6/28 Aprile 2018 - Corso di formazione Responsabile della protezione dei dati (RPD) o per DPO - Data Protection Officer

OBIETTIVI

Il Corso si ripropone la formazione di una figura professionale connotata da forte specializzazione completa e multidisciplinare, spendibile nell’ambito dell’attività previste dal Regolamento UE (2016/679) per la protezione dei dati personali. 

La frequenza al Corso è finalizzata alla acquisizione delle competenze inerenti al ruolo previsto dal Regolamento europeo in materia di protezione dei dati personali, con specifico riferimento alle funzioni di controllo, coordinamento e supervisione della corretta gestione e tutela dei dati personali contenuti nei sistemi informativi dell’organizzazione in cui opera.

Non sono richieste, dal Regolamento EU, attestazioni formali o l'iscrizione ad appositi albi professionali. La partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.

Destinatari

Il Corso è rivolto alle seguenti categorie professionali: Avvocati, Commercialisti, Consulenti del Lavoro, Consulenti della Privacy, Consulenti Informatici, Uffici legalie enti pubblici e società e altri Professionisti. Non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali. La partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.

Metodologia didattica

A.Corso in modalità frontale dal vivo

Il corso, della durata di 40 ore, è strutturato in 8 moduli da 5 ore ciascuno  (le lezioni si terranno il venerdì dalle 14 alle 18 ed il sabato dalle 10 alle 14). Tutti gli argomenti del Corso sono affrontati con taglio operativo e con una metodologia didattica interattiva, che prevede il continuo coinvolgimento dei partecipanti. L’inquadramento teorico dei vari argomenti è sempre accompagnato dall’analisi di casi concreti e da numerosi esempi pratici. Il corso videoregistrato resterà fruibile online per i partecipanti in visione gratuita per 60 giorni.

B.Corso in modalità online sulla piattaforma di eLearnig ForoEuropeo

Il corso videoregistrato sarà accessibile online on demand - h. 24 - sulla piattaforma di eLearning di ForoEuropeo. Ogni modulo sarà disponibile all'inizio della settimana successiva dallo svolgimento. Verrà rilasciato attestato di partecipazione.

Il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO)

Il Responsabile della protezione dei dati, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:

1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati.
2. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse . In linea di principio, ciò significa che il RPD non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali;
3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno).

Dovranno designare obbligatoriamente un Responsabile della protezione dei dati (RPD):

a) amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un RPD, è comunque possibile una nomina su base volontaria. Un gruppo di imprese o soggetti pubblici possono nominare un unico RPD

Compiti del Responsabile della protezione dei dati (RPD)

Il Responsabile della protezione dei dati dovrà, in particolare: a) sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità; b) collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA); c) informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati; d) cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento; e) supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento .

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

http://www.garanteprivacy.it/regolamentoue 

- Il testo delle Linee guida elaborate e adottate dal Gruppo Art. 29 in materia di processi decisionali automatizzati e profilazione, definite in base alle previsioni del Regolamento (UE) 2016/679.

- Il testo delle Linee guida elaborate e adottate dal Gruppo Art. 29 in materia di notifica delle violazioni di dati personali (data breach notification), definite in base alle previsioni del Regolamento (UE) 2016/679

- Traduzione italiana delle Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679 - WP253

- Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD) (15 dicembre 2017)

- Valutazione d'impatto sulla protezione dei dati - L'infografica del Garante

Comitato Scientifico 

avv. Domenico Condello, Dr Edoardo Arena, avv. Paolo Ricchiuto (Coordinatore)

Relatori

Avv. Domenico Condello, Docente Informatica Giuridica e Diritto dell'informatica

Prof. Edoardo Arena, Docente Informatica Giuridica Università e-Campus

Avv. Paolo Ricchiuto, Avvocato del Foro di Roma - Autore di pubblicazioni in materia

Avv. Antonella  Cassandro, Docente Università eCampus

Dott. Corrado Giustozzi, Consulente e docente di Sicurezza delle Informazioni 

Avv. Giovanni Guerra, Avvocato del Foro di Roma -  Autore di pubblicazioni in materia

Dott. Nazzareno Di Vittorio, Tenente Colonnello Arma dei Carabinieri in congedo

Ermanno Spano, Esperto di Sicurezza informatica

Accreditamenti

E‘ stato richiesto, ai fini della formazione professionale continua, l’accreditamento all'Ordine dei Dottori Commercialisti ed Esperti Contabili di Roma e al Consiglio dell’Ordine degli Avvocati di Roma. 

