CORSO “GDPR – REGOLAMENTO UE 2016/679 sulla Privacy”

CORSO “GDPR il REGOLAMENTO UE 2016/679 sulla Privacy”

PREMESSE

Il regolamento GDPR (General Data Protection Regulation) è stato pubblicato sulla GUCE il 4 maggio 2016. È entrato in vigore il 24 maggio 2016 ed è diventato obbligatorio, dopo 24 mesi, a partire dal 25 maggio 2018 (come chiaramente indicato all’art.99 del Regolamento stesso). Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione Europea e non richiede una legge di recepimento nazionale.


CONFRONTO TRA IL D.Lgs. 196/2003 e il GDPR UE 2016/679:
Il D.Lgs.196/2003 ha dimostrato una scarsa capacità ad adeguarsi alle evoluzioni tecnologiche. È una norma nata in tempi nei quali il web ed i rischi ad esso connessi erano ancora poco conosciuti. Rispetto a tredici anni, fa è cambiato tutto il contesto al contorno. Allora non si parlava di cloud né di big data, Facebook, Whatsapp, Dropbox erano sconosciuti. Nel contesto attuale e in quello di un futuro prevedibile non è più sostenibile che sicurezza e tutela dei dati personali siano un affare per pochi perché il loro trattamento coinvolge, di fatto, molti soggetti, grandi e piccoli, in Italia, in Europa e nel mondo. Non c’è una relazione che leghi la dimensione aziendale con la quantità e la criticità dei dati trattati.
Il nuovo GDPR rappresenta una “rivoluzione cartesiana” nella valutazione della sicurezza dei dati: si passa da una logica di «minimo» a una logica di «adeguato» in base ai rischi corsi (e nei casi previsti alla valutazione di impatto).
Restano sostanzialmente invariati:

  • Definizione di trattamento e dato personale
  • Principi relativi al trattamento di dati
  • Liceità del trattamento
  • Informativa
  • Consenso

Presentazione del corso

Il Corso esaminerà gli aspetti principali del nuovo Regolamento Europeo in materia di privacy, con particolare attenzione alle maggiori novità :

  • La responsabilità del Titolare: deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.
  • DPO (Data Protection Officer): nasce la figura del Responsabile della protezione dei dati (RPD). É una figura di vigilanza, interna o esterna all’azienda.
  • Notifica di una violazione di dati (Data Breach): il nuovo GDPR è molto orientato alla sicurezza dei dati più che alla privacy: si passa da una logica di «minimo» a una logica di «adeguato» in base alla valutazione dei rischi. Pertanto il GDPR indurrà – anzi obbligherà – le aziende ad implementare sistemi di protezione dei dati fin dalla fase di ideazione e progettazione, anche per non incorrere nelle pesanti sanzioni amministrative e penali, oltre che per evitare il rischio di azioni risarcitorie.
  • L’importanza delle ASSOCIAZIONI DI CATEGORIA: L’articolo 40 del GDPR prevede l’elaborazione di Codici di condotta, che potranno essere sviluppati dalle associazioni di categoria che rappresentano gli specifici settori di impresa e siano poi approvati dal Garante nazionale. Questo aspetto è molto interessante, perché consente di ridurre in modo significativo i costi ed anche l’impatto organizzativo sulle singole aziende.

Programma del corso (8 ore in versione standard, 4 ore in versione breve)

    • Evoluzione normativa: dalla prima legge sulla protezione dei dati personali del 1996, al D.lgs 196/2003 alla nascita del Regolamento Europeo.
    • Le novità del D.Lgs.101/2018.
    • Cosa resta invariato e le principali novità.
    • Il campo di applicazione-Soggetti coinvolti nel Trattamento dei Dati.
    • I nuovi diritti attribuiti agli interessati.
    • Nuovi obblighi in materia di Privacy per le aziende e l’organizzazione aziendale
    • I soggetti che effettuano trattamento: le nuove figure del Joint Controller e DPO (Data Privacy Officer).
    • I Registri delle attività di trattamento
    • Il Diritto alla portabilità dei dati ed il diritto all’oblio.
    • Il sistema sanzionatorio: sanzioni amministrative e penali.
    • Privacy by design e privacy by default.
    • DPIA (data privacy impact assessment): la valutazione d’impatto.
    • La Sicurezza del trattamento: come valutarne l’Adeguatezza.
    • Il Data Breach e la comunicazione della violazione di dati: aspetti e criticità.
    • Le misure di sicurezza richieste (e consigliabili) per mettere in pratica la privacy by design prevista dal GDPR.
    • Pseudonimizzazione, Crittografia, Anonimizzazione.
    • Pillole di sicurezza: qualche utile consiglio da mettere in pratica in azienda.
    • I Codici di condotta per le Associazioni di categoria e le micro, piccole e medie imprese.
    • I meccanismi di certificazione della protezione dei dati. I “Privacy Seals”.

Libro GDPR kit di sopravvivenza di Francesco Amato e Giorgio Sbaraglia (Ed. GoWare).


© Copyright 2020 Giorgio Sbaraglia
All rights reserved.


Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.