Regolamento Europeo sulla Privacy. Il Data Breach in ambito delle Università e degli Enti Pubblici di ricerca

Gli obiettivi

L’art. 4 del Regolamento Europeo sulla Privacy 679 (“GDPR”) definisce i Data breach come "violazione dei dati personali”, ossia la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

I temi trattati

Dal maggio del 2018 tutte le Università italiane dovranno notificare senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza al Garante della Privacy (“Garante”), ogni violazione di dati personali subita all’interno dei propri sistemi informativi e di ogni dispositivo che contiene dati personali relativi al personale amministrativo, al corpo docenti e agli studenti dell’ateneo.
Quest’obbligo era in vigore fin dal 2013 (cfr. provv. del Garante del 4 aprile 2013, n. 161, docweb n. 2388260), anche se limitato alle società telefoniche e agli Internet Service Provider.
I dati statistici ci dicono che il trend di segnalazioni di data breach al Garante, seppur limitato ad un settore specifico, è in crescita. Dal 2014 al 2016 c’è stato un aumento del 100% delle segnalazioni. Interessante notare che tra le procedure sanzionatorie del Garante della Privacy del 2016, quella più significativa ha riguardato un importante data breach non correttamente segnalato da una nota Telco.
Per questa ragione è importante che ogni Ateneo identifichi le modalità migliori e più efficienti per la segnalazione di ogni data breach. Obiettivo dell’incontro, oltre a entrare nel merito della procedura di segnalazione, è anche quello di fare il punto sugli adempimenti legati al GDPR dopo il primo mese dall’applicazione del Regolamento.

I temi trattati

1ª Parte – I concetti di base
• La privacy nel nuovo GDPR
• La privacy: aspetti giuridici e aspetti organizzativi
• Il rapporto tra il D.Lgs. 196/2003 e il nuovo Regolamento europeo 679/2016
• Obblighi e sanzioni per il titolare del trattamento
• Funzioni e deleghe in ambito universitario e della ricerca scientifica

2ª Parte – I concetti avanzati
• Le linee Guida del Garante rev. 2018
• Esame di una procedura di Data Breach
• Gli obblighi, cosa fare, come agire e in che tempi

Destinatari
Il corso è rivolto principalmente ai privacy officer, agli informatici e ai giuristi con compiti di supporto al DPO / RPD.

Fino a dieci giorni prima dell’inizio del corso i partecipanti avranno la possibilità di sottoporre all'esame dei docenti docente quesiti e casi specifici, attinenti agli argomenti oggetto di trattazione, che saranno poi oggetto di discussione in aula.
Questa prassi, già collaudata in precedenti esperienze formative, consentirà ai partecipanti di adottare soluzioni idonee alle problematiche che nascono da fattispecie concrete, in coerenza con le finalità del corso, che intende favorire positive ricadute immediate sulle attività lavorative quotidiane degli operatori delle istituzioni universitarie.