Modalità di svolgimento
- Videoconferenza
Costo
- € 1000 + iva
Destinatari
D.P.O professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi.
Durata
80 h
OBIETTIVI DEL CORSO
Formare coloro che si trovano a gestire la protezione dei dati personali presso Enti pubblici, imprese, studi professionali, all’interno degli Uffici Privacy o coloro che intendono operare professionalmente in tale settore come Esperti in materia di protezione dei dati personali o Consulenti privacy.
CONTENUTI DIDATTICI
GDPR 2016/679 – Principi generali
- Il GDPR 679/2016: la transizione tra il d.lgs. 196/2003 e il GDPR 679/2016 e le principali novità rispetto alla precedente norma
- Categorie particolari di dati (sensibili e giudiziari)
- Finalità del Regolamento (Art. 1)
- Principi, definizioni e campo di applicazione (Art. 2/11)
- Le figure richieste dal Regolamento (Art. 24/27/28/29): Titolare del trattamento – Responsabile del trattamento – Incaricato del trattamento
- La formazione (Art.29)
- Diritti degli interessati (Art. 15/23): Diritti dell’interessato – Diritti all’oblio – Diritto alla portabilità dei dati
- La profilazione (Art. 21/23)
- Documentazione obbligatoria: il principio dell’accountability (Registro del trattamento – Art. 30)
- Le misure di sicurezza e l’analisi dei rischi (Art. 32
- La valutazione d’impatto sulla protezione dei dati (Art. 35) (DPIA)
- Meccanismo dell”one- stop shop”
- Liceità del trattamento
- La pseudonimizzazione dei dati: cos’è e a cosa serve
- Informativa e consenso
- Privacy by design
- Privacy by default
- Data breach e notificazione delle violazioni
- Trasferimenti di dati all’estero: Binding Corporate Rules, Clausole standard UE e altri strumenti
- Autorità di controllo
- Le sanzioni dal codice della privacy al GDPR (amministrative)
IL MODELLO ORGANIZZATIVO 231 – Il D.LGS. 231/2001
- La responsabilità amministrativa delle organizzazioni
- I reati presupposto e l’analisi dei rischi
- Il Modello Organizzativo
- L’Organismo di Vigilanza
- Le sanzioni
- Fattispecie criminose di cui all’art. 24-bis del Decreto (cd. delitti informatici e trattamento illecito dei dati)
- Art. 491-bis c.p. – Documenti informatici – Art. 615-ter c.p. – Accesso abusivo ad un sistema informatico o telematico – Art. 615-quater c.p. – Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici – Art. 615-quinquies c.p. – Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico – Art. 617-quater c.p. – Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche – Art. 617-quinquies c.p. – Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche – Art. 635-bis c.p. – Danneggiamento di informazioni, dati e programmi informatici – Art. 635-ter c.p. – Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità – Art. 635-quater c.p. – Danneggiamento di sistemi informatici o telematici – Art. 635-quinquies c.p. – Danneggiamento di sistemi informatici o telematici di pubblica utilità – Art. 640-quinquies c.p. – Frode informatica del soggetto che presta servizi di certificazione di firma elettronica – Flussi Informativi tra OdV e DPO – Il Whistleblowing
SISTEMI DI GESTIONE, MONITORAGGI E CONTROLLI ISO 27001
- La ISO 9001:2015 e le principali novità
- L’analisi e la valutazione dei rischi nei sistemi di gestione e la gestione dei rischi relativi alla privacy secondo ISO IEC 29100
- Il sistema di gestione della protezione dei dati personali: cos’è e come svilupparlo, Privacy Impact Assessment secondo ISO/IEC 29134
- L’integrazione del sistema di gestione della protezione dei dati personali nel sistema ISO 9001:2005 ed ISO/IEC 27001:2013, i controlli per la protezione dei dati secondo ISO/IEC 29151
- La ISO IEC 27001
- Sistema di Gestione della Sicurezza delle Informazioni: gli obiettivi di un SGSI
- Integrazione del SGSI con gli altri sistemi di gestione (SGQ) e identificazione del perimento
- Pianificazione del SGSI: definizione del contesto, obiettivi, identificazione e trattamento rischi, identificazione controlli applicabili secondo ISO IEC 27002; Implementazione del SGSI: attuazione dei controlli
- I controlli per la sicurezza fisica ed ambientale; i controlli per la sicurezza logica; i controlli per la gestione delle risorse umane
- I controlli per la gestione degli asset aziendali; i controlli per la sicurezza delle attività operative; i controlli per la sicurezza delle comunicazioni
- I controlli per la sicurezza nelle relazioni con i fornitori
- La gestione degli incidenti
- Business Continuity, Dysaster Recovery e Crisis Management, standard di riferimento (ISO 22301, ISO 22313, ISO/IEC 27031, ISO /IEC 24762); monitoraggio del SGSI: misurazione efficacia controlli; mantenimento e miglioramento del SGSI; attività di auditing secondo ISO 19011:2012
- La certificazione di conformità al GDPR: certificazione di prodotto o di sistema?
- La certificazione di conformità al GDPR: caratteristiche e modalità di ottenimento della certificazione
- I vantaggi della certificazione di conformità al GDPR
- Le principali differenze tra ISO IEC 27001 e certificazione di conformità al GDPR
- Come integrare la certificazione di conformità al GDPR in un sistema ISO IEC 27001
- La distruzione e cancellazione profonda dei supporti digitali (EN 15713)
- Lo smaltimento di rifiuti elettrici ed elettronici
- Reimpiego/riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche
IL RUOLO DEL DATA PROTECTION OFFICER
- La figura del Responsabile della Protezione dei dati (RPD | DPO)
- Chi deve designare il DPO
- Le competenze del DPO e il suo ruolo nelle organizzazioni
- Organigramma privacy: data controller, data processor, contitolari, addetti al trattamento
- I compiti assegnati al DPO dal Regolamento (Art.39)
- Requisiti del DPO
- Funzioni del DPO
- Poteri del DPO
- Responsabilità del DPO
- DPO interno e esterno
- Attività
- Verifiche e audit
- Requisiti minimi del DPO (risorse, istruzioni, indipendenza, conflitto di interessi)
- Ruolo, compiti e poteri dell’Autorità Garante per la protezione dati personali
- Compliance Privacy Program
SICUREZZA INFORMATICA E REATI INFORMATICI
- Sistemi informatici integrati e misure di sicurezza (il potere dell’informatica)
- Sicurezza del trattamento dati
- La Legge 231/01 e i reati informatici
- Flussi informativi tra OdV e DPO
- Whistleblowing e segnalazioni all’Organismo di Vigilanza
- Integrazione Modello Organizzativo 231 e Modello Privacy
LA PROTEZIONE DEI DATI PERSONALI NELL’AMBITO DELLA VIDEOSORVEGLIANZA E GEOLOCALIZZAZIONE
- Il dato personale
- Le immagini
- Il trattamento delle riprese video
- Le figure privacy
- Il DPO nei confronti della videosorveglianza (parte tecnica)
- I principi privacy
- L’informativa privacy e i cartelli sulla videosorveglianza
- Lavoratori e controllo a distanza (parte tecnica)
- Principali sanzioni amministrative
- I controlli della Guardia di Finanza
- Esempi delle principali casistiche
- Come e dove installare telecamere nei condomini?
- Telecamere negli asili
- Telecamere e violazioni della Privacy
- ABC delle misure di sicurezza applicate alla videosorveglianza
- Telecamere intelligenti e droni
- Telecamere finte e veri problemi legali/giudiziari
- La responsabilità dell’installatore
CASI PRATICI
- Esempi applicativi