Master in Compliance Management

I sessione: Venerdì 14 novembre; ore 14.30 - 17.30
Garantire la compliance aziendale e le figure di controllo previste
Docenti: Selina Zipponi e Valentina Paduano

• Compliance integrata: il ruolo dell’impresa tra obblighi amministrativi e responsabilità 
• La governance a supporto della compliance integrata: la scelta tra ruoli interni ed esterni
• Come rendere efficace l’integrazione del sistema di controllo interno e gestione dei rischi 

II sessione: Venerdì 21 novembre; ore 14.30 - 17.30
Privacy operativa e tutela dei dati personali: ruoli, obblighi e aspetti sanzionatori
Docenti: Giulia Mariuz e Elisabetta Nunziante 
 
• I ruoli privacy: titolare, contitolare e responsabile del trattamento
• Trattamento dei dati personali: principi fondamentali e basi giuridiche
• Registro dei trattamenti e informative
• Nomine e designazioni: cosa si deve sapere 
• Misure di sicurezza tecniche ed organizzative: privacy by design e privacy by default
• Valutazione d’impatto sulla protezione dei dati personali: quando è obbligatoria e come si redige
• Diritti degli interessati e data breach: cosa succede in caso di violazione dei dati personali?
• Trasferimenti di dati verso paesi terzi
• Aspetti sanzionatori rilevanti
• Caso pratico: esame di una nomina a responsabile del trattamento

III sessione: Lunedì 24 novembre; ore 14.30 - 17.30
Il D.Lgs. 231/2001 sulla responsabilità amministrativa degli enti
Costruire e aggiornare un Modello Organizzativo efficace
Docenti: Daniele Saporiti e Matteo Maria Morelli

• Ambito di applicazione e principi del D.Lgs. 231/2001
• Sistema sanzionatorio
• Peculiarità per le società operanti nel settore pubblico
• Mappatura dei rischi e reati presupposto
• Risk Assessment 
• Struttura del Modello Organizzativo e ruolo del Key Officer
• Aggiornamento del Modello e gestione delle violazioni
• Flussi informativi e attività di controllo dell’ODV
• Coordinamento con DPO e presidi privacy per i reati informatici: attività di verifica e presidio
• Caso pratico: analisi di un Modello Organizzativo parte speciale reati informatici

IV sessione: Venerdì 28 novembre; ore 14.30 - 17.30
AI Act e responsabilità: cosa deve sapere chi usa o introduce intelligenza artificiale
Docenti: Diletta Huyskes e Laura Senatore

• Aspetti etici dell’intelligenza artificiale 
• AI Act:  impatti per imprese e professionisti
• Ruolo soggettivo e obblighi (utilizzatore, produttore, distributore)
• Obblighi e scadenze per la compliance
• AI e protezione dati: linee guida EDPB e casi del Garante (Deepseek, OpenAI)
• Caso pratico: redazione di una policy interna sull’uso di tool AI

V sessione: Lunedì 1 dicembre; ore 14.30 - 17.30
Sostenibilità e obblighi ESG: cosa cambia con CSRD, ESRS e CSDDD
Docenti: Valentina Paduano e Kate Francis  

• Il nuovo quadro europeo: CSRD, ESRS e obblighi di reporting
• Analisi di doppia materialità: che cos’è e come si applica
• Governance della sostenibilità
• CSDDD: Value Chain, responsabilità contrattuali e impatti ESG
• Equità retributiva, diversity e trasparenza
• Privacy e sostenibilità: la protezione dei dati come CSR (Corporate Social Responibility)
• Caso pratico: simulazione sulla raccolta e organizzazione dei dati privacy per il report ESG

VI sessione: Venerdì 5 dicembre; ore 14.30 - 17.30
Whistleblowing: come gestire le segnalazioni e proteggere chi denuncia
Docenti: Francesca Longo e Giulia Ciolini

