PROGRAMMA

Prima parte

Evento di presentazione del corso 

1. Introduzione. Disciplina generale. Dalla Convenzione 108 al Regolamento UE del 2016 
1.1. La Convenzione 108
1.2. Il dato personale e il relativo trattamento
1.3. Rapporto tra Regolamento europeo 2016/679 e normativa nazionale
1.4. Il D. Lgs. 196/2003 così come modificato dal D.Lgs. 101/2018

2. Ambito di applicazione (art. 2 Reg.) 
2.1. I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’Unione
2.2. i trattamento per finalità esclusivamente personali o domestiche
2.3. Finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016)
2.4. Trattamento dei dati personali da parte delle autorità giurisdizionali e l’inopportunità del controllo dell’autorità Garante
2.5. Rapporto tra direttiva data protection e responsabilità degli intermediari della società dell’informazione
2.6. Trattamenti di dati di persona fisica identificata o identificabile
2.6.1. Disciplina per il trattamento dei dati sensibili (dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona) (art. 9)
2.6.2. Trattamento di dati giudiziari (penali)
2.6.3. La pseudonimizzazione e la ragionevole possibilità di individuazione dell’interessato dei dati pseudoanonimi
2.6.4. I dati personali di persona deceduta

3. Ambito territoriale di applicazione (art. 3) 
3.1. Titolare nel territorio EU
3.2. Interessato nel territorio EU
3.3. Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione 

4. I principi generali del Regolamento 
4.1. Principio di liceità
4.1.1. Prestazione del consenso
4.1.1.1. Il consenso (inequivocabile)
4.1.1.1.1. Silenzio, l'inattività o la preselezione di caselle
4.1.1.1.2. Modalità di acquisizione del consenso
4.1.1.2. Caratteristica del consenso informato
4.1.1.3. Condizioni per il consenso
4.1.1.3.1. Dimostrazione della prestazione del consenso
4.1.1.3.2. Revoca del consenso e informazione preventiva
4.1.1.3.3. Libera prestazione del consenso
4.1.1.4. Elementi minimi: indicazione del titolare del trattamento e delle finalità del trattamento
4.1.1.5. Consenso dei minori di anni 16 nella società dell’informazione
4.1.1.6. Trattamento e consenso al trattamento in ambito sanitario
4.1.2. Trattamento necessario per adempiere a contratto
4.1.3. Trattamento necessario per obbligo di legge
4.1.4. Trattamento necessario per salvaguardia interessi vitali dell’interessato o di altra persona fisica
4.1.5. Trattamento necessario per l’esecuzione di un compito di interesse pubblico
4.1.6. Trattamento necessario per il perseguimento del legittimo interesse
4.2. Principio di correttezza
4.3. Principio di trasparenza
4.4. Principio di pertinenza
4.5. Principio di necessità

5. Il consenso 
5.1. Caratteristica del consenso
5.1.1. Elementi minimi: indicazione del titolare del trattamento e delle finalità del trattamento 
5.2. Modalità di acquisizione del consenso
5.3. Silenzio, l'inattività o la preselezione di caselle
5.4. Trattamento e consenso al trattamento in ambito sanitario
5.5. Le deroghe al consenso: le Linee guida EDPB 5/2020
5.6. Le linee guida sui cookie

6. L’informativa 
6.1. Informazioni da fornire quando i dati personali sono raccolti presso l’interessato
6.2. Informazioni da fornire quando i dati personali non siano raccolti presso l’interessato

7. L’interessato e i suoi diritti 
7.1. Trasparenza e modalità
7.1.1. Forma scritta / forma orale solo se richiesto dall’interessato
7.2. Diritto all’aggiornamento dei dati
7.3. Diritto alla cancellazione (diritto all’oblio)
7.3.1 Condizioni
7.4. Diritto di limitazione del trattamento
7.5. Diritto alla portabilità dei dati
7.6. Diritto di opposizione
7.7. Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione
7.8. Gli orientamenti della CEDU in materia 

8. Il Titolare del trattamento 
8.1. Responsabilità
8.2. Contitolari

9. Il Responsabile del trattamento 
9.1. Il responsabile del trattamento e la designazione di altri responsabili del trattamento
9.2. Le Linee guida 7/2020 EDPB

