Premessa
Il trattamento dei dati personali secondo il GDPR 679/2016
Ogni impresa gestisce quotidianamente notevoli quantità di dati personali per le finalità connesse alla propria attività. Grazie alla digitalizzazione, acquisire ed utilizzare tali dati è diventato semplice e veloce, soprattutto per le esigenze di comunicazione e marketing. Tali attività, tuttavia, sono considerate ad alto rischio, per gli effetti che possono avere sui diritti e le libertà degli interessati, e sono disciplinate dall’art. 2050 del codice civile, che prevede una responsabilità aggravata del titolare del trattamento in caso di contenzioso.
Il Regolamento Europeo sulla protezione dei dati 679/2016 (GDPR – General Data Protection Regulation) esplicherà i propri effetti a partire dal 25 maggio 2018 ed offre un quadro di riferimento in termini di compliance per la tutela dei dati personali delle persone fisiche nell’ambito dell’Unione Europea. I Responsabili della Protezione dei Dati (DPO – Data Protection Officer) saranno al centro di questo nuovo quadro giuridico in molti ambiti, e saranno chiamati a facilitare l’osservanza delle disposizioni del Regolamento.
Quali aziende devono nominare il DPO?
In base al Regolamento, tutte le imprese pubbliche ed i soggetti privati (aziende, lavoratori autonomi e liberi professionisti) che trattano dati personali su larga scala, operando il monitoraggio regolare e sistematico degli interessati, o che utilizzano dati sensibili che consentono di identificare in modo univoco una persona
Quali sono i requisiti del DPO?
Designato dal titolare del trattamento o dal responsabile del trattamento tra soggetti di comprovata esperienza e capacità, deve conoscere approfonditamente la normativa e le prassi nazionali ed europee in materia di protezione dei dati, avere dimestichezza con l’analisi dei rischi e le norme ISO sui sistemi di gestione delle informazioni, avere familiarità con l’ambiente in cui dovrà operare e con lo specifico settore di attività dell’organizzazione in cui andrà a svolgere il proprio compito. Dovrà inoltre possedere capacità di team leading e coordinare gli altri soggetti che avranno compiti esecutivi, come il manager IT, il responsabile delle risorse umane, le figure apicali responsabili dei singoli trattamenti.
Quali sono i compiti del Data Protection Officer (DPO)?
Il DPO dovrà sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura dei dati, dell’ambito di applicazione, del contesto e delle finalità per cui sono stati raccolti; collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA); informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati; cooperare con il Garante e fungere da punto di contatto su ogni questione connessa al trattamento; supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta del registro delle attività di trattamento.
Obiettivi e finalità del corso
Il corso si pone l’obiettivo di fornire al futuro DPO le conoscenze e competenze necessarie per supportare il titolare/responsabile del trattamento dei dati nell’osservanza delle disposizioni del Regolamento Europeo e delle altre norme che regolano il trattamento dei dati personali e di promuovere una cultura della protezione dati all’interno delle organizzazioni presso cui ricoprirà il ruolo.
Il percorso formativo permetterà di acquisire: la conoscenza delle normative europee e nazionali in materia di protezione dei dati, GDPR 679/2016, direttive italiane e norme che regolano la Pubblica Amministrazione, ai fini di una corretta applicazione delle stesse nei diversi contesti organizzativi; la capacità di analizzare e valutare i rischi connessi al trattamento dei dati, nonché la capacità di adottare le opportune misure di sicurezza; la conoscenza della norma ISO 27001, per la creazione di sistemi di protezione dei dati, e della norma 19011 per la conduzione dei audit periodici sulla gestione di dati.
Durata 80 ore: 4 moduli formativi, per un totale di 11 giornate.
