Data Protection (COD. 19.003) Contesto Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell Unione Europea il Regolamento 2016/679 (GDPR) del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il Regolamento è direttamente applicabile in tutti i Paesi dell Unione dal 25 maggio 2018, abrogando la precedente Direttiva 95/46/CE. Con il D.lgs. n. 101/2018, pubblicato nella Gazzetta Ufficiale n. 205 il 4 settembre 2018 e vigente a partire dal 19 settembre 2018, di recente l Italia ha adeguato la normativa nazionale alle disposizioni del GDPR. Tale decreto legislativo corregge ed aggiorna introducendo anche nuove disposizioni - il D.lgs. n. 196/2003 (Codice Privacy), che rimane comunque in vigore nonostante molti articoli vengano abrogati o modificati sostanzialmente. Per rendere la protezione dei dati ancora più sicura ed effettiva il GDPR ha previsto la figura del Data Protection Officer (DPO) ovvero il Responsabile della protezione dei dati. Il DPO è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi, il cui compito è far rispettare le normative europee e nazionali in materia di privacy tramite l osservazione, la valutazione e la gestione del trattamento dei dati personali. La responsabilità principale del Data Protection Officer è quella di sovraintendere alla gestione del trattamento dei dati personali effettuata dalle aziende - sia pubbliche che private - affinché tali dati vengano trattati nel rispetto delle normative privacy europee e nazionali. Come previsto dal nuovo regolamento europeo sulla privacy, la nomina del DPO è obbligatoria nelle ipotesi specificate dall art. 37, par. 1 GDPR, nonché fortemente raccomandata in tutti gli altri casi, per tutti gli Stati membri dello Spazio economico europeo (SEE) dal 25 maggio 2018, venendo così a rappresentare, anche in Italia, un elemento imprescindibile per la tutela dei dati personali. Secondo quanto stabilito dalle Linee-guida, i Responsabili della Protezione dei Dati Personali sono designati in funzione delle qualità professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti. Requisiti di accesso al corso di Alta Formazione per Data Protection Officer Laurea di I o II livello in materie giuridiche, informatiche o ingegneristiche; Laurea di I o II livello in altre discipline con almeno 3 anni di esperienza lavorativa. Diploma di istruzione secondaria superiore con almeno 4 anni di esperienza lavorativa Requisiti Certificazione DPO UNI 11697 Il corso permetterà l accesso all esame di certificazione DPO di CEPAS, società del Gruppo Bureau Veritas Italia. L accesso all esame di certificazione è subordinato al superamento dell esame finale e alla rispondenza del candidato ai requisiti indicati dallo schema di certificazione. Il partecipante che desideri richiedere la certificazione UNI 11697 delle competenze, al momento non obbligatoria, dovrà possedere i seguenti requisiti già al momento di iscrizione al corso: Laurea che includa discipline almeno afferenti alle conoscenze del professionista della privacy, legali o tecnico/informatiche (un laureato con laurea non afferenti alle conoscenze del professionista privacy, legali o tecnico/informatiche è da considerarsi equiparato a un diplomato di scuola media superiore) Esperienza lavorativa: minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi di livello manageriale (gli incarichi di livello manageriale possono includere anche attività rilevante svolta nell ambito di attività di consulenza o di prestazione d opera condotta nell ambito dell esecuzione di ingaggi professionali) Equipollenza: se in possesso di laurea magistrale l esperienza lavorativa si riduce a 4 anni di cui 3 in incarichi di livello manageriale. Se in possesso di diploma di scuola media superiore minimo di 8 anni di esperienza lavorativa di privacy di cui almeno 5 anni in incarichi di livello manageriale Pur non costituendo un requisito/presupposto tra quelli previsti dal Regolamento, la certificazione delle competenze professionali riferibili alla figura del Responsabile della protezione dei dati conforme alla norma UNI 11697:2017 rappresenta uno strumento per dimostrare il possesso da parte del professionista delle conoscenze, competenze e abilità necessarie allo svolgimento dello specifico ruolo. 1
