II edizione

Programma

Il Corso è organizzato in 19 moduli per un totale di almeno 84 ore, ovvero 21 giornate formative più la verifica finale.

Orario lezioni: venerdì ore 14.30- 18.30
sabato ore 08.30 – 12.30

Il presente programma provvisorio potrà subire modifiche ed integrazioni che saranno immediatamente pubblicate.

 

18-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro

Lezione inaugurale
Il diritto alla protezione dei dati e la tutela della persona
Giovanni Buttarelli, Alberto Maria Gambino, Salvatore Sica

19-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro

1. Disciplina generale. Dal Codice del 2003 al Regolamento europeo del 2016
Giuseppe Busia

1.1. Il D.Lgs. 196/2003: principi generali
1.2. Il dato personale e il relativo trattamento
1.3. L’informativa e il consenso
1.4. Entrata in vigore
1.5. Termine di adeguamento
1.6. Rapporto tra Regolamento europeo e normative nazionali
1.7. Possibili deroghe nella normativa nazionale relativa ai trattamenti delle PMI

19-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro

2. D.Lgs. approvato in esame preliminare dal Consiglio dei Ministri il 21 marzo 2018
Giuseppe Busia

2.1 Legge delega del Parlamento n. 163 del 25 ottobre 2017
2.2 art. 13 L. 163/2017
2.2.1 abrogare le disposizioni del Codice privacy incompatibili con il GDPR
2.2.2 modificare il Codice privacy per dare attuazione alle disposizioni non direttamente applicabili del GDPR
2.2.3 coordinare le disposizioni vigenti con il GDPR
2.2.4 adeguare il sistema sanzionatorio penale e amministrativo vigente del Codice privacy alle disposizioni del GDPR
2.3 Schema di Decreto Legislativo del 21 marzo 2018 che introduce disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2016/679
25-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro

3. Ambito di applicazione
Laura Ferola

3.1. Il trattamento per finalità esclusivamente personali o domestiche
3.2. Titolare nel territorio EU
3.3. Interessato nel territorio EU
25-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro

4. I principi generali del Regolamento
Laura Ferola

4.1. Principio di liceità
4.2. Principio di correttezza
4.3. Principio di trasparenza
4.4. Principio di pertinenza
4.5. Principio di necessità

26-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro

5. Direttiva UE 2016/680 – Trattamenti per fini di Polizia, Giustizia e Sicurezza
Luigi Montuori

5.1. I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’unione
5.2. Finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016)
5.3. Trattamento dei dati personali da parte delle autorità giurisdizionali e l’inopportunità del controllo dell’autorità Garante
5.4. Rapporto tra direttiva data protection e responsabilità degli intermediari della società dell’informazione
8-giu-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)

18. Protezione dei dati personali e trasparenza PA
Miriam Viggiano

18.1. Dalla 241/90 al D.Lgs. 97/2016 l’evoluzione della trasparenza nell’Ordinamento italiano

18.2. Il D.Lgs. 33/2013 e l’accessibilità totale

18.3. Accesso civico e accesso civico generalizzato (FOIA)

18.4. Open data e riutilizzo (art. 7, D.Lgs. 33/2013) anche alla luce delle recenti linee-guida dell’ANAC

18.5. Bilanciamento tra obblighi di trasparenza (art. 7-bis, D.Lgs. 33/2013) e protezione dei dati personali

9-giu-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3)

6. Tipologie di Dati personali ed anonimizzazione

6.1. Trattamenti di dati di persona fisica identificata o identificabile
6.2. Disciplina per il trattamento dei dati sensibili (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) (art. 9)
6.3. Trattamento di dati giudiziari (penali);
6.4. La pseudonimizzazione e la ragionevole possibilità di individuazione dell’interessato dei dati pseudonimi;
6.5. I dati personali di persona deceduta.
9-giu-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3)

