L’applicazione della normativa sulla protezione dei dati personali in azienda: aspetti pratici e operativi.

850,00 + iva

PRESENTAZIONE

Contenuti e obiettivi del Corso

Il corso si presenta come un corso base pratico adatto per fornire un quadro complessivo di come applicare la normativa a tutela dei dati personali, valutando i principali risvolti operativi e le più diffuse problematiche relative alla sua applicazione nei moderni contesti aziendali.

L’approccio didattico adottato consentirà ai partecipanti di apprendere importanti indicazioni pratiche su:

  • gli scenari attuativi del Regolamento 679/2016 a quattro anni dalla sua entrata in vigore;
  • profili pratici degli adempimenti data protection in azienda;
  • la corretta individuazione dei ruoli data protection in azienda;
  • impostazione di politiche del trattamento dei dati personali;
  • quali sono i rischi sanzionatori sul piano sanzionatorio, civilistico e penale.

 

Destinatari del corso

Il workshop è rivolto a tutte le risorse operanti negli Uffici Privacy, Compliance, Affari Legali di imprese e pubbliche amministrazioni, nonchè a tutti i professionisti che si occupano di TMT, IP, ICT, Privacy e Data Protection. Il corso è finalizzato alla formazione di profili junior e nuovi inserimenti, ma può rappresentare una buona occasione per l’aggiornamento dei profili più senior.

Il materiale didattico di supporto all’iniziativa è costituito dalle diapositive realizzate a cura del docente.

Descrizione

Prof. Avv. Alessandro del Ninno:

Professore a contratto di Informatica Giuridica (AMBITO LAVORO) presso la LUISS Guido Carli di Roma. Presso la stessa LUISS Guido Carli è docente di Intelligenza Artificiale, Machine Learning e Diritto. Avvocato, Partner ICT dello Studio Legale Tonucci & Partners (www.tonucci.com). Presidente del Comitato Scientifico dell’Associazione Nazionale per la protezione dei dati personali. Membro e Vicepresidente del Comitato Scientifico dell’Istituto Italiano Privacy. Relatore nell’ambito dei più importanti convegni nazionali e internazionali ove viene frequentemente invitato in qualità di esperto su tematiche legate all’Information & Communication Technology, all’IP e alla Data Protection. In qualità di esperto nelle suddette materie è di frequente consultato e intervistato dai media. Nelle stesse materie è autore di oltre 150 tra libri, trattati, monografie, saggi e articoli.

PRESENTAZIONE

Contenuti del corso

Nel corso del workshop saranno analizzati i principali meccanismi di tutela dei dati personali in azienda.

Obiettivi del Corso

Obiettivo dell’incontro è fornire ai partecipanti una panoramica e degli spunti al fine di conoscere al meglio il trattamento dei dati personali in azienda.

Materiali del corso

Una volta avuto accesso al corso, saranno disponibili delle slides, incluse nel prezzo del corso stesso e scaricabili.

Fino a quando posso accedere al corso?

Dal momento dell’acquisto, puoi accedere al corso per un numero illimitato di volte per un anno.

PROGRAMMA

Introduzione al diritto alla protezione dei dati personali: le fonti normative di riferimento a livello nazionale ed europeo. GDPR e Codice della privacy

  • La normativa sulla protezione dei dati personali: inquadramento delle norme UE e delle legislazioni nazionali in materia di data protection. Cosa è il diritto alla protezione dei dati personali
  • Il Regolamento Generale UE sulla protezione dei dati personali n. 679/2016 (“GDPR”): ambito di applicazione materiale e ambito di applicazione territoriale
  • Rapporti tra GDPR e Codice della privacy italiano: la versione vigente del D. Lgs. 30 Giugno 2003, n. 196 dopo il Decreto Legislativo di coordinamento al GDPR n. 101/2018
  • La normativa di esecuzione delle regole del GDPR e del Codice della privacy italiano: le Linee Guida del Comitato Europeo per la protezione dei dati personali. Le regole deontologiche italiane. I provvedimenti del Garante privacy
  • Le principali definizioni dei concetti privacy nel GDPR e nel Codice della privacy

 

Come impostare un progetto di data protection compliance.

