Il Corso è organizzato in 20 moduli per un totale di 92 ore, ovvero 23 giornate formative più la verifica finale.
| Orario lezioni: | venerdì ore 14.30- 18.30 sabato ore 08.30 – 12.30 |
Scarica la Locandina della Prima Edizione del Corso DPO
| 12-gen-18
Lezione inaugurale |
| 13-gen-18
1. Introduzione: il diritto alla privacy nella comparazione tra ordinamenti |
| 13-gen-18
2. Disciplina generale. Dal Codice del 2003 al Regolamento europeo del 2016 |
| 2.1. Il D.Lgs. 196/2003: principi generali |
| 2.2. Il dato personale e il relativo trattamento |
| 2.3. L’informativa e il consenso |
| 2.4. Entrata in vigore |
| 2.5. Termine di adeguamento |
| 2.6. Rapporto tra Regolamento europeo e normative nazionali |
| 2.7. Possibili deroghe nella normativa nazionale relativa ai trattamenti delle PMI |
| 19-gen-18 |
| 4. Tipologie di Dati personali ed anonimizzazione Giovanni Ziccardi |
| 4.1. Trattamenti di dati di persona fisica identificata o identificabile |
| 4.2. Disciplina per il trattamento dei dati sensibili (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) (art. 9) |
| 4.3. Trattamento di dati giudiziari (penali); |
| 4.4. La pseudonimizzazione e la ragionevole possibilità di individuazione dell’interessato dei dati pseudonimi; |
| 4.5. I dati personali di persona deceduta. |
| 20-gen-18 |
| 15.bis La valutazione d’impatto sulla protezione dei dati Luigi Montuori |
| 15.4.bis Codici di condotta e valutazione d’impatto |
| 15.5. La consultazione preventiva per i trattamenti che, in base alla valutazione d’impatto, evidenzino un rischio elevato |
| 15.6. Integrazione del regolamento europeo con il D.Lgs. 231/01 e la responsabilità degli enti |
| 26-gen-18
5. Ambito di applicazione |
| 5.1. il trattamento per finalità esclusivamente personali o domestiche |
| 5.2. Titolare nel territorio EU |
| 5.3. Interessato nel territorio EU |
| 26-gen-18
6. I principi generali del Regolamento |
| 6.1. Principio di liceità |
| 6.2. Principio di correttezza |
| 6.3. Principio di trasparenza |
| 6.4. Principio di pertinenza |
| 6.5. Principio di necessità |
| 27-gen-18
9. Figure soggettive |
| 9.1. Il Titolare del trattamento |
| 9.1.1. Responsabilità |
| 9.1.2. Contitolari |
| 9.2. Il Responsabile del trattamento |
| 9.2.1. Il responsabile del trattamento e la designazione di altri responsabili del trattamento |
| 9.2.2. Adempimenti, I Registri delle attività di trattamento |
|
02-feb-18 8. L’interessato e i suoi diritti |
| 8.1. Trasparenza e modalità |
| 8.1.1. Forma scritta / forma orale solo se richiesto dall’interessato |
| 8.2. Informazioni da fornire quando i dati personali sono raccolti presso l’interessato |
| 8.3. Informazioni da fornire quando i dati personali non siano raccolti presso l’interessato |
| 8.4. Diritto all’aggiornamento dei dati |
| 8.5. Diritto alla cancellazione (diritto all’oblio) |
| 8.5.1. Condizioni |
| 8.6. Diritto di limitazione del trattamento |
| 8.7. Diritto alla portabilità dei dati |
| 8.8. Diritto di opposizione |
| 8.9. Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione |
| 8.10. Gli orientamenti della CEDU in materia |
| 03-feb-18
7. Il consenso |
| 7.1. Il consenso (inequivocabile) |
| 7.1.1. Prestazione del consenso |
| 7.1.1.1.Modalità di acquisizione del consenso |
| 7.1.1.2.Silenzio, l’inattività o la preselezione di caselle |
| 7.1.2. Caratteristica del consenso informato |
| 7.1.3. Condizioni per il consenso |
