Corso di Alta Formazione Manageriale

Transcript

1 Corso di Alta Formazione Manageriale in Data Protection Selefor iscritto al n. 139 del registro dei corsi Certificati da CEPAS Società del Gruppo BUREAU VERITAS Italia S.p.A. (COD ) Roma, 4-5; 11-12; giugno e 2-3; 9-10 luglio 2018 Contesto Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell Unione Europea il Regolamento 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il Regolamento è direttamente applicabile in tutti i Paesi dell Unione dal 25 maggio 2018, abrogando la precedente Direttiva 95/46/CE. Per rendere la protezione dei dati ancora più sicura ed effettiva il Regolamento (UE) 2016/679 ha previsto la figura del Data Protection Officer (DPO) ovvero il responsabile della sicurezza dei dati. Il DPO è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi. Il compito principale del DPO è far rispettare le normative europee e nazionali in materia di privacy tramite l osservazione, la valutazione e la gestione del trattamento dei dati personali. La responsabilità principale del Data Protector Officer è quella di sovraintendere alla gestione del trattamento di dati personali effettuata dalle aziende - sia pubbliche che private - affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Il DPO è un professionista dotato anche di qualità manageriali ed organizzative, tali da poter suggerire al titolare o responsabile dei dati i più opportuni cambiamenti di carattere tecnico-organizzativo. Come previsto dal nuovo regolamento europeo sulla privacy, la figura del DPO è obbligatoria per tutti i 28 Stati UE dal 25 maggio 2018, venendo così a rappresentare, anche in Italia, un elemento imprescindibile per la tutela dei dati personali. Secondo quanto stabilito dalle Linee-guida, i Responsabili della Protezione dei Dati Personali sono designati in funzione delle qualità professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti. Obiettivi Potenziare e sviluppare le competenze possedute dai referenti Privacy delle aziende che ricopriranno il ruolo di Data Protection Officer in conformità al GDPR, nello specifico: potenziare competenze tecnico professionali sulla protezione dei dati personali e approfondire le conoscenze sulla normativa vigente sviluppare competenze di progettazione, verifica e mantenimento di un sistema organizzato di gestione dei dati personali consolidare competenze nella gestione complessa di idonee misure di sicurezza finalizzate alla tutela e alla salvaguardia del patrimonio di dati ed informazioni che assicuri un elevato grado di sicurezza e riservatezza del dato misurare e documentare il livello di acquisizione delle conoscenze specialistiche Destinatari Tutti coloro coinvolti nei processi di protezione del dato per le attività di competenza: Responsabili Gestione Rischi Responsabili Affari Legali Responsabili ICT 1

2 Responsabili Risorse Umane Top Management Requisiti di accesso al corso di Alta Formazione per Data Protection Officer Laurea di I o II livello in materie giuridiche, informatiche o ingegneristiche; Laurea di I o II livello in altre discipline con almeno 3 anni di esperienza lavorativa. Diploma di istruzione secondaria superiore con almeno 4 anni di esperienza lavorativa Requisiti Certificazione DPO UNI Sviluppato con la collaborazione tecnico-scientifica di Selefor, il corso permetterà l accesso all esame di certificazione DPO di CEPAS, società del Gruppo Bureau Veritas Italia. L accesso all esame di certificazione è subordinato al superamento dell esame finale e alla rispondenza del candidato ai requisiti indicati dallo schema di certificazione. Il partecipante che desideri richiedere la certificazione UNI delle competenze, al momento non obbligatoria, dovrà possedere i seguenti requisiti già al momento di iscrizione al corso: Laurea che includa discipline almeno afferenti alle conoscenze del professionista della privacy, legali o tecnico/informatiche (un laureato con laurea non afferenti alle conoscenze del professionista privacy, legali o tecnico/informatiche è da considerarsi equiparato a un diplomato di scuola media superiore) Esperienza lavorativa: minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi di livello manageriale (gli incarichi di livello manageriale possono includere anche attività rilevante svolta nell ambito di attività di consulenza o di prestazione d opera condotta nell ambito dell esecuzione di ingaggi professionali) Equipollenza: se in possesso di laurea magistrale l esperienza lavorativa si riduce a 4 anni di cui 3 in incarichi di livello manageriale. Se in possesso di diploma di scuola media superiore minimo di 8 anni di esperienza lavorativa di privacy di cui almeno 5 anni in incarichi di livello manageriale Pur non costituendo un requisito/presupposto tra quelli previsti dal Regolamento, la certificazione delle competenze professionali riferibili alla figura del Responsabile della protezione dei dati conforme alla norma UNI 11697:2017 rappresenta uno strumento per dimostrare il possesso da parte del professionista delle conoscenze, competenze e abilità necessarie allo svolgimento dello specifico ruolo. Durata e luogo Il corso si compone di 10 giornate formative da ore 8 ciascuna articolate su 5 settimane tra giugno e luglio 2018, per un totale di 80 ore di formazione e sarà così strutturato: Regolamento Privacy UE 2016/679 (4-5 giugno) Il ruolo del Data Protection Officer (11 giugno) Opinion & Guidelines W29 EDPB Provvedimenti - Trattamenti particolari (12; giugno) Sicurezza informatica e reati informatici (2 luglio) Trasferimenti dati estero e privacy comparata controlli e audit di processo (3 luglio) Conservazione documentale a norma: impatti privacy con il CAD e il Regolamento EIDAS (9 luglio) Controllo tecnologico dei lavoratori (10 luglio) Valutazione finale (10 luglio) Con una frequenza minima dell 85% delle ore, al termine del corso verrà effettuata una valutazione delle conoscenze e abilità pratiche apprese dai partecipanti con rilascio di un attestato di superamento e grado di possesso delle competenze e abilità pratiche acquisite. L avvio del corso è subordinato all iscrizione di 10 partecipanti. Poiché il numero di partecipanti è limitato, la priorità di iscrizione sarà determinata dalla data di arrivo del modulo di iscrizione compilato in ogni sua parte e sottoscritto. Il corso si terrà presso la Sala Convegni di Utilitalia, sita in Piazza Cola di Rienzo 80/a (metro A, fermata Lepanto). Partner tecnico-scientifico: Selefor 2