Con una frequenza minima dell 85% delle ore, al termine del corso verrà effettuata una valutazione delle conoscenze e abilità pratiche apprese dai partecipanti con rilascio di un attestato di superamento e grado di possesso delle competenze e abilità pratiche acquisite. L avvio del corso è subordinato all iscrizione di 10 partecipanti. Poiché il numero di partecipanti è limitato, la priorità di iscrizione sarà determinata dalla data di arrivo del modulo di iscrizione compilato in ogni sua parte e sottoscritto. Docenti Il corso è sviluppato con la collaborazione tecnico-scientifica di Selefor. Nata nel 1998 e sviluppatasi nell ambito della Consulenza di Direzione Risorse Umane, Selefor si è trasformata negli anni, affermandosi per la Selezione e Ricerca del Personale e la Formazione Aziendale per Manager e giovani Talenti, costituendo sia l Agenzia del Lavoro Selefor (con Autorizzazione del Ministero del Lavoro e delle Politiche Sociali), sia l Agenzia Formativa Selefor (accreditata dalla Regione Campania) che ha generato la Divisione Master e Alta Formazione Manageriale. Selefor è certificata EA37 e EA35 nell ambito della certificazione ISO 9001:2015. Obiettivi Potenziare e sviluppare le competenze possedute dai referenti Privacy delle aziende che ricopriranno il ruolo di Data Protection Officer in conformità al GDPR, nello specifico: potenziare competenze tecnico professionali, sulla protezione dei dati personali e approfondire le conoscenze sulla normativa vigente sviluppare competenze di progettazione, verifica e mantenimento di un sistema organizzato di gestione dei dati personali consolidare competenze nella gestione complessa di idonee misure di sicurezza finalizzate alla tutela e alla salvaguardia del patrimonio di dati ed informazioni che assicuri un elevato grado di sicurezza e riservatezza del dato misurare e documentare il livello di acquisizione delle conoscenze specialistiche Destinatari Tutti coloro coinvolti nei processi di protezione del dato per le attività di competenza: Area Legale Area Gestione Rischi Area IT Area Risorse Umane Area Sicurezza 2
Durata e luogo Il corso si compone di 10 giornate formative da ore 8 ciascuna articolate su 5 settimane tra febbraio e marzo 2019, per un totale di 80 ore di formazione e sarà così strutturato: 12 febbraio 2019 13 febbraio 2019 Regolamento Privacy UE 2016/679 parte I Regolamento Privacy UE 2016/679 parte II 19 febbraio 2019 20 febbraio 2019 Il ruolo del Data Protection Officer Opinion & guidelines W29 EDPB Provvedimenti - Trattamenti particolari parte I 5 marzo 2019 6 marzo 2019 Opinion & guidelines W29 EDPB Provvedimenti Privacy e sanità - Trattamenti particolari parte II 19 marzo 2019 20 marzo 2019 Sicurezza informatica e reati informatici Trasferimenti dati estero e privacy comparata controlli e audit di processo 27 marzo 2019 28 marzo 2019 Opinion & guidelines W29 EDPB Provvedimenti Conservazione documentale a norma: impatti - Trattamenti particolari parte III: Controllo privacy con il CAD e il Regolamento EIDAS tecnologico dei lavoratori 3
