DPO – Data Protection Officer Masterclass

PRINCIPI GENERALI
8 ore – Trainer Avv. Floriana Francesconi
Evoluzione del diritto alla protezione dei dati personali. Inquadramento normativo: il GDPR (General Data Protection Regulation –  Regolamento UE 2016/679) e Il Codice Privacy (D.Lgs. 196/2003) aggiornato. Definizioni.  Il concetto di accountability e la sua rilevanza per la protezione dei dati personali. Principi applicabili al trattamento dei dati. I diritti degli interessati (artt. 12-22 GDPR). Le informazioni da rendere agli interessati (artt. 13-14 GDPR). Le condizioni di liceità/basi giuridiche del trattamento di dati. Il Consenso e i suoi requisiti.  L’adempimento di un obbligo legale e le basi giuridiche: artt. 2-ter e 2-octies del D.Lgs. 196/200. Le finalità di rilevante interesse pubblico e l’articolo 2-sexies D.lgs. 196/2003. Il legittimo interesse e altre basi. Le regole deontologiche ex art. 2-quater D.Lgs. 196/2003. Prescrizioni ed Autorizzazioni del Garante (Provv. ex art. 21 D.Lgs. 101/2018). Il trattamento di dati di minori.

SISTEMA ORGANIZZATIVO DATA PROTECTION E AUTORITA’ DI CONTROLLO
8 ore – Trainer: Avv. Floriana Francesconi 
Figure, ruoli e responsabilità nell’ambito del trattamento dei dati personali. Il Titolare e i Contitolari del trattamento. Il Responsabile del trattamento e i sub-Responsabili. Gli autorizzati a trattare dati e gli incarichi ex art. 2-quaterdecies D.lgs. 196/2003. Il Rappresentante stabilito in UE. Il Data Protection Officer (DPO) – Responsabile della protezione dei dati. Ruolo, Posizione Organizzativa e attività del DPO. Il trattamento di dati infragruppo. Gestione termini e condizioni dei contratti rilevanti ai fini Data Protection. Le Autorità di controllo nel GDPR. L’Autorità Capofila. Meccanismo di coerenza. Cooperazione tra Autorità di controllo. Ruolo, Poteri, Compiti delle Autorità di controllo. Autorità di controllo italiana. Il Comitato Europeo della Protezione dei Dati. Il Garante Europeo per la Protezione dei Dati. I codici di condotta ex artt. 40-41 GDPR. Le certificazioni ex artt. 42-43 GDPR. Esercitazione – Elaborazione di una Informativa agli interessati

APPROCCIO BASATO SUL RISCHIO E LE MISURE DI ACCOUNTABILITY
20 ore – Trainer: Dott. Francesco Bassi
Accountability e approccio basato sul rischio. Il Modello Privacy e gli altri Compliance Program. Il processo di Risk Management. I registri delle attività di trattamento. Data protection by design e by default. Sicurezza dei dati personali: dalle misure minime alle misure adeguate di sicurezza. Le misure di sicurezza tecnica e organizzativa. Analisi dei rischi. Il rischio sui dati personali. Metodologie di analisi del rischio. Data Protection Impact Assessment (DPIA): analisi e gestione dei trattamenti che comportano dei rischi. Consultazione preventiva innanzi all’Autorità di controllo. Data Breach: obbligo di notifica in caso di violazione dei dati personali. Procedure.

SICUREZZA DEI DATI PERSONALI E SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI
16 ore -Trainer: Dott. Andrea Foschi
La gestione dei dati e delle informazioni: contesto e definizioni. Le principali vulnerabilità. I requisiti di sicurezza della Data Protection. I principi cardine della sicurezza delle informazioni. La tutela del patrimonio intellettuale. Misure di sicurezza e protezioni per i sistemi IT. Tecniche crittografiche, di pseudonimizzazione e anonimizzazione dei dati personali. I sistemi di Identity & Access Governance. L’importanza della implementazione di un vero e proprio sistema di gestione della sicurezza integrato. Metodologie di valutazione dell’adeguatezza delle misure di sicurezza e Norme ISO. Il Sistema di Gestione della sicurezza delle informazioni ISO 27001. Sinergia fra l’analisi dei rischi ISO27001 e la DPIA. Modelli organizzativi per la sicurezza delle informazioni. Sistema integrato di gestione della sicurezza delle informazioni e gestione della riservatezza delle informazioni e delle conoscenze tecniche. Amministratori di sistema e GDPR. Regolamento sistema informatico e procedura di data breach management. Piano audit.

