TOTALE ORE DEL PERCORSO: 80 ore
MODALITA’ FORMATIVA: FaD sincrona
N. MIN ALLIEVI: 4
COSTO ISCRIZIONE: 4400 euro + IVA
VOUCHER PASS IMPRESE: SI
ATTESTATO DI FREQUENZA: SI
Le 80 ore di formazione in modalità a distanza sincrona si svolgeranno con 20 sessioni formative della durata di 4 ore ciascuna
A CHI È RIVOLTO E PERCHÉ
L’entrata in vigore del regolamento europeo GDPR 2016/679 ha nettamente evidenziato l’esigenza di approfondire i temi della cybersecurity.
Per le organizzazioni oggi si rende necessaria un’approfondita consapevolezza dei pericoli legati alle violazioni informatiche al fine di adottare una corretta ed efficace data protection.
Le aziende dovranno rivedere le procedure interne di assessment con l’obiettivo di gestire al meglio le attività di compliance e remediation in ottica GDPR.
È necessario mettere in atto procedure dinamiche per garantire una corretta protezione dei dati: strategie, tecnologie e processi devono essere testate, valutate, revisionate.
Il corso sviluppa nel dettaglio le tematiche presenti nel regolamento europeo GDPR operando un confronto con la normativa prevista dal Codice Privacy DLgs. 196/2003 e focalizzando in modo pedissequo tutti i punti e gli articoli del nuovo Regolamento.
Si passerà in rassegna quanto previsto da GDPR sul tema del "data breach" ovvero la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati analizzando tutte le misure possibili per ridurne il rischio e arginare tempestivamente il danno.
Si esamineranno tutti gli aspetti di carattere tecnico organizzativo che le aziende dovrebbe mettere in pratica per proteggere i propri dati, evitando data breach e le sanzioni conseguenti.
Il corso è rivolto agli imprenditori e ai manager che, gestendo dati sensibili in azienda, vogliono approfondire la gestione manageriale e l'applicazione puntuale della normativa, nonché le strategie per ridurre i rischi legati alla perdita di dati, agli attacchi informatici applicando i migliori standard si cybersecurity.
CONTENUTI
1- Evoluzione normativa: cosa resta invariato e le principali novità
2- Nuovi obblighi in materia di Privacy per le aziende.
Il GDPR si applica in tutte le ipotesi in cui sia posto in essere un trattamento di dati personali. Non esistono, dunque, categorie di soggetti giuridici esentati dal rispetto del GDPR.
La protezione dei dati personali interessa ampie fasce di categorie professionali, non c’è in sostanza nessun settore che non ne sia toccato.
Ecco perché tutte le aziende sono chiamate ad adeguarsi, devono rispettare il GDPR nel trattare i dati personali indipendentemente dalla loro dimensione.
3- I soggetti che effettuano trattamento: le nuove figure del Joint Controller e DPO (Data Privacy Officer)
ll DPO, Data Protection Officer - in italiano RPD, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal GDPR e che ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo.
Il DPO è quindi un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità.
I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39 e sono essenzialmente tre: informare, sorvegliare e cooperare.
4- I Registri delle attività di trattamento.
Tutti i titolari e i responsabili di trattamento, devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
5- Diritto alla portabilità dei dati e diritto all’oblio
Il GDPR prevede il diritto all’oblio, che garantisce una tutela più forte rispetto al diritto alla cancellazione dei dati disciplinato dal Codice privacy. Previsto anche il diritto alla portabilità dei dati personali in forza del quale l’interessato ha diritto a ricevere in un formato strutturato e leggibile i dati personali che lo riguardano per trasmetterli ad un altro titolare del trattamento.
6- Il sistema sanzionatorio: sanzioni amministrative e penali.
Un’analisi del quadro di responsabilità e del regime sanzionatorio derivante dal combinato disposto del GDPR, del decreto di armonizzazione delle leggi nazionali al Regolamento Ue e delle norme del Codice Privacy sopravvissute. Uno degli aspetti più rilevanti del Decreto Legislativo 101/2018 è senz’altro quello del sistema sanzionatorio, non solo per l’evidente centralità che lo stesso riveste nel quadro della nuova normativa europea sulla protezione dei dati, ma anche perché il sistema di rinvii alle diverse disposizioni normative in esso contenute (ivi incluse quelle del d.lgs. 196/2003 che il legislatore ha scelto di non abrogare) comporta non poche difficoltà interpretative.Appare quindi opportuno approfondire il tema, analizzando il regime sanzionatorio derivante dal combinato disposto del GDPR, del d.lgs.101/2018 e delle norme del Codice Privacy sopravvissute al decreto di armonizzazione.
7- Privacy by design e privacy by default.
Il Regolamento europeo per la protezione dei dati personali impone al titolare del trattamento l'adozione di misure tecniche ed organizzative adeguate al fine di tutelare i dati da trattamenti illeciti.
L'articolo 25, in particolare, introduce il principio di privacy by design e privacy by default, un approccio concettuale innovativo che impone alle aziende l'obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.
8- DPIA, data privacy impact assessment: la valutazione d’impatto.
Il nuovo regolamento generale ha un approccio basato sulla valutazione del rischio (risk based), piuttosto che sulla protezione dell'utente.
Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Quindi, il rischio inerente al trattamento è da intendersi come l'impatto negativo sulle libertà e i diritti degli interessati (da intendersi non solo il diritto alla protezione dei dati personali, ma anche altri, come la libertà di espressione).
