Formazione Data Protection Officer (DPO)

Il presente corso di formazione e aggiornamento professionale in materia di trattamento dei dati personali ha durata di 80 ore e punta a sviluppare le competenze necessarie per svolgere la funzione di Responsabili per la Protezione dei Dati (Data Protection Officer – DPO) di cui all’art. 37 e seguenti del RGPD.

Qualsiasi persona fisica con un’istruzione superiore desiderosa di conoscere i propri diritti
Dipendenti responsabili della protezione dei dati personali all’interno dell’azienda o di enti pubblici
Persone che trattano dati personali o che forniscono consulenza in materia di protezione dei dati personali

AREA GIURIDICA – La normativa nazionale ed Europea. Il ruolo del DPO

Nel presente corso affronteremo le nozioni fondamentali e i principi del Regolamento Europeo 2016/679 (General Data Protection Regulation) che stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Nella prima parte verrà trattato I principi di privacy e protezione dei dati by design e by default ed il principio dell’accountability. Il Regolamento GDPR prevede i diritti degli interessati in un’apposita sezione (art. 15-22), parleremo quindi dei vari diritti dell’interessato: diritto di revocare il consenso; diritto di ricevere informazioni; diritto di accesso; diritto di rettifica; diritto alla cancellazione (cosiddetto diritto all’oblio); diritto di limitazione di trattamento; diritto alla portabilità dei dati; diritto di opposizione; diritto a non essere soggetti a profilazione automatizzata. Il Regolamento 2016/679 (GDPR) prevede in capo al titolare e al responsabile del trattamento un sistema di obblighi, adempimenti e relative responsabilità che costituiscono espressione del più generale principio di accountability. Affronteremo una panoramica generale dei più importanti tra questi adempimenti e delle relative responsabilità, cominciando da quelli obbligatori per poi soffermarci su alcuni di essi. Parleremo quindi della notifica in caso di rettifica o cancellazione dei dati personali. Andremo a conoscere quali sono le norme di legge italiane ed europee in materia di trattamento e di protezione dei dati personali. Tratteremo le norme di legge in materia di trasferimento di dati personali all’estero e circolazione dei dati personali extra UE/SEE. Analizzeremo quindi la nozione trasferimento di dati verso Paesi terzi, il trasferimento sulla base di una decisione di adeguatezza (art. 45 GDPR); un accenno al Privacy Shield, alla sentenza della Corte di Giustizia dell’Unione Europea del 16 luglio 2020 e l’abrogazione del Privacy Shield. Approfondiremo le caratteristiche più importanti della nuova figura professionale del DPO ed esamineremo da vicino le disposizioni della GDPR (General Data Protection Regulation, vale a dire il Regolamento europeo 2016/679) che lo riguardano più da vicino, gli artt. 37, 38 e 39. Il Data Protection Officer è stato introdotto proprio dal Regolamento 2016/679 e ne costituisce una delle principali e più importanti innovazioni ed è una figura professionale complessa ed articolata. Il DPO andrà a svolgere diversi compiti tra cui fornire consulenza, informare il titolare e il responsabile del trattamento in merito alla normativa di tutela dei dati personali. In questa parte del corso analizzeremo le principali normative legali obbligatorie contenute nel Regolamento 2016/679 e applicabili ai contratti tra i soggetti previsti dal Regolamento stesso. Parleremo anche della norma UNI 11697:2017.

La difesa dell’ordine sociale e del diritto, la ricerca, la scoperta e il giudizio dei fatti criminali, in generale, degli atti illeciti, richiede che l’intera attività giudiziaria sia effettuata, secondo lo spirito della legge, sulla base scientifica, utilizzando le più recenti conquiste della scienza e della tecnologia, dei metodi e delle tecniche più recenti per l’esecuzione di atti procedurali. Quindi, la conoscenza dei programmi operativi del computer è un must al giorno d’oggi. Tratteremo quindi ‘’ La computer forensics’’, in particolare: nella prima parte di questo capitolo, la perizia forense, in seguito a brevi cenni storici e introduttivi, parleremo dell’importanza della consulenza criminalistica (perizia forense) nei procedimenti penali, dell’importanza della prova e mezzi di prova, trattando, quindi, le considerazioni generali e criteri per la classificazione delle consulenze forensi (CTU o CTP); nella seconda parte, si parla di sistemi informatici, analizzando i mezzi di ricerca della prova di natura digitale (ispezioni, perquisizioni, sequestri); nella terza sezione, la computer forensics, i capitoli riguardano la presentazione di nozioni riguardanti le indagini informatiche e la questione delle prove digitali, della criminalità informatica e tipi di attacchi informatici. Vengono, quindi, presentate le buone pratiche internazionali relative alle prove digitali e agli aspetti relativi alle indagini in loco, procedure di campionamento, procedure di indagine forensi in laboratorio.

