Programma del corso
General Data Protection Regulation (GDPR) e Codice Privacy: riforma del D.Lgs. 101/2018 e provvedimenti attuativi del Garante
– quadro normativo europeo e nazionale
– novità del GDPR
– direttiva sul trattamento dati per giustizia e forze di polizia
– finalità, oggetto, ambiti applicativi e limitazioni
– norme attuative, transitorie e finali
– D.Lgs. 101/2018 di adeguamento e riforma del Codice Privacy
– provvedimenti attuativi del Garante, FAQ, registri ed elenco dei trattamenti da sottoporre a DPIA (Data Protection Impact Assessment)
– nuove regole deontologiche e provvedimento ricognitivo delle autorizzazioni generali del Garante
GDPR e Codice privacy: principali novità in base al D.Lgs. 101/2018
– nuove e vecchie definizioni
– principi generali
– accountability e risk-based approach
– presupposti di liceità del trattamento
– base giuridica per compiti di interesse pubblico e esercizio di pubblici poteri
– bilanciamento di interessi, consenso e minori
– dati particolari: interesse pubblico rilevante
– misure di garanzia per dati sanitari, genetici e biometrici
– dati penali: norme di legge e regolamento
– disposizioni relative a specifici settori
– regole deontologiche per statistica, archiviazione e ricerca storica, ricerca scientifica, investigazioni difensive e difesa giudiziaria di diritti, giornalismo
– provvedimento del Garante di individuazione delle prescrizioni delle autorizzazioni generali compatibili con il GDPR (dati sensibili nei rapporti di lavoro, associazionismo, investigatori, dati genetici, ricerca scientifica)
Principali ruoli e responsabilità soggettive per il trattamento dei dati personali
– titolare del trattamento
– individuazione nei soggetti pubblici e privati
– contitolari del trattamento
– responsabile del trattamento
– ulteriori responsabili (sub-responsabili)
– attribuzione di specifici compiti e funzioni a soggetti designati
– persone autorizzate al trattamento dati (incaricati, ADS)
Il Responsabile Protezione Dati (RPD)
– nomina del Data Protection Officer (DPO)
– PA ed organismi pubblici
– imprese: attività principali, larga scala, monitoraggio
– DPO di gruppo o per più soggetti pubblici
– requisiti e qualità del RPD
– comunicazione al Garante e pubblicazione dei dati di contatto
– posizione e compiti del DPO
– rapporti con il Garante e con gli interessati
– analisi delle prassi emerse a livello europeo e nazionale
Vincoli previsti per i trasferimenti di dati extra UE
– ambito territoriale di applicazione del GDPR
– rappresentante del Titolare in ambito UE
– trasferimenti extra UE: elenco paesi adeguati e scudo privacy USA – UE
– trasferimenti basati su garanzie adeguate: norme vincolanti d’impresa e clausole contrattuali tipo
– trasferimento o divulgazione non autorizzati e deroghe
– trattamenti transfrontalieri
– cooperazione tra Autorità e individuazione della “Lead Authority”
– Comitato Europeo per la Protezione dei Dati (EDPB) e meccanismo di coerenza
– ultime linee guida ed indicazioni EDPB
Giovanni Guerra
Gli obblighi di informativa e gli specifici diritti dell’interessato
– informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
– informativa all’interessato: modalità e aggiornamenti
– accesso ai dati da parte dell’interessato
– diritti riguardanti le persone decedute
– rettifica dei dati
– cancellazione dei dati (“diritto all’oblio”)
– limitazione di trattamento
– diritto alla portabilità dei dati
– opposizione al trattamento e al marketing diretto
– processi decisionali automatizzati e profilazione
– limitazioni dei dritti dell’interessato e per ragioni di giustizia previste dal decreto di adeguamento
Nuove procedure e misure organizzative, tecniche e di sicurezza: elenco dei trattamenti per DPIA (Data Protection Impact Assessment)
– privacy “by design” and “by default”
– registri delle attività di trattamento (FAQ Garante)
– sicurezza dei dati e del trattamento
– pseudonomizzazione e cifratura dei dati personali
– riservatezza, integrità, disponibilità e ripristino dei dati
– procedure di documentazione e verifica dell’adeguatezza delle misure di sicurezza
– notificazione della violazione dei dati personali
– comunicazione all’interessato del data breach
– valutazione d’impatto sulla protezione dei dati
– elenco del Garante sui trattamenti da sottoporre a DPIA
– consultazione preventiva (Prior Consultation)
– meccanismi di certificazione, sigilli e marchi di conformità alla protezione dei dati
– organismi di certificazione e relative procedure
Mario Mazzeo
Autorità di controllo, mezzi di tutela, responsabilità e sanzioni privacy: principali novità del D.Lgs. 101/2018
– Autorità di controllo: compiti e poteri
– ispezioni ed accertamenti
– assistenza e operazioni congiunte fra più Autorità
– reclami e mezzi di tutela a disposizione degli interessati
– ricorsi giurisdizionali e azioni risarcitorie
– sanzioni amministrative pecuniarie previste dal GDPR e dal Codice Privacy
– modalità di applicazione in base al Codice Privacy
– responsabilità e sanzioni penali: reati depenalizzati e nuove fattispecie previste dal riformato Codice Privacy
– regime transitorio: definizione agevolata delle violazioni e trattazione degli affari pregressi
Francesco Modafferi
RELATORI
Giovanni Guerra
Avvocato in Roma – Componente Gruppo di Lavoro
Ministero Giustizia per analisi e studio norme adeguamento al RGPD
Mario Mazzeo
Avvocato in Roma – Data Protection Officer
Francesco Modafferi
Dirigente del Dipartimento Realtà Pubbliche e del Dipartimento Sanità e Ricerca
Autorità Garante per la Protezione dei Dati Personali