CORSO

Responsabile protezione dati DPO: “Data Protection Officer ”

Corso sospeso sino al termine dell’emergenza Covid-19

Scontistiche.

Per gli associati Confapi è previsto uno sconto del 10% per tutti i corsi.

Sconti personalizzati per gruppi di 3 o più persone.

Per informazioni contattaci utilizzando il form o i link sottostanti.

Menu del corso

Richiedi informazioni su questo corso

Se preferisci puoi contattarci anche con questi altri metodi.

  • +39 070 211 0378
    +39 070 211 0384

Fino al termine dell’emergenza Covid-19 puoi contattarci attraverso i social e via email.

Descrizione

Il percorso formativo di Data Protection Officer previsto dalla norma UNI 11697:2017 prevede la frequentazione di un corso articolato in moduli da 4 ore ciascuno per la durata complessiva di 80 ore di cui almeno 60 ore di lezioni teoriche frontali (con organizzazione modulare) completate da prove pratiche, simulazioni o esercitazioni.

L’Isfor Api si riserva di garantire la condivisione delle ore di docenza tra giuristi ed ingegneri, così che possano essere tenute lezioni collaborative che approfondiscano ogni peculiarità tecnica o giuridica delle medesime materie o fattispecie.

Al termine della formazione verrà rilasciato l’attestato di frequenza come previsto dal D.Lgs. 81/08.

Programma

Modulo 1 – Introduzione al ruolo di privacy officer

  • introduzione al ruolo del privacy officer in azienda.

 

Modulo 2 – Inquadramento normativo del regolamento privacy

  • introduzione al regolamento europeo privacy;
  • le disposizioni generali del regolamento privacy europeo;
  • le definizioni principali del regolamento privacy.

 

Modulo 3 -I principi fondamentali del regolamento privacy

  • il principio di liceità e finalità;
  • il principio di necessità e pertinenza;
  • il principio di proporzionalità e correttezza;
  • il principio di conservazione;
  • il principio di privacy by design e privacy by default.

 

Modulo 4 – Il sistema organizzativo del regolamento europeo privacy

  • la richiesta di analisi preliminare del Garante Privacy;
  • il registro delle attività di trattamento;
  • la notifica delle violazioni dei dati personali;
  • la comunicazione delle violazioni dei dati personali;
  • i codici di condotta e i sistemi di certificazione privacy.

 

Modulo 5 – I diritti dell’interessato previsti dal regolamento privacy

  • il diritto di informativa privacy e consenso privacy;
  • il diritto di accesso ai dati personali;
  • il diritto di rettifica e cancellazione;
  • il diritto all’oblio;
  • il diritto alle portabilità dei dati personali;
  • il diritto di opposizione;
  • la profilazione dell’interessato.

 

Modulo 6 – Gli adempimenti del regolamento privacy europeo

  • l’analisi dei rischi privacy;
  • la valutazione dell’impatto sulla protezione dei dati personali;
  • le misure di sicurezza;
  • il trasferimento dei dati all’estero;
  • la richiesta di analisi preliminare del Garante Privacy.

 

Modulo 7 – Gli adempimenti del regolamento privacy europeo

  • il registro delle attività di trattamento;
  • la notifica delle violazioni dei dati personali;
  • la comunicazione delle violazioni dei dati personali;
  • i codici di condotta e i sistemi di certificazione privacy.

 

Modulo 8 – Gli adempimenti del regolamento privacy europeo

  • l’analisi dei rischi privacy;
  • la valutazione dell’impatto sulla protezione dei dati personali;
  • le misure di sicurezza;
  • il trasferimento dei dati all’estero;
  • la richiesta di analisi preliminare del Garante Privacy;
  • il registro delle attività di trattamento;
  • la notifica delle violazioni dei dati personali;
  • la comunicazione delle violazioni dei dati personali;
  • i codici di condotta e i sistemi di certificazione privacy.

 

Modulo 9 – Le autorità di controllo e il sistema sanzionatorio del regolamento privacy

  • le autorità garanti per la protezione dei dati personali;
  • competenza, compiti e poteri del Garante Privacy;
  • la cooperazione tra garanti privacy;
  • il comitato europeo per la protezione dei dati personali;
  • reclami, ricorsi e segnalazioni al Garante Privacy;
  • le sanzioni amministrative pecuniarie;
  • il risarcimento danni.