Martedì 12 febbraio 10.00 19.00 REGOLAMENTO PRIVACY UE 2016/679 PARTE PRIMA 10.00 10.30 (Anna Maria Grasso) Inquadramento normativo I diritti dell interessato 14.00 19.00 (Anna Maria Grasso) Titolare del trattamento Documentazione obbligatoria: il principio di accountability (Registro del trattamento) Mercoledì 13 febbraio 8.30 17.30 REGOLAMENTO PRIVACY UE 2016/679 PARTE SECONDA 8.30 13.00 (Anna Maria Grasso) Sicurezza dei dati e necessità di misure adeguate Codice di condotta Sanzioni, tutele e danno risarcibile (parte prima) 14.00 17.30 (Anna Maria Grasso) Sanzioni, tutele e danno risarcibile (parte seconda) Linee Guida/opinion del WP29 EDPB Martedì 19 febbraio 10.00 19.00 IL RUOLO DEL DATA PROTECTION OFFICER 10.00 13.00 (Sandra Maragno) La figura del Responsabile della Protezione dei Dati (RPD/DPO) Il ruolo del DPO 14.00 19.00 (Luigi Giuseppe Decollanz) Requisiti e compiti DPO Caso studio: DPO di un azienda pubblica o privata: l agenda di lavoro 4
Mercoledì 20 febbraio 8.30 17.30 OPINION & GUIDELINES W29 EDPB PROVVEDIMENTI - TRATTAMENTI PARTICOLARI PARTE PRIMA 8.30 13.00 (Giovanni Crea) Marketing, attività di web marketing, operazioni a premi, web, fidelity card Cookie policy (2002/58/CE Direttiva relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche) Biometria e firma grafometrica (parte prima) 14.00 17.30 (Giovanni Crea) Biometria e firma grafometrica (parte seconda) Utilizzo posta elettronica e web sul posto di lavoro Martedì 5 marzo 10.00 19.00 OPINION & GUIDELINES W29 EDPB PROVVEDIMENTI - TRATTAMENTI PARTICOLARI PARTE SECONDA 10.00 13.00 (Roberto Modestino) Il rapporto tra gli adempimenti privacy e standard internazionali di processo L attività di audit secondo la norma ISO 19011 applicata alla privacy 14.00 19.00 (Roberto Modestino) Integrazione degli adempimenti privacy con il sistema qualità L audit applicato ai processi governati dal DPO Caso pratico di una attività di audit Casi pratici Mercoledì 6 marzo 8.30 17.30 PRIVACY E SANITÀ 8.30 13.00 (Roberto Modestino) I nuovi dati particolari (biometria; genetica) Vademecum e linee guida del Garante per il settore sanitario Differenza fra fascicolo sanitario elettronico, dossier sanitario e cartella sanitaria elettronica 14.00 17.30 (Roberto Modestino) Clinical trail e Informazioni al paziente DPIA di un DB sanitario Le misure di sicurezza informatiche di AGID 5
Martedì 19 marzo 10.00 19.00 SICUREZZA INFORMATICA E REATI INFORMATICI 10.00 13.00 (Antonio Guzzo) La circolazione dei dati nelle società multinazionali Sicurezza del trattamento dei dati 14.00 19.00 (Antonio Guzzo) La Legge 231/01 e i reati informatici Segnalazioni all Organismo di Vigilanza e integrazione modelli Mercoledì 20 marzo 8.30 17.30 IV MODULO CONTROLLO DI GESTIONE E PERFORMANCE MANAGEMENT (PARTE SECONDA) 8.30 13.00 (Antonio Guzzo) La circolazione dei dati nelle società multinazionali Privacy comparata: i tool di analisi delle normative privacy internazionali Amministratori di sistema & Log 14.00 17.30 (Antonio Guzzo) Biometria e grafometria Il trattamento dei dati in ambito sanitario Dossier sanitario elettronico Mercoledì 27 marzo 10.00 19.00 OPINION & GUIDELINES W29 EDPB PROVVEDIMENTI - TRATTAMENTI PARTICOLARI PARTE TERZA: CONTROLLO TECNOLOGICO DEI LAVORATORI 10.00 13.00 (Anna Maria Grasso) La riforma dell art. 4 Statuto dei lavoratori e il job Act: la posizione del Garante della Privacy e del Ministero del Lavoro I principi generali dell Unione Europea: video sorveglianza e altri sistemi di potenziale controllo Personal computer, web e reti informatiche aziendali, posta elettronica (I parte) 14.00 19.00 (Anna Maria Grasso) Personal computer, web e reti informatiche aziendali, posta elettronica (II parte) La giurisprudenza dei Tribunali italiani e del Garante Privacy 6
