Corso avanzato GDPR

1 Giornata – Lezione introduttivaAnalisi dei principali adempimenti che impattano sull’attività del DPO così come interpretate e applicate dall’EDPB dal Garante Italiano e dai Garanti Europei.
Situazioni di incompatibilità del DPO – analisi delle relative decisioni dei Garanti EuropeiLa definizione dei ruoli alla luce delle Linee Guida dell’EDPB 7/2020Il principio di liceità e approfondimento sul “consenso” come base giuridica valida per il trattamento datiApproccio basato sul rischio e misure di accountability: analisi della problematica dal punto di vista del DPOL’applicazione del principio della privacy by design e privacy by default2 Giornata – Le attività del DPO Strumenti operativi: nomina, regolamento, procedure operative, collegamento con le funzioni aziendali, piano di lavoro (attività in carico, ruolo di eventuali esperti, budget, ecc.)Il Registro dei trattamentiAudit e controlli: Vantaggi e finalità dell’attività di audit nel contesto del GDPR, pianificazione, programmazione, esecuzione e valutazione di audit di conformità legislativa e sul sistema di gestione della privacyLa gestione delle azioni correttive e di mitigazione dei rischi.Il controllo sui fornitori analisi della problematica e soluzioni operativeLa relazione annuale del DPOCase Study e laboratorio: gestione di un audit presso l’ufficio delle risorse umane
3 Giornata – La gestione del “DATA BREACH”Inquadramento sostanziale: cos’è un Data Breach alla luce della normativaUno sguardo all’Europa: Linee guida in materia di notifica delle violazioni di dati personali (data breach notification) – WP250, l’approccio dell’ENISA (European Union Agency for Network and Information Security) e dei Garanti UE.Gli elementi per la gestione di un data breach internamente in azienda:
misure messe in atto per ridurre la probabilità che avvenga un evento,procedura per la gestione del data breach, proposte operative e modelli da utilizzareil registro delle violazioniEsame di un caso pratico:
analisi e applicazione di una procedura di data breach in aziendala notifica al Garanteesempi di modalità di comunicazione all’interessatoIl “dopo Data Breach”: le azioni correttive Il piano di miglioramentoCriticità ed errori da evitare.
4 Giornata – Valutazione di impatto Inquadramento sostanziale: cos’è la valutazione d’impatto alla luce della normativaRegistro dei trattamenti: strumento indispensabile alla analisi dei rischiIl concetto di rischio nell’ambito della Privacy: le famiglie di rischiAnalisi dei rischi e Privacy Impact Assessment (PIA): differenze e punti in comuneL’individuazione dei rischi privacy e degli eventi connessi: tecniche e metodologieEsame di un caso pratico: realizzazione di un progetto di social media targetingAnalisi della normativa di riferimentoDocumentazione delle analisi dei rischi e della PIA
5 Giornata – Le violazioni da GDPR: strumenti di tutele e ruolo di DPOL’apparato sanzionatorio alla luce dei casi e principali provvedimenti dei Garanti UE: esame casiI poteri ispettivi del GaranteCome prepararsi ad una ispezione del GaranteCome comportarsi durante un’ispezione: cosa fare e non fare.La conclusione di un’ispezione ed eventuali strumenti di tutela e impugnazioneLe responsabilità da risarcimento danni del TitolareLaboratorio pratico: conduzione di un’ispezione
6 Giornata – Il trasferimento dei dati extra UECosa si intende per “trasferimento di dati”Le modalità di trasferimento dei dati extra SEE previsti dal GDPRImpatto della decisione Schrems II sul trasferimento dati/il rapporto con stati terzi e relativi suggerimenti EDPB in materia“Nuove Standard Contractual Clauses”Rapporti UE – UK lato data protection post Brexit