1

FORMAZIONE E ACCOMPAGNAMENTO

LA NUOVA PRIVACY IN AZIENDA (GDPR)

2

PREFAZIONE

Il nuovo GDPR impone alle aziende una forte responsabilizzazione rispetto al trattamento dei dati

e quindi richiede una nuova cultura e la pianificazione di adeguati sistemi di governance.

Richiede inoltre l’adozione di misure di valutazione dei rischi e organizzative idonee a garantire la

protezione dei diritti alla privacy degli interessati.

ISFOR offre alle aziende gli strumenti per arrivare preparate alla scadenza del 25

maggio 2018, data a partire dalla quale il GDPR dovrà essere applicato.

OPPORTUNITA’ DI FINANZIAMENTO

Le opportunità di finanziamento per le attività formative relative all’introduzione del GDPR sono:

• per le MPMI, i voucher camerali per il 50% del costo sostenuto per la formazione del

proprio personale;

• per tutte le aziende aderenti, i Fondi Interprofessionali, conti formativi e conti di sistema,

tra questi ultimi si ricorda che l’Avviso 1/2018 di Fondirigenti in scadenza il 15 febbraio

2018, prevede tra gli ambiti di pertinenza la cyber security e il data protection;

• per le aziende associate a A.I.B. Associazione Industriale Bresciana, il contributo del 30%

sul costo sostenuto per la fruizione da parte del proprio personale delle attività formative

erogate da ISFOR.

Per Iscriversi è necessario compilare la scheda d’iscrizione ON LINE disponibile sul nostro sito

www.isfor2000.com all’interno del corso prescelto oppure far pervenire via email a

info@isfor2000.com la scheda allegata (pag.9).

OFFERTA E ASPETTI PRATICI Le attività formative interaziendali si terranno presso la sede di ISFOR, via Pietro Nenni, 30,

Brescia. Saranno realizzate, al raggiungimento di un numero minimo di iscritti, e riproposte in

più edizioni.

L’attività d’aula può non essere sufficiente per gestire l’applicazione del GDPR. ISFOR propone

un accompagnamento formativo individualizzato, da progettare e realizzare in base alle

specifiche esigenze aziendali. Può essere rivolto sia a formare personale (ad esempio i

Responsabili o gli Incaricati del trattamento) presso le aziende, sia a supportare il Titolare o

Delegato Privacy per la verifica delle misure organizzative, tecniche e applicative adottate in

azienda.

Accompagna inoltre le aziende nell’individuazione di possibilità di finanziamento (fondi

interprofessionali, fondi camerali, fondi ministeriali, ecc.) per la fruizione dei corsi proposti.

Per contatti, scrivere a Claudio Perini c.perini@isfor2000.com o contattare il numero

0302284509.

3

INDICE

LA NUOVA PRIVACY IN AZIENDA: IL REGOLAMENTO EUROPEO SULLA

PROTEZIONE DEI DATI PERSONALI (GDPR – UE 2016/679)……………………...pag. 4

I CONTROLLI SUI LAVORATORI NELL’ERA DIGITALE IN CONFORMITA’ AL

GDPR…………………………………………………………………………………………………pag. 5

GDPR – UE 2016/679 - PERCORSO PRATICO PER LA VALUTAZIONE E

GESTIONE DEL RISCHIO ED IMPLEMENTAZIONE DELLE MISURE

ADEGUATE ……………….………………………………………………………………..pag.6

CYBERSECURITY E DATA PROTECTION…………………………………...…..…....pag. 7

L’APPLICAZIONE DEL GDPR NELL’AZIENDA SANITARIA E SOCIO-

SANITARIA……………………………………………………………………………..........pag.8

CORSO E-LEARNING………………………………………………………………...……pag.9

SCHEDA DI ISCRIZIONE…………………………………………………………………pag.10

4

LA NUOVA PRIVACY IN AZIENDA: IL REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI PERSONALI (GDPR – UE 2016/679)

SIGNIFICATO E FINALITÀ Il percorso formativo intende fornire ai partecipanti le conoscenze per il processo di adeguamento alla nuova disciplina e agli

adempimenti in tema di privacy e sicurezza nel trattamento dei dati personali

DOCENZA Giorgio Pedrazzi – Avvocato e Professore del Dipartimento di Giurisprudenza dell’Università degli Studi di Brescia