Giovedì 28 marzo 8.30 17.30 CONSERVAZIONE DOCUMENTALE A NORMA: IMPATTI PRIVACY CON IL CAD E IL REGOLAMENTO EIDAS ESAME FINALE 8.30.00 13.00 (Antonio Guzzo) La conservazione dei documenti: riferimenti normativi La conservazione sostitutiva, digitale e il processo di conservazione dei documenti 14.00 17.30 (Antonio Guzzo) Il Responsabile della conservazione Il combinato disposto -CAD (D. Lgs. 82/2005 e s.m.i.)/d. Lgs. 196/03; CAD (D. Lgs. 82/2005 e s.m.i.)/gdpr; Cenni sul Regolamento EIDAS 910/2014 Test di valutazione finale DOCENTI Sandra Maragno Psicologa del lavoro iscritta all'ordine degli psicologi della regione Liguria, è amministratrice e socia unica di Selefor srl, società che ha fondato nel 1998 a Genova e di cui ha curato personalmente la gestione e lo sviluppo, seguendo trasversalmente tutte le attività in ambito HR, dalla formazione manageriale alla formazione finanziata, dall head hunting alla gestione di progetti complessi di reclutamento e selezione per conto di grandi aziende, dalla formazione con i fondi interprofessionali ai bandi europei. Ha sviluppato la metodologia dell empowerment organizzativo sia frequentando la scuola di formazione Empowerement oriended sia collaborando direttamente con la società Risfor di Massimo Bruscaglioni di Milano. Anna Maria Grasso Iscritta all Ordine degli Avvocati di Lecce, esercita la professione forense dal 2009. Dottore di ricerca in diritto del lavoro, specializzata nella consulenza alle imprese in ambito giuslavoristico, si è occupata del trattamento dei dati personali dei lavoratori. Dopo l entrata in vigore del Regolamento (Ue) 2016/679, ha frequentato un Corso di alta formazione manageriale per abilitarsi quale privacy specialist e data protection officer (DPO). Luigi Giuseppe Decollanz È iscritto al COA di. Fa parte dello Studio Amendolito & Associati ed è fondatore del Network Legal Unity. Opera stabilmente in Italia, nelle sedi di e Bari, ed è collegato a strutture operanti in Nord America, Emirati Arabi, Israele e Germania. È esperto in materia di diritto societario e si occupa da anni di privacy, di 231/2001 e di Rating di legalità. Antonio Guzzo Dipendente del Comune di Praia a Mare (CS) quale Responsabile Ced Sistemi informativi, con espletamento di funzioni di Vice Segretario Comunale. Laureato in Economia Aziendale presso l Unical nell anno 1996 e in Scienza della Politica e dei Rapporti e dei Rapporti Internazionali (classe L16 Scienze dell Amministrazione e dell organizzazione) presso Link Campus University nell anno 2012. Ha una pluriennale esperienza professionale in materia di privacy e sicurezza informatica. Svolge attività di ricerca e formazione sulle tematiche della privacy e della sicurezza informatica, sulle quali ha pubblicato numerosi articoli. È, inoltre, Consulente DPO GDPR per P.A. ed aziende. 7
Roberto Modestino Laureatosi in Economia e Commercio presso l Università di Napoli Federico II nel 2001 intraprende attività di docenza e amministrazione FSE presso primario istituto di formazione professionale della Campania accreditato presso la Regione Campania. Dal 2010 svolge attività consulenziale come libero professionista in materia di implementazioni di Sistemi di Gestione di Qualità, compliance legislativa privacy (D.lgs. n. 196/2003 e GDPR 679/2016) e formazione presso aziende in Campania, Lazio e Molise. Nel 2018 frequenta con successo corso di formazione di 80h presso Selefor Data Protection Officer secondo norma UNI 11697.. Giovanni Crea Economista, è professore nel Corso di laurea triennale in Scienze e tecniche psicologiche dell Università Europea di ( Psicologia economica e Information and communication technologies e Economia aziendale e processi di amministrazione del lavoro ). Insegna in Corsi presso le Università LUMSA, Tor Vergata di e presso la Scuola Superiore di amministrazione pubblica e degli enti locali (CEİDA) ( Corso di specializzazione per Responsabili della protezione dei dati DPO ). È, inoltre, direttore della rivista scientifica Diritto, Economia e Tecnologie della Privacy. È autore di numerose pubblicazioni nonché relatore a convegni e seminari sulla materia digitale. 8