INTRODUZIONE
Il nuovo Regolamento Europeo sulla privacy introduce importanti novità: nuovi diritti per gli interessati, nuovi adempimenti per le imprese, ma anche nuovi concetti quali il bilanciamento fra le misure messe in atto per la tutela dei dati personali ed i costi sostenuti da chi effettua i trattamenti.
Si passa inoltre da un concetto di rispetto di una serie di adempimenti ad uno di responsabilità specifica sul come si è in grado di proteggere i dati personali trattati (dimostrandolo e documentandolo).
È quindi necessario costruire una conformità su misura, che tiene conto delle specifiche caratteristiche di ogni singolo Titolare. Non è quindi possibile avvalersi di modelli generali, ma è necessario disporre di strumenti rigorosi e al contempo flessibili, capaci di bilanciare adeguatamente COSTI e ADEMPIMENTI, riutilizzando quanto già realizzato per il rispetto dell’attuale normativa.
OBIETTIVI
Il corso ha la finalità di illustrare un possibile percorso pratico di implementazione del nuovo regolamento europeo sulla privacy, in un’ottica di riuso di quanto un Titolare ha già messo in atto per il rispetto di altri adempimenti (normative precedenti, sistema qualità…) e di sinergie, ad esempio con la tutela del capitale intellettuale.
PROGRAMMA
L’assetto normativo in materia di dati personali: scenari evolutivi
– GDPR come contenitore dinamico: il ruolo regolamentare integrativo degli Stati membri e delle Autorità nazionali
– linee Guida dell’Articolo 29 WP
– sorte dei provvedimenti del Garante
Il GDPR: principali aspetti, continuità e differenze rispetto alla normativa attuale
– principi generali e ambito di applicazione
– Data protection by design e Data protection by default: evoluzione del concetto di privacy by design– accountability: la nuova declinazione del principio di responsabilità nel trattamento
– ruoli e responsabilità nel trattamento: distribuzione e interazione dei ruoli, responsabilità autonoma e solidale, formalizzazione dei ruoli, forma e contenuto
– ruolo del DPO e linee guida dell’Articolo 29 WP; certificazioni professionali
– adempimenti formali: nuove forme e contenuti dell’informativa; consenso: espressione e dimostrazione
– violazione di dati personali: il processo di notifica, il processo di rilevazione delle violazioni, un esempio di notifica, le frodi
– sicurezza dei dati e dei sistemi: resilienza e ripristino tempestivo
– rischi della non conformità tra cause civili e sanzioni
Gli impatti organizzativi e tecnologici nell’ambito delle tematiche più rilevanti
– conservazione dei dati e dei documenti: determinazione dei tempi di conservazione ed esempi con riferimento a documenti in ambito bancario
– impatto della dematerializzazione dei documenti: dalla carta al sistema informativo
– raccolta, inserimento e flusso dei dati nel sistema informativo: i controlli e le misure da mettere in atto per garantirne l’esattezza
– soluzioni per la resilienza dei sistemi e Disaster Recovery
Il modello di attuazione del GDPR nella propria realtà aziendale: una conformità su misura
L’implementazione del GDPR: il progetto
– processi per la definizione di un piano di implementazione: un approccio strutturato e flessibile; l’uso dei Framework di governo e sicurezza
– caratteristiche di un’efficace implementazione: versatilità, longevità, capacità di adattamento all’evoluzione normativa
– integrazione della protezione dei dati personali nell’ordinaria attività dell’organizzazione
– concetto di proporzionalità degli investimenti introdotto dal GDPR: valutazione delle risorse da stanziare e delle economie di scala attuabili
Un approccio strutturato per la gestione del GDPR: gli strumenti e la personalizzazione del percorso di conformità
– definizione degli obiettivi in rapporto alle peculiarità dell’organizzazione del titolare del trattamento
– individuazione e classificazione delle aree di intervento: trattamenti, dati, ruoli, rischi, risorse, incidenti e risposte
– individuazione delle specifiche norme applicabili
– definizione e implementazione delle misure di protezione dei dati personali: ripartizione e attribuzione formale della responsabilità, misure di sicurezza, formazione e sensibilizzazione degli operatori
– azioni per il monitoraggio degli eventi aventi impatto diretto sulla protezione dei dati personali e dell’ambiente di trattamento
– definizione dei processi per una corretta risposta agli eventi (es. violazioni di dati, richieste di interessati, Autorità, terzi)
– definizione dei processi e tecnologie per il ripristino della qualità dei dati
– strumenti per la rendicontazione del percorso di conformità: buone pratiche, standard, sigilli, certificazioni
– Esempi pratici:
• come costruire ed aggiornare il Registro dei Trattamenti
• come condurre una DPIA
• come definire un processo di risposta alle richieste degli interessati