DESTINATARI Datori di lavoro, Responsabili del personale, Responsabili del trattamento dei dati, Responsabili ICT, Incaricati del trattamento

PROGRAMMA Il nuovo approccio di responsabilizzazione sostanziale nel “Regolamento UE data protection”

Ambito di applicazione del Regolamento e fondamenti di liceità del trattamento

Le basi giuridiche del trattamento: consenso, adempimento di obblighi contrattuali, adempimento di obblighi legali, interessi vitali dell’interessato o di terzi, interesse legittimo prevalente del titolare o di terzi, interesse pubblico o esercizio di pubblici poteri, trattamento necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e sicurezza sociale, trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente. Le nuove definizioni Particolari categorie di dati personali (genetici/biometrici) Pseudonimizzazione: quando e come effettuarla per i dati personali trattati Profilazione: limiti e caratteristiche Filiera privacy: i soggetti del trattamento Interessato - Titolare ed eventuale contitolare - Responsabile: ruolo, caratteristiche e forma della nomina – Incaricato Obbligo di istruzione del DPO: requisiti e posizione – Linee guida WP 29 del 13 dicembre 2016 - Responsabilità solidale di titolare e responsabile - Rappresentante in Italia: casi di designazione Informativa e consenso: informativa: requisiti e contenuto. Indicazioni operative per la redazione, consenso: requisiti e modalità di prestazione Diritti dell’interessato: modalità di esercizio e tempi e modalità di evasione Il diritto alla portabilità dai dati: opportunità e rischi per il patrimonio intellettuale aziendale Il diritto alla cancellazione dei dati: in che tempi e come rispondere alle richieste degli utenti Il diritto all’oblio: come esercitarlo e quali misure adottare in caso di mancato accoglimento della richiesta Nuovi obblighi: approccio basato sul rischio e misure di accountability Obblighi generali: responsabilizzazione e rendicontazione (di titolare e responsabile) privacy by design e privacy by default: casi pratici e modalità applicative Obblighi di sicurezza: misure tecniche ed organizzative adeguate al rischio, consultazione preventiva, notifica all’Autorità di controllo, obbligo di documentazione Gli adempimenti: Registri del trattamento, i tempi di conservazione dei dati. La nomina del responsabile esterno: modelli di clausole contrattuali applicabili La valutazione di impatto privacy (PIA): quando è necessaria e come condurla. Trasferimento dei dati all’estero - In ambito UE: principio di libera circolazione - Fuori dall’UE: rispetto di condizioni e garanzie Apparato sanzionatorio - Responsabilità civile - Sanzioni amministrative - Sanzioni penali Indicazioni operative per la definizione del modello organizzativo privacy Casi applicativi CALENDARIO DIDATTICO Tre pomeriggi (ore 14:00-18:00)

1°Ed Mercoledì 14/02//2018, Mercoledì 21/02/2018, Mercoledì 28/02/2018

2°Ed Martedì 10/04//2018, Venerdi 13/04/2018, Mercoledì 18/04/2018

3°Ed Martedì 8/05//2018, Martedì 15/05/2018, Martedì 22/05/2018

COSTO DI PARTECIPAZIONE € 600,00+IVA con rilascio di attestato di frequenza

5

I CONTROLLI SUI LAVORATORI NELL’ERA DIGITALE IN CONFORMITA’ AL GDPR

SIGNIFICATO E FINALITÀ Il percorso formativo intende fornire ai partecipanti le conoscenze per i controlli legittimi sull’ attività dei lavoratori

DOCENZA Giorgio Pedrazzi – Avvocato e Professore del Dipartimento di Giurisprudenza dell’Università degli Studi di Brescia

Massimiliano Redolfi - Professore del Dipartimento di Ingegneria dell’Informazione dell’Università degli Studi di Brescia Il modulo sarà svolto in codocenza

DESTINATARI Datori di lavoro, Responsabili del personale, Responsabili del trattamento dei dati, Responsabili ICT, Incaricati del trattamento