  • Fare in pratica l’analisi del rischio: la portata applicativa degli articoli 5 e 24 del GDPR
  • I Considerando 75 e 76 del GDPR
  • Il rischio di sicurezza: come qualificarlo e gestirlo
  • Le misure organizzative e tecniche: analisi degli articoli 29 e 32 del GDPR

 

I principi generali applicabili a qualsiasi trattamento di dati personali

  • Il principio di liceità, correttezza e trasparenza: risvolti pratici ed organizzativi
  • Il principio di limitazione della finalità: risvolti pratici ed organizzativi
  • Il principio di minimizzazione dei dati: risvolti pratici ed organizzativi
  • Il principio di esattezza dei dati: risvolti pratici ed organizzativi
  • Il principio di limitazione della conservazione dei dati: risvolti pratici ed organizzativi
  • Il principio di integrità e riservatezza dei dati: risvolti pratici ed organizzativi
  • La cosiddetta accountability o “principio della responsabilizzazione”: risvolti pratici ed organizzativi

Le basi di legittimità del trattamento dei dati personali

  • Analisi degli articoli 6, 9 e 10 del GDPR
  • Il trattamento dei dati personali comuni: le sei basi di legittimità del trattamento
  • Il valore del consenso dell’interessato. Analisi dell’art. 7. Il consenso prestato dai minori: prescrizioni e adempimenti pratici
  • Il divieto di trattamento dei dati di particolare natura (“ex sensibili”): deroghe ed eccezioni al divieto ai sensi dell’art. 9 del GDPR
  • Come trattare i dati personali relativi a condanne e reati: l’articolo 2-octies del Codice della privacy e il Regolamento del Ministro della Giustizia
  • Il trattamento dei dati personali delle persone decedute
  • Le ulteriori basi di legittimità previste dal Codice della privacy coordinato al GDPR: analisi degli articoli 2-ter e 2-octies del Codice della privacy.

I soggetti dello scenario data protection

  • Figure, ruoli e responsabilità nell’ambito del trattamento dei dati personali
  • Il Titolare e i Contitolari del trattamento. L’accordo di contitolarità e le politiche del trattamento dei dati personali: analisi degli articoli 24 e 26 del GDPR
  • Il Responsabile del trattamento e i sub-Responsabili. Adempimenti pratici e documentazione delle nomine
  • Le persone autorizzate al trattamento: cautele organizzative e di sicurezza ai sensi degli articoli 29 e 32 del GDPR. Come procedere alle nomine. I “soggetti designati” di cui all’art. 2-quaterdecies del Codice della privacy
  • Il Rappresentante di titolari del trattamento o dei responsabili del trattamento non stabiliti nella UE: quando scatta l’obbligo della sua nomina
  • Il Responsabile della protezione dei dati (Data Protection Officer): presupposti e requisiti dell’obbligo di nomina del DPO. Considerazioni pratiche ed organizzative
  • Il ruolo del DPO in azienda: compiti operativi e posizione nella gerarchia organizzativa
  • Fornitori e consulenti: i ruoli privacy. Una casistica pratica
  • L’interessato: diritti ed obblighi nel trattamento dei dati personali

 

Gli obblighi organizzativi nello scenario data protection

  • Le politiche del trattamento dei dati personali alla luce del principio dell’accountability
  • I principi cc.dd di “privacy by default” e “privacy by design”: la loro implementazione pratica nell’organizzazione produttiva aziendale
  • Gli obblighi di Informativa: analisi pratica degli articoli 12, 13 e 14 del GDPR
  • Come redigere una Informativa conforme al GDPR. Tempistica di rilascio e altri obblighi in materia di informativa sul trattamento dei dati personali
  • Il Registro delle attività di trattamento: quando scatta l’obbligo di redazione e tenuta. Cenni alle modalità di redazione del Registro dei trattamenti
  • La Valutazione di impatto preventiva: presupposti e requisiti dell’obbligo
  • L’elenco dei trattamenti per i quali la DPIA è obbligatoria. Modalità pratica di svolgimento di una DPIA: cenni operativi
  • La consulenza dell’autorità di controllo nel caso di DPIA con esito negativo
  • La Notifica di una violazione dei dati personali all’autorità di controllo: cosa è e come si gestisce una “data breach” o “violazione dei dati personali”
  • Data Breach e obblighi di comunicazione di una violazione dei dati personali all’interessato
  • I codici di condotta ex artt. 40-41 GDPR
  • Le certificazioni ex artt. 42-43 GDPR

 

Il trasferimento dei dati personali al di fuori dello Spazio Economico europeo.

