Costi

REDAZIONE DEL REGISTRO DEL TRATTAMENTO DATI (GDPR)  €600

CORSO PER DPO (DATA PROTECTION OFFICER)  (80 ore)    €600

CORSO DI FORMAZIONE PER TITOLARI E RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI ( 20 ore) €300

Il 25 Maggio 2018 è entrato in vigore il nuovo regolamento Europeo in materia di protezione dei dati personali.

Tra le novità: la figura del DPO e la formazione in materia di tutela dati personali.

Utilizza i nostri corsi per online e il nostro esclusivo servizio di redazione del registro del trattamento dati (GDPR) per metterti in regola con la nuova normativa.

La tenuta del registro dei trattamenti è prevista dall’articolo 30 del regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti.

L’onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all’analisi del rischio e ad una corretta pianificazione dei trattamenti. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo nel registro ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.

Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’autorità di controllo (Garante) in caso di verifiche.

Il Regolamento (UE) 2016/679 (più comunemente noto come GDPR), concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, dispone che tutte le istituzioni pubbliche e private, enti ed aziende dovranno obbligatoriamente dotarsi della nuova figura professionale del DPO (Data Protection Officer), che si aggiunge a quelle “classiche privatistiche” quali titolare e responsabile del trattamento. Il DPO è quindi una persona fisica, una figura avente un doppio ruolo: di vigilanza dei processi interni alla struttura e di consulenza, che rappresenta il tramite tra l’azienda e l’Autorità Garante nazionale.

Il corso ha l’obiettivo di formare i consulenti e i referenti della protezione dei dati personali delle aziende nel settore pubblico e privato che intendono specializzarsi e ricoprire il ruolo di Data Protection Officer (DPO), in italiano Responsabile della Protezione dei Dati (RDP). Il ruolo del DPO potrà essere ricoperto sia da dipendenti interni che da consulenti esterni attraverso un contratto di servizi.

Il Regolamento sulla Data Protection, entrato in vigore il 25 maggio 2016 si applicherà a tutti i 27 Stati membri UE a decorrere dal 25 maggio 2018, disciplina l’istituzione della figura del Data Protection Officer (in italiano Responsabile della protezione dei dati) nei seguenti casi:

  • Pubbliche Amministrazioni
  • Aziende che hanno come oggetto sociale principale trattamenti su larga scala di dati sensibili o giudiziari o che effettuano un monitoraggio regolare e sistematico degli interessati (es. Sanità – Sorveglianza – Marketing con controllo abitudini di consumo e profilazione consumatore, elaborazione buste paga ecc.).