Orario 09:00-13:00 14.00-18:00
Sede del Corso: Via Valle Piana 80 San Benedetto del Tronto C/o Uffici direzionali Centro Agroalimentare Piceno
Programma didattico
Modulo 1 – 27, 28 settembre e 6 ottobre 2018: Parte generale sul GDPR, ambito legal
(Avv. Gianluca Pomante) 24 ore
-
- Panoramica: la protezione dei dati personali e la riservatezza
- Evoluzione normativa: dalla direttiva 95/46 al GDPR 2016/679; la legge 675/1996 e il D.Lgs. 196/2003; il rapporto tra il GDPR 679/2016 e il D.Lgs. 196/2003
- I considerando e gli articoli del nuovo regolamento: come interpretarne correttamente il testo.
- Le linee guida del Wp29, del Garante Italiano e della Commissione Europea.
- Il bene giuridico tutelato; gli archivi digitali e cartacei; i flussi di informazioni e l’organizzazione interna; rapporti con le altre norme sulla sicurezza
- Principi generali del trattamento: finalità, liceità, correttezza e trasparenza; pertinenza e non eccedenza; aggiornamento e mortalità del dato; conservazione e divieto di archiviazione massiva.
- Dati sensibili, dati giudiziari, dati biometrici, dati genetici, dati particolari
- I diritti dell’interessato
- L’informativa ed il consenso al trattamento
- Disciplina delle clausole contrattuali
- Il diritto all’oblio; rapporti con il diritto di cronaca e la trasparenza amministrativa
- Il principio di “accountability”: l’individuazione dei compiti e delle responsabilità;
- Il Titolare e i soggetti autorizzati al trattamento
- L’amministratore di sistema
- Il Responsabile del trattamento
- Il Responsabile della protezione dei dati (DPO)
- Data protection by design e data protection by default
- I registri dei trattamenti e gli adempimenti del titolare e dei responsabili
- L’analisi dei rischi e la valutazione d’impatto del trattamento (DPIA)
- Le misure di sicurezza fisiche, logiche ed organizzative
- Pseudonimizzazione e cifratura dei dati
- Il data breach: la gestione degli incidenti informatici
- La sicurezza dei dispositivi mobili
- L’archiviazione sostitutiva
- Il rapporto di lavoro ed i controlli a distanza
- Indagini difensive e videosorveglianza
- Le sanzioni e la responsabilità aggravata del titolare del trattamento
- L’Autorità Garante e i rapporti con i colleghi Europei: il WP29 e le linee guida
- Compiti e poteri del Garante italiano
- Il contenzioso amministrativo e giudiziario
- I casi di scuola, i provvedimenti generali del Garante, le sentenze della Corte di Cassazione
Modulo 2 – 11, 12 e 13 ottobre 2018: parte speciale ISO 27001 e ISO 19011; SGSI e audit (Ing. Gianluca De Vincentiis) 20 ore
- Le certificazioni, gli audit e i codici di condotta
- La norma ISO 27001 applicata al trattamento dei dati personali
- Il sistema di gestione dei dati personali secondo la norma BS 10012:2017
- Il ciclo di deming
- La riunione preliminare di direzione; l’audit preliminare
- L’analisi dei rischi e la valutazione d’impatto del trattamento
- Le misure di sicurezza fisiche, logiche ed organizzative (check list e criteri di valutazione)
- L’individuazione delle non conformità
- Le azioni di miglioramento
- La relazione di fine attività
- Esercitazione pratica sulla conduzione di un audit in azienda.