 

Modulo 10 – Inquadramento normativo privacy italiano

  • il codice privacy;
  • le figure privacy coinvolte.

 

Modulo 11 – Gli adempimenti privacy italiani

  • la notificazione e le autorizzazioni;
  • le nomine a responsabile;
  • le lettere di incarico.

 

Modulo 12 – Le misure di sicurezza privacy italiane

  • i rischi del trattamento informatico e cartaceo;
  • le misure minime di sicurezza per il trattamento con strumenti elettronici;
  • le misure minime di sicurezza per il trattamento in formato cartaceo;
  • la relazione sul sistema di gestione privacy ex documento programmatico sulla sicurezza (DPS).

 

Modulo 13 – Le misure di sicurezza privacy italiane

  • la relazione sul sistema di gestione privacy ex documento programmatico sulla sicurezza (DPS);
  • gli adempimenti periodici;
  • le sanzioni amministrative e penali.

 

Modulo 14 – I provvedimenti generali del Garante Privacy italiano

  • provvedimento in materia di amministratore di sistema;
  • provvedimenti in materia di posta elettronica e internet;
  • provvedimento in materia di trattamento di dati personali di lavoratori;
  • provvedimento in materia di telemarketing.

 

Modulo 15 – I provvedimenti generali del Garante Privacy italiano

  • provvedimento in materia di smaltimento delle apparecchiature elettroniche;
  • provvedimento in materia di fidelity card;
  • provvedimento in materia di Rfid.

 

Modulo 16 – I provvedimenti generali del Garante Privacy italiano

  • la disciplina della videosorveglianza nei luoghi di lavoro;
  • privacy e lavoro: le criticità dei sistemi di videosorveglianza.

 

Modulo 17 – La normativa specialistica di settore per il DPO

  • linee guida privacy specifiche per il settore di intervento;
  • provvedimenti privacy specifici per il settore di intervento.

 

Modulo 18 – Direttiva UE 2016/680 – Trattamenti per fini di polizia, giustizia e sicurezza

  • i trattamenti per finalità di sicurezza nazionale, politica estera e sicurezza dell’unione;
  • finalità di indagini o perseguimento dei reati (rinvio alla direttiva 680/2016);
  • trattamento dei dati personali da parte delle autorità giurisdizionali e l’inopportunità del controllo dell’autorità garante;
  • rapporto tra direttiva data protection e responsabilità degli intermediari della società dell’informazione.

 

Modulo 19 – Mezzi di ricorso responsabilità e sanzioni

  • il reclamo a un’autorità di controllo;
  • il ricorso giurisdizionale effettivo;
  • l’azione di responsabilità;
  • condizioni generali per le sanzioni.

 

Modulo 20 – D.lgs approvato in esame preliminare dal consiglio dei ministri il 21 mazro 2018

  • analisi comparativa dello schema di decreto per l’adeguamento della normativa nazionale alle disposizioni del GDPR e del codice privacy (Decreto legislativo 30 giugno 2003, n° 196).

 

Questionario di apprendimento e di valutazione dell’efficacia della formazione

  • questionario di valutazione delle conoscenze acquisite;
  • questionario di valutazione sulla qualità del corso.

Destinatari

  • impiegati, esperti e dirigenti nel settore informatico che desiderano aggiornare e ampliare le proprie competenze;
  • liberi professionisti che svolgono attività di consulenza (notai, avvocati, commercialisti, ingegneri);
  • studenti universitari, giovani laureati o diplomati che desiderano acquisire competenze e skills tecniche in un settore emergente con altissima richiesta di personale.

 

Requisiti di accesso: diploma di istruzione secondaria.

Obiettivi del corso

L’introduzione del DPO non è una novità assoluta nel panorama legislativo europeo: nonostante nessuna legge comunitaria avesse mai previsto prima d’ora l’obbligatorietà di tale figura professionale, numerosi Stati dell’Unione l’avevano già ufficializzata recependo la direttiva 95/46/CE. In Italia, tuttavia, il Codice della Privacy (d.lgs. n. 196/2003) non ha istituito il responsabile della protezione dati, motivo per cui è ora necessario introdurre tale nuova figura professionale seguendo non solo i dettami del Regolamento UE, ma anche considerando il contesto legislativo nazionale.

