Descrizione
PRESENTAZIONE
Contenuti del corso
Obiettivi del Corso
L’approccio didattico adottato consentirà ai partecipanti di apprendere importanti indicazioni pratiche su:
- gli scenari attuativi del Regolamento 679/2016 a cinque anni dalla sua entrata in vigore;
- profili pratici degli adempimenti data protection in azienda;
- la corretta individuazione dei ruoli data protection in azienda;
- impostazione di politiche del trattamento dei dati personali;
- quali sono i rischi sanzionatori sul piano sanzionatorio, civilistico e penale.
Materiali del corso
Fino a quando posso accedere al corso?
PROGRAMMA
Introduzione al diritto alla protezione dei dati personali: le fonti normative di riferimento a livello nazionale ed europeo. GDPR e Codice della privacy
- La normativa sulla protezione dei dati personali: inquadramento delle norme UE e delle legislazioni nazionali in materia di data protection. Cosa è il diritto alla protezione dei dati personali
- Il Regolamento Generale UE sulla protezione dei dati personali n. 679/2016 (“GDPR”): ambito di applicazione materiale e ambito di applicazione territoriale
- Rapporti tra GDPR e Codice della privacy italiano: la versione vigente del D. Lgs. 30 Giugno 2003, n. 196 dopo il Decreto Legislativo di coordinamento al GDPR n. 101/2018
- La normativa di esecuzione delle regole del GDPR e del Codice della privacy italiano: le Linee Guida del Comitato Europeo per la protezione dei dati personali. Le regole deontologiche italiane. I provvedimenti del Garante privacy
- Le principali definizioni dei concetti privacy nel GDPR e nel Codice della privacy
Come impostare un progetto di data protection compliance.
- Fare in pratica l’analisi del rischio: la portata applicativa degli articoli 5 e 24 del GDPR
- I Considerando 75 e 76 del GDPR
- Il rischio di sicurezza: come qualificarlo e gestirlo
- Le misure organizzative e tecniche: analisi degli articoli 29 e 32 del GDPR
I principi generali applicabili a qualsiasi trattamento di dati personali
- Il principio di liceità, correttezza e trasparenza: risvolti pratici ed organizzativi
- Il principio di limitazione della finalità: risvolti pratici ed organizzativi
- Il principio di minimizzazione dei dati: risvolti pratici ed organizzativi
- Il principio di esattezza dei dati: risvolti pratici ed organizzativi
- Il principio di limitazione della conservazione dei dati: risvolti pratici ed organizzativi
- Il principio di integrità e riservatezza dei dati: risvolti pratici ed organizzativi
- La cosiddetta accountability o “principio della responsabilizzazione”: risvolti pratici ed organizzativi
Le basi di legittimità del trattamento dei dati personali
- Analisi degli articoli 6, 9 e 10 del GDPR
- Il trattamento dei dati personali comuni: le sei basi di legittimità del trattamento
- Il valore del consenso dell’interessato. Analisi dell’art. 7. Il consenso prestato dai minori: prescrizioni e adempimenti pratici
- Il divieto di trattamento dei dati di particolare natura (“ex sensibili”): deroghe ed eccezioni al divieto ai sensi dell’art. 9 del GDPR
- Come trattare i dati personali relativi a condanne e reati: l’articolo 2-octies del Codice della privacy e il Regolamento del Ministro della Giustizia
- Il trattamento dei dati personali delle persone decedute
- Le ulteriori basi di legittimità previste dal Codice della privacy coordinato al GDPR: analisi degli articoli 2-ter e 2-octies del Codice della privacy.
I soggetti dello scenario data protection
- Figure, ruoli e responsabilità nell’ambito del trattamento dei dati personali
- Il Titolare e i Contitolari del trattamento. L’accordo di contitolarità e le politiche del trattamento dei dati personali: analisi degli articoli 24 e 26 del GDPR
- Il Responsabile del trattamento e i sub-Responsabili. Adempimenti pratici e documentazione delle nomine
- Le persone autorizzate al trattamento: cautele organizzative e di sicurezza ai sensi degli articoli 29 e 32 del GDPR. Come procedere alle nomine. I “soggetti designati” di cui all’art. 2-quaterdecies del Codice della privacy
- Il Rappresentante di titolari del trattamento o dei responsabili del trattamento non stabiliti nella UE: quando scatta l’obbligo della sua nomina
- Il Responsabile della protezione dei dati (Data Protection Officer): presupposti e requisiti dell’obbligo di nomina del DPO. Considerazioni pratiche ed organizzative
- Il ruolo del DPO in azienda: compiti operativi e posizione nella gerarchia organizzativa
- Fornitori e consulenti: i ruoli privacy. Una casistica pratica
- L’interessato: diritti ed obblighi nel trattamento dei dati personali
Gli obblighi organizzativi nello scenario data protection
- Le politiche del trattamento dei dati personali alla luce del principio dell’accountability
- I principi cc.dd di “privacy by default” e “privacy by design”: la loro implementazione pratica nell’organizzazione produttiva aziendale
- Gli obblighi di Informativa: analisi pratica degli articoli 12, 13 e 14 del GDPR
- Come redigere una Informativa conforme al GDPR. Tempistica di rilascio e altri obblighi in materia di informativa sul trattamento dei dati personali
- Il Registro delle attività di trattamento: quando scatta l’obbligo di redazione e tenuta. Cenni alle modalità di redazione del Registro dei trattamenti
- La Valutazione di impatto preventiva: presupposti e requisiti dell’obbligo
- L’elenco dei trattamenti per i quali la DPIA è obbligatoria. Modalità pratica di svolgimento di una DPIA: cenni operativi
- La consulenza dell’autorità di controllo nel caso di DPIA con esito negativo
- La Notifica di una violazione dei dati personali all’autorità di controllo: cosa è e come si gestisce una “data breach” o “violazione dei dati personali”
- Data Breach e obblighi di comunicazione di una violazione dei dati personali all’interessato
- I codici di condotta ex artt. 40-41 GDPR
- Le certificazioni ex artt. 42-43 GDPR
Il trasferimento dei dati personali al di fuori dello Spazio Economico europeo.
