PROGRAMMA

Prima Parte

Evento di presentazione del corso (Avv. Carolina Scarano - Avv. Gianluca Ursitti - Avv. Nicola Fabiano)

1. Introduzione. Disciplina generale. Dalla Convenzione 108 al Regolamento UE del 2016 (Avv. Nicola Fabiano)
1.1. La Convenzione 108
1.2. Il dato personale e il relativo trattamento
1.3. Rapporto tra Regolamento europeo 2016/679 e normativa nazionale
1.4. Il D. Lgs. 196/2003 così come modificato dal D.Lgs. 101/2018

2. Ambito di applicazione (art. 2 Reg.) (Avv. Luca Bolognini)
2.1. I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’Unione
2.2. i trattamento per finalità esclusivamente personali o domestiche
2.3. Finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016)
2.4. Trattamento dei dati personali da parte delle autorità giurisdizionali e l’inopportunità del controllo dell’autorità Garante
2.5. Rapporto tra direttiva data protection e responsabilità degli intermediari della società dell’informazione
2.6. Trattamenti di dati di persona fisica identificata o identificabile
2.6.1. Disciplina per il trattamento dei dati sensibili (dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona) (art. 9)
2.6.2. Trattamento di dati giudiziari (penali)
2.6.3. La pseudonimizzazione e la ragionevole possibilità di individuazione dell’interessato dei dati pseudonimi
2.6.4. I dati personali di persona deceduta

3. Ambito territoriale di applicazione (art. 3) (Avv. Luca Bolognini)
3.1. Titolare nel territorio EU
3.2. Interessato nel territorio EU
3.3. Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione

4. I principi generali del Regolamento (Prof. Giovanni Ziccardi)
4.1. Principio di liceità
4.1.1. Prestazione del consenso
4.1.1.1. Il consenso (inequivocabile)
4.1.1.1.1. Silenzio, l'inattività o la preselezione di caselle
4.1.1.1.2. Modalità di acquisizione del consenso
4.1.1.2. Caratteristica del consenso informato
4.1.1.3. Condizioni per il consenso
4.1.1.3.1. Dimostrazione della prestazione del consenso
4.1.1.3.2. Revoca del consenso e informazione preventiva
4.1.1.3.3. Libera prestazione del consenso
4.1.1.4. Elementi minimi: indicazione del titolare del trattamento e delle finalità del trattamento

4.1.1.5. Consenso dei minori di anni 16 nella società dell’informazione
4.1.1.6. Trattamento e consenso al trattamento in ambito sanitario
4.1.2. Trattamento necessario per adempiere a contratto
4.1.3. Trattamento necessario per obbligo di legge
4.1.4. Trattamento necessario per salvaguardia interessi vitali dell’interessato o di altra persona fisica
4.1.5. Trattamento necessario per l’esecuzione di un compito di interesse pubblico
4.1.6. Trattamento necessario per il perseguimento del legittimo interesse
4.2. Principio di correttezza
4.3. Principio di trasparenza
4.4. Principio di pertinenza
4.5. Principio di necessità

5. Il consenso - aspetti introduttivi (Dott.ssa Valentina Grazia Sapuppo)

6. Il consenso (Avv. Rocco Panetta)
6.1. Caratteristica del consenso
6.1.1. Elementi minimi: indicazione del titolare del trattamento e delle finalità del trattamento
6.2. Modalità di acquisizione del consenso
6.3. Silenzio, l'inattività o la preselezione di caselle
6.4. Trattamento e consenso al trattamento in ambito sanitario
6.5. Le deroghe al consenso: le Linee guida EDPB 5/2020
6.6. Le linee guida sui cookie

7. L’informativa (Avv. Ugo Carlo Di Nicolò)
7.1. Informazioni da fornire quando i dati personali sono raccolti presso l’interessato
7.2. Informazioni da fornire quando i dati personali non siano raccolti presso l’interessato

8. L’interessato e i suoi diritti (Avv. Filippo Bianchini)
8.1. Trasparenza e modalità
8.1.1. Forma scritta / forma orale solo se richiesto dall’interessato
8.2. Diritto all’aggiornamento dei dati
8.3. Diritto alla cancellazione (diritto all’oblio)
8.3.1. Condizioni
8.4. Diritto di limitazione del trattamento
8.5. Diritto alla portabilità dei dati
8.6. Diritto di opposizione
8.7. Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione
8.8. Gli orientamenti della CEDU in materia

