CORSO DI FORMAZIONE PER DPO

Programma

1.DISCIPLINA GENERALE. DAL CODICE DEL 2003 AL REGOLAMENTO EUROPEO DEL 2016 Il D.Lgs. 196/2003: principi generali.

Il dato personale e il relativo trattamento. L’informativa e il consenso. Entrata in vigore. Termine di adeguamento. Rapporto tra Regolamento europeo e normative nazionali. Possibili deroghe nella normativa nazionale relativa ai trattamenti delle PMI.

2.D.LGS. APPROVATO IN ESAME PRELIMINARE DAL CONSIGLIO DEI MINISTRI IL 21 MARZO 2018

Legge delega del Parlamento n. 163 del 25 ottobre 2017. Art. 13 L. 163/2017: abrogare le disposizioni del Codice privacy incompatibili con il GDPR - modificare il Codice privacy per dare attuazione alle disposizioni non direttamente applicabili del GDPR - coordinare le disposizioni vigenti con il GDPR - adeguare il sistema sanzionatorio penale e amministrativo vigente del Codice privacy alle disposizioni del GDPR. Schema di Decreto Legislativo del 21 marzo 2018.

3.AMBITO DI APPLICAZIONE E PRINCIPI GENERALI DEL REGOLAMENTO

Il trattamento per finalità esclusivamente personali o domestiche. Titolare nel territorio EU. Interessato nel territorio EU. Principio di liceità. Principio di correttezza. Principio di trasparenza. Principio di pertinenza. Principio di necessità.

4.DIRETTIVA UE 2016/680 - TRATTAMENTI PER FINI DI POLIZIA, GIUSTIZIA E SICUREZZA

I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’unione. Finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016). Trattamento dei dati personali da parte delle autorità giurisdizionali e l’inopportunità del controllo dell’Autorità Garante. Rapporto tra direttiva data protection e responsabilità degli intermediari della società dell’informazione.

5.TIPOLOGIE DI DATI PERSONALI ED ANONIMIZZAZIONE

Trattamenti di dati di persona fisica identificata o identificabile. Disciplina per il trattamento dei dati sensibili (art. 9). Trattamento di dati giudiziari (penali). La pseudonimizzazione e la ragionevole possibilità di individuazione dell’interessato dei dati pseudonimi. I dati personali di persona deceduta.

6.IL CONSENSO

Il consenso (inequivocabile): prestazione del consenso (modalità di acquisizione del consenso; silenzio, l’inattività o la preselezione di caselle) - caratteristica del consenso informato - condizioni per il consenso (dimostrazione della prestazione del consenso; revoca del consenso e informazione preventiva; libera prestazione del consenso) - elementi minimi: indicazione del titolare del trattamento e delle finalità del trattamento - consenso dei minori di anni 16 nella società dell’informazione - trattamento e consenso al trattamento in ambito sanitario. Trattamento necessario per adempiere a contratto. Trattamento necessario per obbligo di legge. Trattamento necessario per salvaguardia interessi vitali dell’interessato o di altra persona fisica. Trattamento necessario per interesse pubblico.

7.L’INTERESSATO E I SUOI DIRITTI

Trasparenza e modalità: forma scritta/forma orale solo se richiesto dall’interessato. Informazioni da fornire quando i dati personali sono raccolti presso l’interessato. Informazioni da fornire quando i dati personali non siano raccolti presso l’interessato. Diritto all’aggiornamento dei dati. Diritto alla cancellazione (diritto all’oblio): condizioni. Diritto di limitazione del trattamento. Diritto alla portabilità dei dati. Diritto di opposizione. Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione. Gli orientamenti della CEDU in materia.

8.FIGURE SOGGETTIVE

Il Titolare del trattamento: responsabilità - contitolari. Il Responsabile del trattamento: il responsabile del trattamento e la designazione di altri responsabili del trattamento - adempimenti, i Registri delle attività di trattamento.