| 7.1.3.1.Dimostrazione della prestazione del consenso |
| 7.1.3.2.Revoca del consenso e informazione preventiva |
| 7.1.3.3.Libera prestazione del consenso |
| 7.1.4. Elementi minimi: indicazione del titolare del trattamento e delle finalità del trattamento |
| 7.1.5. Consenso dei minori di anni 16 nella società dell’informazione |
| 7.1.6. Trattamento e consenso al trattamento in ambito sanitario |
| 7.2. Trattamento necessario per adempiere a contratto |
| 7.3. Trattamento necessario per obbligo di legge |
| 7.4. Trattamento necessario per salvaguardia interessi vitali dell’interessato o di altra persona fisica |
| 7.5. Trattamento necessario per interesse pubblico |
| 09-feb-18 10-feb-18 10. Il Data Protection Officer – Responsabile della protezione dei dati |
| 10.1. Chi è il DPO? |
| 10.1.1. Designazione |
| 10.1.1.1. Il DPO dipendente |
| 10.1.1.2. Il DPO con contratto di servizi |
| 10.1.2. Caratteristiche |
| 10.1.2.1. Indipendenza |
| 10.1.2.2. Formazione |
| 10.1.2.3. Assenza di conflitto di interessi |
| 10.1.2.4. Risorse umane e finanziarie |
| 10.2. Quando è obbligatorio nominare il DPO |
| 10.2.1. PA (tranne uffici giudiziari) |
| 10.2.2. Soggetti la cui attività principale consista in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati |
| 10.2.3. Soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici |
| 10.2.4. Altre ipotesi previste da norme comunitarie o nazionali (art. 37, comma 4) |
| 10.3. Quando è facoltativo nominare il DPO |
| 10.4. La comunicazione dei dati del DPO all’Autorità di controllo |
| 10.5. L’assegnazione delle risorse finanziarie necessarie al DPO per svolgimento dei suoi compiti e per il suo aggiornamento professionale |
| 10.6. Il segreto e la riservatezza che incombono sul DPO |
| 10.7. I conflitti di interesse del DPO per altre funzioni eventualmente svolte |
| 10.8. I compiti del DPO |
| 10.8.1. Informazione e consiglio |
| 10.8.2. Verifica attuazione ed applicazione del Regolamento |
| 10.8.3. Pareri sulla valutazione d’impatto |
| 10.8.4. Punto di contatto per gli interessati |
| 10.8.5. Punto di contatto per il Garante |
| 10-feb-18
18. Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali |
| 18.1. Presupposti e condizioni |
| 18.2. Le norme vincolanti d’impresa – Binding corporate rules (Bcr) |
| 16-feb-18
11. Architetture IT e sicurezza dei dati |
| 11.1. Le architetture IT per conservazione ed accesso ai dati |
| 11.2. Le qualità dell’accesso ai dati |
| 11.3. Cosa è l’accesso sicuro ai dati |
| 11.4. Tecniche di pseudoanonimizzazione |
| 11.5. La cifratura |
| 11.6. Misurare la “forza” della cifratura |
| 11.7. Tecniche per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento |
| 11.8. Il ripristino dei dati in caso di incidente fisico o tecnico |
| 11.9. Architetture e framework standard internazionali (COBIT 5 e ITIL v3). |
| 17-feb-18 23-feb-18 12. Sicurezza e data breach |
| 12.1. Cosa si intende per data breach |
| 12.2. Riconoscere la natura del data breach |
| 12.3. Documentazione del data breach |
| 12.4. L’importanza della cifratura ai fini della notifica del data breach |
| 12.5. Simulare il data breach: penetration test |
| 24-feb-18 02-mar-18 03-mar-18 13. Normative tecniche internazionali sulla sicurezza |
| 13.1. Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 – Information security management systems; |
| 13.1.1. Concetti di base |
| 13.1.2. Analisi dei rischi delle informazioni |
