Programma del corso
General Data Protection Regulation (GDPR) e Codice Privacy: riforma del D.Lgs. 101/2018, nuovo Regolamento 1/2019 ed ultimi provvedimenti del Garante
– quadro normativo europeo e nazionale
– GDPR
– direttiva sul trattamento dati per giustizia e forze di polizia
– finalità, oggetto, ambito di applicazione
– D.Lgs. 101/2018 di adeguamento e riforma del Codice Privacy
– disposizioni attuative, transitorie e finali
– nuove regole deontologiche
– provvedimento ricognitivo delle autorizzazioni generali del Garante
– nuovo regolamento 1/2019 sui procedimenti, provvedimenti e sanzioni del Garante
– recenti provvedimenti attuativi del Garante
GDPR e Codice privacy alla luce della riforma del D.Lgs. 101/2018
– nuove e vecchie definizioni
– principi generali
– accountability e risk-based approach
– presupposti di liceità del trattamento
– base giuridica per compiti di interesse pubblico e esercizio di pubblici poteri
– bilanciamento di interessi, consenso e minori
– dati particolari: interesse pubblico rilevante
– misure di garanzia per dati sanitari, genetici e biometrici
– dati penali in attesa del Regolamento del Min. Giustizia
– disposizioni relative a specifici settori
– regole deontologiche per statistica, archiviazione e ricerca storica, ricerca scientifica, investigazioni difensive e difesa giudiziaria di diritti, giornalismo
– provvedimento del Garante di individuazione delle prescrizioni delle autorizzazioni generali compatibili con il GDPR (dati sensibili nei rapporti di lavoro, associazionismo, investigatori, dati genetici, ricerca scientifica)
Principali ruoli e responsabilità soggettive per il trattamento dei dati personali
– titolare del trattamento individuazione nei soggetti pubblici e privati
– contitolari del trattamento
– responsabile del trattamento
– ulteriori responsabili (sub-responsabili)
– attribuzione di specifici compiti e funzioni a soggetti designati
– persone autorizzate al trattamento dati (incaricati, ADS)
Giovanni Guerra
Il Responsabile Protezione Dati (RPD)
– nomina del Data Protection Officer (DPO)
– PA ed organismi pubblici
– imprese: attività principali, larga scala, monitoraggio
– DPO di gruppo o per più soggetti pubblici
– requisiti e qualità del RPD
– comunicazione al Garante e pubblicazione dei dati di contatto
– posizione e compiti del DPO
– rapporti con il Garante e con gli interessati
– analisi delle prassi emerse a livello europeo e nazionale
Vincoli previsti per i trasferimenti di dati extra UE
– ambito territoriale di applicazione del GDPR
– rappresentante del Titolare in ambito UE
– trasferimenti extra UE: elenco paesi adeguati e scudo privacy USA – UE
– trasferimenti basati su garanzie adeguate: norme vincolanti d’impresa e clausole contrattuali tipo
– trasferimento o divulgazione non autorizzati e deroghe
– trattamenti transfrontalieri
– cooperazione tra Autorità e individuazione della “Lead Authority”
– Comitato Europeo per la Protezione dei Dati (EDPB) e meccanismo di coerenza
– ultime linee guida ed indicazioni EDPB
Antonio Caselli
Gli obblighi di informativa e gli specifici diritti dell’interessato
– informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
– informativa all’interessato: modalità e aggiornamenti
– accesso ai dati da parte dell’interessato
– diritti riguardanti le persone decedute
– rettifica dei dati
– cancellazione dei dati (“diritto all’oblio”)
– limitazione di trattamento
– diritto alla portabilità dei dati
– opposizione al trattamento e al marketing diretto
– processi decisionali automatizzati e profilazione
– limitazioni dei dritti dell’interessato e per ragioni di giustizia previste dal decreto di adeguamento
Nuove procedure e misure organizzative, tecniche e di sicurezza: elenco dei trattamenti per DPIA (Data Protection Impact Assessment)
– privacy “by design” and “by default”
– registri delle attività di trattamento (FAQ Garante)
– sicurezza dei dati e del trattamento
– pseudonomizzazione e cifratura dei dati personali
– riservatezza, integrità, disponibilità e ripristino dei dati
– procedure di documentazione e verifica dell’adeguatezza delle misure di sicurezza
– notificazione della violazione dei dati personali
– comunicazione all’interessato del data breach
– valutazione d’impatto sulla protezione dei dati
– elenco del Garante sui trattamenti da sottoporre a DPIA
– consultazione preventiva (Prior Consultation)
– meccanismi di certificazione, sigilli e marchi di conformità alla protezione dei dati
– organismi di certificazione e relative procedure
Mario Mazzeo
Autorità di controllo, mezzi di tutela, responsabilità e sanzioni privacy alla luce del DLgs 101/18 e del nuovo Regolamento 1/2019
– autorità di controllo: compiti e poteri
– ispezioni ed accertamenti
– assistenza e operazioni congiunte fra più Autorità
– reclami e mezzi di tutela a disposizione degli interessati
– sanzioni amministrative pecuniarie previste dal GDPR e dal Codice Privacy
– modalità di applicazione in base al Codice Privacy
– novità del Reg.to 1/2019 sui procedimenti, provvedimenti correttivi e sanzioni del Garante
– ricorsi giurisdizionali e azioni risarcitorie
– responsabilità e sanzioni penali: reati depenalizzati e nuove fattispecie previste dal riformato Codice Privacy
– regime transitorio: definizione agevolata delle violazioni e trattazione degli affari pregressi
Francesco Modafferi
RELATORI
Giovanni Guerra
Avvocato in Roma (già componente della commissione ministeriale per adeguamento dell’ordinamento nazionale al GDPR)
Antonio Caselli
Funzionario Autorità Garante per la Protezione dei Dati Personali
Responsabile Unità “Documentazione internazionale e revisione quadro normativo Ue”
Mario Mazzeo
Avvocato in Roma – Data Protection Officer
Francesco Modafferi
Dirigente del Dipartimento Realtà Pubbliche e del Dipartimento Sanità e Ricerca
Autorità Garante per la Protezione dei Dati Personali
DATE E SEDI
Giovedì 26 e Venerdì 27 Settembre 2019
Milano – The Westin Palace
Piazza della Repubblica, 20
Giovedì 10 e Venerdì 11 Ottobre 2019
Roma – Ambasciatori Palace Hotel
Via V. Veneto, 62
ORARIO
9,00 – 13,00 / 14,30 – 17,00