7. Il consenso

7.1. Il consenso (inequivocabile)
7.1.1. Prestazione del consenso
7.1.1.1.Modalità di acquisizione del consenso
7.1.1.2.Silenzio, l’inattività o la preselezione di caselle
7.1.2. Caratteristica del consenso informato
7.1.3. Condizioni per il consenso
7.1.3.1.Dimostrazione della prestazione del consenso
7.1.3.2.Revoca del consenso e informazione preventiva
7.1.3.3.Libera prestazione del consenso
7.1.4. Elementi minimi: indicazione del titolare del trattamento e delle finalità del trattamento
7.1.5. Consenso dei minori di anni 16 nella società dell’informazione
7.1.6. Trattamento e consenso al trattamento in ambito sanitario
7.2. Trattamento necessario per adempiere a contratto
7.3. Trattamento necessario per obbligo di legge
7.4. Trattamento necessario per salvaguardia interessi vitali dell’interessato o di altra persona fisica
7.5. Trattamento necessario per interesse pubblico

15-giu-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21)

8. L’interessato e i suoi diritti
Marzio Vaglio

8.1. Trasparenza e modalità
8.1.1. Forma scritta / forma orale solo se richiesto dall’interessato
8.2. Informazioni da fornire quando i dati personali sono raccolti presso l’interessato
8.3. Informazioni da fornire quando i dati personali non siano raccolti presso l’interessato
8.4. Diritto all’aggiornamento dei dati
8.5. Diritto alla cancellazione (diritto all’oblio)
8.5.1. Condizioni
8.6. Diritto di limitazione del trattamento
8.7. Diritto alla portabilità dei dati
8.8. Diritto di opposizione
8.9. Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione
8.10. Gli orientamenti della CEDU in materia
16-giu-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21)

9. Figure soggettive
Giovanni Maria Riccio

9.1. Il Titolare del trattamento
9.1.1. Responsabilità
9.1.2. Contitolari
9.2. Il Responsabile del trattamento
9.2.1. Il responsabile del trattamento e la designazione di altri responsabili del trattamento
9.2.2. Adempimenti, I Registri delle attività di trattamento
22-giu-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21)
23-giu-18 –  Hotel Donna Laura Palace (Lungotevere delle Armi, 21)

10. Il Data Protection Officer – Responsabile della protezione dei dati
Giovanni Battista Gallus, Francesco Paolo Micozzi

10.1. Chi è il DPO?
10.1.1. Designazione
10.1.1.1. Il DPO dipendente
10.1.1.2. Il DPO con contratto di servizi
10.1.2. Caratteristiche
10.1.2.1. Indipendenza
10.1.2.2. Formazione
10.1.2.3. Assenza di conflitto di interessi
10.1.2.4. Risorse umane e finanziarie
10.2. Quando è obbligatorio nominare il DPO
10.2.1. PA (tranne uffici giudiziari)
10.2.2. Soggetti la cui attività principale consista in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati
10.2.3. Soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici
10.2.4. Altre ipotesi previste da norme comunitarie o nazionali (art. 37, comma 4)
10.3. Quando è facoltativo nominare il DPO
10.4. La comunicazione dei dati del DPO all’Autorità di controllo
10.5. L’assegnazione delle risorse finanziarie necessarie al DPO per svolgimento dei suoi compiti e per il suo aggiornamento professionale
10.6. Il segreto e la riservatezza che incombono sul DPO
10.7. I conflitti di interesse del DPO per altre funzioni eventualmente svolte
10.8. I compiti del DPO
10.8.1. Informazione e consiglio
10.8.2. Verifica attuazione ed applicazione del Regolamento
10.8.3. Pareri sulla valutazione d’impatto
10.8.4. Punto di contatto per gli interessati
10.8.5. Punto di contatto per il Garante
23-giu-18  Hotel Donna Laura Palace (Lungotevere delle Armi, 21)

11. Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali [2 ore]
Nicola Fabiano

11.1. Presupposti e condizioni
11.2. Le norme vincolanti d’impresa – Binding corporate rules (Bcr)
29-giu-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3)
30-giu-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3)