| 13.1.3. Pianificazione degli obbiettivi della sicurezza |
| 13.1.4. Procedure di controllo operativo |
| 13.1.5. Riesame periodico delle attività |
| 13.2. Privacy e conduzione di audit: ISO 19011:2011 – Guidelines for auditing management systems |
| 13.2.1. Come Pianificare e gestire un audit |
| 13.2.2. Concetti di Non conformità |
| 13.2.3. Concetti di azione correttive |
| 09-mar-18
15. La valutazione d’impatto sulla protezione dei dati |
| 15.1. Quando farla |
| 15.2. Come farla |
| 15.3. Valutazione di impatto: introduzione al testing e alle verifiche sul campo |
| 10-mar-18
14. Normative tecniche internazionali su testing e gestione di soluzioni IT |
| 14.1. Sistemi per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche (rif. Etical Hacking) |
| 14.2. Processi per il monitoraggio del rispetto degli adempimenti Privacy in tutto il ciclo di sviluppo dei sistemi informativi (rif. ISO27001 Annex A) |
| 14.3. Processi per il monitoraggio dell’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati (rif. ISO27002) |
| 16 – mar – 18 |
| 3. Direttiva UE 2016/680 – Trattamenti per fini di Polizia, Giustizia e Sicurezza Eugenio Albamonte, Luigi Montuori |
| 3.1. I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’unione |
| 3.2. Finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016) |
| 3.3. Trattamento dei dati personali da parte delle autorità giurisdizionali e l’inopportunità del controllo dell’autorità Garante |
| 3.4. Rapporto tra direttiva data protection e responsabilità degli intermediari della società dell’informazione |
| 17-mar-18
16. Data protection by design and by default |
| 16.1. Definzione e inquadramento |
| 16.2. La Privacy by Design (PbD) |
| 16.3. Lo scenario internazionale sulla Privacy by Design (PbD) |
| 16.4. Architetture per paradigmi Privacy-by-Design e Security-by-Design |
| 23-mar-18 Sala dei Fiorentini c/o Chiesa di San Giovanni Battista – Piazza dell’Oro 2 ( 17. Protezione dei dati personali e trasparenza PA |
| 17.1. Dalla 241/90 al D.Lgs. 97/2016 l’evoluzione della trasparenza nell’Ordinamento italiano |
| 17.2. Il D.Lgs. 33/2013 e l’accessibilità totale |
| 17.3. Accesso civico e accesso civico generalizzato (FOIA) |
| 17.4. Open data e riutilizzo (art. 7, D.Lgs. 33/2013) anche alla luce delle recenti linee-guida dell’ANAC |
| 17.5. Bilanciamento tra obblighi di trasparenza (art. 7-bis, D.Lgs. 33/2013) e protezione dei dati personali |
| 24-mar-18 – Sala dei Fiorentini c/o Chiesa di San Giovanni Battista – Piazza dell’Oro 2 – (Via Giulia) 19. Mezzi di ricorso, responsabilità e sanzioni |
| 19.1. Il reclamo a un’autorità di controllo |
| 19.2. Il ricorso giurisdizionale effettivo |
| 19.2.1. Nei confronti dell’autorità di controllo |
| 19.2.2. Nei confronti del titolare o del responsabile del trattamento |
| 19.2.3. l procedimento |
| 19.3. L’azione di responsabilità |
| 19.4. Condizioni generali per le sanzioni |
| Verifica finale |
| 6-apr-18
20. D.Lgs. approvato in esame preliminare dal Consiglio dei Ministri il 21 marzo 2018 |
| 20.1 Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (decreto legislativo – esame preliminare) in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163) |
| 20. 2 analisi comparativa dello Schema di decreto per l’adeguamento della normativa nazionale alle disposizioni del GDPR e del Codice Privacy (Decreto legislativo 30 giugno 2003, n. 196) |
| Verifica finale |