Programma

Il corso, della durata di 40 ore, è strutturato in 8 moduli da 5 ore ciascuno  (le lezioni si terranno il venerdì dalle 14 alle 18 ed il sabato dalle 10 alle 14). Il corso è svolto in modalità frontale dal vivo e verrà videoregistrato. Il corso videoregistrato resterà fruibile online per i partecipanti in visione gratuita per 60 giorni.

VENERDI 6 aprile h.14-19  (Avv. Paolo Ricchiuto e Avv. Domenico Condello)

- Inquadramento della normativa nazionale ed Europea, - il Pacchetto protezione dati UE – il Regolamento e la Direttiva, - Il rapporto con la normativa nazionale, - Lo stato dell’arte in vista del 25.05.18: iniziative del Legislatore, del Garante e della Commissione Europea, - Il ruolo delle Linee Guida del Gruppo art. 29, - La struttura del Regolamento: l’importanza dei considerando, -  Gli atti delegati e gli atti esecutivi, -  Un primo confronto tra nuovi e vecchi istituti, -  Primi cenni sulla figura del DPO nelle organizzazioni pubbliche e private, - Presentazione dei moduli successivi

Sabato 7 aprile h.09.00/14.00 (Avv. Domenico Condello e Avv. Paolo Ricchiuto)

- Le disposizioni generali, - Ambito di applicazione, - Definizioni e principi per un trattamento lecito, - Dai dati sensibili ai dati particolari, - Dai dati giudiziari ai dati relativi a condanne penali e reati, - La pseudonimizzazione e la cifratura dei dati, - Consenso ed altre basi giuridiche per il trattamento, - Modalità di espressione del consenso – Il consenso dei minori, - Le bozza di Linee Guida del Gruppo art. 29 sul consenso (consultazione pubblica)

Venerdì 13 aprile h. 14/19 (Avv. Giovanni Guerra)

- Nuove regole sulla informativa - contenuti - Trasparenza – La bozza di Linee Guida del Gruppo art. 29 (consultazione pubblica) - Diritto di accesso e di rettifica - Diritto all’oblio: genesi delle nuove regole - Il nuovo diritto alla limitazione del trattamento - Il nuovo diritto portabilità dei dati – Le Linee Guida del Gruppo art. 29  - Diritto di opposizione - Profilazione e trattamenti automatizzati – La bozza di Linee Guida del Gruppo art. 29 (consultazione pubblica) - La opposizione al trattamento automatizzato: condizioni e limiti

Sabato 14 aprile h. 9/14 (Dott. Edoardo Arena ed Ermanno Spano)

- Il principio di accountability al centro del sistema - Privacy by design e privacy by default - Titolari e contitolari - Responsabili e incaricati: tra vecchie e nuove disposizioni - Nuove forme di designazione e sub-responsabili - Rappresentanti dei titolari non stabiliti nella UE - Gli adempimenti - Il Registro dei trattamenti - Modalità di compilazione e consigli operativi

Venerdi 20 aprile h. 14/19 (Dott. Corrado Giustozzi)

- Le misure di sicurezza - La valutazione d’impatto e la consultazione preventiva – Le Linee Guida del Gruppo art. 29 - Il data breach: compiti e responsabilità - Procedure interne per la gestione dell’adempimento - Le Linee Guida del Gruppo art. 29 (consultazione pubblica) - Codici di condotta - Certificazione - Ruolo e limiti dei codici e della certificazione - Lo stato attuale delle certificazioni: le indicazioni del  Garante

Sabato 21 aprile h. 9/14 (Dott. Nazzareno Di Vittorio)

- La figura del DPO - Obbligatorietà ed opportunità - Caratteristiche e criteri di scelta – il conflitto di interessi - Figure interne o esterne - Modalità di designazione - Compiti e responsabilità - Le Linee Guida del Gruppo art. 29 - Le Faq del Garante

Venerdì 27 aprile h. 14/19 (Dott. Edoardo Arena ed Ermanno Spano)