AREA INFORMATICA – La sicurezza dei sistemi, la sicurezza dei dati

Nella parte informatica andremo ad affrontare le nozioni base di Information Technology per il Dpo dove affronteremo la mappatura dei processi aziendali e individuazione delle principali aree e delle persone che utilizzano i dati. Dove effettivamente risiedono i dati e in particolar modo quali domande porre al responsabile IT. L’importanza di una piattaforma software per l’aggiornamento e l’aggregazione dei dati.

Affronteremo le problematiche legate alla gestione dei Data Sets (Big data), in particolar modo il mondo dei Big Data, cosa sono, la quantità e la qualità delle informazioni; perché i Big Data sono importanti e quali sono i suoi vantaggi e svantaggi legati al suo utilizzo. Come accedere ai big data ed i pericoli legati alla gestione della Privacy. Chi detiene i dati, le aziende data specialists, gli utilizzatori finali. L’impatto dei big data sulle società e sui privati, e-commerce e dati sensibili. L’esempio di Netflix, luci e ombre su chi possiede i nostri dati. Riconoscere un utilizzo di fonti big data in azienda. Parleremo delle problematiche relative ai dati non strutturati (Data Analytics), i dati non strutturati sono i dati conservati senza alcun schema, in particolar modo del pericolo di avere in azienda dati sensibili non strutturati e le minacce esterne ed interne, il DPO deve prendere provvedimenti al fine di impedire queste minacce. Cosa sono quindi i dati non strutturati? Quale è il pericolo di avere in azienda dati sensibili non strutturati e come strutturare i dati, le soluzioni di Data Discovery. L’utilizzo di una piattaforma software per mantenere i dati strutturati. Guarderemo più da vicino le interazioni con i responsabili aziendali in caso di Data Breach, per recuperare nel minor tempo possibile tutte le informazioni necessarie. In questa parte del corso parleremo del software gestionale, una enorme fonte di dati che spesso ignoriamo e che non sono sufficientemente protetti. Andremo a vedere come effettuare un monitoraggio regolare e sistemico: formare un team con i vari responsabili IT e consulenti aziendali; utilizzare strumenti di comunicazione uguali per tutti, responsabilizzazione e monitoraggio tempificato. Analizzeremo le necessità di risorse qualificate a supporto del DPO, come individuare le persone che ci possono essere utili, l’importanza dell’uomo e della qualifica tecnica. Approfondiremo Il Cloud – tutti ne parlano e lo utilizzano…con poca consapevolezza, cosa è e a cosa serve il Cloud, che tipo di dati possiamo caricare/scaricare? Andremo ad analizzare lo Smart Working in tutti i suoi aspetti, è pericoloso per la privacy? In questa parte del corso andremo a vedere cosa si intende per crittografia, andremo quindi ad analizzare le varie tecniche crittografiche, come la crittografia simmetrica, asimmetrica e la chiave crittografica. Il DPO dovrà adottare delle misure tecniche e organizzative per garantire il livello di sicurezza. Quale sono le tecniche di attacco informatico, cosa sono gli attacchi informatici, andremo ad analizzare da vicino quali sono gli obiettivi degli attacchi informatici e le varie tipologie. Come ci possiamo difendere da questi attacchi? cosa deve fare quindi il DPO? In questa parte del corso andremo a vedere cosa si intende per sicurezza ovvero tutta la sicurezza informatica e la sicurezza degli archivi contenenti i dati. La Cybersecurity e le minacce e vulnerabilità. In questo modulo infine andremo ad analizzare i sistemi e le tecniche di monitoraggio e “reporting” approfondendo il linguaggio, classificazione e processo dell’Audit.

