Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.
Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo.
Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un'analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto.
Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.
Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.
Il volume affronta, in particolare, i seguenti settori:
- banche;
- assicurazioni;
- sanità;
- lavoro;
- scuole.
MONICA MANDICO
Già DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
PARTE GENERALE
Capitolo I – GDPR e la normativa domestica
1.0. Aspetti generali. La definizione di “privacy”e la sua evoluzione
1.1. Il Regolamento (UE) 2016/679
1.2. Le principali novità del GDPR
1.3. L’iter del d.lgs. n. 101/2018 e le novità introdotte
Capitolo II – La nuova privacy: principi, diritti e novità
2.0. Il dato personale
2.1. I dati rientranti in particolari categorie
2.2. Il trattamento dei dati
2.3. Doveri – Come trattare correttamente i dati. Principi generali del trattamento di dati personali
2.4. Il principio di liceità del trattamento
2.5. Correttezza e trasparenza del trattamento
2.6. Il principio di accountability
2.7. Il principio del risk based approach
2.8. Privacy by design e privacy by default
2.9. Ambito territoriale di applicazione del Regolamento 2016/679
Capitolo III – I protagonisti del trattamento dati e le figure privacy
3.0. Le parti in gioco. Ambito soggettivo di applicazione
3.1 L’interessato (data subject)
3.2. Il titolare del trattamento (data controller)
3.3. La figura di contitolare del trattamento, (joint controller)
3.4. Il responsabile del trattamento
3.5. Sub-responsabile del trattamento
3.6. La persona autorizzata al trattamento
3.7. Amministratore di sistema
3.8. Il DPO, Data Protection Officer
Capitolo IV – I diritti dell’interessato
4.0. I diritti dell’interessato
4.1. L’informativa
4.2. Accesso e rettifica dati
4.3. Limitazione del trattamento
4.4. Il diritto di opposizione
4.5. Il diritto all’oblio o diritto alla cancellazione
4.6. Il diritto alla portabilità
4.7. Cloud computing – “Proteggere i dati per non cadere dalle nuvole”
4.8. La privacy dei minori
4.9. La profilazione e il processo automatizzato
Capitolo V – Le attività e gli adempimenti
5.0. I registri delle attività del trattamento
5.1. Definizione
5.2. Forma
5.3. Contenuto
5.4. Soggetti interessati
5.5. Le modalità di tenuta, conservazione e di aggiornamento del registro trattamenti
5.6. Registro del responsabile
5.7. Impatto privacy. Valutazione dei rischi e sicurezza del trattamento
5.8. Risk Assessment
5.9. Misure di garanzia
5.10. La valutazione d’impatto sulla protezione dei dati. Data Protection Impact Assessment
5.11. Iter per la valutazione d’impatto
5.12. Il documento di valutazione di impatto privacy e la sua pubblicazione
Capitolo VI – La valutazione d’impatto per la protezione di dati: aspetti pratici e applicativi
6.0. La valutazione d’impatto
6.1. Un possibile approccio nella costruzione di una metodologia di valutazione di impatto
6.2. Gli indicatori di rischio elevato
6.3. I trattamenti valutativi e le decisioni automatizzate
6.4. Il monitoraggio sistematico
6.5. Dati sensibili o dati di natura estremamente personale
6.6. Trattamenti su larga scala
6.7. Raffronto sistematico di basi di dati
6.8. Dati relativi ad interessati vulnerabili
6.9. Fattore di rischio tecnologico
6.10. Metodologie di redazione della DPIA
Capitolo VII – Data breach
7.0. Premessa
7.1. Definizione e tipologie di data breach
7.2. I possibili effetti negativi di una violazione
7.3. La notificazione al Garante
7.4. Comunicazione all’interessato
Capitolo VIII – Il trasferimento dei personali verso paesi o organizzazioni internazionali
8.0. Il trasferimento dati trasfrontalieri. Evoluzione delle regole
8.1. Dal Safe Harbor (Approdo sicuro) alla sentenza Shrems e il Privacy Shield
8.2. Il caso Google Spain
8.3. Il nuovo Regolamento europeo e il trasferimento dati al paese terzo
Capitolo IX – Quadro sanzionatorio
9.0. Il sistema sanzionatorio del GDPR
9.1. Le ipotesi di illeciti amministrativi previste dal Codice privacy
9.2. La procedura sanzionatoria
9.3. Illeciti penali del Codice privacy
9.4. Le responsabilità
PARTE SPECIALE
Capitolo X – Sistemi di certificazione: data protection compliance
10.0. Il sistema delle normative volontarie e la necessità di un approccio integrato
10.1. La gap analysis e i controlli interni. Compliance e misurabilità. Il concetto di PDCA
10.2. I controlli
10.3. Le evidenze oggettive
10.4. Il ciclo di Deming
10.5. Il sistema di gestione per la sicurezza delle informazioni e la ISO 27001:20189
