Il Corso è organizzato in 19 moduli per un totale di almeno 84 ore, ovvero 21 giornate formative più la verifica finale.
| Orario lezioni: | venerdì ore 14.30- 18.30 sabato ore 08.30 – 12.30 |
Il presente programma provvisorio potrà subire modifiche ed integrazioni che saranno immediatamente pubblicate.
| 18-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro Lezione inaugurale |
| 19-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro 1. Disciplina generale. Dal Codice del 2003 al Regolamento europeo del 2016 |
| 1.1. Il D.Lgs. 196/2003: principi generali |
| 1.2. Il dato personale e il relativo trattamento |
| 1.3. L’informativa e il consenso |
| 1.4. Entrata in vigore |
| 1.5. Termine di adeguamento |
| 1.6. Rapporto tra Regolamento europeo e normative nazionali |
| 1.7. Possibili deroghe nella normativa nazionale relativa ai trattamenti delle PMI |
|
19-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro 2. D.Lgs. approvato in esame preliminare dal Consiglio dei Ministri il 21 marzo 2018 |
| 2.1 Legge delega del Parlamento n. 163 del 25 ottobre 2017 |
| 2.2 art. 13 L. 163/2017 |
| 2.2.1 abrogare le disposizioni del Codice privacy incompatibili con il GDPR |
| 2.2.2 modificare il Codice privacy per dare attuazione alle disposizioni non direttamente applicabili del GDPR |
| 2.2.3 coordinare le disposizioni vigenti con il GDPR |
| 2.2.4 adeguare il sistema sanzionatorio penale e amministrativo vigente del Codice privacy alle disposizioni del GDPR |
| 2.3 Schema di Decreto Legislativo del 21 marzo 2018 che introduce disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2016/679 |
| 25-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro 3. Ambito di applicazione |
| 3.1. Il trattamento per finalità esclusivamente personali o domestiche |
| 3.2. Titolare nel territorio EU |
| 3.3. Interessato nel territorio EU |
| 25-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro 4. I principi generali del Regolamento |
| 4.1. Principio di liceità |
| 4.2. Principio di correttezza |
| 4.3. Principio di trasparenza |
| 4.4. Principio di pertinenza |
| 4.5. Principio di necessità |
|
26-mag-18 – Sala Museo del Complesso di San Giovanni Battista dei Fiorentini in Piazza dell’Oro 5. Direttiva UE 2016/680 – Trattamenti per fini di Polizia, Giustizia e Sicurezza |
| 5.1. I trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’unione |
| 5.2. Finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016) |
| 5.3. Trattamento dei dati personali da parte delle autorità giurisdizionali e l’inopportunità del controllo dell’autorità Garante |
| 5.4. Rapporto tra direttiva data protection e responsabilità degli intermediari della società dell’informazione |
| 8-giu-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)
18. Protezione dei dati personali e trasparenza PA |
|
18.1. Dalla 241/90 al D.Lgs. 97/2016 l’evoluzione della trasparenza nell’Ordinamento italiano |
|
18.2. Il D.Lgs. 33/2013 e l’accessibilità totale |
|
18.3. Accesso civico e accesso civico generalizzato (FOIA) |
| 18.4. Open data e riutilizzo (art. 7, D.Lgs. 33/2013) anche alla luce delle recenti linee-guida dell’ANAC |
|
18.5. Bilanciamento tra obblighi di trasparenza (art. 7-bis, D.Lgs. 33/2013) e protezione dei dati personali |
|
9-giu-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3) 6. Tipologie di Dati personali ed anonimizzazione |
| 6.1. Trattamenti di dati di persona fisica identificata o identificabile |
| 6.2. Disciplina per il trattamento dei dati sensibili (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) (art. 9) |
| 6.3. Trattamento di dati giudiziari (penali); |
| 6.4. La pseudonimizzazione e la ragionevole possibilità di individuazione dell’interessato dei dati pseudonimi; |
| 6.5. I dati personali di persona deceduta. |
| 9-giu-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3)
7. Il consenso |
| 7.1. Il consenso (inequivocabile) |
| 7.1.1. Prestazione del consenso |
| 7.1.1.1.Modalità di acquisizione del consenso |
| 7.1.1.2.Silenzio, l’inattività o la preselezione di caselle |