  • Riepilogo di tutte le regole normative, Linee Guida e prassi da tenere presenti nella impostazione delle politiche sul trasferimento dei dati personali

 

Art. 3 GDPR, commi 1 e 2

  • Linee Guida 3/2018 EDPB sull’ambito di applicazione territoriale del Regolamento 679/2016
  • Linee Guida 5/2021 EDPB sull’interrelazione tra l’articolo 3 e le disposizioni del Capo V del GDPR (artt. 44-50) sul trasferimento internazionale dei dati personali

Articolo 40 GDPR

  • Linee Guida 4/2021 EDPB sui codici di condotta come strumento per il trasferimento internazionale dei dati personali

 

Articolo 42 GDPR

  • Linee Guida sulla certificazione come strumento per il trasferimento internazionale dei dati personali

 

Capo V del GDPR (artt. 44-50)

Decisioni di adeguatezza (art. 45 GDPR)

Le clausole contrattuali standard (art. 46 GDPR)

  • Decisione di esecuzione della Commissione UE 4 Giugno 2021, n. 914

 

Norme vincolanti di impresa (BCR – art. 47 GDPR – art. 4, n. 20 GDPR)

  • Wp 256 – Documento di lavoro che istituisce una tabella con gli elementi e i principi da
  • inserire nelle Binding Corporate Rules – Versione per Titolari del trattamento
  • Wp 257 – Documento di lavoro che istituisce una tabella con gli elementi e i principi da
  • inserire nelle Binding Corporate Rules – Versione per Responsbili del trattamento
  • Wp 263 – Working Document Setting Forth a Co-Operation Procedure for the approval of
  • “Binding Corporate Rules” for controllers and processors under the GDPR
  • Wp 264 – Recommendation on the Standard Application for Approval of Controller Binding
  • Corporate Rules for the Transfer of Personal Data
  • Wp 265 – Recommendation on the Standard Application form for Approval of Processor
  • Binding Corporate Rules for the Transfer of Personal Data
  • Linee guida 2/2018 EDPB sulle deroghe di cui all’articolo 49 del regolamento 2016/679
  • Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE
  • Raccomandazioni 2/2020 relative alle garanzie essenziali europee per le misure di sorveglianza
  • Linee guida 2/2020 EDPB sull’articolo 46, paragrafo 2, lettera a), e paragrafo 3, lettera b), del regolamento 2016/679 per i trasferimenti di dati personali tra autorità ed organismi pubblici del SEE e di paesi non appartenenti al SEE
  • FAQ EDPB del 23 Luglio 2020 su Sentenza Schrems II
  • Il caso Google Analytics: le FAQ e le Linee Guida CNIL del 7 Giugno 2022

 

I diritti data protection dell’interessato: contenuti e modalità di esercizio

  • Il principio di trasparenza
  • I diritti dell’interessato: accesso, rettifica, aggiornamento, cancellazione
  • I nuovi diritti di limitazione del trattamento e di portabilità: contenuti e risvolti pratici ed organizzativi
  • Il diritto di opposizione al trattamento: processi decisionali automatizzati, marketing e profilazione
  • Il divieto di profilazione
  • Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
  • Quando non si possono esercitare i diritti: analisi degli articoli 23 GDPR e 2-undecies del Codice della privacy sui casi di esclusione
  • Implementare un processo di gestione delle richieste di esercizio dei diritti data protection ricevute dagli interessati

 

Controlli e apparato sanzionatorio per le violazioni data protection

  • I poteri della Autorità di protezione dei dati personali
  • Come si svolge una ispezione
  • Diritto al risarcimento e responsabilità per violazioni civilistiche delle norme sulla protezione dei dati personali
  • La ripartizione e la imputazione delle responsabilità civilistiche tra titolare del trattamento, responsabile del trattamento, rappresentante del titolare nella UE, sub-responsabili del trattamento e persone autorizzate al trattamento
  • Le sanzioni amministrative. Condizioni generali per infliggere sanzioni amministrative pecuniarie
  • Le sanzioni amministrative non pecuniarie
  • Gli illeciti penali: i reati data protection previsti nel Codice della privacy
  • L’illecito trattamento di dati ex art. 167 D. Lgs. n. 196/2003
  • La comunicazione o diffusione illecita di dati ex art. 167-bis D. Lgs. n. 196/2003
  • L’acquisizione fraudolenta di dati ex art. 167-ter D. Lgs. n. 196/2003
  • Gli altri delitti data protection (artt. 168-171 D. Lgs. n. 196/2003)

DOCENTE

Prof. Avv. Alessandro del Ninno

E’ Professore di Informatica Giuridica e di Intelligenza Artificiale, Machine Learning e Diritto presso la LUISS Guido Carli di Roma.

Partner ICT dello  Studio Legale Tonucci & Partners.

E’ Presidente del Comitato Scientifico dell’Associazione Nazionale per la protezione dei dati personali. E’ Membro del Comitato Scientifico dell’Istituto Italiano Privacy.

È relatore nell’ambito dei più importanti convegni nazionali e internazionali ove viene frequentemente invitato in qualità di esperto su tematiche legate all’Information & Communication Technology, all’IP e alla Data Protection. 

Nelle stesse materie è autore di oltre 100 tra libri, trattati, monografie, saggi e articoli.