Finalità del corso per PRIVACY E SECURITY
Le pubbliche amministrazioni, così come i soggetti privati che svolgono attività per le quali tale figura è prevista dal Regolamento come obbligatoria, o che comunque vogliono tutelarsi ai fini delle responsabilità collegate al Trattamento Dati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l'iscrizione ad appositi albi professionali, ferma restando la responsabilità del Titolare dei Trattamenti per culpa in eligendo. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova importante figura - introdotta dal Regolamento UE 2016/679 - che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.
L'Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali - spesso indicati con l'acronimo inglese DPO (Data Protection Officer) – dovranno avere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Gli esperti individuati dalle aziende, in considerazione della delicatezza dei trattamenti di dati effettuati dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.
L'Autorità ha inoltre chiarito che la normativa attuale non prevede l'obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all'esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una "abilitazione" allo svolgimento del ruolo del RPD. La normativa attuale, tra l'altro, non prevede l'istituzione di un albo dei "Responsabili della protezione dei dati" che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.
Destinatari
Persone selezionate come RESPONSABILE DELLA PROTEZIONE DEI DATI DPO . La normativa attuale, non prevede l'istituzione di un albo dei "Responsabili della protezione dei dati" che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.
Riferimenti normativi
Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Programma del corso per PRIVACY E SECURITY
Presentazioni dei partecipanti e dei docenti. Descrivere la struttura del corso. Presentare il materiale didattico consegnato. Indicare le regole dell’organizzazione (firme, orari, break, comunicazioni, servizi, pasti, vie di esodo emergenza dell’aula, ecc.)
Normativa Privacy: finalità e cambiamenti rilevanti. Normativa italiana ed europea in materia di trattamento e di protezione dei dati personali. Il concetto di dato personale. Il concetto di trattamento di dati. Normativa in materia di trasferimento di dati personali all’estero e circolazione dei dati personali extra UE/SEE. I diritti degli interessati previsti da leggi e regolamenti vigenti
I soggetti che eseguono trattamenti di dati personali e le connesse responsabilità. Test finale di apprendimento
Le norme UNI, EN, ISO: le opportunità offerte dalle certificazioni volontarie. I profili professionali UNI 11679. La norma tecnica ISO/IEC 27001 per la gestione dei dati con gli strumenti tecnologici. Inquadramento dell’Organizzazione, pubblica e privata: organigramma, analisi delle strutture decisionali (funzionigramma), delle HR assegnate (interne e esterne), dei processi di gestione e di budget, rilevanza dell’organizzazione ai fini della prevenzione della criminalità d’impresa (MOG 231). Le clausole contrattuali a tutela della privacy. Gli strumenti di controllo e la relativadocumentazione: i registri dei trattamenti. Test finale di apprendimento
L’impatto dei requisiti legali per la sicurezza del trattamento. Le problematiche relative ai dati non strutturati . Le possibili minacce e i rischi critici per la gestione della sicurezza. Lavalutazione d’impatto sulla protezione dei dati: il DPIA . Sistemi e tecniche di monitoraggio. Test finale di apprendimento
Le metodologie e gli standard per l’individuazione dei processi aziendali, per l’analisi del rischio (potenziale, effettivo, residuo) e per i criteri di accettabilità. La strategia dell’informazione nell’organizzazione. Gestione della sicurezza delle informazioni. La proprietà intellettuale. Relazione con Istituzioni, Autorità, Forze dell'ordine, Enti locali e Stampa. L’Autorità di controllo capofila
Trattamento transfrontaliero. Test finale
Privacy by design e by default: fin dalla progettazione e per impostazione predefinita. Database e applicativi utilizzati. Sistemi distribuiti, modelli di virtualizzazione, sistemi di mobilità, data sets (es. big data). Attacco informatico e contromisure per evitarli. Analisi criminologica di sistemi informativi. Tecniche crittografiche, di anonimizzazione e di pseudonimizzazione. Test finale
Gestione del Marketing in e out . Web Marketing. Le minacce cyber - Sistemi e tecniche di monitoraggio e "reporting"- Le possibili minacce alla protezione dei dati personali. Le trappole cognitive nel processo di valutazione del rischio. Valutazione delle probabilità di accadimento di un rischio. Test finale
Verifica della conformità del trattamento alle prescrizioni del Regolamento - Adesione ai codici di condotta. le best practice (metodologie) e gli standard nella analisi del rischio e nella gestione della sicurezza delle informazioni. il potenziale e le opportunità offerte dagli standard e dalle best practices più rilevanti. le nuove tecnologie emergenti (es. sistemi distribuiti, modelli di virtualizzazione,sistemi di mobilità, data sets). Elaborazione di casi simulati. Presentazione degli elaborati. Test finale
Data Breach: la notifica della violazione dei dati all’Autorità di controllo e all’interessato. Il Trattamento Dati nella SSL e nella “231” – Responsabilità Amministrativa dell’Ente. Whistleblowing. Il sistema sanzionatorio relativo alle violazioni concernenti dati e informazioni di tutti i tipi. Le sanzioni stabilite dalla normativa Privacy comminate dal GDPR. il ritorno dell’investimento connesso all’abbattimento del rischio ed il valora aggiunto per l’Ente. Esercitazione. Test finale
I metodi di sviluppo delle competenze. i tipici KPI (key performance indicators). Le metodologie di analisi dei fabbisogni di competenze e skill. La Linea guida sui responsabili della protezione dei dati (RPD)e la norma UNI 11679. Conoscenze, abilità e competenze tipiche del DPO. Test finale
Durata del corso per PRIVACY E SECURITY
Questo corso ha una durata di 80 ore.
Informazioni aggiuntive
Il responsabile della protezione dei dati è una persona esperta nella normativa sul Trattamento dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all'interno di un'azienda, di un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente. Quando nei paesi anglosassoni questo responsabile opera a livello senior con autonomia decisionale, è definito chief privacy officer, mentre nell'Unione europea la denominazione inglese analoga del ruolo con funzioni dirigenziali è data protection officer ("responsabile della protezione dei dati", nella versione italiana del Regolamento europeo in materia di trattamento dei dati personali).
Ordina commenti:
Nessun commento inserito. Scrivi il primo commento!