Modulo 3 – 19 e 20 ottobre 2018: analisi e gestione dei rischi, valutazione d’impatto, misure di sicurezza nel privato e nella PA (Dott. Corrado Giustozzi) 16 ore
- Il Rischio. Risk Management, Analisi del rischio. La gestione del rischio IT
- Il processo ISO 27005. Modellazione del rischio. Valutazione del rischio
- Analisi delle minacce e delle vulnerabilità
- Il trattamento del rischio ed i controlli
- Privacy Impact Assessment PIA
- Il processo della PIA
- Criteri per una PIA accettabile
- Studi e rapporti correlati all’adozione del GDPR (Documenti prodotti da ENISA)
- Le misure di sicurezza
- La sicurezza delle informazioni. Il valore delle informazioni
- Rischi e pericoli delle reti digitali
- Le proprietà fondamentali delle informazioni. Sicurezza ed errori umani
- Sistemi informativi e reti
- Rischi e minacce: da cosa ci si deve difendere
- Il rischio: le vulnerabilità diffuse
- Il cyberspace, ovvero internet
- L’identità digitale
- Dati e metadati
- L’architettura per lo spazio cibernetico nazionale. Il ruolo dell’AGID
- Le misure minime di sicurezza ICT
- I tre livelli applicazione: minimo, standard, avanzato
- Le modalità di applicazione
Modulo 4 – 24, 25, 26 ottobre 2018 “GDPR e specializzazione in ambiti particolari”
20 ore
27 settembre 2018 Avv. Gianluca Pomante (8 ore)
La Videosorveglianza
- Trattamento dei dati personali e videosorveglianza: principi generali
- Adempimenti applicabili a soggetti pubblici e privati
- Settori specifici (Rapporti di lavoro. Ospedali e luoghi di cura. Istituti scolastici. Sicurezza nel trasporto pubblico. Utilizzo di web cam o camera-on-line a scopi promozionali-turistici o pubblicitari. Sistemi integrati di videosorveglianza)
- Soggetti pubblici
- Privati ed enti pubblici economici
- Prescrizioni e sanzioni
Privacy e Rapporto di lavoro
- Poteri di controllo del datore di lavoro e diritto alla riservatezza del lavoratore
- Utilizzo delle e-mail e internet da parte uso privato
- Il diritto alla riservatezza nel rapporto di lavoro
28 settembre 2018 Dott. Corrado Giustozzi (8 ore)
Trattamento dei dati in sanità
29 settembre 2018 Ing. De Vincentiis (8 ore) 4 ore di teoria 4 di esame finale
Marketing e profilazione on line: tutele per la privacy degli utenti
- Informativa
- Internet e social media
- Motori di ricerca
- Profilazione
- Geolocalizzazione
- Smartphone
- Provider
- Tablet
- Banner e advertising
- Cookies
- Consenso
- Archivi elettronici
- Fidelity card
Esame finale
Metodologie didattiche
Il percorso formativo prevede l’adozione di metodologie didattiche attive con il diretto coinvolgimento dei discenti mediante esercitazioni pratiche, lavori di gruppo e casi studio.
Corpo docente
Avv. Gianluca Pomante
Avvocato Cassazionista esperto nella corretta gestione dei dati personali e della web reputation, nelle condotte di rilevanza penale in ambito informatico e in molte altre criticità legate al digitale.
Dott. Corrado Giustozzi
Informatico, giornalista e scrittore, divulgatore specializzato negli ambiti della sicurezza informatica, della tutela dei dati personali, della crittografia e della criminalità informatica.
Ing. Gianluca De Vincentiis
Consulente esperto di sicurezza informatica e certificazioni ISO
Destinatari
Il corso è rivolto a consulenti e professionisti che intendono ottemperare alle prescrizioni che riguardano il loro ambito di attività o che vogliono erogare servizi di consulenza nel settore della data protection, a funzionari e dirigenti, pubblici e privati, sistemisti IT, responsabili risorse umane, amministrazione, contabilità, che devono applicare nelle loro organizzazioni le norme poste a tutela dei trattamenti di dati personali.
Requisiti dei partecipanti
Diplomati e laureati. E’ consigliata una formazione giuridica o tecnica.
Modalità di partecipazione
I moduli possono essere acquistati anche singolarmente, qualora l’allievo sia interessato solo ad una parte del percorso di formazione.
Informazioni
Segreteria organizzativa: tel. 0736/45084 Mob. 333.2094180 – 339.2184071
E.mail taniafioravanti@attivasolution.it – sito web www.attivasolution.it