Corsi Privacy e GDPR

Durata

4-8 ore

DESTINATARI

Personale IT, Manager, Direzione generale, HR, Ufficio Compliance, Ufficio Qualità

Introduzione alla normativa

• Dati e Privacy (tema introduttivo: come sono oggi, come li vuole il GDPR)
• Il General Data Protection Regulation (GDPR – Regolamento UE 2016/679), data di rilascio e data di effettivo ingresso in operatività
• Il quadro sanzionatorio
• Il principio generale di protezione dei dati
• Cosa il GDPR definisce come “dati personali” in azienda: esempio specifico per uno studio associato di professionisti
• Il GDPR e il decreto privacy 196/2003, specialmente relativo al tipo di consenso da richiedere al cliente, cosa cambia e cosa non è più necessario
• Il GDPR per uno studio associato di professionisti
• Gli accordi commerciali e i rapporti clienti/fornitori nel contesto dello studio di professionisti

Come cambiano gli adempimenti: come implementare il GDPR

• Il concetto di responsabilità (accountability)
• Responsabilità e doveri di Titolari e Responsabili dei trattamenti
• Gestire la relazione con gli interessati al trattamento dei dati
• Il concetto di autovalutazione: da “misure minime” a “idonee”
• Analisi del rischio e DPIA
• Il registro dei trattamenti e l’integrazione con la qualità
• La figura del DPO e il suo ruolo
• Privacy by default e by design:
• Analisi del rischio e piano di rientro nelle soluzioni create prima del maggio 2018
• Nuovo modo di progettazione dopo il maggio 2018
• GDPR come opportunità
• Da obbligo a rinforzo: il vantaggio competitivo
• Integrazione con normative come ISO27001

Durata
3 gg

DESTINATARI

Personale IT, Manager, Direzione generale, HR, Ufficio Compliance, Ufficio Qualità

Primo giorno

Introduzione alla normativa

• Dati e Privacy (come sono oggi, come li vuole il GDPR)
• Cosa il GDPR definisce come “dati personali”
• Struttura del General Data Protection Regulation (GDPR – Regolamento UE 2016/679)
• Il quadro sanzionatorio
• Autovalutazione
• Il principio generale di protezione dei dati
• Il concetto di responsabilità (accountability)
• Responsabilità e doveri di Titolari e Responsabili dei trattamenti
• Gestire la relazione con l’interessato
• Il concetto di autovalutazione: da “misure minime” a “idonee”
• Analisi del rischio e DPIA
• Il registro dei trattamenti e perché conviene averlo o non averlo
• La figura del DPO e il suo ruolo in azienda
• Privacy by default e by design

 Riorganizzare l’IT

• Il concetto di servizio IT
• Il valore di un servizio IT
• Processi e IT
• Catalogo dei servizi e Architettura Enterprise
• Il modello esteso del registro dei trattamenti
•  

Secondo giorno

Privacy operativa in azienda

• La privacy nelle attività quotidiane
• Attivare la cultura della privacy in azienda
• Analisi del rischio operativo
• Regole per l’accesso ai dati
• L’introduzione di regole e la formazione del personale

Processi organizzativi

• Gestire il ciclo di vita dei dati aziendali
• Il governo dell’accesso ai dati
• Access Management: gestione dei profili di accesso, in collaborazione con l’ufficio HR
• Inserire le misure di sicurezza nei processi aziendali codificati
• Applicare la formazione continua

Strumenti di verifica e miglioramento continuo

• Le verifiche organizzative
• Procedure di escalation e responsabilità
• Le responsabilità verso l’Autorità Garante
• I processi di controllo
• Strumenti documentali di verifica
• La collaborazione col dipartimento IT

Terzo giorno

Strumenti di verifica e miglioramento continuo

• Penetration Test e Data Breach
• Procedure di escalation
• La responsabilità verso l’Autorità Garante
• I processi di controllo
• Impostare il miglioramento continuo

Preparare la difesa da attacchi informatici

• Privacy, sicurezza e data protection nel GDPR
• Analisi del rischio: standard e buone pratiche
• Difendere i sistemi da attacchi diretti
• Difendere i dati entro i sistemi
• Difendere i dati durante le trasmissioni
• Difendere i dati su supporto non digitale
• I pericoli dei virus
• Social Engineering ed educazione preventiva

Controllare i sistemi

• Monitoring, IDS ed altri strumenti
• Strumenti tecnici per controllare i sistemi
• Il processo di accounting
• Pianificare controllo e osservazione

 La verifica continua

• Vulnerability assessment
• Analisi delle dipendenze incrociate
• La sicurezza: un processo di evoluzione continua
• Usare il PDCA per il miglioramento continuo

DURATA

Per il percorso completo, 8 ore introduzione generale, 16 ore percorso IT, 16 ore percorso non IT. Adattabile ai contesti specifici. DESTINATARI

Personale IT, Manager, Direzione generale, HR, Ufficio Compliance, Ufficio Qualità ARGOMENTI

Introduzione alla normativa (comune a tutti)

• Il diritto alla Privacy
• Struttura del General Data Protection Regulation (GDPR – Regolamento UE 2016/679)
• Il concetto di autovalutazione
• Aspetti sostanziali della riforma: Le figure coinvolte , ruoli
• Aspetti sostanziali della riforma: i Diritti degli Interessati
• Aspetti sostanziali della riforma: i Doveri dei Titolari del Trattamento
• I vincoli internazionali nei trasferimenti di dati in paesi UE ed extra-UE
• Confini di Applicabilità
• Il quadro sanzionatorio
•  

Privacy in azienda (specifico per personale IT)

• Identificazione dei dati in azienda e loro classificazione
• Analisi delle vulnerabilità e delle minacce
• Analisi del rischio informatico in azienda
• Assessment, mitigazione e valutazione rischio residuo
• La sicurezza degli archivi informatici
• Dalle misure “minime” a quelle “idonee”
• L’opportunità: GDPR e ISO27001
• Gestione delle Non conformità
•  

Processi ed azioni da impostare (specifico per personale IT)

• Pianificazione delle azioni necessarie ( Trattamento )
• Analisi e registro dei trattamenti
• Governo della protezione dei dati
• Autorità di controllo
• Le soluzioni tecniche
•  

Strumenti di verifica e miglioramento continuo (specifico per personale IT)

• Penetration test e Data Breach
• Procedure di escalation
• Le responsabilità verso l’Autorità Garante
• I processi di controllo
• Impostare il miglioramento continuo

Privacy operativa in azienda (specifico per manager, direzione e personale non IT)

• La privacy nelle attività quotidiane
• Attivare la cultura della privacy in azienda
• Analisi del rischio operativo
• Regole per l’accesso ai dati
• L’introduzione di regole e la formazione del personale
•  

Processi organizzativi (specifico per manager, direzione e personale non IT)

• Gestire il ciclo di vita dei dati aziendali
• Il governo dell’accesso ai dati
• Impostazioni di profili di accesso, in collaborazione con l’ufficio HR
• Inserire le misure di sicurezza nei processi aziendali codificati
• Applicare la formazione continua

Strumenti di verifica e miglioramento continuo (specifico per manager, direzione e personale non IT)

• Le verifiche organizzative
• Procedure di escalation e responsabilità
• Le responsabilità verso l’Autorità Garante
• I processi di controllo
• Strumenti documentali di verifica
• La collaborazione col dipartimento IT