MASTER PRIVACY MANAGER percorso formativo abilitante per referenti privacy negli Enti Locali ed Enti Pubblici 1° edizione PERCORSO PRATICO OPERATIVO Il Team privacy negli Enti pubblici 1° MODULO - 2 giornate Dott. Stefano Paoli, Consulente Legale Formazione Professionale, Esperto in materie giuridiche applicate alla P.A. e Data Protection Officer (Dpo) Prima giornata - 6 Maggio 2022 - orario 9:00/13:00 Il Gdpr negli Enti pubblici: le norme, gli “attori” e i ruoli Le fonti internazionali, comunitarie e nazionali in materia di trattamento dei dati. Il ruolo del Titolare del trattamento e le situazioni di contitolarità. Il rispetto del principio di “accountability”. La scelta dei “ruoli” e la loro relativa formazione. La necessità/opportunità della creazione di team work privacy all’interno dell’ente. I responsabili c.d. “interni” e quelli c.d. “esterni” La possibilità di nominare “altri responsabili” (c.d. sub responsabili) Gli “addetti” e i “soggetti designati”, e i soggetti autorizzati. L’Amministratore di Sistema e il Responsabile della Transizione al Digitale. Seconda giornata - 10 Maggio 2022 - orario 9:00/13:00 Il Gdpr negli Enti pubblici: il Responsabile della Protezione dati/DPO Individuazione RPD/DPO: interno o esterno all’ente? Persona fisica o giuridica? Il RPD/DPO garante della compliance privacy?. Garante per la privacy un binomio al servizio dell’ente e dei cittadini. Requisiti e funzioni, obbligo di designazione. Il “documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” del Garante del 29 aprile 2021, n. 186. I rapporti del RPD con il Titolare e con gli altri “attori” della governance in materia di privacy. 2° MODULO - 1 giornata Avv. Flavio Corsinovi, Esperto in privacy e protezione dei dati personali - Data Protection Officer (Dpo) 17 Maggio 2022 - orario 9:00/13:00 Gli strumenti necessari per l’attuazione del GDPR Il regolamento dell’ente in materia: sua necessità e contenuti. Rispetto del principio di liceità.La forma e la gestione Registro del trattamento dei dati: chi deve compilarlo, chi lo deve gestire, chi lo deve tenere e chi deve vigilare sul suo utilizzo. Il ruolo del RPD/DPO. La valutazione d’impatto privacy (DPIA): quando deve essere eseguita e chi deve farla. Lo specifico documento del Garante della privacy. La partecipazione del RPD è obbligatoria o facoltativa? Il ruolo del titolare. Privacy by design e privacy by default: due strumenti utili per modificare il modus operandi nella Pubblica Amministrazione. Il data breach: sua definizione e cosa deve essere fatto quando accade. Il ruolo e le funzioni del titolare, del RPD/DPO e degli altri soggetti designati e/o autorizzati al trattamento dei dati. La comunicazione al Garante e ai soggetti interessati: obbligo o facoltà? Responsabilità per la mancata segnalazione al Titolare dell’avvenuto data breach e/o dell’attivazione del processo di intervento. 3° MODULO - 1 giornata Avv. Flavio Corsinovi, Esperto in privacy e protezione dei dati personali - Data Protection Officer (Dpo) 27 Maggio 2022 - orario 9:00/13:00 L’oggetto e le modalità del trattamento: il dato personale delle persone fisiche Le basi giuridiche del trattamento: liceità, obblighi contrattuali, perseguimento di un interesse pubblico. Il consenso al trattamento dei dati: natura giuridica del consenso informato, il consenso del minore. I principi generali relativi al trattamento dei dati: liceità, correttezza, trasparenza, minimizzazione, integrità, riservatezza e pseudoanonimizzazione. Definizione di dato personale, giudiziario e particolare: il prior checking. Definizione di interessato identificato e identificabile. L’Internet Protocol (IP): l’evoluzione nella sua classificazione come dato personale L’individuazione, l’attuazione ed il monitoraggio delle misure di sicurezza. L’obbligo della formazione: quali sono i soggetti interessati e le modalità di somministrazione. L’inserimento dell’obbligo formativo nel PIAO 4° MODULO Avv. Flavio Corsinovi, Esperto in privacy e protezione dei dati personali - Data Protection Officer (Dpo) 31 Maggio 2022 - orario 9:00/13:00 I diritti degli interessati e il diritto di accesso ai dati e il diritto all’oblio. L’obbligo del rilascio dell’informativa: contenuto e modalità di consegna agli interessati. L’informativa web: privacy policy, cookie policy e i cookie wall. L’esercizio dei “diritti degli interessati” di cui agli artt. 12-22 del GDPR: chi fa che cosa? Il diritto di accesso ai dati personali. I diritti