Il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni:

  1. quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni);
  2. quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

 

In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.

Il DPO viene selezionato e scelto in base alle sue qualità professionali e in particolar modo il titolare e il responsabile del trattamento devono considerare la preparazione del DPO in ambito di trattamento dati, sia sul piano teorico che su quello pratico. Tale figura può essere selezionata tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base a un contratto di servizi.

In ogni caso, i dati di contatto del DPO devono essere pubblicati e resi noti agli interessati oltre ad essere comunicati all’autorità di controllo competente.

Il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti la protezione dei dati nonché sostenuto nell’esecuzione dei suoi compiti dal titolare e dal responsabile del trattamento che gli devono fornire tutte le risorse necessarie sia per svolgere il suo lavoro, sia per permettergli di mantenere aggiornata la sua conoscenza specialistica. In qualunque caso il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza: nessuno può dargli alcuna istruzione circa l’esecuzione dei suoi compiti e il responsabile della protezione dati non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO, essendo tenuto in ogni caso al segreto e alla riservatezza in ordine alle sue funzioni di responsabile della protezione.

L’articolo 39 del Regolamento specifica poi nel dettaglio quali sono i compiti minimi del DPO:

– informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;

  •  sorvegliare l’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;
  • fornire su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
  • cooperare con l’autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un’eventuale attività di consultazione preventiva.

 

Infine è un diritto degli interessati contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati.

È chiaro come l’introduzione di tale figura serva non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO appunto) tutta una serie di responsabilità in ambito di protezione dei dati, ma anche e soprattutto per permettere ad un soggetto specifico, specializzato, esperto in materia di occuparsi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato. Il tutto in linea con l’importanza, la diffusione e la complessità che l’ambito della privacy e del trattamento dei dati (soprattutto in campo digitale e tramite web) sta sempre più acquisendo.

Le imprese dovranno quindi, se vorranno garantire standard di sicurezza adeguati, nominare tali figure anche laddove ciò non sia obbligatorio per legge, possibilmente affidando tale compito a soggetti terzi ed esterni: il DPO, infatti, riferisce direttamente ai vertici aziendali e non al titolare/responsabile del trattamento (sebbene anche questi ultimi siano suoi superiori), e nonostante le garanzie di autonomia e indipendenza sancite dalla legge, bisogna chiedersi effettivamente quanti dipendenti sarebbero pronti a denunciare comportamenti o valutazioni errate del titolare e del responsabile del trattamento al top manager.

Per ricoprire il ruolo di DPO il Regolamento non richiede né abilitazioni, né certificazioni, né iscrizioni ad ordini professionali. Sul punto il Garante della Privacy, con la citata nota 28 luglio 2017 (newsletter n. 432 del 15 settembre 2017), ha chiarito che, allo stato, le disposizioni non prevedono alcun albo dei “Responsabili della protezione dei dati”, che attesti i requisiti e le caratteristiche di conoscenza, abilità e competenza, previste dal citato quadro normativo né richiedono che tali requisiti siano attestati attraverso specifiche certificazioni.

Con le “Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” il Garante della Privacy ha precisato che “come accade nei settori delle cosiddette “professioni non regolamentate”, si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori”.

Il Garante ha ribadito categoricamente che “Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del RGPD)” … “pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD”.

Si segnala che l’art. 83 comma 4) lettera a) del Nuovo Regolamento Europeo Privacy UE/2016/679 (GDPR) prevede una Sanzione Amministrativa fino a € 10.000.000 o a 2% del Fatturato Mondiale nel caso di omessa o inidonea designazione del Data Protection Officer.

Docenti

Professionisti con esperienza pluriennale nel settore.

Condividi questo corso con i tuoi amici

Condividi su facebook
Facebook
Condividi su google
Google+
Condividi su twitter
Twitter
Condividi su linkedin
LinkedIn

Contattaci

Se hai bisogno di qualsiasi informazione non esitare a scriverci.

Se preferisci puoi contattarci anche con questi altri metodi.

  • +39 070 211 0378
    +39 070 211 0384