• La normativa italiana sul whistleblowing
• Canali interni, digitali e fisici: obblighi e best practice
• Ricezione, analisi e gestione delle segnalazioni
• Riservatezza, anonimato e tutela del whistleblower
• Ruoli e responsabilità degli organismi interni
• Formazione, informazione e sensibilizzazione
• Privacy e whistleblowing: valutazioni di impatto, informative, autorizzazioni
• Caso pratico: gestione di una segnalazione per corruzione

VII sessione: Martedì 9 dicembre; ore 14.30 - 17.30
Cybersecurity, Cyber Resilience Act e Direttiva CER: come adeguarsi alla nuova strategia UE
Docente: Michele Iaselli

• Concetti fondamentali di cybersicurezza
• Contesto geopolitico e scenari globali
• Strategia europea di cybersicurezza
• Governance e attori istituzionali dell’UE
• Cybersecurity Act (Reg. UE 2019/881)
• Introduzione al Cyber Resilience Act (Reg. UE 2024/2847)
• La Direttiva CER (Critical Entities Resilience Directive) e l’adeguamento nazionale

VIII sessione: Venerdì 12 dicembre; ore 14.30 - 17.30
Compliance integrata e gestione del rischio: come coordinare processi, valutazione dei rischi, audit e
controlli interni
Docenti: Selina Zipponi e Valentina Paduano

• Cos’è il compliance risk assessment e come si applica alla privacy
• Processi decisionali risk-based
• La valutazione dei fornitori ed i controlli integrati
• Caso pratico: simulazione di una valutazione di rischio su paesi extraeuropei

Docenti

Giulia Ciolini, 
Avvocato. Data protection & Privacy Manager Italia presso Dedalus S.p.A. 
È coautrice di contributi scientifici sul tema, tra cui capitoli del volume Privacy Extra EU (Maggioli Editore), e autrice di articoli su tematiche di grande attualità nel campo della protezione dei dati personali, con approfondimenti su temi di forte interesse come l’uso secondario dei dati personali e la disciplina sulle indagini di mercato.

Kate Francis,
Dottoranda presso la Facoltà di Giurisprudenza dell’Università di Maastricht e ricercatrice in materia di privacy ed etica. È responsabile dello sviluppo e della comunicazione presso ICT Legal Consulting (ICTLC), studio legale internazionale. Si occupa di trasparenza normativa UE, GDPR e responsabilità sociale d’impresa. Ha partecipato a progetti Horizon 2020 su cybersecurity e anonimizzazione dei dati. È DPO certificata, consulente certificata per il GDPR Compliance Code of Conduct della Cloud Security Alliance e Auditor certificata Europrivacy per audit e certificazione GDPR.

Diletta Huyskes,
Si occupa di etica, cultura, design e impatto sociale delle tecnologie e dell’intelligenza artificiale. Attualmente è ricercatrice postdoc in Filosofia e Tecnologia presso l’Università degli Studi di Milano e Affiliated Researcher presso la Data School dell’Università di Utrecht. È co-fondatrice e CEO di Immanence, società che analizza gli impatti sociali e i rischi etici delle tecnologie digitali e dei sistemi di intelligenza artificiale. Collabora con il gruppo internazionale Z-Inspection® per la valutazione dell’affidabilità dei sistemi di IA secondo l’etica applicata. È nel consiglio direttivo di Privacy Network, dove ha fondato e coordina l’Osservatorio sull’Amministrazione Automatizzata (OAA). 

Michele Iaselli, 
Avvocato, docente di diritto digitale e tutela dei dati alla LUISS e di informatica giuridica all’Università di Cassino. Direttore del comitato scientifico di ANDIP e coordinatore del comitato scientifico di Federprivacy. Funzionario del Ministero della Difesa ed esperto dell’Ufficio Generale Innovazione Difesa, è membro del comitato di presidenza dell’ENIA (Ente Nazionale Intelligenza Artificiale).

Francesca Longo,
Avvocato con consolidata esperienza in materia di compliance, maturata in contesti di consulenza internazionale e aziendali multinazionali. Ha svolto incarichi in Organismi di Vigilanza. È Auditor qualificata secondo la norma UNI ISO 37001:2016, autrice di pubblicazioni e relatrice in corsi di formazione. Attualmente ricopre il ruolo di Group Risk & Compliance Specialist in Dedalus, dove si occupa della governance e del monitoraggio dei programmi di conformità a livello globale.