LA PROTEZIONE DEI DATI PERSONALI E LE NUOVE TECNOLOGIE
8 ore – Trainer: Avv. Luca Bolognini
Nuove tecnologie informatiche e protezione dei dati. I rischi intrinseci delle tecnologie per i diritti e le libertà delle persone. La profilazione comportamentale. I social media e la GIG economy: impatti sui ruoli privacy del “prosumer”. Big Data: compatibilità con i principi del GDPR. Internet delle Cose: rischi immateriale e materiali per gli individui. Intelligenza Artificiale e GDPR: stato dell’arteBlockchain: compatibilità con i principi del GDPR. Monetizzazione e valorizzazione dei dati, verso nuovi modelli di business.

LA DISCIPLINA E-PRIVACY
4 ore –  Trainer: Avv. Luca Bolognini
Inquadramento della normativa UE e italiana (Dir. 2002/58/CE, D.lgs. 196/2003). La disciplina dei cookie e della profilazione on line. La conservazione dei dati di traffico telefonico e telematico per fini di fatturazione o di accertamento e repressione dei reati. La disciplina delle violazioni dei dati nelle comunicazioni elettroniche. Misure di sicurezza nel settore delle comunicazioni elettroniche. La disciplina delle comunicazioni indesiderate ex art. 130 D.Lgs. 196/2003. List broker e disciplina delle cessioni di dati per fini di profilazione e marketing. La disciplina del Registro delle Opposizioni per il marketing telefonico e cartaceo.

TRASFERIMENTO DEI DATI PERSONALI VERSO PAESI TERZI
4 ore – Trainer: Avv. Luca Bolognini
Principi generali: il divieto di export dei dati fuori dalla UE. Decisioni di adeguatezza di Paesi terzi della Commissione UE. Trasferimenti di dati in assenza di decisioni di adeguatezza: casi e salvaguardie. Le clausole standard e altri strumenti contrattuali. Norme vincolanti per i gruppi imprenditoriali. Il “Privacy Shield” tra UE e USA. Il ruolo di certificazioni e codici di condotta. Deroghe in specifiche situazioni. Il regime sanzionatorio per violazione delle regole sui trasferimenti. 

RECLAMI, RICORSI, SANZIONI E RESPONSABILITA’
4 ore – Trainer: Avv. Floriana Francesconi
I reclami al Garante: ordinari o relativi all’esercizio dei diritti. Il ricorso all’Autorità Giudiziaria. Sanzioni amministrative (Centri di imputazione giuridica delle sanzioni; Le sanzioni amministrative non pecuniarie; Criteri per la commisurazione delle sanzioni amministrative pecuniarie; Le sanzioni verso i gruppi imprenditoriali; Impugnazione dei provvedimenti del Garante). Responsabilità civile ( La responsabilità di Titolari e Responsabili, La responsabilità degli autorizzati ex art. 29 GDPR, La responsabilità del Rappresentante stabilito in UE, La responsabilità del DPO – Responsabile della Protezione dei Dati, La responsabilità di altri soggetti). Sanzioni Penali (Centri di imputazione giuridica della responsabilità penale; L’illecito trattamento di dati ex art. 167 D.Lgs. 196/2003; La comunicazione o diffusione illecita di dati ex art. 167-bis D.Lgs. 196/2003; L’acquisizione fraudolenta di dati ex art. 167-ter D.Lgs. 196/2003; Gli altri delitti privacy (artt. 168-171 D.Lgs. 196/2003); La disciplina del “quasi ne bis in idem”).

PROTEZIONE DEI DATI PERSONALI NEL CONTESTO DI LAVORO ED APPLICAZIONI PRATICHE
8 ore – Trainer: Avv. Luca Bolognini, Avv. Floriana Francesconi 
I legittimi interessi e altre basi giuridiche nel trattamento dei dati dei lavoratori. Profili privacy e relazione con salute e sicurezza negli ambienti di lavoro. Sorveglianza sanitaria. Controllo a distanza del lavoratore. Videosorveglianza.. Controlli su posta elettronica e Internet. Uso di dati biometrici sul luogo di lavoro. Intranet e altri strumenti in uso al lavoratore (es. auto aziendali, carte elettroniche). Il BYOD (Bring Your Own Device). Investigazioni sui lavoratori e controlli meramente difensivi.
ESERCITAZIONI E SIMULAZIONI IN AULA SU: Audit, MOP, Mappatura,  DPIA e notifiche al garante.