3 Nata nel 1998 e sviluppatasi nell ambito della Consulenza di Direzione Risorse Umane, Selefor si è trasformata negli anni, affermandosi per la Selezione e Ricerca del Personale e la Formazione Aziendale per Manager e giovani Talenti, costituendo sia l Agenzia del Lavoro Selefor (con Autorizzazione del Ministero del Lavoro e delle Politiche Sociali), sia l Agenzia Formativa Selefor (accreditata dalla Regione Campania) che ha generato la Divisione Master e Alta Formazione Manageriale. Selefor è certificata EA37 e EA35 nell ambito della certificazione ISO 9001:2015. Il corso di Alta Formazione Manageriale è iscritto al n. 139 del registro dei corsi qualificati CEPAS Società del Gruppo BUREAU VERITAS Italia S.p.A. Il corso Selefor è realmente abilitante per coloro che assumeranno l incarico di DPO all interno dell azienda, avendo tutti i requisiti per fornire adeguate conoscenze, abilità e competenze specifiche della figura professionale del Data Protection Officer/Responsabile della Protezione dei Dati. Inoltre, l erogazione dei contenuti è affidata ad un corpo docente di altissimo livello che ha superato i restringenti requisiti di qualificazione imposti dall ente certificatore Cepas. Programma dettagliato Lunedì 4 giugno REGOLAMENTO PRIVACY UE 2016/679 PARTE PRIMA Inquadramento normativo - Principi generali - Ambiti di applicazione della norma - Definizioni - Liceità del trattamento - Categorie particolari di dati (sensibili e giudiziari) - Informativa e consenso Pausa caffè I diritti degli interessati - Oblio - Portabilità dei dati - Privacy by design - Privacy by default Titolare del trattamento - Obblighi e responsabilità - Responsabile del trattamento - Incaricato al trattamento Pausa caffè Documentazione obbligatoria: il principio di accountability (Registro del trattamento) Avv. Cristina Vicarelli Esperta Protezione dei dati personali, Privacy, Diritto Martedì 5 giugno REGOLAMENTO PRIVACY UE 2016/679 PARTE SECONDA Sicurezza dei dati e necessità di misure adeguate - Data breach - Violazione dei dati personali - Data Protection Impact Assessment (DPIA) - Prior Check - Certificazione privacy 3

