Gestione e Sicurezza delle Informazioni Aziendali – IT e fraud risk governance

Scenario

Il nuovo Regolamento Europeo (679/2016) sulla protezione dei dati introduce un’unica legislazione in tutti gli Stati Membri dell’UE.

In Italia, dal Maggio 2018, il Regolamento prenderà il posto dell’attuale Codice Privacy (Dlgs 196/2003).

Con il nuovo Regolamento UE sulla Privacy, che deve essere rispettato anche dalle aziende che hanno sede al di fuori dell’Unione Europea, vengono introdotte importanti novità quali il diritto all’oblio, il diritto alla portabilità dei dati, il principio di accountability, le notificazioni delle violazioni alle autorità nazionali e anche agli stessi utenti (c.d. data breaches), modalità di accesso ai propri dati personali più facili per gli interessati, il meccanismo del “one-stop-shop”, con il quale le imprese avranno a che fare con un’unica autorità di vigilanza, e il concetto di “privacy by design”.

Il nuovo Regolamento, agli artt. 35, 36 e 37, definisce, inoltre, quale deve essere il ruolo del Data Protection Officer, per il quale è prevista una designazione obbligatoria quando:

  1. il trattamento è effettuato da un’autorità o da enti pubblici, fatta eccezione per i tribunali;
  2. le attività principali del Data Controller o Data Processor consistono in operazioni di trattamento che, in virtù della loro natura, del loro scopo e/o della loro finalità, richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala;
  3. le attività principali del Data Controller o Data Processor consistono nel trattamento su larga scala di categorie speciali di dati (dati sensibili) e di dati relativi alle condanne penali;
  4. se previsto dal diritto dell’Unione o dal diritto dello Stato membro, un gruppo di imprese può designare un unico D.P.O. a condizione che sia facilmente raggiungibile da parte di ciascuno stabilimento. Più autorità od enti pubblici possono designare un unico D.P.O., tenendo conto della loro struttura e dimensione

In questo nuovo scenario numerose aziende, autorità ed enti pubblici dovranno adeguarsi alla nuova normativa, assegnando all’interno della propria struttura o rivolgendosi a professionisti esterni, la funzione di “responsabile della protezione dei dati”, il quale oltre ad un bagaglio di conoscenze normative di settore, dovrà assicurare conoscenze avanzate di security e di sistemi informativi.

Destinatari

Il D.P.O. deve essere designato sulla base dell’approfondita conoscenza della normativa sulla protezione dei dati e sulla capacità di svolgere i compiti previsti all’Articolo 39 del nuovo Regolamento UE con, inoltre, un background tecnico ed organizzativo in merito al trattamento dei dati personali; può essere un soggetto interno all’azienda oppure un soggetto esterno che assolve i propri compiti sulla base di un contratto di servizi; pertanto il corso è diretto a:

  • funzionari e dirigenti che svolgano il ruolo di Responsabile Privacy, Data Protection Officer, Responsabile IT, Security Manager, Compliance Officer;
  • liberi professionisti che svolgano attività di consulenza

Metodologia e Struttura

Oltre alla tradizionale didattica volta a spiegare profili giuridici e modelli manageriali, la metodologia didattica comprende anche la discussione di casi reali tratti dall’esperienza aziendale e professionale dei docenti e lo svolgimento di esercitazioni pratiche e redazione di modelli.
Il percorso, della durata di 36 ore, si svolgerà nelle giornate del venerdì (orario 14.00-19.00) e sabato (orario 10.00-18.00).

Programma

  • Privacy in ambito nazionale – D.Lgs 196/2003
  • Privacy in ambito internazionale ed europeo
  • I principi introdotti dal Nuovo Regolamento Europeo sulla Protezione dei Dati (2016/679)
  • Regime sanzionatorio
  • Privacy, digital marketing e social network: cookie, profilazione on line e pubblicità comportamentale
  • Privacy e Diritto di Cronaca: diritto all’oblio e tutela dell’immagine e reputazione on line
  • L’impatto della disciplina della privacy sui rapporti di lavoro
  • Data Breach – comunicazione della crisi

II modulo

Le attività specifiche del DPO previste nel nuovo Regolamento Europeo:

  • Designazione del DPO
  • Posizione del DPO
  • Compiti del DPO
  • Indipendenza e relazioni funzionali del DPO
  • Le Autorità di Controllo – DPO e rapporti con le autorità di controllo