1.DISCIPLINA GENERALE. DAL CODICE DEL 2003 AL REGOLAMENTO EUROPEO DEL 2016 Il D.Lgs. 196/2003: principi generali. Il dato personale e il relativo trattamento. L’informativa e il consenso. Entrata in vigore. Termine di adeguamento. Rapporto tra Regolamento europeo e normative nazionali. Possibili deroghe nella normativa nazionale relativa ai trattamenti delle PMI. 2.D.LGS. APPROVATO IN ESAME PRELIMINARE DAL CONSIGLIO DEI MINISTRI IL 21 MARZO 2018 Legge delega del Parlamento n. 163 del 25 ottobre 2017. Art. 13 L. 163/2017: abrogare le disposizioni del Codice privacy incompatibili con il GDPR – modificare il Codice privacy per dare attuazione alle disposizioni non direttamente applicabili del GDPR – coordinare le disposizioni vigenti con il GDPR – adeguare il sistema sanzionatorio penale e amministrativo vigente del Codice privacy alle disposizioni del GDPR. Schema di Decreto Legislativo del 21 marzo 2018. 3.AMBITO DI APPLICAZIONE  E PRINCIPI GENERALI DEL REGOLAMENTO Il trattamento per finalità esclusivamente personali o domestiche. Titolare nel territorio EU. Interessato nel territorio EU. Principio di liceità. Principio di correttezza. Principio di trasparenza. Principio di pertinenza. Principio di necessità. 4.DIRETTIVA UE 2016/680 – TRATTAMENTI PER FINI DI POLIZIA, GIUSTIZIA E SICUREZZA I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’unione. Finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016). Trattamento dei dati personali da parte delle autorità giurisdizionali e l’inopportunità del controllo dell’Autorità Garante. Rapporto tra direttiva data protection e responsabilità degli intermediari della società dell’informazione. 5.TIPOLOGIE DI DATI PERSONALI ED ANONIMIZZAZIONE  Trattamenti di dati di persona fisica identificata o identificabile. Disciplina per il trattamento dei dati sensibili (art. 9). Trattamento di dati giudiziari (penali). La pseudonimizzazione e la ragionevole possibilità di individuazione dell’interessato dei dati pseudonimi. I dati personali di persona deceduta. 6.IL CONSENSO Il consenso (inequivocabile): prestazione del consenso (modalità di acquisizione del consenso; silenzio, l’inattività o la preselezione di caselle) – caratteristica del consenso informato – condizioni per il consenso (dimostrazione della prestazione del consenso; revoca del consenso e informazione preventiva; libera prestazione del consenso) – elementi minimi: indicazione del titolare del trattamento e delle finalità del trattamento – consenso dei minori di anni 16 nella società dell’informazione – trattamento e consenso al trattamento in ambito sanitario. Trattamento necessario per adempiere a contratto. Trattamento necessario per obbligo di legge. Trattamento necessario per salvaguardia interessi vitali dell’interessato o di altra persona fisica. Trattamento necessario per interesse pubblico. 7.L’INTERESSATO E I SUOI DIRITTI  Trasparenza e modalità: forma scritta/forma orale solo se richiesto dall’interessato. Informazioni da fornire quando i dati personali sono raccolti presso l’interessato. Informazioni da fornire quando i dati personali non siano raccolti presso l’interessato. Diritto all’aggiornamento dei dati. Diritto alla cancellazione (diritto all’oblio): condizioni. Diritto di limitazione del trattamento. Diritto alla portabilità dei dati. Diritto di opposizione. Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione. Gli orientamenti della CEDU in materia. 8.FIGURE SOGGETTIVE  Il Titolare del trattamento: responsabilità – contitolari. Il Responsabile del trattamento: il responsabile del trattamento e la designazione di altri responsabili del trattamento – adempimenti, i Registri delle attività di trattamento. 9.IL DATA PROTECTION OFFICER – RESPONSABILE DELLA PROTEZIONE DEI DATI Il DPO: designazione (il DPO dipendente; il DPO con contratto di servizi) – caratteristiche (indipendenza;  formazione; assenza di conflitto di interessi; risorse umane e finanziarie). Quando è obbligatorio nominare il DPO: PA (tranne uffici giudiziari) – soggetti la cui attività principale consista in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati – soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici – altre ipotesi previste da norme comunitarie o nazionali (art. 37, comma 4). Quando è facoltativo nominare il DPO. La comunicazione dei dati del DPO all’Autorità di controllo. L’assegnazione delle risorse finanziarie necessarie al DPO per svolgimento dei suoi compiti e per il suo aggiornamento professionale. Il segreto e la riservatezza che incombono sul DPO. I conflitti di interesse del DPO per altre funzioni eventualmente svolte. I compiti del DPO: informazione e consiglio – verifica attuazione ed applicazione del Regolamento – pareri sulla valutazione d’impatto – punto di contatto per gli interessati – punto di contatto per il Garante. 10.TRASFERIMENTI DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI Presupposti e condizioni.  Le norme vincolanti d’impresa – Binding corporate rules (Bcr). 11.DATA PROTECTION BY DESIGN AND BY DEFAULT Definizione e inquadramento. La Privacy by Design (PbD). Lo scenario internazionale sulla Privacy by Design (PbD). Architetture per paradigmi Privacy-by-Design e Security-by-Design. 12.SICUREZZA E DATA BREACH Riconoscere la natura del data breach. Documentazione del data breach. L’importanza della cifratura ai fini della notifica del data breach. Simulare il data breach: penetration test. 13.NORMATIVE TECNICHE INTERNAZIONALI SULLA SICUREZZA Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 – Information security management systems: concetti di base – analisi dei rischi delle informazioni – pianificazione degli obbiettivi della sicurezza – procedure di controllo operativo – riesame periodico delle attività. Privacy e conduzione di audit: ISO 19011:2011 – Guidelines for auditing management systems: come Pianificare e gestire un audit – concetti di Non conformità – concetti di azioni correttive. 14.ARCHITETTURE IT E SICUREZZA DEI DATI Le architetture IT per conservazione ed accesso ai dati. Le qualità dell’accesso ai dati. Cosa è l’accesso sicuro ai dati. Tecniche di pseudonimizzazione. La cifratura. Misurare la “forza” della cifratura. Tecniche per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento. Il ripristino dei dati in caso di incidente fisico o tecnico. Architetture e framework standard internazionali (COBIT 5 e ITIL v3). 15.NORMATIVE TECNICHE INTERNAZIONALI SU TESTING E GESTIONE DI SOLUZIONI IT Sistemi per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche (rif. Etical Hacking). Processi per il monitoraggio del rispetto degli adempimenti Privacy in tutto il ciclo di sviluppo dei sistemi informativi (rif. ISO27001 Annex A). Processi per il monitoraggio dell’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati (rif. ISO27002). 16.LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI Quando farla. Come farla. Valutazione di impatto: introduzione al testing e alle verifiche sul campo. Codici di condotta e valutazione d’impatto. La consultazione preventiva per i trattamenti che, in base alla valutazione d’impatto, evidenzino un rischio elevato. Integrazione del regolamento europeo con il D.Lgs. 231/01 e la responsabilità degli enti. 17.MEZZI DI RICORSO, RESPONSABILITÀ E SANZIONI Il reclamo a un’autorità di controllo. Il ricorso giurisdizionale effettivo: nei confronti dell’autorità di controllo – nei confronti del titolare o del responsabile del trattamento – il procedimento. L’azione di responsabilità. Condizioni generali per le sanzioni. 18.RIFLESSI DELL’ENTRATA IN VIGORE DEL GDPR NELLE PUBBLICHE AMMINISTRAZIONI

Il corso si rivolge a coloro che vogliono formarsi per comprendere il nuovo Regolamento UE 2016/679 (GDPR). Il corso consente di approfondire compiti e responsabilità del Titolare del Trattamento, del Responsabile del Trattamento e del Responsabile della protezione dati.  Titolare e responsabile del trattamento dei dati personali non sono figure nuove nel panorama della privacy. Il primo è il soggetto che determina le finalità e i mezzi del trattamento di dati. Il secondo tratta i dati personali per conto del titolare del trattamento e, per questo motivo, deve presentare garanzie sufficienti, in particolare, in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del GDPR. E, a tali fini, l’applicazione di un codice di condotta o di un meccanismo di certificazione può essere utile a dimostrare il rispetto degli obblighi.

  • Principi generali del nuovo Regolamento Europeo 2016/679
  • Le figure coinvolte nel trattamento dei dati
  • Il Garante per la protezione dei dati personali
  • Le varie tipologie di dati
  • Informative e consensi
  • La sicurezza del trattamento dei dati
  • I diritti degli interessati
  • Le novità introdotte dal Regolamento Europeo 2016/679
  • Responsabilità e sanzioni
  • Il principio di accountability
  • Data breach
  • Nomina di un Data Protection Officer (DPO)