DESCRIZIONE Dal 25/05/2018 tutte le Pubbliche Amministrazioni e/o Aziende che trattano dati personali, nei casi previsti dall’art. 37 del Regolamento UE 679/2016, dovranno dotarsi obbligatoriamente di un Responsabile della Protezione dei dati. Il corso ha l'obiettivo di far acquisire al partecipante le conoscenze e le competenze generali per svolgere il ruolo di Responsabile della Protezione dei Dati (Data Protection Officer) previsto dal Regolamento UE 2016/679 (GDPR), definendo gli elementi di novità e di integrazione rispetto alla normativa afferente al D. Lgs. 196/2003. Il Corso per il "Data Protection Officer” fornirà ai partecipanti una preparazione manageriale completa e multidisciplinare secondo quanto previsto dal Regolamento UE per la protezione dei dati personali.

ARTICOLAZIONE DIDATTICA

Modulo 1: Evoluzione normativa in materia di trattamento di dati personali (4 ore) 1. La direttiva 95/46/Ce: principi generali 2. Il recepimento della direttiva: dalla legge 675/1996 e al Codice Privacy 3. Il Regolamento Ue n. 679/2016 4. Entrata in vigore e termine di adeguamento 5. Rapporto tra Regolamento europeo e normative nazionali

Modulo 2: Ambito di applicazione del regolamento (4 ore) 1. Il trattamento per finalità esclusivamente personali o domestiche 2. Il titolare stabilito nel territorio EU 3. L’interessato residente nel territorio EU

Modulo 3: Tipologie di dati personali (6 ore) 1. I dati delle persone fisiche 2. I dati delle persone giuridiche 3. Il trattamento di dati sensibili 4. Il trattamento di dati giudiziari 5. Il trattamento di dati genetici 5. Il trattamento di dati biometrici 6. L’anonimizzazione e la pseudoanonimizzazione di dati personali 7. Il trattamento di dati personali di persona deceduta

Modulo 4: I principi generali del regolamento (6 ore) 1. Il principio di liceità 2. Il principio di correttezza 3. Il principio di trasparenza 4. Il principio di pertinenza 5. Il principio di necessità 6. Il principio di accountability 7. Il principio della privacy by design e by default

Modulo 5: L’informativa, il consenso e le finalità del trattamento (8 ore) 1. L’informativa preventiva 1.1. L’informativa da fornire quando i dati personali sono raccolti presso l’interessato 1.2. L’informativa da fornire quando i dati personali non sono raccolti presso l’interessato 1.3. L’informativa e consenso al trattamento necessario per adempiere a contratto 1.4. L’informativa e consenso al trattamento necessario per obbligo di legge 1.5. L’informativa e consenso al trattamento necessario per salvaguardia interessi vitali dell’interessato o di altra persona fisica 1.6. L’informativa e consenso al trattamento necessario per interesse pubblico 1.7. L’informativa e consenso al trattamento in ambito sanitario 2. La prestazione del consenso 2.1. Il consenso dei minori di anni 16 2.2. Il consenso obbligatorio e facoltativo 2.3. Il consenso dei dati sensibili 3. Le modalità di acquisizione del consenso: prova e revoca 4. Le finalità del trattamento

Modulo 6: I diritti dell’interessato (8 ore) 1. Il diritto alla conoscenza delle fonti dei dati 2. Il diritto all’aggiornamento dei dati 3. Il diritto alla cancellazione (diritto all’oblio) 4. Il diritto di limitazione del trattamento 5. Il diritto alla portabilità dei dati 6. Il diritto di opposizione 7. Il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione 8. Le modalità e le condizioni di esercizio dei diritti dell’interessato

Modulo 7: I soggetti preposti al trattamento (8 ore) 1. Il titolare del trattamento 1.1. La responsabilità del titolare 1.2. Le ipotesi di contitolarità 2. Il responsabile del trattamento 2.1. Il responsabile del trattamento e la designazione di sub-responsabili 3. Gli incaricati del trattamento 4. Gli amministratori di sistema 5. Il Data Protection Officer 5.1. L’obbligo di nomina del DPO 5.2. I requisiti di professionalità del DPO 5.3. Le garanzie e gli obblighi del DPO 5.4. Il DPO interno ed esterno 5.5. La designazione del DPO e la notifica al Garante 5.6. I compiti del DPO 6. L’organigramma privacy e i registri delle attività di trattamento

Modulo 8: I trasferimenti di dati personali infragruppo e verso paesi terzi (4 ore) 1. I presupposti e le condizioni del trasferimento dei dati 2. Le norme vincolanti d’impresa – Binding corporate rules (Bcr)