9. Il Titolare del trattamento (Dott.ssa Anna Pouliou)
9.1. Responsabilità
9.2. Contitolari

10. Il Responsabile del trattamento (Dott.ssa Anna Pouliou)
10.1. Il responsabile del trattamento e la designazione di altri responsabili del trattamento
10.2. Le Linee guida 7/2020 EDPB

11. Il Data Protection Officer - Responsabile della protezione dei dati (Prof. Pierluigi Perri)
11.1. Chi è il DPO?
11.1.1. Come viene designato
11.1.1.1. Il DPO dipendente
11.1.1.2. Il DPO con contratto di servizi
11.1.2. Quali sono le caratteristiche del DPO
11.1.2.1. Indipendenza
11.1.2.2. Formazione
11.1.2.3. Assenza di conflitto di interessi
11.1.2.4. Risorse umane e finanziarie
11.2. Quando è obbligatorio nominare il DPO
11.2.1. PA (tranne uffici giudiziari)
11.2.2. Tutti i soggetti la cui attività principale consista in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati
11.2.3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
11.2.4. Altre ipotesi previste da norme comunitarie o nazionali (art. 37, comma 4)
11.3. Quando è facoltativo nominare il DPO
11.3.1. Titolare del trattamento o responsabile del trattamento possono comunque designare un Responsabile della protezione dei dati anche qualora non sia obbligatorio
11.4. La comunicazione dei dati del DPO all’Autorità di controllo
11.5. L’assegnazione delle risorse finanziarie necessarie al DPO per svolgimento dei suoi compiti e per il suo aggiornamento professionale
11.6. Il segreto e la riservatezza che incombe sul DPO
11.7. I conflitti di interesse del DPO per altre funzioni eventualmente svolte
11.8. I compiti del DPO
11.8.1. Informare e consigliare
11.8.2. Verificare attuazione e applicazione del regolamento
11.8.3. Fornire pareri sulla valutazione d’impatto
11.8.4. Fungere da punto di contatto per gli interessati
11.8.5. Fungere da punto di contatto per il Garante

12. Registri delle attività di trattamento (Dott. Fabio Giuseppe Ferrara)
12.1. Registro delle attività di trattamento (titolare)
12.2. Registro delle categorie di attività relativa al trattamento (responsabile)
12.3. I registri semplificati del Garante per le PMI

13. Riepilogo parte prima

14. Esercitazione

Seconda Parte

15. La sicurezza nel trattamento dei dati personali - parte 1 (Prof. Stefano Zanero)
15.1. La metodologia risk-based e l’analisi del rischio
15.2. Tecniche per assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
15.3. Il ripristino dei dati in caso di incidente fisico o tecnico
15.4. Sistemi per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche

16. La sicurezza nel trattamento dei dati personali - parte 2 (Prof. Corrado Giustozzi)
16.1. Tecniche di pseudonimizzazione
16.2. La cifratura
16.3. Le misure di sicurezza nella P.A.

17. Aspetti introduttivi sulle certificazioni (Dott. Franco Fontana)

18. Normative ISO e Privacy (Prof. Ing. Giulio Destri)
18.1. Introduzione alle normative ISO sulla sicurezza
18.2. Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 - Information security management systems;
18.3. Il concetto di sistema informativo in relazione alla Privacy
18.4. Approfondimento su architetture per paradigmi Privacy-by-Design e Security-by-Design;
18.5. Processi per il monitoraggio del rispetto degli adempimenti Privacy in tutto il ciclo di sviluppo ed esercizio dei sistemi informativi;
18.6. Processi per il monitoraggio dell’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati;
18.7. Audit e sicurezza informatica: verifica dei documenti e verifica sul campo

19. Notifica di data breach (Dott.ssa Nadia Arnaboldi)
19.1. Riconoscere la natura del data breach
19.2. Documentazione del data breach
19.3. L’importanza della cifratura ai fini della notifica del data breach