- Mezzi di ricorso, responsabilità, risarcimento danni - Sanzioni – Le Linee Guida del Gruppo art. 29 - Trasferimento dei dati a paesi terzi - Regole e novità - Valutazione di adeguatezza e ruolo della Commissione Europea - Le altre basi giuridiche - Le binding corporate rules e le clausole contrattuali standard - Casi di esclusione - Le Autorità di controllo: Competenza, compiti e poteri - L’autorità capofila ed il coordinamento con le altre autorità Europee - Il Comitato Europeo per la protezione dati

Sabato 28 aprile h. 09.00/14.00 (Avv. Paolo Ricchiuto)

- Il Trattamento dei dati dei lavoratori - Novità e coordinamento con lo Statuto dei Lavoratori ed il Jobs Act - Nuove problematiche derivanti dal Regolamento - Informativa e consenso - La Opinion n. 2/17 del Gruppo art. 29 – trattamento dei dati sul posto di lavoro - Il ruolo del DPO e le criticità in ambito lavoristico - Altri trattamenti in ambiti specifici - Libertà di espressione e informazione  Conclusioni.

Corso per DPO: una scelta di correttezza Avv. Paolo Ricchiuto - Coordinatore del Comitato Scientifico

La iniziativa di ForoEuropeo, nasce dall’analisi della situazione che si sta venendo a determinare in prossimità della applicazione del Regolamento UE 2016/79.

Non ci sono dubbi sul fatto che la nuova figura introdotta dal Regolamento apra degli importanti scenari in termini di nuove opportunità professionali, come testimoniato dall’eccezionale interesse che si sta concentrando su una materia, come quella della protezione dei dati personali, fino a poco tempo fa rinchiusa in un ambito iper-specialistico.

Al contempo, però, non ci sono dubbi anche sulla confusione che in un momento delicato come quello che ci troviamo ad attraversare, sta invadendo il mondo delle amministrazioni pubbliche, delle imprese, e quello delle professioni, regolamentate e non.

Per rendersene conto, è sufficiente esaminare il mercato della formazione, che in queste settimane si va saturando di iniziative presentate come salvacondotti per acquisire, in poche battute, certificazioni spendibili in ambito pubblico e privato. Certificazioni che, al contrario, per il modo stesso in cui è concepito il ruolo del DPO nel Regolamento, non sono in nessun modo previste e non hanno alcuna valenza giuridico-formale, da chiunque siano rilasciate.

Il coordinamento scientifico del corso, che Foro Europeo ha ritenuto di affidarmi, è quindi ispirato innanzitutto alla volontà, trasparente e non deviata da promesse miracolistiche, di  costruire un percorso formativo analitico ed approfondito, che metta ogni partecipante in condizione di arricchire il proprio bagaglio professionale, anche mediante il confronto in aula con i relatori, al fine di affrontare in futuro la difficilissima sfida (di questo si tratta) della acquisizione di un incarico come DPO.

Ci troviamo ad attraversare un momento di passaggio assolutamente critico, non solo per le difficoltà interpretative e pratiche che molti nuovi istituti previsti dal Regolamento portano con sé, ma anche per la assenza, ad oggi, di una sistemazione normativa del rapporto tra le disposizioni del Codice Privacy  e quelle del Regolamento, non essendo stata  ancora esercitata dal Governo la delega conferitagli dalla L.163/17, con una armonizzazione che resta per il momento affidata alla preparazione e professionalità di chi si troverà a gestire nuovi e vecchi adempimenti.

E’ anche per affrontare queste difficoltà, che il corso è strutturato in una serie di moduli curati da relatori che abbiamo voluto di diversa estrazione professionale, al fine di garantire una visione d’insieme delle varie problematiche, sotto i diversi punti di prospettiva.

Lavoreremo tutti, quindi, non già per il mero rilascio di un attestato di frequenza, ma per permettere ad ognuno di acquisire una sorta di variegata “cassetta degli attrezzi”, da utilizzare (anche, ma non solo) come DPO e da tenere sempre in ordine, con la coscienza, passione e consapevolezza con la quale ci apprestiamo tutti ad affrontare questo percorso.

Avv. Paolo Ricchiuto

Coordinatore del Comitato Scientifico