Security & Privacy

Obiettivo

Destinatari

il corso è rivolto a:

Professionisti IT, Manager IT, Consulenti IT, Business Manager e Security Manager.

Programma del corso:

Pre-requisiti

per partecipare al corso:

DURATA: 2GG

Obiettivo:

Il corso è rivolto a tutti i soggetti che, nello svolgimento della propria attività professionale, trattano dati personali (di fornitori, dipendenti o semplici utenti) oltre che a professionisti del mondo dell’ICT e del marketing. Il corso analizza i principi generali della disciplina stabilita dal Codice Privacy (D.lgs 196/2003) e gli adempimenti obbligatori ivi previsti. Un particolare focus sarà dedicato al mondo dell’ICT, con un’analisi della normativa specifica prevista dal Codice e dai provvedimenti del Garante in tema di trattamento di dati in rete (siti internet, cookie, etc), App, Cloud, web marketing (attraverso mail, social network, etc.) e videosorveglianza. Si tratta di un corso con un taglio pratico, rivolto quindi a chiunque che, pur non essendo un giurista, debba gestire nello svolgimento della propria attività professionale trattamenti di dati personali in conformità al D.Lgs 196/2003.

Argomenti

Pre-requisiti

per partecipare al corso:

A chi è rivolto

Obiettivo

Destinatari

il corso è rivolto a:

Programma del corso:

Obiettivo

il corso è rivolto a:

IT Admins

Programma del corso

Organizzazione e funzioni dell’amministrazione
I dati pubblicati
Dati informativi sull’organizzazione e i procedimenti
Dati informativi relativi al personale
Dati relativi a incarichi e consulenze
Dati sui servizi erogati
Dati sulla gestione economico-finanziaria dei servizi pubblici
Dati sulla gestione dei pagamenti
Dati relativi alle buone prassi
Dati su sovvenzioni, contributi, crediti, sussidi e benefici di natura
economica
Dati sul public procurement
Dati ex legge n. 190/2012
Modalità di pubblicazione on line dei dati
Posta elettronica certificata (PEC)
Procedimento di elaborazione e adozione del Programma
Le iniziative per la trasparenza e le iniziative per la legalità e la
promozione della cultura dell’integrità
Ulteriori iniziative di pubblicazione
Attività di promozione e di diffusione dei contenuti del Programma e dei
dati pubblicati
Sistema di monitoraggio interno sull’attuazione del Programma

DURATA: 1GG

Descrizione del corso:

Obiettivo:

 Attraverso un compiuto quadro normativo, fornire al partecipante le conoscenze necessarie per svolgere in modo efficace il ruolo di consulente della privacy e privacy officer in ordine alla individuazione e alla adozione di un complesso organizzato di misure idonee di sicurezza in conformità alle prescrizioni del Codice della Privacy.

Programma del corso:

Pre-requisiti

per partecipare al corso:

 Conoscenza minima della normativa

Descrizione del corso:

 Il 4 Maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.  

Obiettivo:

Il corso intende fornire una analisi pratica del quadro generale di insieme e dei nuovi adempimenti privacy dal momento che sono parecchie le novità introdotte che si traducono in obblighi organizzativi, documentali, tecnici e di personale che tutti i titolari del trattamento pubblici e privati dovranno implementare nel biennio, di seguito si riportano – in schede pratiche raggruppate in base alle più importanti tematiche del Regolamento – le principali novità introdotte dal Regolamento (rispetto alla normativa vigente) e i temi che tutti i titolari del trattamento devono fin da subito considerare e tenere presenti per garantire la totale compliance dei trattamenti entro la data di entrata in vigore del nuovo quadro normativo privacy

Programma del corso:

Pre-requisiti

 Conoscenza minima della normativa

Descrizione del corso:

Obiettivo:

Il 4 Maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. Il Regolamento entrerà in vigore il 25 Maggio 2016 e sarà concretamente operativo nei Paesi UE a decorrere dal 25 maggio 2018, lasciando a tutti i soggetti interessati un biennio di tempo per gli adeguamenti necessari alle proprie politiche del trattamento dei dati. Per quanto riguarda l’Italia, il Regolamento sostituirà il “Codice Privacy” in vigore dal 1° Gennaio 2004. Il D.P.O. deve essere designato sulla base dell’approfondita conoscenza della normativa sulla protezione dei dati e sulla capacità di svolgere i compiti previsti all’Articolo 39 del nuovo Regolamento UE con, inoltre, un background tecnico ed organizzativo in merito al trattamento dei dati personali; può essere un soggetto interno all’azienda oppure un soggetto esterno che assolve i propri compiti sulla base di un contratto di servizi.