AREA ORGANIZZATIVA – La privacy in Azienda. I processi e le operazioni

In questa ultima area del corso andremo a vedere tutta la privacy in azienda e i processi e le operazioni dal punto di vista organizzativo e operativo del DPO. Cominceremo quindi a trattare le norme tecniche ISO/IEC per la gestione dei dati personali. Andremo quindi ad approfondire i codici di condotta (artt. 40-41 del GDPR). In questo modulo approfondiremo anche Le best practice e gli standard nella gestione della sicurezza delle informazioni andremo a capire il perché dell’importanza del dato personale. La valutazione di impatto è lo strumento per stimare i potenziali danni sulla privacy ritenuti più pericolosi di altri con riferimento ai trattamenti che comportano l’uso di nuove tecnologie. Approfondiremo anche il ritorno dell’investimento comparato all’annullamento del rischio (ROI), come si calcola? Vediamo alcuni esempi. Quali sono gli strumenti di controllo per la produzione di documentazione ovvero la documentazione utile e necessaria. Analizzeremo i metodi di sviluppo delle competenze con particolar riguardo alla formazione del personale e alle analisi dei fabbisogni. Faremo un’analisi del contesto: la struttura aziendale, i processi dell’organizzazione. Andremo a conoscere gli strumenti utilizzati nel trattamento dati e il registro dei trattamenti. Il DPO, figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale, sia esso soggetto interno o esterno, con competenze giuridiche, informatiche e strategic management, vale a dire che deve disporre delle conoscenze tecniche e legali necessarie per il funzionamento regolamentare e strategico delle operazioni commerciali del suo datore di lavoro. Andremo quindi a presentare i principali indicatori ICP e la loro importanza in economia aziendale in modo da far emergere la necessità di conoscere, da parte del Responsabile della protezione dei dati personali, questo strumento strategico denominato KPI. Il DPO dovrà analizzare e proteggere i dati processati dal titolare o dal responsabile del trattamento di dati personali, tenendo un ruolo attivo consulenziale sul fattore umano, che può essere svolto su due piani: di ordine strategico-decisionale e di ordine operativo. Pertanto, miriamo a fornire ai partecipanti sia le conoscenze teoriche che le abilità pratiche necessarie per lavorare con gli indicatori chiave di prestazione, in modo che il DPO possa controllare il flusso di dati durante l’inizio di un progetto di implementazione del sistema KPI nell’organizzazione o rivedere gli indicatori esistenti.Infine, andremo ad analizzare la comunicazione del DPO partendo dall’analisi del contesto ovvero il senso del GDPR per il DPO nel contesto relazionale, la comunicazione con il management, la comunicazione con i data handlers coinvolti nel processo, la formazione alle procedure e la verifica delle procedure e la messa in rilievo delle criticità. Approfondiremo i tre canali della comunicazione: verbale, para verbale e non verbale.

AREA GIURIDICA

I principi di privacy e protezione dei dati by design e by default, i diritti degli interessati previsti da legge e regolamenti vigenti e le responsabilità connesse al trattamento dei dati personali

Norme di legge italiane ed europee in materia di trattamento e di protezione dei dati personali e le norme di legge in materia di trasferimento di dati personali all’estero e circolazione dei dati personali extra UE/SEE

La figura professionale del Data Protection Officer o Responsabile della Protezione dei dati: designazione, posizione, compiti, l’impatto dei requisiti legali sulla sicurezza dell’informazione, le norme legali applicabili ai contratti

La computer forensics (analisi criminologica di sistemi informativi)

AREA INFORMATICA

Nozioni base di Information Technology per il Dpo

Le problematiche legate alla dimensione dei data sets (per esempio big data) e ai dati non strutturati (per esempio data analytics)

Il software gestionale, le e-mail e le comunicazioni in formato HTML, il remote working e gli smartphone

Cosa il Dpo deve chiedere al responsabile IT, le tecniche crittografiche, di anonimizzazione, di pseudonimizzazione

I rischi critici per la gestione della sicurezza e le nuove tecnologie emergenti, le possibili minacce alla sicurezza e le tecniche di attacco informatico e le contromisure per evitarli

Sistemi e tecniche di monitoraggio e “reporting”

AREA ORGANIZZATIVA

Le norme tecniche ISO/IEC per la gestione dei dati personali, i codici di condotta e le certificazioni applicabili in materia di trattamento e protezione dei dati personali

Le best practice e gli standard nella gestione della sicurezza delle informazioni, le metodologie di valutazione d’impatto sulla protezione dei dati e PIA e le best practice (metodologie) e gli standard nella analisi del rischio

Le possibili minacce alla protezione dei dati personali, il potenziale e le opportunità offerte dagli standard e dalle best practices più rilevanti

Il ritorno dell’investimento comparato all’annullamento del rischio  e la politica di gestione della sicurezza nelle aziende e delle sue implicazioni con gli impegni verso i clienti, i fornitori e i sub-contraenti

La strategia dell’informazione nell’organizzazione e gli strumenti di controllo della versione per la produzione di documentazione