- Riepilogo di tutte le regole normative, Linee Guida e prassi da tenere presenti nella impostazione delle politiche sul trasferimento dei dati personali
Art. 3 GDPR, commi 1 e 2
- Linee Guida 3/2018 EDPB sull’ambito di applicazione territoriale del Regolamento 679/2016
- Linee Guida 5/2021 EDPB sull’interrelazione tra l’articolo 3 e le disposizioni del Capo V del GDPR (artt. 44-50) sul trasferimento internazionale dei dati personali
Articolo 40 GDPR
- Linee Guida 4/2021 EDPB sui codici di condotta come strumento per il trasferimento internazionale dei dati personali
Articolo 42 GDPR
- Linee Guida sulla certificazione come strumento per il trasferimento internazionale dei dati personali
Capo V del GDPR (artt. 44-50)
Decisioni di adeguatezza (art. 45 GDPR)
Le clausole contrattuali standard (art. 46 GDPR)
- Decisione di esecuzione della Commissione UE 4 Giugno 2021, n. 914
Norme vincolanti di impresa (BCR – art. 47 GDPR – art. 4, n. 20 GDPR)
- Wp 256 – Documento di lavoro che istituisce una tabella con gli elementi e i principi da
- inserire nelle Binding Corporate Rules – Versione per Titolari del trattamento
- Wp 257 – Documento di lavoro che istituisce una tabella con gli elementi e i principi da
- inserire nelle Binding Corporate Rules – Versione per Responsbili del trattamento
- Wp 263 – Working Document Setting Forth a Co-Operation Procedure for the approval of
- “Binding Corporate Rules” for controllers and processors under the GDPR
- Wp 264 – Recommendation on the Standard Application for Approval of Controller Binding
- Corporate Rules for the Transfer of Personal Data
- Wp 265 – Recommendation on the Standard Application form for Approval of Processor
- Binding Corporate Rules for the Transfer of Personal Data
- Linee guida 2/2018 EDPB sulle deroghe di cui all’articolo 49 del regolamento 2016/679
- Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE
- Raccomandazioni 2/2020 relative alle garanzie essenziali europee per le misure di sorveglianza
- Linee guida 2/2020 EDPB sull’articolo 46, paragrafo 2, lettera a), e paragrafo 3, lettera b), del regolamento 2016/679 per i trasferimenti di dati personali tra autorità ed organismi pubblici del SEE e di paesi non appartenenti al SEE
- FAQ EDPB del 23 Luglio 2020 su Sentenza Schrems II
- Il caso Google Analytics: le FAQ e le Linee Guida CNIL del 7 Giugno 2022
I diritti data protection dell’interessato: contenuti e modalità di esercizio
- Il principio di trasparenza
- I diritti dell’interessato: accesso, rettifica, aggiornamento, cancellazione
- I nuovi diritti di limitazione del trattamento e di portabilità: contenuti e risvolti pratici ed organizzativi
- Il diritto di opposizione al trattamento: processi decisionali automatizzati, marketing e profilazione
- Il divieto di profilazione
- Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
- Quando non si possono esercitare i diritti: analisi degli articoli 23 GDPR e 2-undecies del Codice della privacy sui casi di esclusione
- Implementare un processo di gestione delle richieste di esercizio dei diritti data protection ricevute dagli interessati
Controlli e apparato sanzionatorio per le violazioni data protection
- I poteri della Autorità di protezione dei dati personali
- Come si svolge una ispezione
- Diritto al risarcimento e responsabilità per violazioni civilistiche delle norme sulla protezione dei dati personali
- La ripartizione e la imputazione delle responsabilità civilistiche tra titolare del trattamento, responsabile del trattamento, rappresentante del titolare nella UE, sub-responsabili del trattamento e persone autorizzate al trattamento
- Le sanzioni amministrative. Condizioni generali per infliggere sanzioni amministrative pecuniarie
- Le sanzioni amministrative non pecuniarie
- Gli illeciti penali: i reati data protection previsti nel Codice della privacy
- L’illecito trattamento di dati ex art. 167 D. Lgs. n. 196/2003
- La comunicazione o diffusione illecita di dati ex art. 167-bis D. Lgs. n. 196/2003
- L’acquisizione fraudolenta di dati ex art. 167-ter D. Lgs. n. 196/2003
- Gli altri delitti data protection (artt. 168-171 D. Lgs. n. 196/2003)
DOCENTE
Prof. Avv. Alessandro del Ninno
E’ Professore di Informatica Giuridica e di Intelligenza Artificiale, Machine Learning e Diritto presso la LUISS Guido Carli di Roma.
Partner ICT dello Studio Legale Tonucci & Partners.
E’ Presidente del Comitato Scientifico dell’Associazione Nazionale per la protezione dei dati personali. E’ Membro del Comitato Scientifico dell’Istituto Italiano Privacy.
È relatore nell’ambito dei più importanti convegni nazionali e internazionali ove viene frequentemente invitato in qualità di esperto su tematiche legate all’Information & Communication Technology, all’IP e alla Data Protection.
Nelle stesse materie è autore di oltre 100 tra libri, trattati, monografie, saggi e articoli.