Corso di Formazione in Data Protection Officer

Modulo 1
Il GDPR 679/2016, la protezione dei dati personali e la figura del Data Protection Officer:Le origini e gli sviluppi del concetto di protezione dei dati personali come diritto irrinunciabile di ogni persona fisica;Il GDPR 679/2016: la transizione tra il d.lgs. 196/2003 e il GDPR 679/2016 e le principali novità rispetto alla precedente norma;Com’è strutturato il Regolamento e come si legge;Di cosa si occupa il Regolamento Art.1;Esecuzione del Regolamento, norme abrogate e norme che rimangono Art.94/99;Principi, definizioni e campo di applicazione Art. 2/11; Le figure richieste dal Regolamento art. 24/27/28/29;La formazione Art.29;I diritti degli interessati Art.15/23;La profilazione Art. 21/23;Il principio di accountability;Le novità introdotte dall’art. 25 del GDPR (Pseudonimizzazione dei dati; Minimizzazione dei dati; Randomizzazione;Anonimizzazione; case study)I registri del trattamento art.30Le misure di sicurezza e l’analisi dei rischi Art. 32;Il meccanismo del "one- stop shop”;La liceità del trattamento;La pseudonimizzazione dei dati: cosa è e a cosa serve;La base giuridica necessaria al trattamento;La nuova informativa;La privacy by design e by default le misure di sicurezza;Data breach, la notificazione delle violazioni;Il trasferimento extra UE dei dati, le sanzioni;L’autorità di controllo;Le sanzioni;La figura del Data Protection Officer: compiti e responsabilità; Chi è il DPO; l’Ufficio del DPO (Team organizzato per settori/ambiti territoriali)Chi deve designare il DPO;Le competenze del DPO e il suo ruolo nelle organizzazioni; I compiti assegnati al DPO dal Regolamento Art.39. La responsabilità del DPO

Modulo 2
La protezione dei dati personali e la casistica ricorrente:Analisi impatto privacy: casi pratici;Informativa e consenso;Profilazione ed impatto GDPR sul marketing aziendale;Organigramma privacy: data controller, data processor, contitolari, addetti al trattamento; DPO (requisiti, funzioni, poteri e responsabilità);Ruolo compiti e responsabilità: consigli su organizzazione aziendale; Verifiche ed audit;Codici di condotta e certificazioni;
Ruolo, compiti e poteri dell’Autorità Garante per la protezione dati personali; L’impatto del Regolamento Europeo sulla responsabilità;Le responsabilità: civili e risarcimento del danno non patrimoniale (casistica giurisprudenziale); Le responsabilità penali;Le sanzioni dal codice della privacy al GDPR (amministrative);Trasferimenti di dati all’estero: Binding Corporate Rules, Clausole standard UE e altri strumenti; Privacy e finalità difensive;Informazioni commerciali su insoluti e protesti e sulla solvibilità dei clienti.Gruppo di lavoro Articolo 29 (“WP29”) parere n. 1/2017 WP247 _ Garante Europeo per la protezione dei dati (“GEPD”) parere n. 6/2017 e analisi delle fonti ordinistiche.Gestione delle controversie derivanti dalla violazione della normativa privacy- l’istituto della mediazione civile.