III modulo 

  • IT Governance Risk Analysis
  • Information Security, Confidentiality, Integrity, Availability, Standard e metodologie (Cobit, ISO 27001, NIST etc.)
  • Service Continuity, Disaster Recovery Plan e Business Continuity
  • Misure minime ai sensi del D.Lgs 196/2003
  • DPIA documento di valutazione d’impatto, Trasferimento dati all’estero, Privacy by Design – Privacy by default
  • Concetti di Cloud Computing  ed Encryption

Focus pratico:

  • Tecniche di redazione di lettere di incarico, policy e procedure
  • Tecniche di redazione di segnalazioni, reclami, ricorsi, istanze

Faculty

  • Giulia Adotti, Avvocato, Partner Studio Legale Adotti-Adotti & Associati
  • Lorenzo Brufani, CEO Competence, Digital & Marketing Communication
  • Rolando Orlandi, Senior Legal and Corporate Affair Manager Gruppo Lactalis Italia
  • Guido Pellillo, IT Standards and Governance Engineer British American Tobacco
  • Alessio Vinciguerra, Avvocato, Senior Associate Studio Legale Adotti-Adotti & Associati

Esami e Certificazione

“Nella fase d’aula si svolgeranno delle esercitazioni intermedie, propedeutiche all’esame finale del corso, requisito indispensabile per accedere alla certificazione KHC di “Data Protection Officer e Privacy Consultant”. Per ottenere la certificazione è necessario, inoltre, essere in possesso di ulteriori requisiti previsti da KHC, oltre al versamento della quota per il sostenimento dell’esame.  Per maggiori informazioni KHC: staffoperativo@khc.it

È stata inoltrata domanda di accreditamento presso il Consiglio dell’Ordine degli Avvocati di Roma.

Sede

Le lezioni si terranno presso la LUISS Business School, via Nomentana, 216 – Roma

Quota d’iscrizione

Euro 2.000,00 + 22% IVA

Modalità d’Iscrizione

L’iscrizione si intende perfezionata al momento del ricevimento da parte di LUISS Business School -Divisione di LUISS Guido Carli della scheda di iscrizione (scaricabile da sito) debitamente compilata e sottoscritta al seguente indirizzo segreteriaexecutiveedu@luiss.it. Allo scopo di garantire la qualità delle attività di formazione, nonché dei servizi extra formazione resi ai Partecipanti, le iscrizioni al Corso sono a numero programmato.

Modalità di Recesso

Il candidato potrà recedere dal contratto senza corrispondere alcuna penale entro e non oltre i 15 giorni di calendario anteriori la data di inizio del Corso/Percorso, comunicando la decisione del recesso via fax o e- mail seguita da lettera raccomandata con avviso di ricevimento ed indirizzata a: LUISS Business School – divisione LUISS Guido Carli -Via Nomentana, 216 -00162 Roma. È, inoltre, consentita la facoltà di recedere dal contratto, corrispondendo una penale pari al 50% della quota, comunicando la decisione del recesso con le medesime modalità sopra descritte entro e non oltre i 5 giorni di calendario anteriori la data di inizio del Corso/Percorso. In tali casi LUISS Business School provvederà a restituire l’importo della quota versata per cui sia eventualmente dovuto il rimborso ai sensi di quanto previsto dai precedenti periodi entro i 60 giorni successivi alla data in cui LUISS Business School avrà avuto conoscenza dell’esercizio del recesso. In aggiunta al diritto di recesso previsto nel precedente capoverso, in caso di sottoscrizione del contratto da parte di persona fisica che agisce per scopi estranei all’attività imprenditoriale, è consentita, ai sensi del d. lgs. n. 206/2005, la facoltà di recesso senza dover corrispondere alcuna penale e senza dover fornire alcun motivazione entro il quattordicesimo giorno successivo alla sua conclusione. Per esercitare tale diritto, il candidato è tenuto a far pervenire, entro il medesimo termine, alla LUISS Business School – divisione LUISS Guido Carli – Via Nomentana, 216 -00162 Roma – a mezzo fax o lettera raccomandata A/R, una espressa dichiarazione contenente la volontà di recedere dal contratto. A tal fine il recedente potrà utilizzare il modulo tipo, non obbligatorio, di recesso allegato alla presente Brochure. In caso di recesso validamente esercitato, Luiss Business School provvederà a rimborsare al candidato la somma da questi versata entro il quattordicesimo giorno successivo alla data in cui Luiss Business School avrà avuto conoscenza dell’esercizio del recesso. Detti rimborsi saranno effettuati utilizzando lo stesso mezzo usato dall’interessato per il pagamento. In ogni caso, l’interessato non dovrà sostenere alcun costo quale conseguenza del rimborso.