15. Normative tecniche internazionali sulla sicurezza
Andrea Cenni

15.1. Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 – Information security management systems;
15.1.1. Concetti di base
15.1.2. Analisi dei rischi delle informazioni
15.1.3. Pianificazione degli obbiettivi della sicurezza
15.1.4. Procedure di controllo operativo
15.1.5. Riesame periodico delle attività
15.2. Privacy e conduzione di audit: ISO 19011:2011 – Guidelines for auditing management systems
15.2.1. Come Pianificare e gestire un audit
15.2.2. Concetti di Non conformità
 15.2.3. Concetti di azioni correttive

6-lug-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3)

13. Sicurezza e data breach
Elena Tabet, Francesco Paolo Micozzi

13.2. Riconoscere la natura del data breach
13.3. Documentazione del data breach
13.4. L’importanza della cifratura ai fini della notifica del data breach
13.5. Simulare il data breach: penetration test
7-lug-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3)

12. Data protection by design and by default
Nicola Fabiano

12.1. Definizione e inquadramento
12.2. La Privacy by Design (PbD)
12.3. Lo scenario internazionale sulla Privacy by Design (PbD)
12.4. Architetture per paradigmi Privacy-by-Design e Security-by-Design
13-lug-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21)
14-lug-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21)

14. Architetture IT e sicurezza dei dati
Giulio Destri

14.1. Le architetture IT per conservazione ed accesso ai dati
14.2. Le qualità dell’accesso ai dati
14.3. Cosa è l’accesso sicuro ai dati
14.4. Tecniche di pseudonimizzazione
14.5. La cifratura
14.6. Misurare la “forza” della cifratura
14.7. Tecniche per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
14.8. Il ripristino dei dati in caso di incidente fisico o tecnico
14.9. Architetture e framework standard internazionali (COBIT 5 e ITIL v3).
20-lug-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)

15. (segue) Normative tecniche internazionali sulla sicurezza
Andrea Cenni

15.1. Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 – Information security management systems;
15.1.1. Concetti di base
15.1.2. Analisi dei rischi delle informazioni
15.1.3. Pianificazione degli obbiettivi della sicurezza
15.1.4. Procedure di controllo operativo
15.1.5. Riesame periodico delle attività
15.2. Privacy e conduzione di audit: ISO 19011:2011 – Guidelines for auditing management systems
15.2.1. Come Pianificare e gestire un audit
15.2.2. Concetti di Non conformità
 15.2.3. Concetti di azioni correttive
21-lug-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)

16. Normative tecniche internazionali su testing e gestione di soluzioni IT
Gianluca Golinelli

16.1. Sistemi per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche (rif. Etical Hacking)
16.2. Processi per il monitoraggio del rispetto degli adempimenti Privacy in tutto il ciclo di sviluppo dei sistemi informativi (rif. ISO27001 Annex A)
16.3. Processi per il monitoraggio dell’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati (rif. ISO27002)
27-lug-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)

17. La valutazione d’impatto sulla protezione dei dati
Andrea Cenni

17.1. Quando farla
17.2. Come farla
17.3. Valutazione di impatto: introduzione al testing e alle verifiche sul campo
17.4. Codici di condotta e valutazione d’impatto
17.5. La consultazione preventiva per i trattamenti che, in base alla valutazione d’impatto, evidenzino un rischio elevato
17.6. Integrazione del regolamento europeo con il D.Lgs. 231/01 e la responsabilità degli enti
28-lug-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)

18. Mezzi di ricorso, responsabilità e sanzioni
Giorgio Giannone Codiglione

18.1. Il reclamo a un’autorità di controllo
18.2. Il ricorso giurisdizionale effettivo
18.2.1. Nei confronti dell’autorità di controllo
18.2.2. Nei confronti del titolare o del responsabile del trattamento
18.2.3. Il procedimento
18.3. L’azione di responsabilità
18.4. Condizioni generali per le sanzioni
 Verifica finale
3-ago-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)

19. Riflessi dell’entrata in vigore del GDPR nelle Pubbliche amministrazioni
Giovanni Battista Gallus, Francesco Paolo Micozzi

 Verifica finale

Archivio: