Master in Compliance Management

I sessione: Martedì 6 ottobre; ore 14.30 - 17.30

Introduzione al master – Selina Zipponi

Privacy operativa e tutela dei dati personali: ruoli, obblighi e aspetti sanzionatori

Docenti: Giulia Mariuz e Elisabetta Nunziante

• I ruoli privacy: titolare, contitolare e responsabile del trattamento

• Trattamento dei dati personali: principi fondamentali e basi giuridiche

• Il ruolo del DPO

• Registro dei trattamenti e informative

• Nomine e designazioni: cosa si deve sapere 

• Misure di sicurezza tecniche ed organizzative: privacy by design e privacy by default

• Valutazione d’impatto sulla protezione dei dati personali: quando è obbligatoria e come si redige

• Diritti degli interessati e data breach: cosa succede in caso di violazione dei dati personali?

• Trasferimenti di dati verso paesi terzi

• Aspetti sanzionatori rilevanti

• Caso pratico: esame di una nomina a responsabile del trattamento

II sessione: Martedì 13 ottobre; ore 14.30 - 17.30

Il D.Lgs. 231/2001 sulla responsabilità amministrativa degli enti
Costruire e aggiornare un Modello Organizzativo efficace

Docenti: Daniele Saporiti e Matteo Maria Morelli

• Ambito di applicazione e principi del D.Lgs. 231/2001

• Sistema sanzionatorio

• Peculiarità per le società operanti nel settore pubblico

• Mappatura dei rischi e reati presupposto

• Risk Assessment 

• Struttura del Modello Organizzativo e ruolo del Key Officer

• Aggiornamento del Modello e gestione delle violazioni

• Flussi informativi e attività di controllo dell’ODV

• Coordinamento con DPO e presidi privacy per i reati informatici: attività di verifica e presidio

• Caso pratico: analisi di un Modello Organizzativo parte speciale reati informatici

III sessione: Martedì 20 ottobre, ore 14.30 - 17.30

Whistleblowing: come gestire le segnalazioni e proteggere chi denuncia

Docenti: Floriana Francesconi e Maria Vittoria Del Furia 

• La normativa italiana sul whistleblowing

• Canali interni, digitali e fisici: obblighi e best practice

• Ricezione, analisi e gestione delle segnalazioni

• Riservatezza, anonimato e tutela del whistleblower

• Ruoli e responsabilità degli organismi interni

• Formazione, informazione e sensibilizzazione

• Privacy e whistleblowing: valutazioni di impatto, informative, autorizzazioni

• Caso pratico: richiesta di accesso alla segnalazione da parte del segnalato 

IV sessione: Martedì 27 ottobre, ore 14.30 - 17.30

NIS2, GDPR e oltre: costruire un sistema di compliance integrata

Docenti: Selina Zipponi, Maria Rosaria De Ligio, Giulia Finocchiaro

• I diversi silos normativi 

• Scoping incrociato: la qualificazione dell’organizzazione nelle diverse normative

• La matrice delle convergenze normative

• Governance unica

• Un risk assessment che risponda a più framework

• Audit e monitoraggio integrato

• I nodi irrisolti della compliance integrata

• Caso pratico: stress test del sistema 

V sessione: Martedì 3 novembre, ore 14.30 - 17.30

Docenti: Prof. Michele Iaselli

• Concetti fondamentali di cybersicurezza

• Contesto geopolitico e scenari globali

• Strategia europea di cybersicurezza

• Governance e attori istituzionali dell’UE

• Cybersecurity Act (Reg. UE 2019/881)

• Introduzione al Cyber Resilience Act (Reg. UE 2024/2847)

• La Direttiva CER (Critical Entities Resilience Directive) e l’adeguamento nazionale

VI sessione: Martedì 10 novembre, ore 14.30 - 17.30

Sostenibilità e obblighi ESG: cosa cambia con CSRD, ESRS e CSDDD

Docenti: Valentina Paduano e Valentina Zecchi 

• Sostenibilità e obblighi ESG: cosa cambia con l’introduzione delle recenti direttive europee

• Il nuovo quadro europeo: CSRD, ESRS e obblighi di reporting

• Governance della sostenibilità 

• Analisi di doppia materialità: che cos’è e come si applica

• Privacy e sostenibilità: la protezione dei dati come CSR (Corporate Social Responsibility)

• Caso pratico: simulazione sulla raccolta e organizzazione dei dati privacy per il report ESG

VII sessione: Martedì 17 novembre; ore 14.30 - 17.30

AI Act e responsabilità: cosa deve sapere chi usa o introduce intelligenza artificiale

Docenti: Sergio Aracu e Selina Zipponi 

• AI Act: obblighi e scadenze per la compliance

• Governance dell’intelligenza artificiale 

• Policy e procedure per una corretta gestione dell’IA

• Caso pratico: Le linee guida per l’implementazione dell’AI nel mondo del lavoro

VIII sessione: Martedì 24 novembre; ore 14.30 -17.30

Sicurezza sul Lavoro e Privacy: Ruoli, Obblighi e Strumenti del D.Lgs. 81/2008

Docenti: Beatrice Franceschin e Selina Zipponi 

• Il  D.Lgs. 81/2008

• Ruoli e Responsabilità (datore di lavoro, dirigenti e preposti, ASPP/RSPP, RLS, lavoratori)

• Documentazione Obbligatoria (DVR, DUVRI e gestione appalti, procedure interne, registri obbligatori)

• Valutazione dei Rischi

• Prevenzione e Protezione

• Formazione, Informazione e Addestramento

• Gestione delle Emergenze

• Sorveglianza Sanitaria e obblighi del medico competente

• Incidenti, Near Miss e Non Conformità

• Aspetti privacy della sicurezza sul lavoro 

IX sessione: Martedì 1° dicembre; ore 14.30 - 17.30

Compliance integrata e gestione del rischio: come coordinare ruoli, processi, valutazione dei rischi, audit e controlli interni

Docenti: Selina Zipponi e Valentina Paduano

• I vari ruoli della compliance e le best practices per una governance efficace

• Cos’è il compliance risk assessment 

• La valutazione dei fornitori ed i controlli integrati

• Altri casi di integrazione 

• Caso pratico: simulazione di una valutazione di rischio privacy su paesi EU e extra EU 

Relatori

Sergio Aracu
Founding Partner di Area Legale S.r.l., Business Compliance Lawyer, Segretario Generale dell'Organismo di Monitoraggio del Codice di Condotta in materia di telemarketing e teleselling.

Maria Vittoria Del Furia
Junior Data Protection Associate presso Dedalus S.p.A., dove si occupa di protezione dei dati personali, intelligenza artificiale e whistleblowing in contesti europei ed extraeuropei. È coautrice dell’articolo “Whistleblowing e diritto di difesa: dove finisce la riservatezza” (Agenda Digitale, gennaio 2026)”.

Maria Rosaria De Ligio
Senior Cyber Security Advisor presso ICT Cyber Consulting, Of Counsel presso ICT Legal Consulting e Fellow Researcher presso l’Istituto Italiano per la Privacy. Ha conseguito un Master in Cyber Security Compliance. Auditor certificato per gli standard ISO/IEC 27001:2022, ISO 9001:2015 e ISO 22301:2019, con diverse qualifiche nell’ambito della cybersecurity e della compliance normativa.

Giulia Finocchiaro
Avvocato, opera nel campo della cybersecurity e della protezione dei dati personali. Ha ottenuto la qualifica di Lead Auditor/Auditor ISO/IEC 27001 e conseguito un Master in Cultura e Governance della Cybersecurity presso l'Università di Catania. Opera attivamente nel campo della cybersecurity e della protezione dei dati.

Beatrice Franceschin
Esperta in salute e sicurezza del lavoro con più di 15 anni di esperienza. Svolge il ruolo di ASPP e addetto alla gestione delle emergenze presso primaria società nell'ambito dei trasporti. Ha conseguito il titolo di Auditor per la norma ISO 20121:2024 per la gestione sostenibile degli eventi. Ha frequentato il modulo sulla valutazione del rischio stress del Master in psicologia del lavoro e sviluppo delle risorse umane presso l'Associazione italiana psicologi.

Floriana Francesconi
Avvocato specializzata in diritto penale d’impresa, compliance, privacy e protezione dei dati personali, Of Counsel di ICT Legal Consulting. Esperta nell’ambito del D.Lgs. 231/2001, della governance societaria e dei sistemi di gestione del rischio, ricoprendo incarichi di Organismo di Vigilanza e Data Protection Officer per importanti gruppi industriali e farmaceutici italiani. Ha conseguito la certificazione Lead Auditor ISO/IEC 42001 e frequentato il master “Artificial Intelligence per il Business” presso SDA Bocconi School of Management.

