Un breve excursus della normativa, può essere utile a comprendere cosa la società dovrà fare e quali vantaggi ne potrà trarre nell’affidare a Infol Srl il processo di adeguamento al GDPR.

Tra le novità principali, introdotte dal nuovo Regolamento privacy Ue, si evidenzia il nuovo concetto di governance, sulla normativa privacy inteso come sistema di gestione e controllo sul trattamento dei dati personali costituito dai seguenti elementi: valutazione del rischio; accountability; misure giuridiche, organizzative e tecniche; nonché un sistema sanzionatorio a protezione dei dati personali.

La declinazione di tale concetto può essere individuata nei seguenti elementi:

  • ilprincipio dell’accountability inteso come responsabilità e prova della responsabilità che il trattamento dei dati personali effettuato dalla Società (titolare del trattamento dei dati)  è conforme al Regolamento, ed obbligatorietà in alcuni casi della tenuta del Registro dei dati personali;
  • i titolari del trattamento, sia pubblici che privati, dovranno dimostrare di aver effettuato analisi di privacy risk assessment a tutela dei dati(Data Protection Impact Assessment-DPIA);
  • i titolari del trattamento dovranno dimostrare di aver adottato misure tecniche ed organizzative adeguate per la tutela dei dati e di aver effettuato una valutazione preventiva ex ante su nuovi prodotti, tecnologie sin dalla loro progettazione (Privacy by design);
  • I titolari del trattamento dovranno dimostrare di aver adottato misure tecniche e organizzative capaci di garantire che vengano trattati solo i dati personali necessari (pertinenti e non eccedenti) rispetto alle finalità perseguite (Privacy by default);
  • il ruolo di sorveglianza e la responsabilità delprotection officer, che diventa obbligatorio in tutta una serie di casistiche, avrà un ruolo significativo anche nella dialettica della responsabilità giuridica ascrivibile al titolare del trattamento, sotto il profilo dellaculpa in eligendo e in vigilando (DPO);
  • il nuovoquadro sanzionatoriocaratterizzato da sanzioni molto chiare;
  • ilcodice di condotta come linea guida per la corretta applicazione del Regolamento, in funzione delle specificità settoriali e delle esigenze specifiche delle micro, piccole e medie imprese;
  • la certificazioneper la corretta applicazione del Regolamento intesa come verifica ex post della conformità delle misure adottate (Piano di audit)

In breve, si ritiene opportuno che il procedimento di adeguamento confluisca nell’adozione di un modello organizzativo privacy (MOP), che partendo dall’analisi delle procedure individui le aree da adeguare, le modalità e le tempistiche di adeguamento.

Inoltre per essere compliance, la società dovrà prevedere un piano di formazione sulla privacy, che interessi tutti i Responsabili e gli incaricati dei trattamenti dei dati personali.

Competenze acquisite dai referenti privacy che operano per Infol Srl:

La figura del Privacy Officer e Consulente della Privacy in chiave UE

– Panoramica generale sulla normativa in materia di protezione dei dati personali
– Le novità del Regolamento UE, unica legge per tutti gli Stati membri
– Privacy by design e privacy by default
– Il Principio di accountability
– Portabilità dei dati
– Diritto all’oblio
– Data breach
– Il meccanismo del “one-stop-shop”
– Il periodo transitorio tra normativa nazionale e quella comunitaria
– Tipologie di dati e trattamento
– I diritti dell’interessato e l’accesso ai dati
– Informativa e consenso
– Le figure chiave della gestione della privacy previste dalla normativa
– Analisi dei rischi e valutazione d’impatto privacy (Data protection impact assessment)
– Misure di sicurezza
– La notificazione
– Modalità di tutela dei dati per i documenti cartacei
– La documentazione degli adempimenti sulla protezione dei dati
– Gli interventi formativi al personale
– Il Garante della Privacy: attività e compiti
– Risarcimenti e Sanzioni

Il Privacy Officer e Consulente della Privacy nei casi complessi della protezione dei dati

– Gli obblighi di notificazione e di verifica preliminare tra Codice Privacy e nuovo Regolamento UE
– I controlli a distanza sul lavoro in Italia dopo il Jobs Act: videosorveglianza e altri strumenti
– I controlli meramente difensivi e gli strumenti “da prestazione di lavoro”: esoneri da accordi e autorizzazioni
– L’Amministratore di sistema come figura chiave e regolata dal Garante italiano
– Biometria per ragioni di sicurezza e per servizi facilitativi: semplificazioni e complicazioni
– Privacy, finalità difensive e recupero crediti, utilizzabilità dei dati in giudizio
– Privacy e informazioni commerciali e sull’affidabilità economica
– Business privacy: il marketing con strumenti non automatizzati e il telemarketing
– Business privacy: il marketing con strumenti automatizzati (email, sms, mms, fax, autorisponditori)
– Profilazioni e pubblicità comportamentale
– Privacy & social network, cookie e altre tecnologie di tracciamento. Il native advertising e la viralizzazione pubblicitaria
– Big Data e analisi generali per fini statistici o commerciali: la pseudonimizzazione dei dati come nuova frontiera
– Internet delle Cose tra protezione dei dati e tutela costituzionale della sfera privata e domestica
– Privacy e organizzazioni non profit: semplificazioni e complicazioni
– Privacy e diritto di cronaca/critica: giornali, blog, live twitting ecc.
– Dati personali in ambito sanitario digitale: Dossier e Fascicolo Sanitario Elettronico, Cartella Clinica digitale
– Il cloud computing come servizio tecnologico esternalizzato: profili privacy
– Trasferimenti di dati personali all’estero: Binding Corporate Rules, Clausole standard UE, Privacy Shield e altri strumenti
– Norme privacy applicabili alle multinazionali e alle imprese italiane o europee operanti all’estero, autorità competenti
-Il ruolo del Privacy Officer e Consulente della Privacy
-Il sistema di gestione della privacy: specificità, aspetti dinamici
-L’implementazione del sistema in prospettiva UE

