Corso Specialista privacy. Nuove sfide e opportunità dell’AI nella privacy

I MODULO
25 febbraio 2026 dalle 10.00 alle 13.00 e dalle 14.00 alle 17.30
EVOLUZIONE NORMATIVA IN MATERIA DI TRATTAMENTO DI DATI PERSONALI. 
TIPOLOGIA DI DATI E PRINCIPI PRIMA PARTE: EVOLUZIONE NORMATIVA IN MATERIA DI TRATTAMENTO DI DATI PERSONALI
• Evoluzione storica: dalla Direttiva 95/46/CE al GDPR
• Il diritto alla protezione dei dati come diritto fondamentale (art. 8 Carta UE)
• GDPR (Reg. 679/2016) e Codice Privacy (D.lgs. 196/2003)
• Ambito di applicazione territoriale ed extraterritoriale
• Il ruolo del Garante Privacy italiano e dell’EDPB o Provvedimenti rilevanti 2024-2025
• Regolamento AI Act (Reg. EU 2024/1689): principi generali e ambito applicativo
• Interazione tra GDPR e AI Act: coordinamento normativo
SECONDA PARTE: TIPOLOGIA DI DATI E PRINCIPI
• Dato personale: definizione e casi limite (IP, cookie, dati pseudonimizzati)
• Categorie particolari di dati (ex dati sensibili) o art. 9 GDPR
• Dati relativi a condanne penali e reati o art. 10 GDPR
• Dati utilizzati per training di sistemi AI: profili di protezione dei dati
• I 6 principi fondamentali: liceità, correttezza, trasparenza, minimizzazione, esattezza,
• limitazione della conservazione
• Accountability e dimostrazione della conformità
Privacy by design e privacy by default: implementazione pratica
Proporzionalità e bilanciamento con altri diritti

QUESTIONS & ANSWERS

II MODULO
26 febbraio 2026 dalle 10.00 alle 13.00 e dalle 14.00 alle 17.30
I DIRITTI DELL’INTERESSATO. PRINCIPI DI BASE E BEST PRACTICES IN MATERIA DI SICUREZZA INFORMATICA
I DIRITTI DELL’INTERESSATO
• I diritti dell’interessato
• Diritto di accesso (art. 15): modalità di risposta e tempi
• Diritto di rettifica e integrazione dei dati
• Diritto alla cancellazione “diritto all’oblio” o limiti ed eccezioni
• Diritto all’oblio e AI: cancellazione da dataset di training
• Diritto di limitazione del trattamento
• Diritto alla portabilità dei dati (art. 20) o aspetti tecnici
• Diritto di opposizione: marketing, profilazione, decisioni automatizzate
- decisioni automatizzate e profilazione con AI
- human oversight nei sistemi AI: quando e come garantirla
• L’esercizio del diritto all’oblio su internet e la deindicizzazione
PRINCIPI DI BASE E BEST PRACTICES IN MATERIA DI SICUREZZA INFORMATICA
• Come organizzare un corretto sistema informatico
• I concetti base di sicurezza informatica
• I sistemi operativi e programmi applicativi in uso
• La strumentazione informatica, le reti locali e le reti geografiche
• Le tecniche di salvataggio dati, di recupero del disastro e strategie di continuità del processo
• Le applicazioni informatiche basate sul web
• L’importanza della formazione del personale
• Tecniche informatiche di protezione dei dati personali
• Le tecniche di pseudononimizzazione
• Le tecniche di criptazione dei dati o utilizzo di programmi “sentinella”
• Le tecniche per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento

QUESTIONS & ANSWERS

III MODULO
4 marzo 2026 dalle 10.00 alle 13.00 e dalle 14.00 alle 17.30
I SOGGETTI PREPOSTI E LA COMPILAZIONE DEI REGISTRI. IL TRASFERIMENTO DEI DATI ALL'ESTERO E LA VIOLAZIONE DEI DATI PERSONALI
PRIMA PARTE: I SOGGETTI PREPOSTI E LA COMPILAZIONE DEI REGISTRI
• I soggetti preposti al trattamento
• Il titolare del trattamento “data controller”
• Il contitolare il responsabile
• Il responsabile del trattamento “data processor”: ruolo, compiti e responsabilità
• Il sub-responsabile
• L’incaricato del trattamento e relativi obblighi di istruzione
• L’amministratore di sistema
• Il Data Protection Officer
• I registri delle attività di trattamento
• La mappatura dei trattamenti
• Documentare l’utilizzo di AI nel registro
• Il registro del titolare e del responsabile del trattamento
• Illustrazione di un modello di registro del trattamento e modalità di compilazione
SECONDA PARTE: IL TRASFERIMENTO DEI DATI ALL’ESTERO E LA VIOLAZIONE DEI DATI PERSONALI
• Trasferimenti verso Paesi terzi: principi generali (Capo V GDPR)
• Decisioni di adeguatezza: UK post-Brexit, Data Privacy Framework USA-EU
• Standard Contractual Clauses (SCC) 2021: guida operativa
• Transfer Impact Assessment dopo Schrems II
• Binding Corporate Rules per i gruppi multinazionali
• Data breach: definizione e casi rilevanti
• Notifica al Garante (entro 72h) o procedura e modulistica
• Comunicazione agli interessati: quando obbligatoria
• Registro interno delle violazioni e gestione incident response
• Sanzioni e conseguenze della mancata notifica

QUESTIONS & ANSWERS

IV MODULO
5 marzo 2026 dalle 10.00 alle 13.00 e dalle 14.00 alle 17.30
INFORMATIVA E CONSENSO. GLI STRUMENTI DI TUTELA E I CRITERI DI CALCOLO DELLE SANZIONI PRIMA PARTE: INFORMATIVA E CONSENSO
• Informativa agli interessati
• Informativa art. 13 GDPR (dati raccolti presso l’interessato)
• Informativa art. 14 GDPR (dati non raccolti presso l’interessato)
• Privacy policy per siti web: requisiti e struttura
• Informativa a “stratificazione” e semplificata
• Informativa per l'utilizzo di sistemi AI: cosa comunicare agli interessati
• Il consenso dell’interessato
• Le caratteristiche del consenso
• Le modalità di acquisizione del consenso - integrato con le linee guida del gruppo di lavoro WP29
• Prova della raccolta del consenso e diritto di revoca
• Marketing diretto: consenso, soft spam, opt-in/opt-out
• Il consenso online (cenni alla profilazione a mezzo cookie ai sensi del provvedimento del Garante del 10 giugno 2021)
SECONDA PARTE: GLI STRUMENTI DI TUTELA E I CRITERI DI CALCOLO DELLE SANZIONI
• Gli strumenti di tutela
• L’esercizio dei diritti degli interessati
• Il reclamo al Garante
• Il ricorso giurisdizionale
• Il danno risarcibile
• Le sanzioni previste dal GDPR e il sistema delle responsabilità
• AI generativa: copyright, bias algoritmici e discriminazione

QUESTIONS & ANSWERS