20. Data protection by design and by default (Avv. Nicola Fabiano)
20.1. Definizione e inquadramento
20.2. La Privacy by Design (PbD)
20.3. Lo scenario internazionale sulla Privacy by Design (PbD)

21. La valutazione d'impatto sulla protezione dei dati (Avv. Vincenzo Colarocco)
21.1. Quando farla
21.2. Come farla
21.3. Codici di condotta e valutazione d’impatto
21.4. La consultazione preventiva per i trattamenti che, in base alla valutazione d’impatto, evidenzino un rischio elevato
21.5. Integrazione del regolamento europeo con il D.Lgs. 231/01 e la responsabilità degli enti

22. I codici di condotta (art. 40) (Avv. Alessio Pellegrino)
22.1. Il contenuto dei codici di condotta
22.2. La predisposizione dei codici di condotta
22.3. Monitoraggio dei codici di condotta
22.4. Compiti dell’autorità di controllo
22.5. Organismi di monitoraggio dei codici di condotta
22.5.1. Ambito di applicazione
22.5.2. Caratteristiche dell’organismo di monitoraggio
22.5.3. Accreditamento
22.5.4. Revoca dell’accreditamento

23. Meccanismi di certificazione (art. 42) (Com. Riccardo Bianconi)
23.1. Facoltatività
23.2. Effetti della certificazione
23.3. Soggetti certificanti
23.4. Durata della certificazione

24. Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali (Dott. Luigi Montuori)
24.1. Presupposti e condizioni
24.2. Clausole contrattuali standard (SCC)
24.3. Le norme vincolanti d’impresa - Binding corporate rules (BCR)
24.4. Comitato europeo per la protezione dei dati (EDPB) e European Data Protection Supervisor (EDPS)

25. Autorità di controllo indipendenti (Avv. Nicola Fabiano)
25.1. Istituzione, competenza, compiti e poteri
25.2. L’attività ispettiva

26. Mezzi di ricorso, responsabilità e sanzioni (Avv. Filippo Bianchini)
26.1. Il reclamo a un’autorità di controllo
26.2. Il ricorso giurisdizionale effettivo
26.2.1. Nei confronti dell’autorità di controllo
26.2.2. Nei confronti del titolare o del responsabile del trattamento
26.2.3. Il procedimento
26.3. L’azione di responsabilità
26.4. Condizioni generali per le sanzioni
26.4.1. Sanzioni amministrative
26.4.2. Sanzioni penali

27. Gli accertamenti ispettivi e la collaborazione con la GdF (Col. Marco Menegazzo)

28. Trattamento dei dati in giudizio e per finalità difensive (Avv. Carla Secchieri)
28.1. Deontologia
28.2. Normativa in materia di indagini difensive
28.3. Trattamento dei dati da parte di investigatori privati

29. Protezione dei dati personali e rapporti di lavoro (Prof. Avv. Marco Martorana)

30. Protezione dei dati personali e trasparenza PA e accessibilità dei documenti pubblici (Prof. Avv. Marco Mancarella)
30.1. Dalla 241/90 al D.Lgs. 97/2016 l’evoluzione della trasparenza nell’Ordinamento italiano
30.2. Il D.Lgs. 33/2013 e l’accessibilità totale
30.3. Accesso civico e accesso civico generalizzato (FOIA)
30.4. Open data e riutilizzo (art. 7, D.Lgs. 33/2013) anche alla luce delle recenti linee-guida dell’ANAC
30.5. Bilanciamento tra obblighi di trasparenza (art. 7-bis, D.Lgs. 33/2013) e protezione dei dati personali

31. Protezione dei dati personali in ambito sanitario (Dott.ssa Silvia Melchionna)
31.1. Dossier Sanitario Elettronico (DSE) e Fascicolo Sanitario Elettronico (FSE)
31.2. Clinical Trial Regulation (CTR)
31.3. Consenso “dematerializzato”

32. I crimini informatici (Prof. Avv. Paolo Galdieri)
33. Protezione dei dati personali e marketing (Dott. Matteo Colombo)
34. Intelligenza Artificiale e privacy (Dott. Riccardo Acciai)
35. Minori e uso consapevole delle risorse digitali (Avv. Floriana Tagliaferro)