4 - Informativa e consenso Codice di condotta - Trasferimento dati all estero e condizioni di adeguatezza Sanzioni, tutele e danno risarcibile (I parte) - Autorità di controllo (Garanti Privacy) - One stop shop e cooperazione tra DPA e EDPB - Comitato Europeo protezione dei dati Pausa Pranzo Sanzioni, tutele e danno risarcibile (II parte) - Autorità di controllo (Garanti Privacy) - One stop shop e cooperazione tra DPA e EDPB - Comitato Europeo protezione dei dati Linee Guida/opinion del WP29 EDPB - Commissione Europea - Il diritto alla privacy nazionale rapporti con il GDPR Avv. Cristina Vicarelli Esperta Protezione dei dati personali, Privacy, Diritto Lunedì 11 giugno IL RUOLO DEL DATA PROTECTION OFFICER La figura del Responsabile della Protezione dei Dati (RPD/DPO) - Chi deve designare il DPO - Come definire l attività principale - Larga scala e monitoraggio regolare e sistematico - Cosa fare in caso di gruppi di imprese Pausa caffè Il ruolo del DPO - Competenze - Esperienza - Qualità professionali - Capacitò di svolgere compiti - Gestione dei gruppi di lavoro - DPO interno ed esterno: attività Requisiti e compiti DPO - Requisiti minimi del DPO (risorse, istruzioni, indipendenza, conflitto di interessi) - Compiti generali - Compliance Privacy Program Pausa caffè Caso studio: DPO di un azienda pubblica o privata: l agenda di lavoro Dott.ssa Sandra Maragno Amministratore Unico Selefor Avv. Maria Lilia La Porta Esperta Privacy 4

5 Martedì 12 giugno OPINION & GUIDELINES W29 EDPB PROVVEDIMENTI - TRATTAMENTI PARTICOLARI PARTE PRIMA Marketing, attività di web marketing, operazioni a premi, web, fidelity card Cookie policy (2002/58/CE Direttiva relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche) Biometria e firma grafometrica (I parte) Pausa Pranzo Biometria e firma grafometrica (II parte) Utilizzo posta elettronica e web sul posto di lavoro Avv. Cristina Vicarelli Esperta Protezione dei dati personali, Privacy, Diritto Lunedì 25 giugno OPINION & GUIDELINES W29 EDPB PROVVEDIMENTI - TRATTAMENTI PARTICOLARI PARTE SECONDA Trattamento dei dati del personale Pausa caffè Controlli sul lavoro e tecnologie Riserva di legge Diritto sindacale - Cenni sul diritto sindacale - Accordi ai sensi della Legge 300/70 art. 4 - Jobs act Pausa caffè Diritto sindacale - Cenni sul diritto sindacale - Accordi ai sensi della Legge 300/70 art. 4 - Jobs act - Come predisporre un accordo sindacale Esercitazione Prof. Massimo Farina Docente di Diritto dell'informatica e di Informatica Forense presso l'università degli Studi di Cagliari Martedì 26 giugno OPINION & GUIDELINES W29 EDPB PROVVEDIMENTI - TRATTAMENTI PARTICOLARI PARTE TERZA Amministratori e di sistema e Log Il trattamento dei dati in ambito sanitario - Il dossier sanitario elettronico Linee Guida WP29 su applicazione GDPR (I parte) Pausa pranzo Linee Guida WP29 su applicazione GDPR (II parte) Caso studio: DPO la nuova norma nazionale sulla privacy Avv. Roberta Rapicavoli Esperta Privacy, Diritto 5

6 Lunedì 2 luglio SICUREZZA INFORMATICA E REATI INFORMATICI Sistemi informatici integrati e misure di sicurezza (il potere dell informatica) Pausa caffè Sicurezza del trattamento dei dati La Legge 231/01 e i reati informatici Pausa caffè Segnalazioni all Organismo di Vigilanza e integrazione modelli -Whistleblowing e segnalazioni all Organismo di Vigilanza - Integrazione Modello Organizzativo 231 e Modello Privacy Prof. Massimo Farina Docente di Diritto dell'informatica e di Informatica Forense presso l'università degli Studi di Cagliari Martedì 3 luglio TRASFERIMENTI DATI ESTERO E PRIVACY COMPARATA CONTROLLI E AUDIT DI PROCESSO La circolazione dei dati nelle società multinazionali Privacy comparata: gli strumenti di anali delle normative privacy internazionali Integrazione degli adempimenti privacy con il sistema di qualità (I parte) Pausa pranzo Integrazione degli adempimenti privacy con il sistema di qualità (II parte) L attività di audit secondo la norma ISO applicata alla privacy Caso pratico di un attività di audit Prof. Massimo Farina Docente di Diritto dell'informatica e di Informatica Forense presso l'università degli Studi di Cagliari Lunedì 9 luglio CONSERVAZIONE DOCUMENTALE A NORMA: IMPATTI PRIVACY CON IL CAD E IL REGOLAMENTO EIDAS La conservazione dei documenti: riferimenti normativi Pausa caffè La conservazione sostitutiva, digitale e il processo di conservazione dei documenti Il Responsabile della conservazione Pausa caffè Il combinato disposto - CAD (D. Lgs. 82/2005 e s.m.i.) / D. Lgs. 196/03 - CAD (D. Lgs. 82/2005 e s.m.i.) / GDPR - Cenni sul Regolamento EIDAS 910/2014 Avv. Chiara Fantini Esperta Privacy 6

