Programma del corso
Disciplina sulla protezione dei dati personali: GDPR e Codice Privacy (come riformato dal D.Lgs. 101/2018)
– Regolamento UE 679/2016
– finalità, oggetto, ambito di applicazione
– proposta di e-Privacy Regulation
– D.Lgs. 101/2018 di armonizzazione della normativa nazionale
– cosa resta del Codice Privacy e rapporto con GDPR
– regole deontologiche e codici di condotta (informazioni commerciali e sistemi di informazioni creditizie)
– provvedimento del Garante di ricognizione delle
autorizzazioni generali compatibili con GDPR
– nuovi regolamenti del Garante
– cosa manca per il completamento del quadro normativo
Verifica del rispetto dei principi generali e dei presupposti di liceità del trattamento dei dati personali
– definizioni e principi generali
– liceità, correttezza, trasparenza, limitazione, finalità
– minimizzazione dei dati, limitazione della conservazione, integrità e riservatezza
– verifica del rispetto del principio di accountability e dell’approccio basato sul rischio
– individuazione dei presupposti di liceità delle attività di trattamento svolte da aziende e PA
– adempimenti legali e compiti di interesse pubblico
– consenso e bilanciamento di interessi
– attività di comunicazione e contatto con clienti od utenti
– utilizzo di dati di minori
– specifiche condizioni previste per il trattamento di dati particolari e prescrizioni del Garante
– misure di garanzia per dati sanitari, genetici e biometrici
– come gestire i dati penali
– trattamento dei dati nell’ambito del rapporto di lavoro
– regole deontologiche per statistica, archiviazione e ricerca storica, ricerca scientifica, investigazioni difensive e difesa giudiziaria di diritti, giornalismo
Analisi dell’organizzazione adottata in funzione della disciplina sulla protezione dei dati personali
– Individuazione del titolare del trattamento nelle aziende e nelle PA
– attribuzione di deleghe, compiti e responsabilità all’interno dell’organizzazione del titolare
– rapporti tra società di gruppi imprenditoriali
– rapporti tra soggetti pubblici
– accordi tra contitolari del trattamento
– trattamenti svolti per conto del titolare
– individuazione dei responsabili del trattamento
– rapporti con ulteriori responsabili (sub-responsabili)
– accordi sul trattamento dati
– individuazione delle persone autorizzate ed istruzioni al trattamento dati (incaricati, ADS)
Giovanni Guerra
Compiti ed attività del DPO
– nomina del Data Protection Officer
– PA ed organismi pubblici
– imprese: attività principali, larga scala, monitoraggio
– DPO di gruppo o per più soggetti pubblici
– requisiti e qualità del RPD
– comunicazione al Garante e pubblicazione dei dati di contatto
– compiti consultivi e di controllo del DPO
– rapporti con il Garante e con gli interessati
– analisi delle prassi emerse a livello europeo e nazionale
Verifica delle attività di trasferimento di dati in Paesi extra UE
– ambito territoriale di applicazione del GDPR
– rappresentante del titolare in ambito UE
– trasferimenti extra UE: elenco paesi adeguati e scudo
privacy USA – UE
– trasferimenti basati su garanzie adeguate: norme
vincolanti d’impresa e clausole contrattuali tipo
– trasferimento o divulgazione non autorizzati e deroghe
– trattamenti transfrontalieri
– cooperazione tra Autorità e individuazione della “Lead
Authority”
– Comitato Europeo per la Protezione dei Dati (EDPB)
e meccanismo di coerenza
– ultime linee guida ed indicazioni EDPB
Luigi Montuori
Verifica degli obblighi di informativa e delle misure relative agli specifici diritti dell’interessato
– informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
– informativa agli interessati: modalità, contenuti e aggiornamenti
– modularità delle informazioni: informativa sintetica ed estesa
– esame di casi pratici: informative clienti/utenti, dipendenti, fornitori, visitatori, siti web, videosorveglianza, ecc.
– accesso ai dati da parte dell’interessato
– diritti riguardanti le persone decedute
– rettifica dei dati
– cancellazione dei dati (“diritto all’oblio”)
– limitazione di trattamento
– diritto alla portabilità dei dati
– opposizione al trattamento e al marketing diretto
– processi decisionali automatizzati e profilazione
– limitazioni dei dritti dell’interessato e per ragioni di giustizia previste dal decreto di adeguamento
Analisi delle procedure privacy e dell’adeguatezza delle misure organizzative, tecniche e di sicurezza dei dati
– come assicurare il rispetto di privacy “by design” and “by default”
– verifica dei registri dei trattamenti del titolare e del responsabile: problematiche emerse nelle prime esperienza applicative
– verifica delle policy, procedure e documentazioni sulle misure di sicurezza dei dati e sistemi informatici
– analisi dei rischi per riservatezza, integrità e disponibilità dei dati
– pseudonimizzazione e cifratura dei dati personali
– procedure e registri per la gestione dei Data Breach
– notificazione al Garante e comunicazione all’interessato
– procedure di valutazione d’impatto sulla protezione dei dati
– individuazione dei trattamenti da sottoporre a DPIA
– consultazione preventiva (Prior Consultation)
– meccanismi di certificazione, sigilli e marchi di conformità alla protezione dei dati
– organismi di certificazione e relative procedure
Alessandro Del Ninno
Autorità di controllo, mezzi di tutela, responsabilità e sanzioni privacy alla luce del D.Lgs. 101/2018 e del nuovo Regolamento 1/2019
– reclami e mezzi di tutela a disposizione degli interessati
– autorità di controllo: compiti e poteri
– ispezioni ed accertamenti
– sanzioni amministrative pecuniarie (GDPR e Codice Privacy)
– novità del Regolamento 1/2019 sui procedimenti, provvedimenti correttivi e sanzioni del Garante
– primi orientamenti emersi nell’ambito dei procedimenti e provvedimenti basati sulle nuove disposizioni del GDPR
– ricorsi giurisdizionali e azioni risarcitorie
– responsabilità e sanzioni penali: reati depenalizzati e nuove fattispecie previste dal riformato Codice Privacy
– regime transitorio: definizione agevolata delle violazioni e trattazione degli affari pregressi
Francesco Modafferi
RELATORI
Giovanni Guerra
Avvocato in Roma
(già componente della commissione ministeriale per l’adeguamento dell’ordinamento nazionale al GDPR)
Luigi Montuori
Dirigente Servizio relazioni internazionali e con UE
Autorità Garante per la Protezione dei Dati Personali
Alessandro Del Ninno
Professore a Contratto di Informatica Giuridica
LUISS Guido Carli di Roma
Of Counsel Responsabile Dipartimento ICT & Internet Law
Studio Legale Tonucci
Francesco Modafferi
Dirigente del Dipartimento Realtà Pubbliche
e del Dipartimento Sanità e Ricerca
Autorità Garante per la Protezione dei Dati Personali
DATA E SEDE
Giovedì 12 e Venerdì 13 Marzo 2020
Roma – Ambasciatori Palace Hotel
Via V. Veneto, 62
Orario
9,00 – 13,00 / 14,30 – 17,00