AREA GIURIDICA – La normativa nazionale ed Europea. Il ruolo del DPO
Nel presente corso affronteremo le nozioni fondamentali e i principi del Regolamento Europeo 2016/679 (General Data Protection Regulation) che stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Nella prima parte verrà trattato I principi di privacy e protezione dei dati by design e by default ed il principio dell’accountability. Il Regolamento GDPR prevede i diritti degli interessati in un’apposita sezione (art. 15-22), parleremo quindi dei vari diritti dell’interessato: diritto di revocare il consenso; diritto di ricevere informazioni; diritto di accesso; diritto di rettifica; diritto alla cancellazione (cosiddetto diritto all’oblio); diritto di limitazione di trattamento; diritto alla portabilità dei dati; diritto di opposizione; diritto a non essere soggetti a profilazione automatizzata. Il Regolamento 2016/679 (GDPR) prevede in capo al titolare e al responsabile del trattamento un sistema di obblighi, adempimenti e relative responsabilità che costituiscono espressione del più generale principio di accountability. Affronteremo una panoramica generale dei più importanti tra questi adempimenti e delle relative responsabilità, cominciando da quelli obbligatori per poi soffermarci su alcuni di essi. Parleremo quindi della notifica in caso di rettifica o cancellazione dei dati personali. Andremo a conoscere quali sono le norme di legge italiane ed europee in materia di trattamento e di protezione dei dati personali. Tratteremo le norme di legge in materia di trasferimento di dati personali all’estero e circolazione dei dati personali extra UE/SEE. Analizzeremo quindi la nozione trasferimento di dati verso Paesi terzi, il trasferimento sulla base di una decisione di adeguatezza (art. 45 GDPR); un accenno al Privacy Shield, alla sentenza della Corte di Giustizia dell’Unione Europea del 16 luglio 2020 e l’abrogazione del Privacy Shield. Approfondiremo le caratteristiche più importanti della nuova figura professionale del DPO ed esamineremo da vicino le disposizioni della GDPR (General Data Protection Regulation, vale a dire il Regolamento europeo 2016/679) che lo riguardano più da vicino, gli artt. 37, 38 e 39. Il Data Protection Officer è stato introdotto proprio dal Regolamento 2016/679 e ne costituisce una delle principali e più importanti innovazioni ed è una figura professionale complessa ed articolata. Il DPO andrà a svolgere diversi compiti tra cui fornire consulenza, informare il titolare e il responsabile del trattamento in merito alla normativa di tutela dei dati personali. In questa parte del corso analizzeremo le principali normative legali obbligatorie contenute nel Regolamento 2016/679 e applicabili ai contratti tra i soggetti previsti dal Regolamento stesso. Parleremo anche della norma UNI 11697:2017.
La difesa dell’ordine sociale e del diritto, la ricerca, la scoperta e il giudizio dei fatti criminali, in generale, degli atti illeciti, richiede che l’intera attività giudiziaria sia effettuata, secondo lo spirito della legge, sulla base scientifica, utilizzando le più recenti conquiste della scienza e della tecnologia, dei metodi e delle tecniche più recenti per l’esecuzione di atti procedurali. Quindi, la conoscenza dei programmi operativi del computer è un must al giorno d’oggi. Tratteremo quindi ‘’ La computer forensics’’, in particolare: nella prima parte di questo capitolo, la perizia forense, in seguito a brevi cenni storici e introduttivi, parleremo dell’importanza della consulenza criminalistica (perizia forense) nei procedimenti penali, dell’importanza della prova e mezzi di prova, trattando, quindi, le considerazioni generali e criteri per la classificazione delle consulenze forensi (CTU o CTP); nella seconda parte, si parla di sistemi informatici, analizzando i mezzi di ricerca della prova di natura digitale (ispezioni, perquisizioni, sequestri); nella terza sezione, la computer forensics, i capitoli riguardano la presentazione di nozioni riguardanti le indagini informatiche e la questione delle prove digitali, della criminalità informatica e tipi di attacchi informatici. Vengono, quindi, presentate le buone pratiche internazionali relative alle prove digitali e agli aspetti relativi alle indagini in loco, procedure di campionamento, procedure di indagine forensi in laboratorio.
AREA INFORMATICA – La sicurezza dei sistemi, la sicurezza dei dati
Nella parte informatica andremo ad affrontare le nozioni base di Information Technology per il Dpo dove affronteremo la mappatura dei processi aziendali e individuazione delle principali aree e delle persone che utilizzano i dati. Dove effettivamente risiedono i dati e in particolar modo quali domande porre al responsabile IT. L’importanza di una piattaforma software per l’aggiornamento e l’aggregazione dei dati.