9.IL DATA PROTECTION OFFICER - RESPONSABILE DELLA PROTEZIONE DEI DATI Il DPO:

designazione (il DPO dipendente; il DPO con contratto di servizi) - caratteristiche (indipendenza; formazione; assenza di conflitto di interessi; risorse umane e finanziarie). Quando è obbligatorio nominare il DPO: PA (tranne uffici giudiziari) - soggetti la cui attività principale consista in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati - soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici - altre ipotesi previste da norme comunitarie o nazionali (art. 37, comma 4). Quando è facoltativo nominare il DPO. La comunicazione dei dati del DPO all’Autorità di controllo. L’assegnazione delle risorse finanziarie necessarie al DPO per svolgimento dei suoi compiti e per il suo aggiornamento professionale. Il segreto e la riservatezza che incombono sul DPO. I conflitti di interesse del DPO per altre funzioni eventualmente svolte. I compiti del DPO: informazione e consiglio - verifica attuazione ed applicazione del Regolamento - pareri sulla valutazione d’impatto - punto di contatto per gli interessati - punto di contatto per il Garante.

10.TRASFERIMENTI DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI

Presupposti e condizioni. Le norme vincolanti d’impresa – Binding corporate rules (Bcr).

11.DATA PROTECTION BY DESIGN AND BY DEFAULT

Definizione e inquadramento. La Privacy by Design (PbD). Lo scenario internazionale sulla Privacy by Design (PbD). Architetture per paradigmi Privacy-by-Design e Security-by-Design.

12.SICUREZZA E DATA BREACH

Riconoscere la natura del data breach. Documentazione del data breach. L’importanza della cifratura ai fini della notifica del data breach. Simulare il data breach: penetration test.

13.NORMATIVE TECNICHE INTERNAZIONALI SULLA SICUREZZA

Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 - Information security management systems: concetti di base - analisi dei rischi delle informazioni - pianificazione degli obbiettivi della sicurezza - procedure di controllo operativo - riesame periodico delle attività. Privacy e conduzione di audit: ISO 19011:2011 – Guidelines for auditing management systems: come Pianificare e gestire un audit - concetti di Non conformità - concetti di azioni correttive.

14.ARCHITETTURE IT E SICUREZZA DEI DATI

Le architetture IT per conservazione ed accesso ai dati. Le qualità dell’accesso ai dati. Cosa è l’accesso sicuro ai dati. Tecniche di pseudonimizzazione. La cifratura. Misurare la “forza” della cifratura. Tecniche per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento. Il ripristino dei dati in caso di incidente fisico o tecnico. Architetture e framework standard internazionali (COBIT 5 e ITIL v3).

15.NORMATIVE TECNICHE INTERNAZIONALI SU TESTING E GESTIONE DI SOLUZIONI IT

Sistemi per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche (rif. Etical Hacking). Processi per il monitoraggio del rispetto degli adempimenti Privacy in tutto il ciclo di sviluppo dei sistemi informativi (rif. ISO27001 Annex A). Processi per il monitoraggio dell’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati (rif. ISO27002).

16.LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

Quando farla. Come farla. Valutazione di impatto: introduzione al testing e alle verifiche sul campo. Codici di condotta e valutazione d’impatto. La consultazione preventiva per i trattamenti che, in base alla valutazione d’impatto, evidenzino un rischio elevato. Integrazione del regolamento europeo con il D.Lgs. 231/01 e la responsabilità degli enti.

17.MEZZI DI RICORSO, RESPONSABILITÀ E SANZIONI

Il reclamo a un’autorità di controllo. Il ricorso giurisdizionale effettivo: nei confronti dell’autorità di controllo - nei confronti del titolare o del responsabile del trattamento - il procedimento. L’azione di responsabilità. Condizioni generali per le sanzioni.

18.RIFLESSI DELL’ENTRATA IN VIGORE DEL GDPR NELLE PUBBLICHE AMMINISTRAZIONI