| 7.1.2. Caratteristica del consenso informato |
| 7.1.3. Condizioni per il consenso |
| 7.1.3.1.Dimostrazione della prestazione del consenso |
| 7.1.3.2.Revoca del consenso e informazione preventiva |
| 7.1.3.3.Libera prestazione del consenso |
| 7.1.4. Elementi minimi: indicazione del titolare del trattamento e delle finalità del trattamento |
| 7.1.5. Consenso dei minori di anni 16 nella società dell’informazione |
| 7.1.6. Trattamento e consenso al trattamento in ambito sanitario |
| 7.2. Trattamento necessario per adempiere a contratto |
| 7.3. Trattamento necessario per obbligo di legge |
| 7.4. Trattamento necessario per salvaguardia interessi vitali dell’interessato o di altra persona fisica |
| 7.5. Trattamento necessario per interesse pubblico |
|
15-giu-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21) 8. L’interessato e i suoi diritti |
| 8.1. Trasparenza e modalità |
| 8.1.1. Forma scritta / forma orale solo se richiesto dall’interessato |
| 8.2. Informazioni da fornire quando i dati personali sono raccolti presso l’interessato |
| 8.3. Informazioni da fornire quando i dati personali non siano raccolti presso l’interessato |
| 8.4. Diritto all’aggiornamento dei dati |
| 8.5. Diritto alla cancellazione (diritto all’oblio) |
| 8.5.1. Condizioni |
| 8.6. Diritto di limitazione del trattamento |
| 8.7. Diritto alla portabilità dei dati |
| 8.8. Diritto di opposizione |
| 8.9. Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione |
| 8.10. Gli orientamenti della CEDU in materia |
| 16-giu-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21) 9. Figure soggettive |
| 9.1. Il Titolare del trattamento |
| 9.1.1. Responsabilità |
| 9.1.2. Contitolari |
| 9.2. Il Responsabile del trattamento |
| 9.2.1. Il responsabile del trattamento e la designazione di altri responsabili del trattamento |
| 9.2.2. Adempimenti, I Registri delle attività di trattamento |
| 22-giu-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21) 23-giu-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21) 10. Il Data Protection Officer – Responsabile della protezione dei dati |
| 10.1. Chi è il DPO? |
| 10.1.1. Designazione |
| 10.1.1.1. Il DPO dipendente |
| 10.1.1.2. Il DPO con contratto di servizi |
| 10.1.2. Caratteristiche |
| 10.1.2.1. Indipendenza |
| 10.1.2.2. Formazione |
| 10.1.2.3. Assenza di conflitto di interessi |
| 10.1.2.4. Risorse umane e finanziarie |
| 10.2. Quando è obbligatorio nominare il DPO |
| 10.2.1. PA (tranne uffici giudiziari) |
| 10.2.2. Soggetti la cui attività principale consista in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati |
| 10.2.3. Soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici |
| 10.2.4. Altre ipotesi previste da norme comunitarie o nazionali (art. 37, comma 4) |
| 10.3. Quando è facoltativo nominare il DPO |
| 10.4. La comunicazione dei dati del DPO all’Autorità di controllo |
| 10.5. L’assegnazione delle risorse finanziarie necessarie al DPO per svolgimento dei suoi compiti e per il suo aggiornamento professionale |
| 10.6. Il segreto e la riservatezza che incombono sul DPO |
| 10.7. I conflitti di interesse del DPO per altre funzioni eventualmente svolte |
| 10.8. I compiti del DPO |
| 10.8.1. Informazione e consiglio |
| 10.8.2. Verifica attuazione ed applicazione del Regolamento |
| 10.8.3. Pareri sulla valutazione d’impatto |
| 10.8.4. Punto di contatto per gli interessati |
| 10.8.5. Punto di contatto per il Garante |
| 23-giu-18 Hotel Donna Laura Palace (Lungotevere delle Armi, 21)
11. Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali [2 ore] |
| 11.1. Presupposti e condizioni |
| 11.2. Le norme vincolanti d’impresa – Binding corporate rules (Bcr) |
| 29-giu-18 Hotel Donna Laura Palace (Lungotevere delle Armi, 21) 30-giu-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3) 15. Normative tecniche internazionali sulla sicurezza |
| 15.1. Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 – Information security management systems; |
| 15.1.1. Concetti di base |
| 15.1.2. Analisi dei rischi delle informazioni |