Affronteremo le problematiche legate alla gestione dei Data Sets (Big data), in particolar modo il mondo dei Big Data, cosa sono, la quantità e la qualità delle informazioni; perché i Big Data sono importanti e quali sono i suoi vantaggi e svantaggi legati al suo utilizzo. Come accedere ai big data ed i pericoli legati alla gestione della Privacy. Chi detiene i dati, le aziende data specialists, gli utilizzatori finali. L’impatto dei big data sulle società e sui privati, e-commerce e dati sensibili. L’esempio di Netflix, luci e ombre su chi possiede i nostri dati. Riconoscere un utilizzo di fonti big data in azienda. Parleremo delle problematiche relative ai dati non strutturati (Data Analytics), i dati non strutturati sono i dati conservati senza alcun schema, in particolar modo del pericolo di avere in azienda dati sensibili non strutturati e le minacce esterne ed interne, il DPO deve prendere provvedimenti al fine di impedire queste minacce. Cosa sono quindi i dati non strutturati? Quale è il pericolo di avere in azienda dati sensibili non strutturati e come strutturare i dati, le soluzioni di Data Discovery. L’utilizzo di una piattaforma software per mantenere i dati strutturati. Guarderemo più da vicino le interazioni con i responsabili aziendali in caso di Data Breach, per recuperare nel minor tempo possibile tutte le informazioni necessarie. In questa parte del corso parleremo del software gestionale, una enorme fonte di dati che spesso ignoriamo e che non sono sufficientemente protetti. Andremo a vedere come effettuare un monitoraggio regolare e sistemico: formare un team con i vari responsabili IT e consulenti aziendali; utilizzare strumenti di comunicazione uguali per tutti, responsabilizzazione e monitoraggio tempificato. Analizzeremo le necessità di risorse qualificate a supporto del DPO, come individuare le persone che ci possono essere utili, l’importanza dell’uomo e della qualifica tecnica. Approfondiremo Il Cloud – tutti ne parlano e lo utilizzano…con poca consapevolezza, cosa è e a cosa serve il Cloud, che tipo di dati possiamo caricare/scaricare? Andremo ad analizzare lo Smart Working in tutti i suoi aspetti, è pericoloso per la privacy? In questa parte del corso andremo a vedere cosa si intende per crittografia, andremo quindi ad analizzare le varie tecniche crittografiche, come la crittografia simmetrica, asimmetrica e la chiave crittografica. Il DPO dovrà adottare delle misure tecniche e organizzative per garantire il livello di sicurezza. Quale sono le tecniche di attacco informatico, cosa sono gli attacchi informatici, andremo ad analizzare da vicino quali sono gli obiettivi degli attacchi informatici e le varie tipologie. Come ci possiamo difendere da questi attacchi? cosa deve fare quindi il DPO? In questa parte del corso andremo a vedere cosa si intende per sicurezza ovvero tutta la sicurezza informatica e la sicurezza degli archivi contenenti i dati. La Cybersecurity e le minacce e vulnerabilità. In questo modulo infine andremo ad analizzare i sistemi e le tecniche di monitoraggio e “reporting” approfondendo il linguaggio, classificazione e processo dell’Audit.
AREA ORGANIZZATIVA – La privacy in Azienda. I processi e le operazioni
In questa ultima area del corso andremo a vedere tutta la privacy in azienda e i processi e le operazioni dal punto di vista organizzativo e operativo del DPO. Cominceremo quindi a trattare le norme tecniche ISO/IEC per la gestione dei dati personali. Andremo quindi ad approfondire i codici di condotta (artt. 40-41 del GDPR). In questo modulo approfondiremo anche Le best practice e gli standard nella gestione della sicurezza delle informazioni andremo a capire il perché dell’importanza del dato personale. La valutazione di impatto è lo strumento per stimare i potenziali danni sulla privacy ritenuti più pericolosi di altri con riferimento ai trattamenti che comportano l’uso di nuove tecnologie. Approfondiremo anche il ritorno dell’investimento comparato all’annullamento del rischio (ROI), come si calcola? Vediamo alcuni esempi. Quali sono gli strumenti di controllo per la produzione di documentazione ovvero la documentazione utile e necessaria. Analizzeremo i metodi di sviluppo delle competenze con particolar riguardo alla formazione del personale e alle analisi dei fabbisogni. Faremo un’analisi del contesto: la struttura aziendale, i processi dell’organizzazione. Andremo a conoscere gli strumenti utilizzati nel trattamento dati e il registro dei trattamenti. Il DPO, figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale, sia esso soggetto interno o esterno, con competenze giuridiche, informatiche e strategic management, vale a dire che deve disporre delle conoscenze tecniche e legali necessarie per il funzionamento regolamentare e strategico delle operazioni commerciali del suo datore di lavoro. Andremo quindi a presentare i principali indicatori ICP e la loro importanza in economia aziendale in modo da far emergere la necessità di conoscere, da parte del Responsabile della protezione dei dati personali, questo strumento strategico denominato KPI. Il DPO dovrà analizzare e proteggere i dati processati dal titolare o dal responsabile del trattamento di dati personali, tenendo un ruolo attivo consulenziale sul fattore umano, che può essere svolto su due piani: di ordine strategico-decisionale e di ordine operativo. Pertanto, miriamo a fornire ai partecipanti sia le conoscenze teoriche che le abilità pratiche necessarie per lavorare con gli indicatori chiave di prestazione, in modo che il DPO possa controllare il flusso di dati durante l’inizio di un progetto di implementazione del sistema KPI nell’organizzazione o rivedere gli indicatori esistenti.Infine, andremo ad analizzare la comunicazione del DPO partendo dall’analisi del contesto ovvero il senso del GDPR per il DPO nel contesto relazionale, la comunicazione con il management, la comunicazione con i data handlers coinvolti nel processo, la formazione alle procedure e la verifica delle procedure e la messa in rilievo delle criticità. Approfondiremo i tre canali della comunicazione: verbale, para verbale e non verbale.