Programma del corso:

MODULO 1: PRINCIPI E NOZIONI PER IL “DPO”

La normativa italiana cogente: il D.Lgs. 196/03, ambito di
applicazione, definizioni, principi generali

Il nuovo Regolamento Europeo della Privacy

Trattamento e tipologia di dati

I diritti dell’interessato, informativa e consenso

Come redigere un’informativa

Organigramma Privacy nelle aziende, Ruoli e Responsabilità

Come nominare un responsabile ed individuare un incaricato
del trattamento

Analisi dei rischi

Sistema di Gestione della Sicurezza delle Informazioni (ISMS)

Misure di Sicurezza, minime e idonee

L’Amministratore di Sistema

Notificazione del trattamento al Garante

Il Garante della Privacy: compiti e funzioni

Sanzioni, violazioni amministrative e penali, risarcimento del
danno
MODULO 2: LA NUOVA FIGURA DEL “DPO”

La figura del Data Protection Officer

Professionalità ed esperienza per un ruolo da leader

Casi complessi e regole vigenti

Privacy e Statuto dei Lavoratori

La videosorveglianza in Azienda

Cookie e Privacy: istruzioni per l’uso

Policy e Privacy sul lavoro (uso della posta
elettronica aziendale ed internet)

Marketing e Telemarketing: il Registro delle Opposizioni

Conservazione dei dati di traffico per fatturazione
o repressione dei reati

Regole per la sicurezza dei dati in rete e nelle
telecomunicazioni
MODULO 3: REGOLE VIGENTI E PIANIFICAZIONE DELLE
ATTIVITÀ DEL “DPO”

Il Sistema di Gestione della Privacy

Il Cloud Computing: profili privacy

Dati e Dossier Sanitari

Data Breach

Il trasferimenti di dati all’estero: BCR e autorizzazioni del
Garante

Safe Harbor, Sentenza della Corte di Giustizia dell’Unione
Europea e Privacy Shield

Conservazione sostitutiva

MODULO 4: SISTEMI DI GESTIONE INTEGRATI

L’integrazione del Sistema di Gestione della Privacy con il
Sistema di Gestione Qualità (ISO 9001) ed il Sistema di
Gestione della Sicurezza informativa (ISO 27001)

Il D.Lgs. 231/01 ed i reati informatici

Integrazione del modello organizzativo 231 (ex D.Lgs.231/01)
e modello Privacy

La norma ISO 19011 applicata all’attività di audit sui processi
di trattamento dei dati personali

Pre-requisiti

Conoscenza minima della normativa

Obiettivo:

Per information security risk management viene definito il processo di identificazione, controllo, eliminazione o minimizzazione di eventi incerti che possono danneggiare le risorse di un sistema IT. L’Information Security Risk Management dagli anni ’70 è uno degli aspetti fondamentali della Corporate Governance. Il corso si prefigge l’obiettivo di fornire ai partecipanti i concetti, gli strumenti e le metodologie di approccio al Risk Management nel settore informatico.   

Programma del corso:

 MODULO 1: RISK MANAGEMENT CONCETTI GENERALI

Classificazione dei rischi.

Misurazione del rischio.

Mappatura del rischio.
MODULO 2: FATTORI CHIAVE DEL PROCESSO DI RISK
MANAGEMENT

Metodologia e fasi della Gestione del Rischio IT:

Definizione di Rischio informatico.

Relazione fra Rischio, Asset e Processi.

Le metriche del Rischio.

Valutazione dei rischi: approccio quantitativo,
qualitativo ed ibrido.

Fasi di gestione del Rischio.
MODULO 3: METODI DI GESTIONE DEL RISCHIO E
STANDARD DI RIFERIMENTO

Metodi di Risk Management.

Lo standard ISO/IEC 31000 .

Lo standard ISO/IEC 27005.