I metodi di sviluppo delle competenze e i processi dell’organizzazione ivi inclusi le strutture decisionali, di budget e di gestione e le metodologie di analisi dei fabbisogni di competenze e skill i tipici KPI (key performance indicators). La comunicazione per il DPO (comunicazione verbale, para verbale, non verbale, uso efficace del telefono, incontri formativi)

Avv. Elisabeta Cocolos

Vedi il curriculum vitae

Laureata in Legge presso la Facoltà di Giurisprudenza dell’Università di Scienze Giuridiche di Sibiu, Romania, ho frequentato i corsi universitari post-laurea del Master in Criminologia e Criminalistica presso l’Università degli Studi “Dimitrie Cantemir” di Bucarest e del Master in Politiche di Sicurezza e Intelligence nella società contemporanea – Facoltà di Storia e Filosofia presso l’ Università ” Babes Bolyai ” Cluj-Napoca, Romania; in Spagna, ho frequentato i corsi di diritto spagnolo, Facoltà di Giurisprudenza ed Economia – Facultad de derecho y ciencias econòmicas y empresariale en la Universidad Nacional de Córdoba nonché il Master post – laurea per l’abilitazione alla professione forense – Máster Universitario en Abogacía en la Universidad Internacional de La Rioja, Madrid, España. Ho conseguito l’abilitazione alla professione di avvocato nel 2014, con studio a Madrid, España. Ho frequentato i corsi Master per Giuristi d’impresa presso Alma Laboris Businnes School – Roma; Corso universitario di perfezionamento e aggiornamento professionale in materia di trattamento dei dati personali per Data Protection Officer, presso l’Università Europea di Roma e il Corso di Alta Formazione per ” Gestore della crisi da sovraindebitamento’’, attivato presso l’Università Pegaso. Arbitro per le controversie civili e commerciali, abilitata nel 2013 preso T.A.G.E. (Tribunale Arbitrale Giudiziario Europeo) Moncalieri (TO).

Avv. Fabrizio Garaffa

Vedi il curriculum vitae

Consegue la Laurea in Giurisprudenza nel giugno 2003 presso l’Alma Mater Studiorum – Università di Bologna con una tesi di laurea in diritto costituzionale incentrata sulla libertà privata di iniziativa economica e l’utilità sociale nella proprietà privata.
Dal 2003 al 2005 affianca alla tradizionale pratica professionale forense la frequentazione della Scuola di Specializzazione in professioni legali “Enrico Redenti”, indirizzo Avvocatura, dell’Università di Bologna.
Dal 2006 al 2012 lavora presso lo Studio notarile e forense Vacirca di Reggio Emilia.
Nel 2012 ottiene l’abilitazione forense presso la Corte d’Appello di Bologna e fonda il proprio Studio legale, all’interno del quale si occupa: di diritto d’impresa, tutela della proprietà intellettuale ed industriale, diritto delle nuove tecnologie nonché diritto della tutela e del trattamento dei dati personali.
Delegato regionale per l’Emilia-Romagna di Assoreti PMI, Associazione per la diffusione delle reti di imprese.
Nel 2017 ha presentato al Legal Tech Forum, la prima e più importante conferenza italiana dedicata alle tecnologie legali, una Relazione dal titolo “Reti di impresa e Industria 4.0: costruire percorsi di digitalizzazione della nostra manifattura attraverso l’aggregazione imprenditoriale”.
Nel 2018 ha conseguito il Master “Privacy Officer & Consulente della Privacy” presso l’Associazione Federprivacy: punto di riferimento in Italia per le tematiche afferenti il diritto della Privacy

Luca Gianerai

Vedi il curriculum vitae

Dal 1986 lavora nel campo dell’ Information Tecnology, ed in particolare modo, nell’area inerente i sistemi gestionali ERP: sia a livello nazionale sia internazionale, e nell’area sicurezza informatica: un settore che deve necessariamente andare di pari passo allo sviluppo tecnologico, poichè le informazioni veicolate dai vari sistemi digitali sono sempre più complete e pervasive.
Chi si occupa di sicurezza informatica deve avere una chiara conoscenza sia degli strumenti: sia delle persone che gestiscono le informazioni in modo lecito, sia degli strumenti e delle persone che li gestiscono in modo illecito: a volte la differenza è molto sottile, L’attività di Cyber Security è importante e affascinante, perchè contempla non solo aspetti tecnologici, ma anche aspetti sociali.
Il regolamento europeo per la protezione dei dati personali (GDPR),ha permesso di sensibilizzare molti imprenditori e professionisti che hanno così scoperto l’entità delle insidie e degli interessi economici che si nascondono dietro le informazioni relative alla vita degli individui e al loro modo di rapportarsi con la società.
Il problema, oltre quello dei dati personali di cui si occupa il GDPR, riguarda anche i dati aziendali ed economici, come i brevetti, i progetti e le strategie aziendali, dunque l’Information Tecnology e la sicurezza informatica, sono indispensabili per la tutela delle persone e delle aziende dalle insidie digitali.