  • La pianificazione
  • La raccolta dei dati
  • La definizione delle azioni di adeguamento
  • L’implementazione operativa del sistema di gestione
  • La formazione
  • L’audit
  • La messa in atto delle azioni di miglioramento

-Sistema di gestione della privacy (integrazione con la ISO 9001:2015)

-Approfondimento dell’impatto del sistema di gestione della privacy: aspetti documentali, risorse umane, infrastrutture e security, aspetti commerciali, approvvigionamenti

-L’audit sulla compliance normativa privacy e sul Sistema di gestione della Privacy alla luce del nuovo Regolamento UE

-La Linea Guida ISO 19011:2012: vocabolario e principi

-Le fasi dell’audit: Pianificazione, programmazione, preparazione dei documenti, audit sul posto, preparazione del rapporto ed azioni successive all’audit

Il regolamento europeo sulla protezione dei dati personali: modulo avanzato dedicato ai Servizi alla Persona nel settore socio assistenziale e sanitario

  • La normativa sulla protezione dei dati personali
  • Disciplina del trattamento dei dati sensibili
  • Le condizioni per il “trattamento su larga scala” nell’ambito dei dati sanitari
  • Dati personali sensibili, sanitari, e genetici
  • I diritti dell’interessato
  • L’informativa e il consenso per i dati sensibili
  • Considerazioni sulla durata della conservazione dei dati sanitari
  • Le misure di sicurezza a protezione dei dati sensibili
  • Dossier e Fascicolo Sanitario Elettronico
  • Cartella Clinica digitale
  • I provvedimenti del Garante per la Privacy in materia di dati sanitari
  • Sanzioni e risarcimenti

  Privacy Impact Assessment (PIA): la valutazione d’impatto sulla protezione dei dati con il Regolamento UE 2016/679

  • Il concetto di rischio nell’ambito della Privacy: le famiglie di rischi
  • Analisi dei rischi e Privacy Impact Assessment (PIA): differenze e punti in comune
  • L’individuazione dei rischi privacy e degli eventi connessi: tecniche e metodologie
  • Approfondimento sulle tipologie di rischi richiamate dal Regolamento Europeo sulla protezione dei dati 2016/679
  • Le misure di mitigazione dei rischi privacy
  • Approfondimento su specifiche aree sensibili (HR, IT, Marketing, ecc.)
  • Definizione e messa in pratica di misure di mitigazione dei rischi
  • La consultazione preliminare
  • Formazione, controllo ed audit sulle misure di mitigazione dei rischi
  • La valenza dinamica della analisi dei rischi e della PIA
  • Documentazione delle analisi dei rischi e della PIA
  • I controlli e gli audit sulla analisi dei rischi e della PIA

Marketing efficace in regola con il regolamento privacy UE

  • Marketing, gli impatti in materia di privacy
  • Il principio di trasparenza, accountability, e le altre novità del Regolamento UE 2016/679
  • Diritti degli interessati
  • Informativa e consenso
  • Privacy, social network e mobile app
  • Diritto all’oblio
  • I diritti dei minori
  • Marketing con strumenti non automatizzati e il telemarketing
  • Marketing con strumenti automatizzati (email, sms, mms, fax, autorisponditori)
  • Profilazione automatizzata, online e pubblicità comportamentale
  • Big data & analytics
  • La disciplina sui cookies e delle altre tecnologie di tracciamento
  • Geolocalizzazione e utilizzo di dati biometrici per fini di marketing
  • Concorsi ed altre iniziative promozionali relative a campagne marketing
  • Native advertising e la viralizzazione pubblicitaria
  • Dynamic pricing
  • Web reputation
  • Marketing e trasferimento di dati verso paesi terzi
  • Best practices per evitare risarcimenti e sanzioni

 D.lgs 231/01: i reati informatici. Coniugare Privacy Data Security e Compliance

  • Il D.lgs 231/01
    – Principi
    – Sanzioni
    – Reati presupposto in generale
    – Modello di Organizzazione gestione e controllo
  • I reati presupposto in ambito ICT
    – Reati propri
    – Reati “derivati”
  • I protocolli di Prevenzione
    – Gestione dei rischi applicata ai Modelli 231/01
    – Strumenti operativi : Norme Volontarie e struement dl Dlgs 196/03
  • Il ruolo dell’OdV nell’ambito della prevenzione dei reati presupposto “ICT”
    – Collegamenti tra allegato B del D.lgs 196/03 e requisiti della ISO 27001:2013

Attenzione che il consulente Privacy deve avere le competenze verificate: