Programma del corso
La nuova privacy
– il Regolamento 2016/679/UE
– i soggetti
– dato personale e trattamento
– i diritti dell’interessato
– privacy by design e privacy by default
– l’Accountability
– il D.Lgs. 101/2018
Le misure di sicurezza nel trattamento dei dati personali
– il Regolamento UE 2016/679
– il registro dei trattamenti
– il Privacy Officer (DPO)
– la valutazione di impatto privacy
– la violazione di dati personali
– le certificazioni
La figura dell’Amministratore Di Sistema
– l’amministratore di sistema
– funzioni, ruolo e requisiti
– gestione di sistemi di autenticazione, profilazione
ed autorizzazione
– custodia delle credenziali
– gestione dei flussi di rete
– gestione del back-up e di software complessi
– l’outsourcing
Principali adempimenti in tema di ADS
– valutazione di requisiti di idoneità e
caratteristiche soggettive
– designazioni individuali
– rapporti con il titolare
– elencazione analitica degli ambiti di operatività
– individuazione dei privilegi
– elenco interno ed aggiornato con estremi
identificativi delle persone
– conoscibilità dell’identità per i servizi relativi al
personale
– procedure di accesso ad istanza dei lavoratori
Registrazione degli accessi degli ADS
– identificazione e tracciamento degli accessi logici
– requisiti dei log
– modalità e tempi di conservazione
– misure di sicurezza
– responsabilità nella conservazione
– comunicazione e informativa agli utenti
Controlli sulle attività degli amministratori di sistema
– controlli sugli accessi ai sistemi
– verifiche sull’operato degli amministratori
– audit informatici: individuazione funzione competente
– gestione ed utilizzo delle informazioni
– problematiche connesse al controllo dei lavoratori
– nuovo art. 4 dello Statuto dei lavoratori
– linee guida del Garante su internet e e-mail
– ADS come “strumento” di controllo
– controlli difensivi
Mario Mazzeo
Il nuovo quadro normativo in materia di Cybersecurity
– la Direttiva NIS e il D.Lgs. 65/2018
– ambito di applicazione soggettivo e oggettivo
– perimetro nazionale di sicurezza cibernetica: gli obblighi che spettano ad aziende e P.A.
– gli obblighi in materia di sicurezza: misure tecniche e organizzative per la prevenzione e la gestione dei rischi informatici; monitoraggio; compliance
– valutazione dell’impatto degli incidenti e notifiche obbligatorie (rete e sistemi informativi/servizi digitali)
– la notifica volontaria
– la minaccia cibernetica per la Pubblica Amministrazione e le misure introdotte dalla Circolare AgID 2/2017
Stefano Mele
Il Data Breach la segnalazione al Garante
– la notifica agli interessati
– le tempistiche
– le esimenti
– il registro delle violazioni
– come compilare la segnalazione
Responsabilità in tema di privacy
– la Responsabilità nel GDPR e nel D.Lgs. 101/2018
– le sanzioni amministrative
– la responsabilità civile
– la responsabilità penale
– l’Amministratore di sistema e il D.Lgs. 231/01
Francesco Modafferi
RELATORI
Mario Mazzeo
Avvocato in Roma – Membro della Struttura Deontologica del Consiglio dell’Ordine degli Avvocati di Roma
Stefano Mele
Partner, responsabile del Dipartimento di Diritto delle Tecnologie, Privacy e Cybersecurity presso Carnelutti Studio Legale Associato
Francesco Modafferi
Dirigente del Dipartimento Realtà Pubbliche e del Dipartimento Sanità e Ricerca Autorità Garante per la Protezione dei Dati Personali
DATA E SEDE
Giovedì 30 e Venerdì 31 Gennaio 2020
Roma – Hotel Majestic
Via V. Veneto, 50
ORARIO
9,00 – 13,00 / 14,30 – 17,00