PROGRAMMA L’art. 4 dello Statuto dei Lavoratori e le nuove responsabilità aziendali previste dal Regolamento UE sulla protezione dei dati personali: un delicato equilibrio Distinzione tra sistemi di controllo e strumenti di lavoro La videosorveglianza e gli altri strumenti impiegati: per esigenze organizzative e produttive, per la sicurezza del lavoro, per la tutela del patrimonio aziendale - Installazione previo accordo sindacale o autorizzazione amministrativa - Il provvedimento generale del Garante sulla videosorveglianza Strumenti informatici in uso ai lavoratori (personal computer, internet, email, social media, cellulari, device mobili): modalità di utilizzo, controlli consentiti, cessazione del rapporto di lavoro e corretta gestione dei dati personali e dell’account aziendale dell’ex dipendente Controlli degli accessi e registrazione delle presenze: uso del badge aziendale, utilizzo di dati biometrici: limiti stabiliti dal Garante privacy La geolocalizzazione: strumento di lavoro o strumento di controllo? applicata ad automezzi aziendali, smartphone, pc, tablet, sistema “uomo a terra”, le posizioni del Ministero del Lavoro e del Garante privacy Utilizzabilità dei dati raccolti a tutti i fini connessi al rapporto di lavoro: condizioni adeguata informazione al lavoratore sulle modalità d’uso degli strumenti e di effettuazione dei controlli, rispetto della normativa privacy I controlli difensivi alla luce della riforma dell’art. 4 Statuto dei Lavoratori: residua utilizzabilità della tesi giurisprudenziale? Policy aziendale sulle modalità di utilizzo degli strumenti e di effettuazione dei controlli: indicazioni operative per la stesura Apparato sanzionatorio Approfondimenti: utilizzo della posta elettronica in azienda e utilizzo dei dati provenienti dai dispositivi di geolocalizzazione Casi applicativi

CALENDARIO DIDATTICO

Un pomeriggio (ore 14:00-18:00)

1° ed. Mercoledì 14/03//2018

2° ed. Mercoledì 9/05/2018

COSTO DI PARTECIPAZIONE € 200,00+IVA con rilascio di attestato di frequenza

6

GDPR – UE 2016/679 – PERCORSO PRATICO PER LA VALUTAZIONE E GESTIONE DEL RISCHIO ED IMPLEMENTAZIONE DELLE MISURE ADEGUATE

SIGNIFICATO E FINALITÀ

Il percorso formativo intende fornire ai partecipanti le conoscenze per il processo di adeguamento alla nuova disciplina e agli

adempimenti in tema di privacy e sicurezza nel trattamento dei dati personali, ma con un percorso di formazione prettamente tecnico-

pratico, affrontando in maniera schematica l’analisi del rischio digitale in azienda per avviare un approccio operativo snello ed

esaustivo di conformità.

Sarà proposta la procedura di gestione dell’eventuale data breach con indicazioni pratiche per affrontare le investigazioni digitali

conseguenti alla fase di incident response e per predisporre la documentazione necessaria alle obbligatorie notificazioni previste dal

nuovo regolamento, suggerendo il corretto approccio relazionale con le autorità che necessariamente devono essere informate.

DOCENZA Avv. Giuseppe Serafini Lead Auditor ISO/IEC 27001:2013; DPO & Data Protection Expert; Dott. Antonio Fiorentino, Cyber-security & Digital Forensics Expert.

DESTINATARI Datori di lavoro, Responsabili del personale, Responsabili del trattamento dei dati, Responsabili ICT, Incaricati del trattamento

PROGRAMMA La strategia Europea di Cyber-security ed il piano nazionale.