Michele Iaselli
Avvocato, docente di diritto digitale e tutela dei dati alla LUISS e di informatica giuridica all’Università di Cassino. Direttore del comitato scientifico di ANDIP e coordinatore del comitato scientifico di Federprivacy. Funzionario del Ministero della Difesa ed esperto dell’Ufficio Generale Innovazione Difesa, è membro del comitato di presidenza dell’ENIA (Ente Nazionale Intelligenza Artificiale).

Giulia Mariuz
Avvocato. Partner presso Hogan Lovells in Italia, dove opera nelle practice SOAR (Strategic Operations, Agreements and Regulations) e PaC (Privacy and Cybersecurity). Si occupa di diritto dell’e-commerce, tecnologie dell’informazione e protezione dei dati personali, con competenze anche in ambito contrattuale e commerciale.  Assiste grandi operatori del settore digitale su temi legati alla digitalizzazione, alla privacy e alla compliance. Presta consulenza legale quotidiana e assiste i clienti nei procedimenti davanti alle autorità italiane, come il Garante per la protezione dei dati personali e l’Autorità Antitrust.

Matteo Maria Morelli
Avvocato. Si occupa attivamente di Compliance, Investigazioni interne e Diritto penale d’impresa, con particolare esperienza nella difesa degli enti ex D.Lgs. 231/2001 e nella gestione di indagini interne complesse. Assiste imprese italiane e internazionali su temi di compliance, con focus su anticorruzione (in base alla normativa italiana e a standard internazionali come FCPA, UK Bribery Act e Loi Sapin II), antiriciclaggio, sanzioni internazionali e whistleblowing. Dal 2014 supporta numerose aziende nella progettazione, attuazione e aggiornamento dei Modelli Organizzativi ex D.Lgs. 231/2001. Ricopre incarichi di Presidente o membro di Organismi di Vigilanza, contribuendo all’integrazione della compliance nei sistemi di governance e gestione del rischio.

Elisabetta Nunziante
È Senior Associate nel team Technology, Media & Telecommunications (TMT), con focus su contratti, regolamentazione e contenziosi legati al digitale e alle nuove tecnologie. Assiste aziende tech e non-tech su temi come diritto dei consumatori, protezione dei dati, cybersecurity, media, piattaforme digitali e telecomunicazioni, sia in ambito giudiziale che stragiudiziale. Appassionata di tecnologia e innovazione, lavora per sviluppare soluzioni scalabili che supportino gli obiettivi aziendali e migliorino l’efficienza organizzativa.

Valentina Paduano
Chief Risk & Compliance Officer, vicepresidente FERMA – Federation of European Risk Management Associations – e Chair del Comitato Sostenibilità volto ad indirizzare la concreta integrazione tra il risk management e la sostenibilità. Docente di diversi master universitari e corsi professionali in ambito risk management, tra cui l’ALP (ANRA Learning Path) dell’ANRA, l’Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali.

Daniele Saporiti
Risk & Compliance Manager presso Dedalus, con esperienza in ambito di compliance aziendale su normative bancarie, D.Lgs. 231/2001, privacy e anticorruzione.  Relatore alla European & Ethics Conference in un webinar dedicato alla normativa italiana sul whistleblowing (2023).

Valentina Zecchi
Avvocato esperta in protezione dei dati personali. Data Protection Officer e consulente privacy per aziende e professionisti, in Italia e all’estero. Ha insegnato Data Protection Law presso l’Università di Maastricht nei Paesi Bassi. È co-fondatrice e membro del comitato direttivo dell’associazione Privacy She-Leaders.

Selina Zipponi
Avvocato esperto in privacy, fellow dell’Istituto Italiano per la Privacy e la valorizzazione dei dati, Global Data Protection Officer di una società multinazionale. È curatrice e autrice di volumi e pubblicazioni in materia di tutela dei dati personali e docente del Corso “Maestro della Protezione dei Dati & Data Protection Designer” dell’Academy dell’Istituto Italiano per la Privacy. Docente di numerosi corsi e seminari in materia di data protection a livello nazionale e internazionale.