| 15.1.3. Pianificazione degli obbiettivi della sicurezza |
| 15.1.4. Procedure di controllo operativo |
| 15.1.5. Riesame periodico delle attività |
| 15.2. Privacy e conduzione di audit: ISO 19011:2011 – Guidelines for auditing management systems |
| 15.2.1. Come Pianificare e gestire un audit |
| 15.2.2. Concetti di Non conformità |
| 15.2.3. Concetti di azioni correttive |
|
6-lug-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3) 13. Sicurezza e data breach |
| 13.2. Riconoscere la natura del data breach |
| 13.3. Documentazione del data breach |
| 13.4. L’importanza della cifratura ai fini della notifica del data breach |
| 13.5. Simulare il data breach: penetration test |
| 7-lug-18 Consiglio Nazionale Forense (via del Governo Vecchio, 3) 12. Data protection by design and by default |
| 12.1. Definizione e inquadramento |
| 12.2. La Privacy by Design (PbD) |
| 12.3. Lo scenario internazionale sulla Privacy by Design (PbD) |
| 12.4. Architetture per paradigmi Privacy-by-Design e Security-by-Design |
| 13-lug-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21)
15. Normative tecniche internazionali sulla sicurezza |
| 15.1. Sistemi di gestione per la sicurezza delle informazioni: ISO 27001:2013 – Information security management systems; |
| 15.1.1. Concetti di base |
| 15.1.2. Analisi dei rischi delle informazioni |
| 15.1.3. Pianificazione degli obbiettivi della sicurezza |
| 15.1.4. Procedure di controllo operativo |
| 15.1.5. Riesame periodico delle attività |
| 15.2. Privacy e conduzione di audit: ISO 19011:2011 – Guidelines for auditing management systems |
| 15.2.1. Come Pianificare e gestire un audit |
| 15.2.2. Concetti di Non conformità |
| 15.2.3. Concetti di azioni correttive |
| 14-lug-18 – Hotel Donna Laura Palace (Lungotevere delle Armi, 21)
20-lug-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3) 14. Architetture IT e sicurezza dei dati |
| 14.1. Le architetture IT per conservazione ed accesso ai dati |
| 14.2. Le qualità dell’accesso ai dati |
| 14.3. Cosa è l’accesso sicuro ai dati |
| 14.4. Tecniche di pseudonimizzazione |
| 14.5. La cifratura |
| 14.6. Misurare la “forza” della cifratura |
| 14.7. Tecniche per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento |
| 14.8. Il ripristino dei dati in caso di incidente fisico o tecnico |
| 14.9. Architetture e framework standard internazionali (COBIT 5 e ITIL v3). |
| 21-lug-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)
16. Normative tecniche internazionali su testing e gestione di soluzioni IT |
| 16.1. Sistemi per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche (rif. Etical Hacking) |
| 16.2. Processi per il monitoraggio del rispetto degli adempimenti Privacy in tutto il ciclo di sviluppo dei sistemi informativi (rif. ISO27001 Annex A) |
| 16.3. Processi per il monitoraggio dell’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati (rif. ISO27002) |
| 27-lug-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)
17. La valutazione d’impatto sulla protezione dei dati |
| 17.1. Quando farla |
| 17.2. Come farla |
| 17.3. Valutazione di impatto: introduzione al testing e alle verifiche sul campo |
| 17.4. Codici di condotta e valutazione d’impatto |
| 17.5. La consultazione preventiva per i trattamenti che, in base alla valutazione d’impatto, evidenzino un rischio elevato |
| 17.6. Integrazione del regolamento europeo con il D.Lgs. 231/01 e la responsabilità degli enti |
| 28-lug-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)
18. Mezzi di ricorso, responsabilità e sanzioni |
| 18.1. Il reclamo a un’autorità di controllo |
| 18.2. Il ricorso giurisdizionale effettivo |
| 18.2.1. Nei confronti dell’autorità di controllo |
| 18.2.2. Nei confronti del titolare o del responsabile del trattamento |
| 18.2.3. Il procedimento |
| 18.3. L’azione di responsabilità |
| 18.4. Condizioni generali per le sanzioni |
| Verifica finale |
| 3-ago-18 – Consiglio Nazionale Forense (via del Governo Vecchio, 3)
19. Riflessi dell’entrata in vigore del GDPR nelle Pubbliche amministrazioni |
|
Verifica finale |
Archivio: