La normativa in materia di protezione dei dati personali pone in capo a titolari e responsabili del trattamento una serie di obblighi e adempimenti, richiedendo, altresì, di essere in grado di comprovare il rispetto di alcuni principi fondamentali applicabili al trattamento dei dati personali. Questo è possibile tramite periodiche attività di audit, che orbi organizzazione che tratti dati personali deve svolgere periodicamente e documentare per dimostrare la propria compliance. Essere in grado di dimostrare -e, ancor prima, di verificare- la conformità della propria organizzazione alla normativa in materia di protezione dei dati personali può risultare un compito assai arduo, sia che riguardi tutti i trattamenti gestiti dall’organizzazione, sia qualora sia limitato a un singolo processo o servizio.
Le peculiarità dei trattamenti effettuati, del contesto normativo e fattuale di riferimento, della struttura organizzativa di cui si avvale l’organizzazione, nonché degli strumenti e delle tecnologie utilizzati, possono, infatti, determinare un elevato grado di complessità dell’analisi da svolgere, rendendo peraltro inefficace procedere in maniera standardizzata. Da dove iniziare, dunque, per svolgere le interviste e i controlli? Quale metodologia adottare? Secondo quali criteri stabilire la presenza o meno di una non conformità? Come individuare e programmare le attività da intraprendere al fine di superare le eventuali non conformità rilevate?
Obiettivi
In questa ottica, l’audit rappresenta uno strumento prezioso, tanto per le organizzazioni stesse, quanto per il DPO e gli altri professionisti che si occupano di protezione dei dati personali. Pertanto, diviene imprescindibile saper svolgere le verifiche secondo determinati criteri e nel rispetto di metodologie ben precise, documentando adeguatamente l’attività svolta e le relative risultanze. Il Corso, partendo dall’analisi del contesto normativo di riferimento, intende fornire gli elementi di base necessari per poter programmare e condurre, in base a una corretta metodologia, con il dovuto dettaglio e con la dovuta attenzione, in contesti aziendali differenti, un piano di audit finalizzato a verificare il livello di conformità di un processo, prodotto o servizio alla normativa in materia di protezione dei dati personali. A tal fine, saranno fornite nozioni teoriche e si affronteranno questioni pratiche, con focus finale sulla redazione della checklist, intesa quale strumento di fondamentale importanza nella raccolta delle informazioni ed evidenze da parte dell’auditor.
Durante il Seminario verranno anche affrontate tematiche quali la compatibilità tra la funzione di DPO e quella di auditor e i requisiti che un buon auditor dovrebbe avere. I partecipanti, inoltre, potranno immediatamente verificare le competenze acquisite, mediante lo svolgimento di un Business Game, in cui saranno coinvolti insieme ai Docenti del corso.
Destinatari
- DPO
- Consulenti in materia di protezione dei dati personali
- General counsel
- Funzioni di compliance aziendali
Programma
- Introduzione: il contesto normativo di riferimento. Focus sulle norme di controllo e verifica
- L’audit quale strumento di verifica, accountability e programmazione delle attività
- nozioni fondamentali, tipologie di audit e terminologia
- metodologie e tecniche per la costruzione di un piano di audit
- pianificazione e conduzione di un audit
- redazione e consegna del rapporto di audit
- competenze e requisiti degli auditor
- Dalla teoria alla pratica: focus sull’utilizzo di checklist nella conduzione di un audit
Business game (1h.)
- Predisposizione di una checklist nell’ambito dei trattamenti di dati personali effettuati tramite sistemi di videosorveglianza
- I partecipanti saranno chiamati ad applicare concretamente le competenze acquisite durante il corso, redigendo un documento di checklist con la guida dei Docenti, con i quali si potranno confrontare per avere spunti e suggerimenti
- Al termine della sessione, i Docenti valuteranno e discuteranno con i partecipanti l’esito del business game
Docenti
Giovanni Ferorelli
Avvocato
Andrea Lisi
Avvocato – Esperto in Diritto dell’informatica e privacy – Coordinatore Scientifico del corso – Coordinatore di Digitalaw, Studio Legale Lisi – Presidente ANORC Professioni