CORSO “GDPR – REGOLAMENTO UE 2016/679 sulla Protezione dei dati personali”

CORSO “GDPR il REGOLAMENTO UE 2016/679 sulla Privacy”

PREMESSE

Il regolamento GDPR (General Data Protection Regulation) è stato pubblicato sulla GUCE il 4 maggio 2016. È entrato in vigore il 24 maggio 2016 ed è diventato obbligatorio, dopo 24 mesi, a partire dal 25 maggio 2018 (come chiaramente indicato all’art.99 del Regolamento stesso). Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione Europea e – a differenza delle direttive europee – non richiede una legge di recepimento nazionale.


CONFRONTO TRA IL D.Lgs. 196/2003 e il GDPR UE 2016/679:
Il D.Lgs.196/2003 (noto come “Codice Privacy”) ha dimostrato una scarsa capacità ad adeguarsi alle evoluzioni tecnologiche. È una norma nata in tempi nei quali il web ed i rischi ad esso connessi erano ancora poco conosciuti. Rispetto a tredici anni, fa è cambiato tutto il contesto al contorno. Allora non si parlava di cloud né di big data, Facebook, Whatsapp, Dropbox erano sconosciuti. Nel contesto attuale e in quello di un futuro prevedibile non è più sostenibile che sicurezza e tutela dei dati personali siano un affare per pochi perché il loro trattamento coinvolge, di fatto, molti soggetti, grandi e piccoli, in Italia, in Europa e nel mondo. Non c’è una relazione che leghi la dimensione aziendale con la quantità e la criticità dei dati trattati.
Il nuovo GDPR rappresenta una “rivoluzione cartesiana” nella valutazione della sicurezza dei dati: si passa da una logica di «minimo» a una logica di «adeguato» in base ai rischi corsi (e nei casi previsti alla valutazione di impatto).
Restano sostanzialmente invariati:

  • Definizione di trattamento e dato personale
  • Principi relativi al trattamento di dati
  • Liceità del trattamento
  • Informativa
  • Consenso

Presentazione del corso

Il Corso esaminerà gli aspetti principali del Regolamento Europeo in materia di Protezione dei dati personali (Privacy), con particolare attenzione alle maggiori novità rispetto al precedente Codice Privacy del 2003:

  • La responsabilità del Titolare: deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.
  • DPO (Data Protection Officer): nasce la figura del Responsabile della protezione dei dati (RPD). É una figura di vigilanza, interna o esterna all’azienda.
  • Notifica di una violazione di dati (Data Breach): il nuovo GDPR è molto orientato alla sicurezza dei dati più che alla privacy: si passa da una logica di «minimo» a una logica di «adeguato» in base alla valutazione dei rischi. Pertanto il GDPR indurrà – anzi obbligherà – le aziende ad implementare sistemi di protezione dei dati fin dalla fase di ideazione e progettazione, anche per non incorrere nelle pesanti sanzioni amministrative e penali, oltre che per evitare il rischio di azioni risarcitorie.
  • L’importanza delle ASSOCIAZIONI DI CATEGORIA: L’articolo 40 del GDPR prevede l’elaborazione di Codici di condotta, che potranno essere sviluppati dalle associazioni di categoria che rappresentano gli specifici settori di impresa e siano poi approvati dal Garante nazionale. Questo aspetto è molto interessante, perché consente di ridurre in modo significativo i costi ed anche l’impatto organizzativo sulle singole aziende.

Programma del corso (8 ore in versione standard, 4 ore in versione breve)

    • Evoluzione normativa: dalla prima legge sulla protezione dei dati personali del 1996, al D.lgs 196/2003 alla nascita del Regolamento Europeo.
    • Le novità del D.Lgs.101/2018.
    • Cosa resta invariato e le principali novità.
    • Il campo di applicazione-Soggetti coinvolti nel Trattamento dei Dati.
    • I nuovi diritti attribuiti agli interessati.
    • Nuovi obblighi in materia di Privacy per le aziende e l’organizzazione aziendale
    • I soggetti che effettuano trattamento: le nuove figure del Joint Controller e DPO (Data Privacy Officer).
    • I Registri delle attività di trattamento
    • Il Diritto alla portabilità dei dati ed il diritto all’oblio.
    • Il sistema sanzionatorio: sanzioni amministrative e penali.
    • Privacy by design e privacy by default.
    • DPIA (data privacy impact assessment): la valutazione d’impatto.
    • La Sicurezza del trattamento: come valutarne l’Adeguatezza.
    • Il Data Breach e la comunicazione della violazione di dati: aspetti e criticità.
    • Le misure di sicurezza richieste (e consigliabili) per mettere in pratica la privacy by design prevista dal GDPR.
    • Pseudonimizzazione, Crittografia, Anonimizzazione.
    • Pillole di sicurezza: qualche utile consiglio da mettere in pratica in azienda.
    • I Codici di condotta per le Associazioni di categoria e le micro, piccole e medie imprese.
    • I meccanismi di certificazione della protezione dei dati. I “Privacy Seals”.

Libro GDPR kit di sopravvivenza di Francesco Amato e Giorgio Sbaraglia (Ed. GoWare).


© Copyright 2023 Giorgio Sbaraglia
All rights reserved.


Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.