personali: di controllo, di limitazione del trattamento, di revoca del consenso, di opposizione al trattamento, alla portabilità dei dati, di rettifica e di integrazione Il diritto di cancellazione ed il diritto all’oblio: modalità di esercizio Il diritto all’oblio: definizione. Differenze e somiglianze con il diritto alla cancellazione dei dati. I criteri del diritto all’oblio: come esercitare e come adempiere al diritto all’oblio secondo il GDPR. Cancellazione e/o distruzione dei dati d’ufficio o su richiesta. Chi deve e come procedere alla cancellazione e/o distruzione del dato e diritti del soggetto interessato. La conservazione dei dati in modalità analogica e informatica. 5° MODULO Laura Schiavon, Consulente e auditor in materia di sicurezza delle informazioni, partner di Crowe Bompani Spa 8 Giugno 2022 - orario 9:00/13:00 La privacy nella “Rete” e nelle comunicazioni elettroniche. L’utilizzo da parte degli operatori pubblici di Internet e dei social network. Il sito istituzionale e i suoi contenuti. Il trattamento dei dati on line nel rispetto dei principi del GDPR. L’ informativa web: privacy policy, cookie policy e i cookie wall. L’ “Amministrazione trasparente” e l’albo on-line: rapporto tra trasparenza e privacy. Le criticità relative al trattamento e diffusione dei dati. L’uso dei social network: la pubblicazione di video, di foto, etc. La necessità del consenso. Le problematiche relative a immagini relativi a particolari soggetti, quali i minori, diversamente abili, etc. 6° MODULO Laura Schiavon, Consulente e auditor in materia di sicurezza delle informazioni, partner di Crowe Bompani Spa 15 Giugno 2022 - orario 9:00/13:00 La gestione della sicurezza informatica La nozione di rischio e di cybersecurity. Le misure di sicurezza informatiche e organizzative. Il Piano di Disaster Recovery. Il Dpo e la gestione del rischio e la valutazione di impatto sulle piattaforme tecnologiche della Pubblica Amministrazione. L’analisi dei rischi: il Risk assessment e la Valutazione d’Impatto (DPIA). I rischi per i diritti e la libertà dei cittadini in caso di trattamenti automatizzati e di profilazione dei dati. Identità digitale e riservatezza dei dati personali: quali rischi? La conservazione e la gestione dei dati in modalità informatica. Il ruolo del Responsabile alla transizione digitale e dell’Amministratore di sistema. Il concetto di danneggiamento dei sistemi informativi. Individuazione e gestione degli accessi non autorizzati. 7° MODULO Dott. Stefano Paoli, Consulente Legale Formazione Professionale, Esperto in materie giuridiche applicate alla P.A. e Data Protection Officer (Dpo) 23 Giugno 2022 - orario 9:00/13:00 La responsabilità e il sistema sanzionatorio in materia di privacy Il quadro normativo: dal Codice al Regolamento europeo e la sua entrata in vigore: cosa rimane del D.lg. 196/03 (D.lg. 101/18) e il valore dei Provvedimenti del Garante della Privacy. La gerarchia delle fonti in materia di privacy. Le misure di sicurezza: informatiche e organizzative. L’analisi dei rischi e il comportamento dei lavoratori. Le responsabilità in caso di omissione della loro adozione. La responsabilità del Titolare del trattamento dei dati: culpa in eligendo ed in vigilando, diretta e personale. La violazione della privacy come violazione dei doveri d’ufficio: rapporto fra privacy, codice di comportamento e Piano delle Performance. Il sistema sanzionatorio: come cambia. Il reclamo, i ricorsi e le segnalazioni al Garante. La tipologia delle sanzioni: penali, amministrative e il risarcimento dei danni. Il danno all’immagine e/o alla reputazione. Il rafforzamento delle sanzioni pecuniarie.
DESTINATARI • Responsabili protezione dati (RTP/DPO) • Referenti Privacy di Enti Locali ed Enti Pubblici • Referenti Privacy Società pubbliche e Società partecipate • Altri soggetti interessati alla materia
*I corsi saranno registrati e fruibili anche successivamente alla data di svolgimento; pertanto coloro che non potessero essere disponibili nelle date indicate nel Programma potranno fruirli in un secondo momento.
Quote di partecipazione
CORSO BASE € 500,00 + IVA** - a partecipante (codice MEPA - CSELMPM01) € 400,00 + IVA** - a partecipante - Per i clienti dei servizi di Consulenza e Formazione continua e dei clienti che hanno aderito al Progetto “Next Generation EU – EuroPA Comune” - (codice MEPA - CSELMPM02) Il CORSO BASE si sviluppa in n. 8 giornate da n. 4 ore ciascuna per un totale di n. 32 ore formative
|