10. Il Data Protection Officer - Responsabile della protezione dei dati 
10.1. Chi è il DPO?
10.1.1. Come viene designato
10.1.1.1. Il DPO dipendente
10.1.1.2. Il DPO con contratto di servizi
10.1.2. Quali sono le caratteristiche del DPO
10.1.2.1. Indipendenza
10.1.2.2. Formazione
10.1.2.3. Assenza di conflitto di interessi
10.1.2.4. Risorse umane e finanziarie
10.2. Quando è obbligatorio nominare il DPO
10.2.1. PA (tranne uffici giudiziari)
10.2.2. Tutti i soggetti la cui attività principale consista in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati
10.2.3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. 
10.2.4. Altre ipotesi previste da norme comunitarie o nazionali (art. 37, comma 4)
10.3. Quando è facoltativo nominare il DPO
10.3.1. Titolare del trattamento o responsabile del trattamento possono comunque designare un Responsabile della protezione dei dati anche qualora non sia obbligatorio
10.4. La comunicazione dei dati del DPO all’Autorità di controllo
10.5. L’assegnazione delle risorse finanziarie necessarie al DPO per svolgimento dei suoi compiti e per il suo aggiornamento professionale
10.6. Il segreto e la riservatezza che incombe sul DPO
10.7. I conflitti di interesse del DPO per altre funzioni eventualmente svolte
10.8. I compiti del DPO
10.8.1. Informare e consigliare
10.8.2. Verificare attuazione e applicazione del regolamento
10.8.3. Fornire pareri sulla valutazione d’impatto
10.8.4. Fungere da punto di contatto per gli interessati
10.8.5. Fungere da punto di contatto per il Garante

11. Registri delle attività di trattamento 
11.1. Registro delle attività di trattamento (titolare)
11.2. Registro delle categorie di attività relativa al trattamento (responsabile)
11.3. I registri semplificati del Garante per le PMI

Seconda Parte

12. La sicurezza nel trattamento dei dati personali - parte 1 
12.1. La metodologia risk-based e l’analisi del rischio
12.2. Tecniche per assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento 
12.3. Il ripristino dei dati in caso di incidente fisico o tecnico
12.4. Sistemi per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche 

13. La sicurezza nel trattamento dei dati personali - parte 2 
13.1. Tecniche di pseudoanonimizzazione
13.2. La cifratura
13.3. Le misure di sicurezza nella P.A.

14. Aspetti introduttivi sulle certificazioni 

15. Normative ISO e Privacy 
15.1. Introduzione alle normative ISO sulla sicurezza
15.2. Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 - Information security management systems;
15.3. Il concetto di sistema informativo in relazione alla Privacy
15.4. Approfondimento su architetture per paradigmi Privacy-by-Design e Security-by-Design;
15.5. Processi per il monitoraggio del rispetto degli adempimenti Privacy in tutto il ciclo di sviluppo ed esercizio dei sistemi informativi;
15.6. Processi per il monitoraggio dell’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati;
15.7. Audit e sicurezza informatica: verifica dei documenti e verifica sul campo

16. Notifica di data breach 
16.1. Riconoscere la natura del data breach
16.2. Documentazione del data breach
16.3. L’importanza della cifratura ai fini della notifica del data breach

17. Data protection by design and by default
17.1. Definizione e inquadramento
17.2. La Privacy by Design (PbD)
17.3. Lo scenario internazionale sulla Privacy by Design (PbD)

18. La valutazione d'impatto sulla protezione dei dati  
18.1. Quando farla
18.2. Come farla
18.3. Codici di condotta e valutazione d’impatto
18.4. La consultazione preventiva per i trattamenti che, in base alla valutazione d’impatto, evidenzino un rischio elevato
18.5. Integrazione del regolamento europeo con il D.Lgs. 231/01 e la responsabilità degli enti

19. I codici di condotta (art. 40) 
19.1. Il contenuto dei codici di condotta
19.2. La predisposizione dei codici di condotta
19.3. Monitoraggio dei codici di condotta
19.4. Compiti dell’autorità di controllo
19.5. Organismi di monitoraggio dei codici di condotta
19.5.1. Ambito di applicazione
19.5.2. Caratteristiche dell’organismo di monitoraggio
19.5.3. Accreditamento
19.5.4. Revoca dell’accreditamento