Giulia Mariuz,
Avvocato. Partner presso Hogan Lovells in Italia, dove opera nelle practice SOAR (Strategic Operations, Agreements and Regulations) e PaC (Privacy and Cybersecurity). Si occupa di diritto dell’e-commerce, tecnologie dell’informazione e protezione dei dati personali, con competenze anche in ambito contrattuale e commerciale.  Assiste grandi operatori del settore digitale su temi legati alla digitalizzazione, alla privacy e alla compliance. Presta consulenza legale quotidiana e assiste i clienti nei procedimenti davanti alle autorità italiane, come il Garante per la protezione dei dati personali e l’Autorità Antitrust.

Matteo Maria Morelli,
Avvocato. Si occupa attivamente di Compliance, Investigazioni interne e Diritto penale d’impresa, con particolare esperienza nella difesa degli enti ex D.Lgs. 231/2001 e nella gestione di indagini interne complesse. Assiste imprese italiane e internazionali su temi di compliance, con focus su anticorruzione (in base alla normativa italiana e a standard internazionali come FCPA, UK Bribery Act e Loi Sapin II), antiriciclaggio, sanzioni internazionali e whistleblowing. Dal 2014 supporta numerose aziende nella progettazione, attuazione e aggiornamento dei Modelli Organizzativi ex D.Lgs. 231/2001. Ricopre incarichi di Presidente o membro di Organismi di Vigilanza, contribuendo all’integrazione della compliance nei sistemi di governance e gestione del rischio.

Elisabetta Nunziante,
È Senior Associate nel team Technology, Media & Telecommunications (TMT), con focus su contratti, regolamentazione e contenziosi legati al digitale e alle nuove tecnologie. Assiste aziende tech e non-tech su temi come diritto dei consumatori, protezione dei dati, cybersecurity, media, piattaforme digitali e telecomunicazioni, sia in ambito giudiziale che stragiudiziale. Appassionata di tecnologia e innovazione, lavora per sviluppare soluzioni scalabili che supportino gli obiettivi aziendali e migliorino l’efficienza organizzativa.

Valentina Paduano,
Chief Risk & Compliance Officer, vicepresidente FERMA – Federation of European Risk Management Associations – e Chair del Comitato Sostenibilità volto ad indirizzare la concreta integrazione tra il risk management e la sostenibilità. Docente di diversi master universitari e corsi professionali in ambito risk management, tra cui l’ALP (ANRA Learning Path) dell’ANRA, l’Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali.

Daniele Saporiti,
Risk & Compliance Manager presso Dedalus, con esperienza in ambito di compliance aziendale su normative bancarie, D.Lgs. 231/2001, privacy e anticorruzione.  Relatore alla European & Ethics Conference in un webinar dedicato alla normativa italiana sul whistleblowing (2023).

Laura Senatore,
Partner di ICT Legal Consulting e Avvocato specializzato in Data Protection, diritto dell’Intelligenza Artificiale e nuove tecnologie. Assiste imprese italiane e multinazionali fornendo consulenza legale strategica e operativa, anche in qualità di DPO esterno. È certificata Data Protection Officer e AI Trust and Privacy Compliance Officer presso l’ECPC – Maastricht University, Lead Auditor per standard internazionali ISO (27001, 27701, 42001) e per lo schema Europrivacy® (GDPR). È inoltre iscritta all’Albo dell’Istituto Italiano per la Privacy come Maestro della Protezione Dati & Data Protection Designer®.

Selina Zipponi,
Avvocato esperto in privacy, fellow dell’Istituto Italiano per la Privacy e la valorizzazione dei dati, Global Data Protection Officer di una società multinazionale. È curatrice e autrice di volumi e pubblicazioni in materia di tutela dei dati personali e docente del Corso “Maestro della Protezione dei Dati & Data Protection Designer” dell’Academy dell’Istituto Italiano per la Privacy. Docente di numerosi corsi e seminari in materia di data protection a livello nazionale e internazionale.