9- I codici di condotta e comportamenti organizzativi da ingenerare
I Codici di Condotta e le Certificazioni secondo gli standard ufficiali del GDPR sono tra le tematiche dietro le quali si celano interessi economici e lobby di ingente portata. Sono altresì tra gli argomenti più incerti e controversi, sui quali abbiamo purtroppo assistito alla proliferazione di conferenze, congressi, convention, meeting, seminari dai contenuti più disparati e fuorvianti e poco rappresentativi dello stato attuale delle cose, per arrivare infine a entità giuridiche che senza concessione alcuna affermavano di concedere certificazioni a norma GDPR.
Purtroppo per loro ma fortunatamente per tutto il resto del mondo privacy, successivamente al comunicato del Garante per la Protezione dei Dati del 19 luglio 2017, abbiamo assistito ad una graduale rimodulazione delle false promesse e dichiarazioni fuorvianti. Facciamo chiarezza sulla situazione attuale.
10- La Sicurezza del trattamento: come valutarne l’Adeguatezza.
Per raggiungere la compliance in merito a GDPR e sicurezza del trattamento, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali, così come richiesto dagli articoli 25 e 32. Ecco le indicazioni pratiche di adeguamento tecnologico.
11- Perché GDPR e Cybersecurity sono collegate
Gli ambiti di intervento di tali normative sono diversi, ma entrambe hanno origine da un‘unica esigenza: una più forte consapevolezza, a livello europeo, circa l’importanza, per le aziende, di una strategia puntuale ed efficace in tema di sicurezza e prevenzione.
12- Il Data Breach e la Comunicazione della violazione di dati: aspetti e criticità.
La gestione delle violazioni dei dati ingenera tensioni e incertezze nelle aziende coinvolte, anche per quanto riguarda il tenore della comunicazione del data breach agli interessati. Ecco come fare per aiutare il titolare del trattamento in questo adempimento particolarmente delicato.
13- Le misure di sicurezza richieste (e consigliabili) per mettere in pratica la “privacy by design” richiesta dal GDPR.
La digitalizzazione dei processi delle imprese e degli studi professionali, l’integrazione fra clienti, aziende e fornitori hanno cambiato il volto ormai inadeguato della Privacy attuale. Il Nuovo Regolamento Europeo sulla Protezione dei Dati (Gdpr 679/2016) sta cambiando velocemente la situazione. La tecnologia ha mutato la nostra stessa identità digitale: Internet era uno strumento per gli addetti al settore, spesso universitari, e se ne intravedevano appena le ricadute commerciali, gli smartphone erano dei cellulari dal peso improponibile, le mail erano appena apparse all’orizzonte. Ecco cosa e come fare.
14- Pseudonimizzazione, Crittografia, Anonimizzazione.
Tra i molteplici aspetti caratterizzanti la disciplina dettata dal Regolamento UE 2016/679 , uno in particolare riveste una notevole rilevanza per le organizzazioni: le misure tecniche da attuare per garantire un’adeguata protezione dei dati personali. Il GDPR si limita a definire nel disposto dell’art. 32 alcuni punti cardine per garantire la sicurezza dei trattamenti, ma viene lasciata ai titolari e ai responsabili del trattamento una certa libertà di scelta in merito agli accorgimenti tecnici specifici da impiegare. Questa libertà di azione ha creato non poca confusione nella definizione dei limiti entro cui operare ed entro cui le disposizioni del GDPR possono essere applicate. I dubbi nascono dalla compresenza di tre diverse soluzioni tecniche, molto spesso confuse tra loro e che, quindi, alimentano il disordine interpretativo in materia: l’anonimizzazione, la pseudonimizzazione e la cifratura. Queste tre soluzioni definiscono il contesto entro cui districarsi per garantire un’adeguata e concreta protezione dei dati personali.
15- La ISO/IEC 27001 e ai “Privacy Seals”
La certificazione GDPR consente agli interessati di valutare rapidamente il livello di protezione dati relativi a prodotti e servizi. Ha quindi regole precise che consentono di fornire prove affidabili della conformità in termini di data protection. Analizziamole nel dettaglio per fugare ogni pericolosa confusione su vie di certificazione alternative
I docente:
Dott. Giosef Perricci - IT Manager
Innovation Manager - Albo Ministero dello Sviluppo Economico
Lead Auditor Sistemi di Gestione per la Sicurezza delle Informazioni (ISO 27001)
Lead Auditor Sistemi di Gestione della Qualità
D.P.O. (Data Protection Officer) & Privacy Manager
Microsoft Certified Solutions Developer
Imprenditori
- imprenditori individuali e associati in partecipazione di imprese familiari;
- soci delle società semplici;
- soci di società in nome collettivo;
- soci accomandatari di una società in accomandita semplice;
- soci di società di capitali e cooperative che rivestano il ruolo di amministratori;
- soci di società di capitali che siano tenuti al versamento dei contributi previdenziali alla Gestione
Commercianti o Artigiani o altra forma obbligatoria contributivo (per esempio STP).
Liberi professionisti
I liberi professionisti iscritti all’ordine/albo professionale e relativa cassa previdenziale, in possesso di partita iva attiva e con domicilio fiscale in un comune della Regione Puglia ed i soggetti che, pur non essendo tenuti all’iscrizione presso la CCIAA, all’atto della candidatura risultino lavoratori autonomi iscritti alla gestione separata dell’Inps; oppure che svolgono tale attività in forma associata con la partiva iva dell’associazione professionale.
Amministratori unici o delegati
Gli amministratori unici non soci, gli amministratori delegati non soci risultanti da REGISTRO DELLE IMPRESE) delle suddette imprese.
Dirigenti e quadri
I lavoratori/lavoratrici delle imprese iscritte al Registro delle Imprese comprese le associazioni, le cooperative, le fondazioni e altri enti non societari, con rapporto di lavoro subordinato a tempo indeterminato e qualifica di dirigente/ quadro, iscritti al libro unico del lavoro dell’impresa, e occupati in una unità locale ubicata sul territorio regionale.