20. Meccanismi di certificazione (art. 42) 
20.1. Facoltatività
20.2. Effetti della certificazione
20.3. Soggetti certificanti
20.4. Durata della certificazione

21. Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali 
21.1. Presupposti e condizioni
21.2. Clausole contrattuali standard (SCC)
21.3. Le norme vincolanti d’impresa - Binding corporate rules (BCR)
21.4. Comitato europeo per la protezione dei dati (EDPB) e European Data Protection Supervisor (EDPS)

22. Autorità di controllo indipendenti 
22.1. Istituzione, competenza, compiti e poteri
22.2. L’attività ispettiva

23. Mezzi di ricorso, responsabilità e sanzioni 
23.1. Il reclamo a un’autorità di controllo
23.2. Il ricorso giurisdizionale effettivo
23.2.1. Nei confronti dell’autorità di controllo
23.2.2. Nei confronti del titolare o del responsabile del trattamento
23.2.3. Il procedimento
23.3. L’azione di responsabilità
23.4. Condizioni generali per le sanzioni 
23.4.1. Sanzioni amministrative
23.4.2. Sanzioni penali

24. Gli accertamenti ispettivi e la collaborazione con la GdF 

25. Trattamento dei dati in giudizio e per finalità difensive 
25.1. Deontologia
25.2. Normativa in materia di indagini difensive
25.3. Trattamento dei dati da parte di investigatori privati

26. Protezione dei dati personali e rapporti di lavoro 

27. Protezione dei dati personali e trasparenza PA e accessibilità dei documenti pubblici 
27.1. Dalla 241/90 al D.Lgs. 97/2016 l’evoluzione della trasparenza nell’Ordinamento italiano
27.2. Il D.Lgs. 33/2013 e l’accessibilità totale
27.3. Accesso civico e accesso civico generalizzato (FOIA)
27.4. Open data e riutilizzo (art. 7, D.Lgs. 33/2013) anche alla luce delle recenti linee-guida dell’ANAC
27.5. Bilanciamento tra obblighi di trasparenza (art. 7-bis, D.Lgs. 33/2013) e protezione dei dati personali

28. Protezione dei dati personali in ambito sanitario 
28.1. Dossier Sanitario Elettronico (DSE) e Fascicolo Sanitario Elettronico (FSE)
28.2. Clinical Trial Regulation (CTR)
28.3. Consenso “dematerializzato”

29. I crimini informatici 

30. Intelligenza Artificiale e privacy 

31. Minori e uso consapevole delle risorse digitali 

Obiettivi formativi
Il Regolamento europeo n. 679/2016 ha riformato la disciplina europea sulla protezione dei dati personali sostituendo la Direttiva 95/46/CE e, pur essendo in vigore dal 24/5/2016, la sua applicazione è stata differita al 25/5/2018.
Il Regolamento citato introduce, fra l’altro, la figura del Responsabile della protezione dei dati (Data Protection Officer – DPO), figura di riferimento per la PA e le aziende in materia di protezione dei dati personali.
Il corso costituisce un percorso di formazione per affrontare il tema della protezione dei dati personali e per approfondire il ruolo e i compiti previsti per questa nuova figura del Responsabile della protezione dei dati.
Ci si propone, quindi, di fornire una preparazione di tipo specialistico, sotto il profilo teorico-metodologico ed applicativo, in materia di diritto alla protezione dei dati personali, sicurezza informatica, sistemi di comunicazione e ICT (Information and Communication Technologies – Tecnologie della informazione e della comunicazione) rispetto al contesto normativo nazionale, comunitario ed internazionale al fine di formare i Responsabili della Protezione dei Dati (DPO). 
Il corso si articola in lezioni e studio individuale.
Durante le lezioni via Webinar sono previste delle verifiche secondo quanto previsto dalle FAQ del CNF.
Inoltre, sono previste verifiche periodiche di accertamento delle competenze che vengono via via acquisite.
Il corso si conclude con una prova finale.

La frequenza è obbligatoria.