Modulo 3
Trend del mercato del lavoro ed evoluzione del ruolo del DPO all’interno dell’organizzazioneLa protezione dei dati personali nell’ambito dei rapporti di lavoroIl diritto alla riservatezza dei lavoratori: dai principi costituzionali e allo Statuto dei lavoratori; Protezione della privacy del lavoratore nel diritto comunitario;Dal “diritto alla riservatezza” al “diritto alla protezione dei dati personali”: il vigente quadro normativo;Il rapporto fra lo Statuto dei lavoratori e la nuova normativa sulla privacy;La procedimentalizzazione del trattamento dei dati personali da parte del datore di lavoro;La tutela nella fase pre-assuntiva: l’acquisizione delle informazioni sul lavoratore (o candidato), i questionari e i test attitudinali;Gli strumenti di rilevazione degli accessi e delle presenze;Cedolino paga: soluzioni operative a tutela dei dati personali in esso contenuti;Il bilanciamento tra controllo del datore di lavoro e tutela della dignità e riservatezza del lavoratore:Le novità del Jobs Act (richiamo aggiornamenti successivi);Tutela del patrimonio aziendale e controlli difensivi: legittimità dei controlli occulti nella giurisprudenza più recente;Sul controllo dei lavoratori a mezzo di agenzie investigative - Sulla legittimità delle registrazioni sui luoghi di lavoroDiritti del datore e diritto di difesa e di critica del lavoratore: controlli e responsabilità nella giurisprudenza più recente.Le linee guida dettate dall’Autorità garante per la protezione dei dati personali;La malattia tra privacy del lavoratore e accertamenti sanitari;I controlli sull’abuso di alcol e di sostanze stupefacenti;Posta elettronica e reti informatiche aziendali;Controllo a distanza e social network;Lo smart working: la clausole sulla riservatezza;Il principio di correttezza e la “decadenza” dal diritto alla privacy; L’utilizzabilità delle prove raccolte in violazione della disciplina sulla privacy;
Modulo 4
La protezione dei dati personali nell’ambito della Videosorveglianza e Geolocalizzazione:Il dato personale;Le immagini;Il trattamento delle riprese video;Le figure privacy;Il DPO nei confronti della videosorveglianza (parte tecnica);I principi privacy;L'informativa privacy e i cartelli sulla videosorveglianza;Lavoratori e controllo a distanza (parte tecnica);Principali sanzioni amministrative;Tutela Privacy e Frodi Tecnologiche ;Esempi delle principali casistiche;Come e dove installare telecamere nei condomini;Telecamere negli asili;Telecamere e violazioni della Privacy;ABC delle misure di sicurezza applicate alla videosorveglianza;Telecamere intelligenti e droni;Telecamere finte e veri problemi legali/giudiziari;La responsabilità dell’installatore.Case study: DPO negli studi professionali
Modulo 5 |Sistemi di gestione, monitoraggi e controlli ISO 27001
La ISO 9001/2015 e le principali novitàL’analisi e la valutazione dei rischi nei sistemi di gestione e la gestione dei rischi relativi alla privacy secondo ISO IEC 29100SICUREZZA E APPROCCIO BASATO SUL RISCHIO (Misure di sicurezza: dalle misure minime e idonee a quelle adeguate; L’analisi del rischio per la determinazione delle misure di sicurezza da adottare; Metodologia ENISA per la sicurezza della gestione dell’informazione; Misure di sicurezza negli standard ISO 27001, ISO 27002, case study) DR. GIUSEPPE D’ACQUISTO FUNZIONARIO DIRETTIVO- Garante per la Protezione dei Dati PersonaliL’integrazione del sistema di gestione della protezione dei dati personali nel sistema ISO 9001:2005 ed ISO/ IEC 27001:2013, i controlli per la protezione dei dati secondo ISO/IEC 29151La ISO IEC 27001 – Sistema di Gestione della Sicurezza delle Informazioni: gli obiettivi di un SGSI; Integrazione del SGSI con gli altri sistemi di gestione (SGQ) e identificazione del perimento;Pianificazione del SGSI: definizione del contesto, obiettivi, identificazione e trattamento rischi, identificazione controlli applicabili secondo ISO IEC 27002; Implementazione del SGSI: attuazione dei controlli;I controlli per la sicurezza fisica ed ambientale;I controlli per la sicurezza logica;I controlli per la gestione delle risorse umane;I controlli per la gestione degli asset aziendali;I controlli per la sicurezza delle attività operative;I controlli per la sicurezza delle comunicazioni;I controlli per la sicurezza nelle relazioni con i fornitori;La gestione degli incidenti;Business Continuity, Dysaster Recovery e Crisis Management, standard di riferimento (ISO 22301, ISO 22313, ISO/IEC 27031, ISO /IEC 24762);Monitoraggio del SGSI: misurazione efficacia controlli;Mantenimento e miglioramento del SGSI; attività di auditing secondo ISO 19011/2012.La certificazione di conformità al GDPR: certificazione di prodotto o di sistema?La certificazione di conformità al GDPR: caratteristiche e modalità di ottenimento della certificazione; I vantaggi della certificazione di conformità al GDPRLe principali differenze tra ISO IEC 27001 e certificazione di conformità al GDPR Come integrare la certificazione di conformità al GDPR in un sistema ISO IEC 27001 La distruzione e cancellazione profonda dei supporti digitali (EN 15713) Lo smaltimento di rifiuti elettrici ed elettroniciReimpiego/riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche.
Modulo 6 La protezione dei dati nella P.A. e la responsabilità amministrativa degli EntiGDPR e Pubblica Amministrazione;Le linee guida del Garante Privacy;Pubblicazione e accesso ai dati;La protezione dei dati personali e il diritto di accesso;L’obbligo di trasparenza della P.A.;Gli open data della P.A. ed il loro utilizzo;Il Modello organizzativo: D.LGS. 231/2001La responsabilità amministrativa delle organizzazioni;I reati presupposto e l’analisi dei rischi;Il Modello Organizzativo e l’Organismo di Vigilanza;Le sanzioni
Modulo 7
FOCUS: DATA PROTECTION IMPACT ASSESSMENT (DPIA): Le novità introdotte dall’art. 35 del GDPR; Il concetto di rischio elevato; Criteri di rischio elevato secondo le linee guida del Gruppo di Lavoro articolo 29 (parere 248 del 4 ottobre 2017; La lista nazionale dei trattamenti per cui la DPIA è obbligatoria)L'attività ispettiva in materia di protezione dei dati personali"FOCUS: GDPR 679/2016 - The right to be forgotten (diritto all'oblio)
Modulo 8 Case study: DPO e strutture mediche.Case study: DPO e settore trasporti e logistica
Modulo 9 Case study: DPO nelle imprese IT
Modulo 10 Case study: DPO, finanza e antiriciclaggio (D.Lgs 231/2007).