CORSO “GDPR il REGOLAMENTO UE 2016/679 sulla Privacy”
PREMESSE
Il regolamento GDPR (General Data Protection Regulation) è stato pubblicato sulla GUCE il 4 maggio 2016. È entrato in vigore il 24 maggio 2016 ed è diventato obbligatorio, dopo 24 mesi, a partire dal 25 maggio 2018 (come chiaramente indicato all’art.99 del Regolamento stesso). Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione Europea e non richiede una legge di recepimento nazionale.
CONFRONTO TRA IL D.Lgs. 196/2003 e il GDPR UE 2016/679:
Il D.Lgs.196/2003 ha dimostrato una scarsa capacità ad adeguarsi alle evoluzioni tecnologiche. È una norma nata in tempi nei quali il web ed i rischi ad esso connessi erano ancora poco conosciuti. Rispetto a tredici anni, fa è cambiato tutto il contesto al contorno. Allora non si parlava di cloud né di big data, Facebook, Whatsapp, Dropbox erano sconosciuti. Nel contesto attuale e in quello di un futuro prevedibile non è più sostenibile che sicurezza e tutela dei dati personali siano un affare per pochi perché il loro trattamento coinvolge, di fatto, molti soggetti, grandi e piccoli, in Italia, in Europa e nel mondo. Non c’è una relazione che leghi la dimensione aziendale con la quantità e la criticità dei dati trattati.
Il nuovo GDPR rappresenta una “rivoluzione cartesiana” nella valutazione della sicurezza dei dati: si passa da una logica di «minimo» a una logica di «adeguato» in base ai rischi corsi (e nei casi previsti alla valutazione di impatto).
Restano sostanzialmente invariati:
- Definizione di trattamento e dato personale
- Principi relativi al trattamento di dati
- Liceità del trattamento
- Informativa
- Consenso
Presentazione del corso
Il Corso esaminerà gli aspetti principali del nuovo Regolamento Europeo in materia di privacy, con particolare attenzione alle maggiori novità :
- La responsabilità del Titolare: deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.
- DPO (Data Protection Officer): nasce la figura del Responsabile della protezione dei dati (RPD). É una figura di vigilanza, interna o esterna all’azienda.
- Notifica di una violazione di dati (Data Breach): il nuovo GDPR è molto orientato alla sicurezza dei dati più che alla privacy: si passa da una logica di «minimo» a una logica di «adeguato» in base alla valutazione dei rischi. Pertanto il GDPR indurrà – anzi obbligherà – le aziende ad implementare sistemi di protezione dei dati fin dalla fase di ideazione e progettazione, anche per non incorrere nelle pesanti sanzioni amministrative e penali, oltre che per evitare il rischio di azioni risarcitorie.
- L’importanza delle ASSOCIAZIONI DI CATEGORIA: L’articolo 40 del GDPR prevede l’elaborazione di Codici di condotta, che potranno essere sviluppati dalle associazioni di categoria che rappresentano gli specifici settori di impresa e siano poi approvati dal Garante nazionale. Questo aspetto è molto interessante, perché consente di ridurre in modo significativo i costi ed anche l’impatto organizzativo sulle singole aziende.
Programma del corso (8 ore in versione standard, 4 ore in versione breve)
-
- Evoluzione normativa: dalla prima legge sulla protezione dei dati personali del 1996, al D.lgs 196/2003 alla nascita del Regolamento Europeo.
- Le novità del D.Lgs.101/2018.
- Cosa resta invariato e le principali novità.
- Il campo di applicazione-Soggetti coinvolti nel Trattamento dei Dati.
- I nuovi diritti attribuiti agli interessati.
- Nuovi obblighi in materia di Privacy per le aziende e l’organizzazione aziendale
- I soggetti che effettuano trattamento: le nuove figure del Joint Controller e DPO (Data Privacy Officer).
- I Registri delle attività di trattamento
- Il Diritto alla portabilità dei dati ed il diritto all’oblio.
- Il sistema sanzionatorio: sanzioni amministrative e penali.
- Privacy by design e privacy by default.
- DPIA (data privacy impact assessment): la valutazione d’impatto.
- La Sicurezza del trattamento: come valutarne l’Adeguatezza.
- Il Data Breach e la comunicazione della violazione di dati: aspetti e criticità.
- Le misure di sicurezza richieste (e consigliabili) per mettere in pratica la privacy by design prevista dal GDPR.
- Pseudonimizzazione, Crittografia, Anonimizzazione.
- Pillole di sicurezza: qualche utile consiglio da mettere in pratica in azienda.
- I Codici di condotta per le Associazioni di categoria e le micro, piccole e medie imprese.
- I meccanismi di certificazione della protezione dei dati. I “Privacy Seals”.
Libro “GDPR kit di sopravvivenza“ di Francesco Amato e Giorgio Sbaraglia (Ed. GoWare).
© Copyright 2022 Giorgio Sbaraglia
All rights reserved.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.