2.5. L’informativa e consenso al trattamento necessario per salvaguardia interessi vitali dell’interessato o di altra persona fisica

2.6. L’informativa e consenso al trattamento necessario per interesse pubblico

2.7. L’informativa e consenso al trattamento in ambito sanitario

La prestazione del consenso

3.1. Il consenso dei minori di anni 16

3.2. Il consenso obbligatorio e facoltativo

3.3. Il consenso dei dati sensibili

Le modalità di acquisizione del consenso
La dimostrazione dell’acquisizione del consenso
La revoca del consenso

Attività relative allo sviluppo delle specifiche abilità.

Sviluppo e gestione dei registri delle attività di trattamento;

MODULO 5

I diritti dell’interessato

Il diritto alla conoscenza delle fonti dei dati
Il diritto all’aggiornamento dei dati
Il diritto alla cancellazione (diritto all’oblio)
Il diritto di limitazione del trattamento
Il diritto alla portabilità dei dati
Il diritto di opposizione
Il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione
Le modalità e le condizioni di esercizio dei diritti dell’interessato

Attività relative allo sviluppo delle specifiche abilità.

Documentazione (inclusa modulistica) di interfaccia con gli interessati; Consultazioni preventive; Risposte conseguenti all’esercizio dei diritti di accesso;

MODULO 6

I soggetti preposti al trattamento

Il titolare del trattamento

1.1. La responsabilità del titolare

1.2. Le ipotesi di contitolarità

Il responsabile del trattamento

2.1. Il responsabile del trattamento e la designazione di sub-responsabili

Gli incaricati del trattamento
Gli amministratori di sistema
L’organigramma privacy e i registri delle attività di trattamento

Attività relative allo sviluppo delle specifiche abilità.

Attribuzione delle responsabilità per la gestione del trattamento e protezione dei dati personali;

MODULO 7

La valutazione d’impatto sulla protezione dei dati e la consultazione preventiva

L’obbligo della valutazione d’impatto sulla protezione dei dati
I Codici di condotta e la valutazione d’impatto
Le modalità di valutazione d’impatto sulla protezione dei dati
La documentazione delle valutazioni
5. La consultazione preventiva per i trattamenti

Attività relative allo sviluppo delle specifiche abilità.

Sviluppare / gestire indicatori sulla protezione dei dati personali; · Valutazione d’impatto sulla protezione dei dati; · Sviluppo / gestione della Politica per la protezione dei dati personali;

MODULO 8

IL RUOLO DEL DATA PROTECTION OFFICER

La figura del Responsabile della Protezione dei dati (RPD | DPO)
L’obbligo di nomina del DPO: Chi deve designare il DPO
La designazione del DPO e la notifica al Garante
Come definire l’attività principale
Larga scala e monitoraggio regolare e sistematico
Cosa fare in caso di gruppi di imprese
I requisiti di professionalità del DPO: Le competenze e l’esperienza
Qualità professionali e capacità di svolgere i propri compiti
DPO interno e esterno: Attività
Requisiti minimi del DPO (risorse, istruzioni, indipendenza, conflitto di interessi )

Attività relative allo sviluppo delle specifiche abilità.

Relazioni periodiche sull’osservanza delle norme di legge in materia di protezione dei dati personali; · Documentazione a supporto della richiesta di consultazione preventiva all’Autorità di controllo a seguito di valutazione di impatto ex Regolamento 679/2016; · Richieste di consultazione all’Autorità di controllo su questioni applicative specifiche; · Attuazione programma di formazione, aggiornamento e consapevolezza inerente il SG per la protezione dei dati personali; · Pareri su valutazioni di impatto ex Regolamento 679/2016; · Sviluppo e controllo del sistema di protezione dei dati personali e riesame periodico conformità ed efficacia dello stesso

MODULO 9

Sicurezza dei dati e architetture IT

Le possibili minacce alla protezione dei dati personali;
Sistemi informatici integrati e misure di sicurezza (il potere dell’informatica)
Sicurezza del trattamento dati
La Legge 231/01 e i reati informatici
Whistleblowing e segnalazioni all’Organismo di Vigilanza
Integrazione Modello Organizzativo 231 e Modello Privacy
Le principali ipotesi di data breach
L’analisi e la documentazione del data breach
L’importanza della cifratura ai fini della notifica del data breach
Le tecniche di simulazione: penetration test
Le tecniche crittografiche;
Il potenziale e le opportunità offerte dagli standard e dalle best practices più rilevanti;
L’impatto dei requisiti legali sulla sicurezza dell’informazione;
La politica di gestione della sicurezza nelle aziende e delle sue implicazioni con gli impegni verso i clienti, i fornitori e i sub-contraenti;
Le best practices (metodologie) e gli standard nell’analisi del rischio
Le best practices e gli standard nella gestione della sicurezza delle informazioni;
Le possibili minacce alla sicurezza delle informazioni
Le tecniche di attacco informatico e le contromisure per evitarli;

Attività relative allo sviluppo delle specifiche abilità.

Notificazione di incidenti che comportano una violazione dei dati personali;

MODULO 10

SICUREZZA INFORMATICA E REATI INFORMATICI

Sistemi informatici integrati e misure di sicurezza (il potere dell’informatica)
Sicurezza del trattamento dati
La Legge 231/01 e i reati informatici
Whistleblowing e segnalazioni all’Organismo di Vigilanza

Integrazione Modello Organizzativo 231 e Modello Privacy

MODULO 11

I trattamenti dei dati per finalità di polizia, giustizia e sicurezza

I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’unione
Le finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016)
Il trattamento dei dati personali da parte delle autorità giurisdizionali
La responsabilità degli intermediari della società dell’informazione nel trattamento dei dati per finalità di polizia, giustizia e sicurezza

Attività relative allo sviluppo delle specifiche abilità.

Documentazione relativa alle attività di interfacciamento con l’Autorità di controllo (richieste di informazione, procedure di accertamento o verifica, notifica di eventuali violazioni di dati personali;

MODULO 12

Mezzi di ricorso, responsabilità e sanzioni

Il reclamo a un’autorità di controllo

1.1. Il principio del One Stop Shop

Il ricorso giurisdizionale effettivo

2.1. Nei confronti dell’autorità di controllo

2.2. Nei confronti del titolare o del responsabile del trattamento

Il procedimento del ricorso giurisdizionale effettivo
L’azione di responsabilità
Le condizioni generali per le sanzioni

MODULO 13

Guida pratica alla redazione della odulistica

Cookie policy (2002/58/EC – Directive on privacy and electronic communications)
WP 29 e linee guida sulle app
Guidelines WP 29 su applicazione GDPR
Case study: il DPO
Guida pratica alla redazione informativa e consenso
Guida pratica alla redazione modulistica