1) La parole per farlo. I concetti chiave del pianeta GDPR, un pianeta dove ogni termine ha un significato diverso da quello che immaginavi

• Il regolamento europeo 679/2016
• Differenze con la precedente regolamentazione
• Il coinvolgimento delle realtà non profit
• Perché investire tempo nell’adeguamento
• Sanzioni, etica, trasparenza
• Perché l’adeguamento non può e non deve essere delegato
• L’approccio ‘informatico’ e l’approccio ‘narrativo’
• Dati personali: differenza tra persone fisiche / persone giuridiche
• Il dato personale è un bene Esempio bicicletta
• Lessico: “L’interessato”
• I diritti dell’Interessato
• Lessico: i dati personali
• I dati ‘meritevoli di particolare protezione’
• Lessico: Il Trattamento
• Identificare i Trattamenti
• Lessico: Il Titolare del Trattamento
• Lessico: Gli addetti al Trattamento
• Lessico: Il Responsabile del Trattamento
• Distinguere fra titolare e responsabile del Trattamento
• Accordi fra Titolare e Responsabile: il DPA
• Lessico: L’Ulteriore Responsabile del Trattamento
• Lessico: Il DPO
• Chi deve dotarsi di un DPO?
• Cosa fa il DPO e quanto costa

2) Identifichiamo i Trattamenti e impostiamo Registro e Informative

• Ripresa del concetto di ‘Trattamento’
• I dati – chiave del Trattamento
• Come ottenere i dati chiave all’interno
• Come ottenere i dati chiave all’esterno
• La documentazione da preparare
• Informativa e DPIA
• Differenza fra informativa e DPIA
• Quando fare una DPIA
• L’Informativa ai raggi X
• Tipologie di dati raccolti
• Motivazione del trattamento di ogni singola tipologia
• Modalità di raccolta
• Modalità di elaborazione
• Modalità di archiviazione
• Archiviazione su server o su cloud
• La durata del Trattamento
• L’esercizio dei diritti
• I rischi per l’Interessato
• Le misure di sicurezza
• Bilanciamento degli interessi
• Indicazione Titolare, Responsabile, DPO
• Leggiamo una informativa
• Come diffondere l’Informativa

3) Consensi e Comunicazioni agli interessati. Quali usare e come impostarli.

• Quando il consenso non serve
• Differenza fra Comunicazione e Consenso
• I dati raccolti dopo il 25 maggio 2018
• 25 maggio o dopo?
• Impostare un Modulo di Comunicazione
• Tipologie di dati raccolti
• Motivazione e Modalità di Trattamento
• Esercizio dei diritti
• Indicazione Titolare, Responsabile, DPO
• Leggiamo una Comunicazione
• Impostare un Modulo di consenso
• Tipologie di dati raccolti
• Motivazione e Modalità di Trattamento
• Esercizio dei diritti
• Specificazione delle attività oggetto di consenso
• Indicazione Titolare, Responsabile, DPO
• Leggiamo un modulo di consenso
• Moduli di consenso speciali
• Minorenni
• Dati sensibili
• La difficile questione delle immagini
• Elementi di rischio potenziali
• misure di riduzione del rischio
• comunicazioni e consensi relativi ad immagini cancellabili
• comunicazioni e consensi relativi ad immagini non cancellabili
• Erogazione di comunicazioni e consensi

4) Cosa fare dopo: gestione dei documenti, formazione interna, siti web

• Il Registro dei Trattamenti
• Gestione dei documenti GDPR
• gestione delle richieste e delle proteste
• Manutenzione periodica della documentazione GDPR
• Privacy By design
• La formazione degli Addetti al Trattamento
• concetto di ‘addetti ai trattamenti’ – cosa bisogna documentare
• modalità possibili
• Riduzione dei rischi
• ridurre i dati custoditi
• ridurre i dati richiesti
• ridurre l’accessibilità a pc e smartphone
• gestione password
• gestione archivi
• I siti web:
• le problematiche dei siti web
• insufficienza delle attuali modalità
• i cookie: il problema, la soluzione
• Form e raccolta dati tramite siti web
• Leggiamo una privacy policy

5) Esempi concreti: Liste di potenziali sostenitori e operazioni di marketing

• Esempio di ‘normale’ associazione

• Raccontiamo l’Associazione e identifichiamo i Trattamenti

• Leggiamo la documentazione di alcuni Trattamenti

• Esempio di Associazione che raccoglie donazioni

• Esempio di attività di marketing per raccolta fondi