PROGRAMMA CORSO DI FORMAZIONE D.P.O. SECONDO LA NORMA UNI 11697
I MODULO - BASE: DALLE FONDAMENTA DEL SETTORE AL REGOLAMENTO EUROPEO
- evoluzione storico-giuridica del diritto alla riservatezza e alla privacy;
- panoramica generale sulla normativa in materia di protezione dei dati personali:
o il Dlgs. 196/2003 Codice Privacy e gli aggiornamenti;
- il Regolamento Europeo 679/2016
- le Autorità di Controllo Europea e Nazionale;
- il ruolo del Comitato Europeo per la Protezione dei dati Personali (WG29);
- i principi fondamentali del Regolamento:
o liceità e finalità;
o pertinenza e proporzionalità;
o correttezza e conservazione;
o base giuridica;
- i principali soggetti coinvolti nella protezione dati personali:
o Il Titolare del Trattamento
o il Contitolare;
o Il Responsabile del Trattamento Esterno ed Interno;
o Il Responsabile della Protezione Dati (RPD-DPO);
o Altre figure
- L’interessato e i suoi diritti:
o l’informativa;
o la tutela dei minori;
o il diritto di accesso;
o il diritto all’oblio;
o il diritto alla portabilità dei dati;
- Codici di Deontologia e Codici di Condotta;
- il sistema sanzionatorio;
- la cooperazione fra Garanti Europei e l’one stop shot;
- trasferimento dei dati verso paesi terzi:
o il trasferimento di dati negli Stati Uniti, nell’ambito del privacy-shield quando applicato;
- Le prime analisi su un’organizzazione:
o analisi per check-list sulla situazione rispetto al Regolamento 679/2016;
o l’individuazione dei primi gap.
- Test di apprendimento del modulo
II MODULO - SPECIFICO: LE MISURE DI SICUREZZA ADEGUATE ALLA PROTEZIONE DEI DATI PERSONALI
- Le dimostrazioni del Titolare del trattamento:
o accountability e consapevolezza;
o la politica sul trattamento dati personali;
o Il registro dei trattamenti (per Titolare);
o il registro del trattamento (per Responsabile);
- Privacy by design e privacy by default
o impostazione di un documento sulla protezione dei dati fin dalla progettazione e per impostazione predefinita (con traccia di lavoro);
- l’approccio al rischio:
o la valutazione e la mitigazione del rischio (ISO/IEC 31000 – MoR);
o la Data Protection Impact Analisys (DPIA secondo le linee guida del WG29);
o la DPIA nella normativa internazionale (ISO/IEC 29100:2011; ISO/IEC 29134:2017; ISO/IEC 29151:2017);
o tecniche di minimizzazione del rischio: anonimizzazione e pseudonimizzazione;
o CIAR (Confidentiality, integrity, availability, resilience): riservatezza, integrità, disponibilità, resilienza;
o La normativa ISO-EN 27001:2014
- le violazioni:
o la violazione nel contesto del regolamento (data breach);
o la violazione nel contesto dell’organizzazione;
o la procedura di gestione delle violazioni;
o le comunicazioni con l’Autorità e con gli Interessati;
- la protezione dei dati personali nei Sistemi Informativi e nelle comunicazioni:
o principi generali, crittografia, steganografia, digital watermarking(filigrana elettronica), sicurezza delle reti cablate, sicurezza delle reti wireless;
o protezione da virus, pishing, malware, trojan, back-door, criptolocker;
o la fragilità interna di una organizzazione;
- la formazione delle risorse interne di una organizzazione;
o la sicurezza nelle attività svolte via internet;
o la sicurezza per i dati personali archiviati in cloud;
- analisi di alcuni provvedimenti del Garante:
o posta elettronica ed internet;
o l’amministratore di sistema;
o videosorveglianza;
o geolocalizzazione e RFID;
- Test di apprendimento del modulo
III MODULO- AVANZATO: IL RPD-DPO - LE PECULIARITA’, LE FUNZIONI, LE ATTIVITA’
- la designazione del RPD-DPO in una organizzazione: quando e perché scegliere un DPO interno e quando far riferimento ad un consulente;
- la posizione del D.P.O.: indipendenza e relazione funzionale del RPD-DPO
- i compiti del D.P.O.: garanzia e controllo;
- i rapporti con l’Autorità Garante: obblighi di contatto e notifica;
- i rapporti con gli Interessati e gli altri stake-holder;
- la protezione dati personali e l’informatica:
o la conformità al regolamento nel sito internet;
o la privacy policy;
o i cookies;
o la profilazione
o disaster recovery e business continuity;
- la riservatezza dell’organizzazione:
o informazioni commerciali;
o marketing “automatizzato;
o marketing basato sulla profilazione;
- metodi di valutazione di un fornitore di servizi informatici;
- la protezione dati personali ed il rapporto di lavoro:
o il controllo a distanza del lavoratore (videosorveglianza/geolocalizzazione/badge aziendale);
o i dispositivi e sistemi di riconoscimento biometrico;
o la gestione della posta elettronica aziendale;
o la navigazione su internet nell’ambito del rapporto di lavoro;
- Il ruolo del D.P.O. all’interno delle organizzazioni:
o il percorso di adeguamento al regolamento ed alla nuova normativa;
o l’assessment (analisi della situazione iniziale);
o la raccolta dei dati;
o l’individuazione delle azioni di adeguamento;
o il rapporto con il badget dell’organizzazione;
o la valutazione dei rischi e la valutazione della DPIA;
o la pianificazione degli interventi;
o le misure di mitigazione tecniche;
o le misure di mitigazione organizzative;
o la formazione quale misura organizzativa di mitigazione;
- Test di apprendimento intermedio del modulo
- Il rapporto con l’Autorità in caso di visite di controllo:
o la trasparenza organizzativa e la collaborazione;
o la risposta alle eventuali sanzioni (amministrative e penali);
o la procedura di contestazione e la trattativa fino alla sanzione definitiva;
o il risarcimento danni e le misure di mitigazione del danno;
- I casi pratici da analizzare:
o l’attività di un RPD-DPO all’interno di una organizzazione privata;
o l’attività di un RPD-DPO all’interno di una organizzazione pubblica;
- I sistemi di gestione
o la protezione dati personali nei sistemi di gestione;
o i sistemi di gestione della protezione dati personali e i codici di condotta;
o buone prassi per un corretto sistema di gestione della privacy
o gli audit (ai sensi della ISO 19011:2012);
o caso pratico di un’attività di audit.