Il metodo Mehari.

La Metodologia de Analisis y Gestion de Riesgos de los
Sistemas de Informacion (MAGERIT).
MODULO 4: FONTI TASSONOMICHE PER LA DEFINIZIONE
DELLE MINACCE E DELLE VULNERABILITÀ

Classificazione delle minacce.

Concetto di vulnerabilità e classificazione.

Le metriche della vulnerabilità.
MODULO 5: PIANO DI GESTIONE DEL RISCHIO IT

Analisi del piano di Gestione del Rischio.

Casi di studio. 

Pre-requisiti

Conoscenza minima della normativa

Obiettivo:

La valutazione dei rischi e l’analisi degli impatti sono due fasi del cosiddetto “studio del contesto”, cioè del processo di identificazione delle esigenze di continuità di un’organizzazione. Tramite il risk assessment si determinano i rischi a cui è soggetta l’organizzazione, si analizzano le vulnerabilità e si identificano le possibili salvaguardie. La business impact analysis ha invece lo scopo di determinare le conseguenze derivanti dal verificarsi di ciascun evento critico e di valutarne l’impatto sull’operatività dell’organizzazione. Il corso si prefigge di fornire ai partecipanti i concetti, gli strumenti e le metodologie di approccio al Risk assessment e alla Business Impact Analysis BIA nell’ottica della realizzazione dei Piani di Disaster Recovery e di Business Continuity.  

Programma del corso:

 MODULO 1: ENTERPRISE RISK MANAGEMENT E BUSINESS
CONTINUITY

Business Continuity Management e Disaster
Recovery concetti generali.

Approcci metodologici.

Gli standard di riferimento.
MODULO 2: METODOLOGIA E FASI DELLA GESTIONE DEL
RISCHIO IT

Definizione di Rischio informatico.

Relazione fra Rischio, Asset e Processi.

Le metriche del Rischio.

Valutazione dei rischi: approccio quantitativo,
qualitativo ed ibrido.

Fasi di gestione del Rischio.

Standard di riferimento.
MODULO 3: FONTI TASSONOMICHE PER LA DEFINIZIONE
DELLE MINACCE E DELLE VULNERABILITÀ:

Classificazione delle minacce.

Concetto di vulnerabilità e classificazione.

Le metriche della vulnerabilità.
MODULO 4: PIANO DI GESTIONE DEL RISCHIO IT

Analisi del piano di Gestione del Rischio.

Casi di studio.
MODULO 5: BUSINESS IMPACT ANALISYS (BIA)

Obiettivi.

Metodi di approccio alla BIA.

Standard di Riferimento.

Cenni sugli strumenti messi a disposizione
dall’AGiD(Agenzia per l’Italia Digitale).

Casi di studio

Angular translate

Pre-requisiti

Conoscenza minima della normativa

Descrizione del corso:

Obiettivo:

 Attraverso un compiuto quadro normativo, fornire al partecipante le conoscenze necessarie per svolgere in modo efficace il ruolo di consulente della privacy e privacy officer in ordine alla individuazione e alla adozione di un complesso organizzato di misure idonee di sicurezza in conformità alle prescrizioni del Codice della Privacy.

Programma del corso:

  Ambito di applicabilità soggettiva e territoriale del nuovo
Regolamento e nuove definizioni giuridiche dei concetti privacy
 Dati personali comuni, sensibili e giudiziari: definizioni e regole per
il trattamento
 Le figure soggettive privacy: Titolare del trattamento, Responsabile
del trattamento, persone autorizzate al trattamento, rappresentante
designato del titolare trattamento
 Il nuovo obbligo di redazione e detenzione del Registro generale
delle attività di trattamento svolte
 Il nuovo obbligo della valutazione preventiva d’impatto sulla
protezione dei dati
 I nuovi obblighi c.d. di privacy by design e privacy by default
 La nuova Informativa privacy rafforzata
 Il consenso al trattamento dei dati personali, anche dei minori
 Il nuovo diritto alla portabilità dei dati
 La notifica della violazione dei dati personali (“Data Breach”)
 Trasferimento dei dati personali al di fuori dell’Unione Europea
 La disciplina del diritto all’oblio 

Pre-requisiti

Conoscenza minima della normativa