IL GDPR scopi e struttura;

Il nuovo approccio di responsabilizzazione sostanziale nel “Regolamento UE Data Protection”

Nuovi obblighi: approccio basato sul rischio e misure di accountability Obblighi generali: responsabilizzazione e rendicontazione (di titolare e responsabile) privacy by design e privacy by default: casi pratici e modalità applicative Obblighi di sicurezza: misure tecniche ed organizzative adeguate al rischio, consultazione preventiva, notifica all’Autorità di controllo, obbligo di documentazione Modalità operative di valutazione del rischio ed implementazione di strategie di mitigazione dello stesso. Individuazione delle misure di cyber-security adeguate, con particolare attenzione alla protezione delle reti e del dato. Modalità operative di gestione dell’incident response e dell’eventuale data breach. Suggerimenti per la predisposizione della conformità documentale, con particolare attenzione all’informativa privacy ed alle lettere d’incarico dei soggetti che collaborano con il titolare del trattamento;

CALENDARIO DIDATTICO

Tre pomeriggi (ore 14:00-18:00)

1°Ed. Martedì 3/04//2018, Venerdì 6/04/2018, Giovedì 19/04/2018

2°Ed. Lunedì 14/05/2018, Lunedì 21/05/2018, Giovedì 24/05/2018

COSTO DI PARTECIPAZIONE

€ 600,00+IVA con rilascio di attestato di frequenza

7

CYBERSECURITY E DATA PROTECTION

SIGNIFICATO E FINALITÀ Le sfide della trasformazione digitale stanno portando maggiore interesse sui temi dell’information security e della gestione della privacy. L’esternalizzazione dei dati, favorita dal cloud, l’eterogeneità delle fonti informative, spesso destrutturate, la diffusione sempre maggiore di oggetti connessi (IoT) e l’utilizzo pervasivo di dispositivi mobili creano, per le aziende, nuove fonti di vulnerabilità e di attacco delle informazioni. Allo stesso tempo, la prossima entrata in vigore del regolamento UE 679/2016 prevede per le aziende un nuovo e più sostanziale profilo di responsabilità nella raccolta e gestione dei dati di dipendenti, fornitori, clienti, ecc. Il corso è finalizzato a comprendere la portata delle evoluzioni normative sulla protezione dei dati e il loro impatto sulle procedure aziendali e in termini di organizzazione e management dei sistemi informativi, in un mutato contesto di gestione e circolazione delle informazioni.

DOCENZA Adalberto Biasiotti, Ingegnere, Consulente protezione dati Valeria De Antonellis, Professore Ordinario di Sistemi Informativi, Dipartimento di Ingegneria dell’Informazione dell’Università degli Studi di Brescia e collaboratori Francesco Gringoli, Ricercatore Dipartimento di Ingegneria dell’Informazione dell’Università degli Studi di Brescia Giorgio Pedrazzi, Ricercatore Dipartimento di Giurisprudenza dell’Università degli Studi di Brescia

DESTINATARI Direttori di Stabilimento, direttori Operations, direttori di Produzione, responsabili Produzione, Supply Chain Logistica, Responsabili e incaricati del trattamento dei dati

PROGRAMMA Regolamento UE Data Protection Obiettivi del Regolamento e nuovo approccio di responsabilizzazione sostanziale. Le nuove definizioni. Filiera privacy: i soggetti del trattamento. Informativa e consenso, diritti dell’interessato. La regolamentazione che governa l’utilizzo in azienda dei dati personali di dipendenti, clienti, fornitori Il regolamento generale europeo applicato nel contesto dell’ambiente di lavoro: il parere dell’articolo 29 working party. I problemi legati ad una politica di BYOD: vantaggi e rischi Principi di sicurezza informatica Sicurezza dei sistemi informativi. Riservatezza, integrita’, disponibilita’ dei dati..Governance della sicurezza del sistema informativo aziendale. Sicurezza nelle comunicazioni industriali Tipologie di attacchi. Reti di telecomunicazione. Servizi per la sicurezza delle reti

CALENDARIO DIDATTICO

Tre pomeriggi (ore 14:00-18:00)

1° ed. Venerdì 02/03/2018 – Lunedì 12/03/208 – Giovedì 22/03/2018 2° ed. Lunedì 23/04/2018 – Venerdì 04/05/2018 – Mercoledì 09/05/2018 3° ed. Lunedì 07/05/2018 – Giovedì 10/05/2018 – Mercoledì 23/05/2018

COSTO DI PARTECIPAZIONE € 600,00+IVA con rilascio di attestato di frequenza

NOTA La medesima attività formativa viene proposta da ISFOR anche nell’ambito dell’offerta Catalogo Percorsi formativi per la

trasformazione digitale.