Massimiliano Venturi

Vedi il curriculum vitae

Dal 1986 lavoro nel campo dell’Information Technology, ed in particolare modo nell’area inerente alla progettazione e implementazione di infrastrutture informatiche e policy riguardanti la sicurezza informatica.
Credo che la sicurezza informatica sia un settore sempre più importante considerando il numero sempre maggiore delle informazioni che sono contenute e scambiate nei sistemi informativi. Con le nuove tecnologie si presentano nuove sfide che devono essere adeguatamente affrontate e risolte. Dobbiamo avere sempre in primo piano le esigenze dei clienti, sia in termini di disponibilità dei dati ma anche in termini di sicurezza. Ben venga il regolamento del GDPR che ci fornisce linee guida per meglio gestire e proteggere i dati in nostro possesso. Purtroppo le nuove tecnologie creano un dedalo di soluzioni che possono creare confusione all’utente finale quando si tratta di capire qual soluzioni adottare, è quindi la mia missione aiutarli per individuare le soluzioni più equilibrate e funzionali considerando le esigenze che devono essere soddisfatte.

Domenica Gottardi

Vedi il curriculum vitae

Domenica Gottardi dal 1994 è Consulente di Direzione nell’area risorse umane, con particolare riferimento alla gestione del clima aziendale, e nell’area amministrazione e controllo gestione: per l’impostazione, l’implementazione e l’aggiornamento delle procedure e dei sistemi e delle relative competenze degli addetti con interventi di formazione sia classica, sia in affiancamento (on the job).
Dal 2004, Consulente Privacy per l’adeguamento delle procedure, la predisposizione della documentazione (Documento Programmatico Sicurezza) e la relativa formazione del personale.
Ha frequentato il “Corso di alta formazione e specializzazione per DPO” per adeguare ulteriormente le proprie competenze in ambito protezione dei dati.
Svolge consulenza sia per aziende di produzione (metalmeccanica, chimica, cosmetica ed igiene, ecc.) sia per aziende di servizi (ricerca e selezione del personale, pubblicità, assicurazioni, amministrazioni condominiali, e-commerce, software house, servizi di noleggio auto, ecc.) sia per associazioni culturali e sportive e per liberi professionisti (avvocati, commercialisti, agenti di commercio, terapisti, ecc.).
Grazie alla sua esperienza e competenza in ambito amministrativo e gestionale, è in grado di fornire alle aziende un supporto che, oltre all’adeguamento alle normative privacy, può prosegue nella realizzazione e revisione/aggiornamento delle procedure interne. Esse garantiscono il corretto trattamento dei dati al fine di arrivare a svolgere anche l’indispensabile formazione alle varie figure coinvolte nei trattamenti dei dati.

Dott. Guy Michel Franca

Vedi il curriculum vitae

Residente in Francia. Laureato presso l’Università degli studi di Urbino “Carlo Bo” con tesi di laurea su “Le dinamiche relazionali all’interno del gruppo di lavoro.
Ho conseguito l’abilitazione all’esercizio della professione di psicologo in Francia.

Sono iscritto al Repertoire Adeli (elenco regionale degli psicologi) della Prefecture des Alpes Maritimes al n°069308807.
Sono amministratore unico di Ethic Mind Lab, ente di formazione con sede a Parigi.
Autore dell’approccio ERH etica delle relazioni umane©, dal 2008 sono direttore scientifico della Fondazione Internazionale verso l’Etica onlus: ente no profit accreditato al MIUR, che si occupa di ricerca, formazione e progettazione sociale.
Con diploma di Master di I livello in Neuroscienze, mindfulness e pratiche contemplative conseguito presso l’Università di Pisa, sono abilitato come istruttore di interventi basati sulla mindfulness.
Dal 2018 faccio parte del direttivo dell’Associazione “La Vie”: ente di promozione sociale che si occupa della gestione di una comunità educativa per minori inviati dai servizi sociali e applica l’approccio ERH nella relazione con i minori e nel team educativo.
Dal 2019 sono membro del comitato scientifico di Beta Formazione.
Dal 2020 sono facilitatore di Pratiche Dialogiche nelle organizzazioni complesse, avendo completato un Corso di perfezionamento presso l’Università di Pisa.