Capitolo XI – Compliance aziendale per data protection nel regolamento europeo 2016/679: l’applicazione del GDPR nelle PMI
11.0. Premessa: la compliance aziendale in materia di Data Protection
11.1. Segue. I nuovi diritti dell’interessato: sulla portabilità del dato
11.2. Il sistema degli adempimenti e la risk analysis: come mettersi in regola
11.3. L’informativa
11.4. Le nomine dei responsabili e degli incaricati
11.5. Segue: il Data Protection Officer
11.6. Il registro dei trattamenti e le misure minime di sicurezza
Capitolo XII – La privacy nel contesto lavorativo
12.0. Premessa
12.1. I soggetti coinvolti in un trattamento dati in ambito lavorativo
12.2. Medico competente
12.3. I consulenti del lavoro
12.4. Monitoraggio nell’attività di lavoro
12.5. Videocamere in ambienti di lavoro
12.6. L’autorizzazione dell’Ispettorato Nazionale del Lavoro
12.7. Sistemi di geolocalizzazione
12.8. La valutazione d’impatto privacy
12.9. Posta elettronica e Internet
12.10. I controlli sulla posta elettronica
12.11. Trattamento di dati idonei a rivelare lo stato di salute dei lavoratori
12.12. Trattamento dati personali contenuti nel curriculum vitae
12.13. Trattamento dati sensibili contenuti in un CV
12.14. Autorizzazione generale n. 1/2016 per il trattamento di categorie particolari di dati nell’ambito dei rapporti di lavoro
Capitolo XIII – Il GDPR applicato al settore sanitario
13.0. Il dato in sanità: evoluzione storica dalla direttiva madre al Regolamento UE 2016/679
13.1. La legislazione italiana: la legge n. 675/1996
13.2. Il decreto legislativo 196/2003
13.3. La ricerca medica, biomedica ed epidemiologica
13.4. I principi introdotti dal Regolamento in ambito sanitario. Inquadramento generale
13.5. I dati particolari: tra divieto di trattamento e nuove basi giuridiche
13.6. La “nuova” informativa
13.7. La conservazione dei dati sanitari
13.8. Cosa cambia per il trattamento dei dati sanitari con il quadro normativo completato dal decreto legislativo 101/2018
13.9. Le finalità di ricerca
13.10. La documentazione sanitaria. Premessa
13.11. La cartella clinica ospedaliera
13.12. La scheda sanitaria e la cartella clinica del medico di base
13.13. La cartella sanitaria elettronica
13.14. Dossier sanitario elettronico
13.15. Le Linee guida del Garante del 4 luglio 2015 sul dossier sanitario
13.16. Il fascicolo sanitario elettronico (il c.d. F.S.E.)
13.17. Il referto on line
Capitolo XIV – La tutela dei dati personali in ambito bancario
14.0. La valutazione d’impatto. Cenni generali
14.1. Le principali criticità nel settore bancario
14.2. Il diritto alla protezione dei dati e la normativa di riferimento dell’attività bancaria
14.3. I codici di condotta
14.4. Il segreto bancario e le illecite comunicazioni dei dati personali
14.5. Le misure di sicurezza. I protocolli delle banche per tutelare i dati personali dei clienti. La sicurezza informatica per enti creditizi e finanziari
L’esternalizzazione delle attività di conservazione dei dati
Capitolo XV – La privacy e il mondo delle assicurazioni
15.0. L’applicazione del GDPR per la Compagnia e per l’agenzia: una corretta governance
15.1. La trasparenza e l’informativa
15.2. La buona pratica che deve seguire un’agenzia
15.3. La digitalizzazione delle attività in ambito assicurativo
15.4. Le assicurazioni ed il trattamento dei dati sanitari
Capitolo XVI – Il GDPR negli studi professionali
16.0. Premessa
16.1. Professionisti e compliance. Principio di accountability
16.2. Mappatura, gestione del rischio e misure di sicurezza
16.3. Privacy Policy
16.4. Consenso
16.5. Strumenti di accountability. Informativa. Registro. DPIA
16.6. Diritti degli interessati e conservazione dei dati
Capitolo XVII – Minori e privacy nelle istituzioni scolastiche
17.0. Premessa
17.1. Il consenso del minore ed i suoi limiti
17.2. Raccolta di dati personali. Legittimità, correttezza e trasparenza
17.3. Limitazione, minimizzazione e accuratezza
17.4. Richieste di accesso ed altri diritti degli interessati
17.5. Il registro dei trattamenti: linee guida per la redazione
17.6. Il ruolo del Data Protection Officer
Capitolo XVIII – Approfondimenti: GDPR - Scuola. Protezione, tutela e gestione dei dati
18.0. Privacy e tutela del minore
18.1. Nuove tecnologie, minori e cyberbullismo
18.2. Immagini, video riprese, smartphone e tablet
18.3. Registrazione della lezione e strumenti compensativi
18.4. Il trattamento e la gestione dei dati
18.5. La scuola (Data Controller)
18.6. Scuole pubbliche e private
18.7. Registro delle attività di trattamento
Isbn: 8891634511