8

L’APPLICAZIONE DEL GDPR NELL’AZIENDA SANITARIA E SOCIO-SANITARIA

SIGNIFICATO E FINALITÀ Il GDPR impone un diverso modo per affrontare la privacy nelle organizzazioni che trattano dati sanitari, i quali costituiscono una

particolare categoria di “dati sensibili” ora definiti “dati particolari” dal GDPR. Il Corso affronta la tematica con riferimento ad

organizzazioni sanitarie e socio-sanitarie

DOCENZA Giorgia Masina – Avvocato, specializzata nella privacy delle aziende sanitarie

DESTINATARI Datori di lavoro, Responsabili del personale, Responsabili del trattamento dei dati, Direttori sanitari, Incaricati del trattamento di aziende che svolgono attività sanitarie e socio-sanitarie

PROGRAMMA Tipologia dei dati trattati e principi per il trattamento Approfondimento sui dati particolari. Informativa, consenso e altri basi giuridiche per il trattamento dei dati in sanità. I Principi di minimizzazione, pertinenza, correttezza e trasparenza Il registro dei trattamenti L’articolo 30 del Regolamento. Ratio della norma. Soggetti tenuti a dotarsi di un registro. Contenuti del registro. Strutturare i registri: un possibile approccio metodologico. Aggiornamento e messa a disposizione dei registri. Tenuta del registro. Analisi dei rischi e degli impatti Analisi preliminare del rischio. Principi generali di data protection in relazione all’analisi del rischio. Quando è necessario svolgere l’analisi dei rischi. Rischio inerente e rischio residuo. Ambito di applicazione della DPIA e approccio metodologico. Piano di adeguamento. Misure organizzative Definizione del modello organizzativo per la data protection. Titolare e contitolare. Responsabili. La figura del DPO. Informativa e consensi. I diritti dell’interessato e le modalità per l’esercizio dei diritti. Utilizzo del Dossier Sanitario e del Fascicolo Sanitario Elettronico (FSE). Data protection agreement con terze parti. Sistema documentale per la data protection. Il sistema di monitoring. Data Breach. Le misure tecniche Privacy by design. Identità e accesso. Encryption. Logging e monitoraggio. Le misure applicative Anonimizzazione e pseudonimizzazione. Analisi dei principali provvedimenti del Garante Privacy in ambito sanitario Casi applicativi

CALENDARIO DIDATTICO

Due pomeriggi (ore 14:00-18:00)

Mercoledì 21/03//2018 e Mercoledì 28/03/2018

COSTO DI PARTECIPAZIONE € 400,00+IVA con rilascio di attestato di frequenza

9

CORSO E-LEARNING

PRIVACY E TUTELA DEI DATI PERSONALI Aggiornato al nuovo regolamento europeo

SIGNIFICATO E FINALITÀ La normativa italiana sulla tutela dei dati personali (Decreto Legislativo 196 del 30 giugno 2003, detto anche Codice della privacy) e il nuovo Regolamento Europeo (UE) 2016/679 impongono una serie di obblighi per le aziende che gestiscono e trattano dati personali, al fine di garantire che il trattamento si svolga nel rispetto dei diritti dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati. Obiettivo del corso "Privacy e tutela dei dati personali" è di comprendere e applicare le disposizioni della normativa sulla tutela dei dati personali, permettendo un trattamento dei dati efficiente e nello stesso tempo garantendone la tutela. Fondamentale è quindi il ruolo degli "incaricati" aziendali al trattamento: solo attraverso una formazione adeguata è possibile assicurare comportamenti corretti e sicuri ed evitare operazioni non consentite, volontarie o involontarie (sanzionate dalla normativa, sia nei confronti dell'operatore, sia nei confronti dell'azienda titolare del trattamento). Il titolare del trattamento è infatti obbligato ad adottare misure di sicurezza idonee a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o non conforme alle finalità della raccolta.

DOCENZA Adalberto Biasiotti, Ingegnere, Consulente protezione dati

DESTINATARI Incaricati, Responsabili e Titolari del trattamento dei dati, Collaboratori interni ed esterni all’azienda

DURATA 3 ore in modalità e-Learning

COSTO DI PARTECIPAZIONE € 80,00+IVA con rilascio di attestato di frequenza

10