7 Martedì 10 luglio CONTROLLO TECNOLOGICO DEI LAVORATORI ED ESAME FINALE La riforma dell art. 4 Statuto dei lavoratori e il job Act: la posizione del Garante della Privacy e del Ministero del Lavoro I principi generali dell Unione Europea: video sorveglianza e altri sistemi di potenziale controllo Personal computer, web e reti informatiche aziendali, posta elettronica (I parte) Pausa pranzo Personal computer, web e reti informatiche aziendali, posta elettronica (II parte) La giurisprudenza dei Tribunali italiani e del Garante Privacy - Geolocalizzazione mezzi aziendali - Biometria - RFID Test di valutazione finale Avv. Roberta Rapicavoli Esperta Privacy, Diritto Profilo dei Relatori Avv. Chiara Fantini Abilitata alla professione forense ed iscritta dal 2008 all Ordine degli avvocati di Perugia e dal 2016 all Ordine degli avvocati di Lanciano. Nel 2001, con tesi DIRITTI DEI CONSUMATORI E NUOVE FORME DI TUTELA, consegue la Laurea in Giurisprudenza presso l Università degli Studi di Perugia. Prof. Avv. Massimo Farina Dottore di ricerca in Informatica Giuridica e Diritto dell'informatica presso l Università di Bologna e Docente di Diritto dell'informatica e delle Nuove Tecnologie e di Informatica Forense presso l'università degli Studi di Cagliari. Coordinatore del Laboratorio Universitario ICT4Law&Forensics. Già relatore SMAU (dal 2005 ad oggi) su varie tematiche relative al diritto dell informatica. Ha conseguito il Master Universitario di II livello in Diritto dell Informatica e Teoria e Tecnica della Normazione presso l Università degli Studi di Roma La Sapienza. È fondatore del network DirICTo, che raggruppa esperti e studiosi di tutta l Italia in materia di Diritto dell Informatica e di Informatica Giuridica, con il fine di sviluppare attività di studio, ricerca e approfondimento su tematiche di interesse comune per il mondo giuridico e informatico. Avv. Maria Lilia La Porta Esercita la professione occupandosi principalmente di consulenza nel settore della privacy. Ha conseguito la certificazione TUV quale Consulente della Privacy e Privacy Officer. È membro della Commissione Tutela dei consumatori e Privacy dell Ordine degli Avvocati di Roma. Dott.ssa Sandra Maragno Psicologa del lavoro iscritta all'ordine degli psicologi della regione Liguria, è amministratrice e socia unica di Selefor srl, società che ha fondato nel 1998 a Genova e di cui ha curato personalmente la gestione e lo sviluppo, seguendo trasversalmente tutte le attività in ambito HR, dalla formazione manageriale alla formazione finanziata, dall head hunting alla gestione di progetti complessi di reclutamento e selezione per conto di grandi aziende, dalla formazione con i fondi inter-professionali ai bandi europei. 7

8 Ha sviluppato la metodologia dell empowerment organizzativo sia frequentando la scuola di formazione Empowerement oriended sia collaborando direttamente con la società Risfor di Massimo Bruscaglioni di Milano. Avv. Roberta Rapicavoli Esercita principalmente l attività professionale nel settore della privacy, del diritto informatico e del diritto applicato ad internet e alle nuove tecnologie. Svolge corsi di formazione presso società ed enti pubblici e partecipa quale relatrice ad eventi organizzati in tutto il territorio nazionale su tematiche attinenti alla privacy e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e ICT. Avv. Cristina Vicarelli Iscritta al Foro di Perugia, esercita la propria attività professionale prevalentemente in materia di protezione dei dati personali, privacy, diritto informatico, diritto di Internet. È contributor e avvocato in alliance di Technethics, piattaforma di formazione, blog e database sul rapporto tra etica e tecnologia e privacy. Dal 2017 è formatrice in corsi certificati di alta formazione manageriale organizzati da Selefor s.r.l. per data protection officer e collabora con ICT Security Magazine, come autore sulle tematiche inerenti i suoi settori di attività prevalente. 8