Modulo 9: I trattamenti dei dati per finalità di polizia, giustizia e sicurezza (4 ore) 1. I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’unione 2. Le finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016) 3. Il trattamento dei dati personali da parte delle autorità giurisdizionali 4. La responsabilità degli intermediari della società dell’informazione nel trattamento dei dati per finalità di polizia, giustizia e sicurezza

Modulo 10: La protezione dei dati personali ed il ruolo del DPO nella PA (6 ore) 1. La protezione dei dati personali e la disciplina dell’accesso ex l. 241/90 2. Il D.Lgs. 33/2013 e l’accessibilità totale 3. L’accesso civico e accesso civico generalizzato (FOIA) 4. L’Open data e il riutilizzo 5. Il bilanciamento tra obblighi di trasparenza 6. Il ruolo del DPO nella PA

Modulo 11: La valutazione di impatto sulla protezione dei dati, trattamenti a rischio elevato (6 ore) 1. L’obbligo della valutazione d’impatto sulla protezione dei dati 2. I Codici di condotta e la valutazione d’impatto 3. Le modalità di valutazione d’impatto sulla protezione dei dati 4. La documentazione delle valutazioni 5. La consultazione preventiva per i trattamenti

Modulo 12: Le architetture IT: tecniche di criptazione dei dati e casi di violazione (8 ore) 1. Le architetture IT preposte al trattamento dei dati 1.1 Le architetture standard internazionali (COBIT 5 e ITIL v3) 1.2. Le architetture per paradigmi Privacy-by-Design e Security-by-Design 2. Le qualità tecniche dei dati 3. Le tecniche di pseudoanonimizzazione 4. Le tecniche di criptazione dei dati 5. Le tecniche per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento 6. Le tecniche di backup e recovery 7. Le principali ipotesi di data breach 8. L’analisi e la documentazione del data breach 9. L’importanza della cifratura ai fini della notifica del data breach 10. Le tecniche di simulazione: penetration test

Modulo 13: Le misure di sicurezza e gli standard internazionali (4 ore) 1. Lo standard di gestione per la sicurezza delle informazioni: ISO 27001:2013 1.1. L’analisi dei rischi delle informazioni 1.2 La pianificazione degli obbiettivi della sicurezza 1.3. Le procedure di controllo operativo 1.4. Il riesame periodico delle attività 1.5. Il monitoraggio del rispetto degli adempimenti Privacy 2. Lo standard di conduzione degli audit: ISO 19011:2011 2.1. La pianificazione e la gestione degli audit 2.2. La nozione di Non conformità e di Osservazioni 2.3. Le tipologie di azione correttive

Modulo 14: I mezzi di ricorso, responsabilità e sanzioni (4 ore) 1. Il ricorso giurisdizionale effettivo 1.1. Nei confronti dell’autorità di controllo 1.2. Nei confronti del titolare o del responsabile del trattamento 2. Il procedimento del ricorso giurisdizionale effettivo 3. L’azione di responsabilità 4. Il reclamo a un’autorità di controllo 4.1. Il principio del One Stop Shop 5. Le condizioni generali per le sanzioni

DESTINATARI Il ruolo di DPO può essere rivestito da una persona fisica, da un’organizzazione o da un team, in possesso di idonee competenze professionali. Ai sensi all’art. 37, par. 6 del Regolamento, il Responsabile della Protezione dei dati: “può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”. Il Corso è rivolto alle seguenti categorie professionali: • Dipendenti pubblici e privati che svolgono ruoli di Responsabile privacy, Responsabile della protezione dei dati, Responsabile IT, Security Manager, Responsabile area legale; • Liberi Professionisti che svolgono attività di consulenza in materia privacy o che intendono diventare DPO di aziende pubbliche o private quali Avvocati, Commercialisti, Consulenti del Lavoro, Consulenti della Privacy, Consulenti Informatici, Risk Manager.

ISCRIZIONE Inviare in carta semplice, a mano o via pec, alla segreteria dell’Associazione: la domanda d’iscrizione al corso, documento di riconoscimento, codice fiscale, permesso di soggiorno (per gli stranieri extracomunitari), titolo di studio (con eventuale traduzione ufficiale del titolo se non in lingua italiana), curriculum vitae e autorizzazione al trattamento dei dati personali (Reg. EU 679/2016).

SEDE DI SVOLGIMENTO Ente Santa Cecilia, via Spagna, snc., Casarano.

CERTIFICAZIONI FINALI Attestato di frequenza.

allegati: